*por Marcelo Barreto, consultor jurídico da Presidência da CNC
Importante ferramenta na utilização de recursos computacionais, a segurança das informações é tema diuturno no âmbito corporativo, uma vez que violações na área da informática e possíveis vulnerabilidades ocupam espaço nas preocupações das governanças empresariais. Trata-se, inclusive, de matéria regulamentada pelo Marco Civil da Internet e pela Lei Geral de Proteção de Dados Pessoais.
Diante da escassez de especialistas nessa área, as empresas têm recorrido a Programas de Identificação de Falhas, também conhecidos como Programas de Recompensa por Bugs (Bug Bounty Programs ou Vulnerability Reward Programs – VRP).
São programas de recompensas concedidas a especialistas a cada vulnerabilidade que for descoberta, com objetivos de localizar previamente “brechas de segurança” e, assim, reduzir riscos e evitar que negócios comerciais sejam impactados por invasões informáticas, vírus e outras formas maliciosas de perturbação nas atividades de Tecnologia da Informação.
No Brasil, foi lançada em 2020 a primeira plataforma de “bug bounty”, com a participação de mais de 1.500 especialistas. As recompensas podem chegar a R$ 8 mil por falha identificada. É uma espécie de “terceirização”, já que se transfere a empresas de tecnologia a missão de encontrar falhas num sistema computacional, o que, normalmente, é tarefa realizada por um setor interno próprio da corporação. Esta opção é lançada, naturalmente, diante das maiores chances de encontrar vulnerabilidades, já que são arregimentados inúmeros técnicos para identificá-las, com um melhor “olhar clínico”.
A preferência sobre a escolha da pessoa ou empresa contratada, todavia, precisa ser certeira, almejando a qualidade dos serviços. A questão envolve, por outro lado, total confiança nos “hackers do bem”, pois estes serão autorizados a sondar e a testar sistemas de “softwares” remotamente, o que pode danificar o sistema computacional, gerar apropriação indevida de dados e ainda permitir revelações de informações sigilosas a terceiros.
É tudo uma questão de máximo rigor e fidúcia na escolha, pois o “hacker” participante precisa passar por um processo de validação antes de iniciar suas atividades, que devem estar reguladas por um contrato com claras atribuições e responsabilidades.
