A empresa apenas admite que tal arquivo com dados pessoais de clientes (como nome, email e senha) existia, estava no email do empregado e que foi violado. Não diz quantas contas foram afetadas, o tamanho do dano, as perdas sofridas, as providências tomadas para que o dano fosse minimizado e o problema evitado no futuro
A mesma empresa sofreu um problema parecido ano passado, obrigando seu CEO vir a público se desculpar ("I cannot express how deeply sorry I am. Dropbox is my life, and I know that we are only as good as the trust we have built with our customers. This should not have happened, and I am hopeful that you will give us the chance to make this right and regain your trust").
Há duas lições importantes que podemos tirar desses episódios:
Primeiro, sua segurança é tão boa quanto a segurança do elo mais fraco de seu sistema de segurança. Não adianta – como o Dropbox faz – pedir senhas complexas se um empregado da empresa pode ficar com dados dos clientes em seu email. Colocar o foco todo no comportamento do usuário é como pedir a identificação apenas dos passageiros de um avião e deixar quem quer que esteja vestido de piloto entrar na aeronave sem ser incomodado.
Ao movermos nossas informações sigilosas para o domínio de outras pessoas empresas, estamos confiando tanto em seus sistemas de segurança quanto nos nossos. Se é verdade que os sistemas delas tendem a ser melhores do que os nossos, também é verdade que sofrem muito mais ataques, e ataques mais agressivos.
Não basta terem um sistema mais forte: o sistema precisa ser adequado ao risco.
Se você não tem nenhum bem, não precisa criar mecanismos de proteção para sua casa porque você não é atraente para o criminoso. O ladrão só entrará na sua casa se você se expuser tanto que não custe nada para ele entrar.
Mas se você é a Casa da Moeda, seus sistemas não precisam ser apenas melhores do que os sistemas do Zé Ninguém, mas adequados aos ataques que necessariamente sofrerá por ser um alvo natural de ataques.
Ao redor do mundo e em especial no Brasil, milhares de empresas e órgãos públicos estão coletando - quase sempre desnecessariamente - dados pessoais de indivíduos, mas estão falhando em sua obrigação de protegê-los. Pense quantas vezes por semana alguém te pede seu RG, CPF, endereço, idade, estado civil, telefone etc. Todas as vezes que você fornece esses dados, você está confiando não só que esses dados são realmente necessários (quase nunca são) mas também que serão adequadamente protegidos por quem os coletou (o que raramente acontece).
A segunda lição é que precisamos de leis que obriguem as empresas que lidam ou guardam informações de clientes a declararem com total transparência e imediatamente todas as violações ocorridas, os danos sofridos (tantos os já conhecidos quanto os prováveis), as medidas paliativas e as medidas preventivas adotadas. Deixar por conta das empresas a decisão de o que divulgar, quando divulgar e mesmo se devem divulgar é a mesma coisa de deixar por conta de deixar por conta do funcionário dorminhoco a obrigação de dizer ao patrão se deixou de cumprir alguma tarefa. Mas, o mais importante, precisam passar a punir tais empresas. A razão pela qual as empresas pedem tantos dados é porque não lhes custa nada. Ao passarem a punir financeiramente tais empresas se tais dados forem expostos, as empresas terão de se perguntar se vale a pena coletar informações pessoais, dado o risco financeiro que correm se perdê-la.
Além disso, leis como essa obrigam a autocrítica. Se em vez de se esconderem atrás de desculpas as empresas vierem a público dizer o que aconteceu e que providências estão tomando para evitar um novo problema, ela são obrigadas a avaliarem se seus sistemas e processos atuais são adequados.