A proteção dos dados pessoais deve ser pensada para além dos planos jurídico-processuais de compliance, implicando investimentos em treinamentos, plataformas de cibersegurança e Security Operations Centers
William Faria (*)
Nos últimos meses o Brasil sofreu uma onda de ataques cibernéticos, principalmente em órgãos da administração pública, tais como os sites do Governo do Distrito Federal e do Superior Tribunal de Justiça. No dia 3 de novembro, por exemplo, os servidores do STJ foram alvos de um ataque de hackers, com ministros e servidores ficando sem acesso a e-mails e arquivos.
Ainda não se tem a dimensão e as consequências deste ataque. Não se sabe, por exemplo, se os hackers conseguiram realizar cópias dos dados ou se houve vazamento de processos que correm em segredo de Justiça. De qualquer forma, esta situação serve de alerta para não apenas as repartições públicas, mas também para as empresas do setor privado, em relação às medidas preventivas de segurança cibernética.
Este ataque torna-se ainda mais grave porque estamos sob a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro. A nova lei determina todo um procedimento para atuação dos Controladores de Dados Pessoais em relação a incidentes de vazamento, entre eles a comunicação da Autoridade Nacional de Proteção de Dados (ANPD) e dos titulares que tiveram suas informações afetadas durante a investida.
Todas as empresas e órgãos públicos estão se adequando às regras da LGPD, porém muitos ficaram voltados somente para a adequação dos seus processos internos. Muitas organizações se esquecem de que, para obter a real proteção de dados pessoais, é necessário um forte mecanismo de cibersegurança, principalmente quando falamos de ataques de ransomware, do qual foi vitimado o STJ.
O ransomware é um vírus bastante conhecido no Brasil. Ele bloqueia dados em um computador utilizando criptografia, causando o embaralhamento das informações e, consequentemente, a obstrução ao acesso desses conteúdos.
Posição do Brasil entre países mais visados
Hoje, o Brasil ocupa a segunda posição entre os mais atacados por esse tipo de ameaça, segundo a Trend Micro. Além disso, o país detém a liderança mundial em phishing, golpe utilizado pelo cibercriminoso para enviar o ransomware e sequestrar ou invadir uma máquina, um banco de dados ou um sistema por meio de e-mails falsos.
A artimanha do ransomware consiste em, após obter os dados, o hacker solicitar o pagamento de um resgate para liberá-los, normalmente por meio de criptomoedas, como o Bitcoin, para dificultar o rastreamento pelas autoridades policiais.
Pagar ou não pagar pela liberação dos dados é um dilema enfrentado pelas vítimas, sejam elas empresas ou órgãos públicos, que, de maneira alguma, deveriam ceder às investidas dos criminosos. As empresas correm o risco de ficarem reféns de hackers, além de não possuírem garantias de que realmente seus dados serão liberados ou de que não foram feitas cópias que podem ser vazadas a qualquer momento. Além de prejudicar a imagem da empresa, este risco as coloca como passíveis de punições baseadas na LGPD.
A empresa pode se sentir segura por conseguir restabelecer sua operação de forma rápida, com a subida dos backups armazenados em locais seguros e com a integridade garantida, por exemplo, como foi o caso do STJ. Quais são, no entanto, as consequências se o criminoso expuser os dados pessoais em plataformas públicas, considerando o advento da LGPD?
A partir de agosto deste ano, a empresa poderá sofrer multas e penalidades mediante a denúncia à ANPD. Hoje, porém, ela já pode sofrer com uma enxurrada de ações na esfera cível dos titulares dos dados que forem vazados.
Investimentos em proteção
A adequação das companhias para a proteção e privacidade de dados pessoais deve ser pensada para além dos planos jurídico-processuais de compliance, com investimentos em treinamentos, plataformas de cibersegurança e implementação de SOCs (Security Operations Centers) para prevenir vulnerabilidades, monitorar e interromper ataques e vazamentos de dados. E, claro, deve-se possuir um bom plano de respostas a incidentes e recuperação de desastres.
Antes da LGPD, um ataque de ransomware “apenas” paralisaria suas operações por um período. Agora, pode trazer prejuízos financeiros, jurídicos e reputacionais terríveis. As organizações, sejam elas públicas ou privadas, precisam aproveitar esse momento de adequação à LGPD e investir porque o mercado de sequestro de dados ficou mais “atrativo”.
Para os próximos anos, os investimentos em cibersegurança devem ser itens prioritários nos orçamentos corporativos. Os cibercriminosos estão com o apetite aguçado, tanto por motivos financeiros quanto por ativismos, e a LGPD está em marcha para proteger os dados dos cidadãos de qualquer violação.
(*) DPO (Data Protection Officer) e especialista em segurança da informação da GFT Brasil.