Recentemente, eu estava discutindo sobre privacidade de dados com uma pessoa próxima a mim e o assunto acabou sendo a forma de acesso mais comumente usada e achei que seria interessante compartilhar no WeLiveSecurity alguns desses pontos gerados por essa conversa.

Os acessos biométricos são amplamente usados em ambientes corporativos há muitos anos, mas têm sido cada vez mais usados em nossa vida pessoal, mais precisamente para permitir a entrada em condomínios e edifícios particulares.

Observando brevemente vários empreendimentos de construção nova em diversas áreas da cidade de São Paulo, pude constatar que o reconhecimento facial está sendo usado para controle de acesso em muitos deles, e isso traz à tona vários pontos a serem considerados em relação à segurança.

Separei alguns desses pontos para que seja possível questionar e, principalmente, investigar se os seus dados estão sendo protegidos adequadamente, se isso faz parte da sua realidade diária.

Os dados biométricos são vistos, pela Lei Geral de Proteção de Dados (LGPD), como dados sensíveis, devendo ser tratados com ainda mais critério do que os dados pessoais. No caso da biometria facial, esses dados possuem ainda mais informações que podem apresentar características étnicas, convicções religiosas e até aspectos relacionados à saúde das pessoas.

Com isso em mente, fiquei me perguntando se todas essas empresas focadas na gestão e na proteção física dos edifícios pelos quais são responsáveis também protegem adequadamente os dados biométricos de seus clientes.

A lei não estipula quais meios devem ser aplicados para essa proteção de dados, mas baseia seus fundamentos nos pilares da segurança da informação, avaliando sua integridade, disponibilidade e confidencialidade, e as empresas devem aplicar todos os esforços necessários para atingir esse objetivo.

Partindo do pressuposto de que os dados estão adequadamente protegidos e que todos os processos estão sendo seguidos por aqueles que irão armazenar esses dados, observando o funcionamento de alguns desses prédios e condomínios percebi que a comunicação não é clara com os moradores, fazendo com que alguns entendam que o reconhecimento facial é a única alternativa de acesso e isso não é e não pode ser verdade.

Tipos mais comuns de controle de acesso

Acesso biométrico por reconhecimento facial

A LGPD estabelece que os dados podem ser processados normalmente se uma série de requisitos for atendida, como o consentimento explícito do titular dos dados, bem como o cumprimento de uma série de obrigações para proteger esses dados. Esse consentimento deve ser formalmente bem descrito, e o titular dos dados não pode ser pressionado a aceitá-lo. Somente então os procedimentos para coleta, processamento e processamento de dados poderão ser aceitos. Somente então poderão ser iniciados os procedimentos de coleta, armazenamento e uso desses dados para a finalidade proposta.

Caso o titular dos dados se recuse a fornecer seus dados biométricos, as empresas responsáveis pela segurança do perímetro devem oferecer alternativas para o acesso do titular dos dados e de seus convidados.

Outras formas de controle de acesso

É importante observar que muitos dos dispositivos capazes de realizar o reconhecimento facial são capazes de permitir o acesso de outras formas, como o acesso biométrico por meio de impressões digitais, leitura de cartão de proximidade (NFC), PINs numéricos ou, nos casos mais recentes, até mesmo o uso de uma chave.

Geralmente, há muitos cenários para permitir esse acesso, mas é importante lembrar que cada cenário tem uma característica específica e não necessariamente protegerá o acesso ao perímetro de maneira igualmente segura.

Incidentes de segurança comuns

Esclarecidos esses pontos, passo agora aos aspectos que considero muito importantes a serem levados em conta na concessão de acesso, seja por meio da adoção da biometria ou de uma das alternativas mencionadas acima: os incidentes de segurança.

Incidentes de segurança com o titular

Se a pessoa que tem o direito legítimo de entrar no edifício estiver sob alguma forma de coerção imposta por um terceiro, os meios usados para autorizar essa entrada geralmente não têm impacto. Seja por reconhecimento facial biométrico, biometria de impressão digital, cartão, PIN ou chave, a vítima será coagida a usá-lo e o resultado será basicamente o mesmo.

Nos casos de incidentes em que não há ação direta de terceiros, pode haver uma mudança significativa no cenário, dependendo do tipo de acesso escolhido pelo proprietário ou pela administração do condomínio. Os objetos usados para abrir portas, como chaves e cartões, podem ser perdidos, roubados ou perfurados, o que pode ter impactos muito negativos sobre a segurança do ambiente.

Observação: os incidentes de segurança relacionados ao PIN geralmente estão relacionados ao esquecimento do PIN, e esse tipo de incidente costuma ter um impacto significativamente menor na segurança.

Incidentes de segurança em um ambiente protegido por biometria

Considero esse cenário o mais preocupante, pois os incidentes de segurança diretamente relacionados ao ambiente protegido geralmente têm um impacto muito alto e podem afetar todos que desfrutam desse ambiente.

Incidentes de segurança em mídia digital

Existem muitas possibilidades relacionadas ao comprometimento de um ambiente digital. Mencionarei algumas delas que estão diretamente ligadas a questões relacionadas ao acesso à estrutura:

  • Registro de um ou mais meios de acesso ao ambiente para um ou mais infratores: permite que os criminosos virtuais autorizem sua própria entrada por qualquer um dos meios disponíveis pelo equipamento, garantindo o acesso sem a necessidade de interação com outras pessoas;
  • Roubo de dados cadastrais e biométricos: de posse de dados cadastrais e biométricos, especialmente biometria de reconhecimento facial, é possível se cadastrar, comprar produtos e até solicitar empréstimos, realizando as validações necessárias com a imagem coletada da vítima;
  • Desativação de dispositivos ou remoção de usuários da base: ambas as ações visam impedir o acesso de qualquer usuário ao ambiente, seja ele digital ou físico;
  • Incidentes de segurança em ambientes físicos: esses tipos de incidentes podem ter as mesmas repercussões dos incidentes em ambientes digitais, com o agravante de que os infratores já estarão fisicamente dentro do ambiente e também podem causar danos aos usuários e seus ativos.

Dicas de boas práticas

É interessante observar que, independentemente das tecnologias adotadas em um ambiente, e se todos os usuários desse ambiente farão uso ou não dessa tecnologia, é possível torná-lo mais seguro de diversas maneiras. A seguir, descrevo algumas das práticas recomendadas adotadas para melhor atender à segurança de um ambiente como esse

Para os usuários

Você pode tomar medidas para trazer segurança aos ambientes que utilizam esse tipo de tecnologia. Certifique-se de que o ambiente tenha boas práticas de segurança e proteção de dados, sejam elas biométricas ou não. Se forem adotados métodos alternativos de acesso, como cartões de identificação ou chaves, certifique-se de que eles permaneçam sempre em posse do proprietário e não sejam deixados sem supervisão em nenhum lugar

Para empresas

  • Proteja todos os dispositivos no ambiente com um software de proteção robusto, como proteções de endpoint (antivírus);
  • Certifique-se de que todos os usuários tenham consentido formalmente com o processamento de seus dados pessoais;
  • Instrua os funcionários sobre a necessidade de fornecer formas alternativas de acesso além da biometria;
  • Restrinja o acesso ao equipamento de controle relacionado ao acesso biométrico e aos dados pessoais apenas aos funcionários que realmente precisam dele.
  • Se você tiver alguma dúvida ou sugestão sobre questões de segurança digital que gostaria de ver abordadas em postagens futuras, deixe o seu comentário.