Por William Faria*

Nos últimos meses o Brasil sofreu uma onda de ataques cibernéticos, principalmente em órgãos da administração pública, tais como os sites do Governo do Distrito Federal e do Superior Tribunal de Justiça. No dia 3 de novembro, por exemplo, os servidores do STJ foram alvos de um ataque de hackers, ministros e servidores ficaram sem acessos à e-mails e arquivos.

Ainda não se tem a dimensão e as consequências deste ataque, não se sabe, por exemplo, se os hackers conseguiram realizar cópias dos dados ou se houve vazamento de processos que correm em segredo de Justiça. De qualquer forma, esta situação serve de alerta para não apenas as repartições públicas, mas também para as empresas do setor privado, em relação às medidas preventivas de segurança cibernética.

Este ataque torna-se ainda mais grave porque estamos sob legislação LGPD, que entrou em vigor no último mês de setembro. A Lei Geral de Proteção de Dados determina todo um procedimento para atuação dos Controladores de Dados Pessoais em relação a incidentes de vazamento de dados, entre eles a comunicação da Autoridade Nacional de Proteção de Dados (ANPD) e dos titulares de dados que tiveram suas informações afetados durante a investida.

Todas as empresas e órgãos públicos estão se adequando às regras da LGPD, porém muitos ficaram voltados somente para a adequação dos seus processos internos. Muitas organizações se esquecem de que para obter a real Proteção de Dados Pessoais é necessário um forte mecanismo de cibersegurança, principalmente quando falamos de ataques de Ransomware, do qual foi vitimado o STJ.

O ransomware é um vírus bastante conhecido no Brasil. Ele bloqueia dados em um computador utilizando criptografia, causando o embaralhamento das informações e, consequentemente, a obstrução ao acesso desses conteúdos. Hoje, o Brasil ocupa a segunda posição entre os mais atacados por esse tipo de ameaça, segundo a Trend Micro. Além disso, o país detém a liderança mundial em phishing, golpe utilizado pelo cibercriminoso para enviar o ransomware e sequestrar ou invadir uma máquina, um banco de dados ou um sistema por meio de um e-mail falso.

A artimanha do ransomware consiste em após obter os dados, o hacker solicitar o pagamento de um resgate para a liberá-los, normalmente por meio de criptomoedas, como o Bitcoin, para dificultar o rastreamento pelas autoridades policiais.

Pagar ou não pagar pela liberação do dados é um dilema enfrentado pelas vítimas, sejam elas empresas ou órgãos públicos, que, de maneira alguma, deveriam ceder às investidas dos criminosos. As empresas correm o risco de ficarem reféns de hacker, além de não possuírem garantias que realmente seus dados serão liberados ou que não foram feitas cópias que podem ser vazadas a qualquer momento. Além de prejudicar a imagem da empresa, as coloca como passíveis de punições baseadas na LGPD.

A empresa pode se sentir segura por conseguir restabelecer sua operação de forma rápida, com a subida dos backups armazenados em locais seguros e com a integridade garantida, por exemplo, como foi o caso do STJ. Quais são, no entanto, as consequências se o criminoso expuser os dados pessoais em plataformas públicas com o advento da LGPD ?

A partir de agosto de 2021, a empresa poderá sofrer multas e penalidades mediante a denúncia à ANPD. Hoje, porém, ela hoje já pode sofrer com uma enxurrada de ações na esfera cível dos titulares dos dados que foram vazados.

A adequação das companhias para a proteção e privacidade de dados pessoais deve ser pensada para além dos planos jurídicos-processuais de compliance, com investimentos em treinamentos, plataformas de cibersegurança e implementação de SOCs (Security Operations Center) para prevenir vulnerabilidades, monitorar e interromper ataques e vazamentos de dados. E, claro, possuir um bom plano de respostas a incidentes e recuperação de desastres.

Antes da LGPD um ataque de Ransomware "apenas" paralisaria suas operações por um período. Agora, pode trazer prejuízos financeiros, jurídicos e reputacionais terríveis.As organizações, sejam elas públicas ou privadas, precisam aproveitar esse momento de adequação da LGPD e investir porque o mercado de sequestro de dados ficou mais "atrativo".

Para os próximos anos, os investimentos em Cibersegurança devem ser itens prioritário nos orçamentos corporativos. Os cibercriminosos estão com o apetite aguçado, tanto por motivos financeiros quanto por ativismos, e a LGPD está em marcha para proteger os dados dos cidadãos de qualquer violação.

*William Faria é DPO (Data Protection Officer) e especialista em segurança da informação da GFT Brasil.