Você pode confiar seus dados às empresas de DNA?

Você pode confiar seus dados às empresas de DNA? É notável que os testes de DNA sejam uma parte normal da vida no século XXI. 

Por uma taxa razoável, você pode aprender tudo sobre seus ancestrais e características genéticas. É claro que enviar a saliva para uma startup de tecnologia para que eles possam analisar seu DNA ainda soa como um filme de ficção científica.

De outro lado, face os aumentos de regulamentações e preocupações com a privacidade de dados, informações de DNA são uns dos tipos mais sensíveis de informações existentes. Então, fazemos a pergunta: Quão seguro é confiar nessas empresas com seus dados genéticos?

Primeiro, a boa notícia: dar seu DNA a uma empresa não o colocará automaticamente em um banco de dados onde qualquer pessoa possa encontrá-lo. A má notícia, porém, é que isso exige que você confia na empresa para que ela cumpra suas regras auto-impostas, bem como no cumprimento fiel e eficaz de todos os controles de proteção da informação possível.

No entanto, como muitas preocupações com a privacidade de dados, tudo é um pouco diferente.

23andMe, AncestryDNA e outros serviços populares

Embora ainda pouco comum no Brasil, existem muitas empresas de tecnologia, o 23andMe sabe que as pessoas estão preocupadas com a forma como seus dados são usados ​​e compartilhados, e explicam com bastante clareza: eles não compartilham seus dados genéticos com nenhum banco de dados público ou agências de aplicação da lei (a menos que exigido por intimação ou mandado, o que ainda não aconteceu). E você também pode solicitar a exclusão de seus dados. A Ancestry tem regras semelhantes e também promete não compartilhar seus dados com terceiros.

 

Os riscos

Mas eis a questão: no fundo, a 23andMe é uma empresa de dados. Eles até fizeram uma parceria com a gigante farmacêutica GlaxoSmithKline para pesquisas médicas com base em todas as informações genéticas que eles acumularam. 

Antes de chegar a conclusão de que esta parceria seja antagônica ao que a empresa promete, você não precisa participar, mas precisa prestar atenção antes de clicar em “sim” em todos os formulários ao se inscrever. E enquanto eles também prometem não usar seus dados sem consentimento, o Ancestry também tem parceiros de pesquisa.

É por isso que pessoas céticas podem avisá-lo para não usar serviços de DNA. Não há nada inerentemente arriscado acontecendo agora, e nem notícias de vazamento de dados deste tipo, mas essas empresas estão acumulando muitos dados e podem alterar suas políticas de privacidade sempre que desejarem. Além disso, é possível que os tribunais permitam às autoridades policiais pesquisar esses dados no futuro.

Sem querer parecer profético, mas baseado no histórico mundial relativo a proteção de informações, os seus dados podem ser vazados através de um hackeamento ou mesmo por descuido de um profissional que envie um email em massa errando o grupo de destinatário de um simples email, como aconteceu com a Anvisa no Brasil. Como sabemos não existe segurança 100%, quem a quiser que vá morar em Marte … e se cuide pois o Homem já está chegando até lá. 

 

E os bancos de dados de genealogia pesquisáveis?

Você deve ter ouvido falar que os policiais encontraram um suspeito de assassinato em 2018 procurando seu DNA on-line. Eles estavam usando um banco de dados público chamado GEDmatch, usado por entusiastas e pessoas que procuram lançar uma rede mais ampla ao procurar parentes. Seus dados genéticos só chegam até aqui se você optar por enviá-los.

Por que o suspeito carregaria seu próprio DNA? Ele não fez. Em vez disso, os investigadores encontraram um parente dele. Essa é outra razão pela qual os defensores da privacidade são cautelosos com os bancos de dados genéticos em geral: mesmo que você não participe, seus parentes podem conectar você indiretamente.

A conclusão de tudo isso é basicamente que você precisa prestar muita atenção às políticas de qualquer empresa para a qual você fornece seu DNA, procure saber o histórico de problemas financeiros e de manuseio de dados que esta empresa possui, isto pode ser um indicativo de possíveis problemas futuros de proteção de dados, pois como sabemos Segurança da Informação infelizmente não é a prioridade de muitas empresas principalmente durante dilemas financeiros.

Não o trate como um contrato de usuário do Gmail no qual você clica sem ler. Você está dando a eles seus dados mais pessoais – literalmente seus genes! – e é sua decisão o quanto você deseja compartilhar.

LGPD

A LGPD –  Leig Geral de Proteção de Dados brasileira, define em seu Art. 5º parágrafo II :

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

 

DNA Sintético

Em 2017 publicamos aqui no Blog Minuto da Segurança matéria da HelpNetSecurity dizendo que pesquisadores demonstraram que é possível criar fios de DNA sintéticos que contenham códigos de computador maliciosos que, se sequenciados e analisados, podem comprometer o computador de análises de DNA.

O principal objetivo de sua pesquisa foi testar o software de bioinformática de fonte aberta comumente usado por pesquisadores para analisar dados de DNA para falhas de segurança e provar, inequivocamente, que a segurança dessas ferramentas deveria ser melhorada antes que os invasores tenham a chance de explorar as vulnerabilidades .

Muitos desses [software] estão escritos em idiomas como C e C ++ que são conhecidos por conter vulnerabilidades de segurança, a menos que os programas sejam cuidadosamente escritos“, explicaram .

Por exemplo, a maioria tinha pouca entrada de sanitização e usava funções inseguras. Outros tinham buffers estáticos que podiam transbordar. A falta de sanitização de insumos, o uso de funções inseguras e o uso de buffers transbordáveis ​​podem tornar um programa vulnerável a atacantes; As melhores práticas de segurança informática modernas são para evitar ou usar com cautela essas construções programáticas sempre que possível “.

Durante sua pesquisa, eles não exploraram uma vulnerabilidade existente em um programa de processamento de DNA, mas introduziram um semelhante ao que encontraram na análise de segurança anterior. Ainda assim, o efeito de resultado da exploração baseada em DNA era cristalino: o software vulnerável lhes proporcionava a capacidade de controlar remotamente o computador no qual estava instalado.

Por um lado, as pessoas não correm o risco de ser afetadas por explorações baseadas em DNA, pois não podem afetar o genoma humano (ou a de outros seres vivos). Em segundo lugar, o fato de que eles conseguiram criar e implantar tal exploração não significa que possa ser facilmente entregue através, por exemplo, de uma amostra de sangue manipulada – há muitas coisas que podem dar errado e tornar o resultado do sequenciador de DNA efetivamente inutilizável.

A população em geral pode ficar tranquila pois  não há evidências de acreditar que a segurança do sequenciamento de DNA ou dados de DNA em geral esteja atualmente sob ataque.

No entanto, uma vez que as tecnologias de sequenciação de DNA estão amadurecendo e se tornando mais onipresentes, acreditamos que esses tipos de problemas podem representar um risco crescente no futuro, se não forem corrigidos“, ressaltam e recomendam que “a comunidade de sequenciamento de DNA siga as melhores práticas de segurança de software na criação de códigos para bioinformática“.

Se juntarmos tudo, não sei se poderei dormir tranquilo ao enviar meu DNA para uma empresa de tratamento genético…. Privacidade? Sei não….  O que é isto mesmo? 

 

Fonte: Blog Dashlane & HelpNetSecurity 

 

Veja também:

 

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Coronavírus e os Planos de Continuidade das empresas
  2. DOD alerta para riscos cibernéticos a funcionários que trabalham em casa
  3. Home Office: preparando sua organização e funcionários

Deixe sua opinião!