Notícia publicada no jornal New York Times em agosto relata a experiência de Brian Hawkins, ex-diretor de TI de Lake City, na Flórida. Após um bem-sucedido ataque criminoso aos computadores da cidade, que se viu forçada a pagar um resgate de quase meio milhão de dólares para voltar a ter acesso aos seus dados, ele foi culpado pelo vazamento e despedido
Brian então decidiu ir aos tribunais, alegando que ter informado ao empregador, quando assumiu o seu cargo, da necessidade de implementar uma proteção mais adequada para o sistema. A administração da cidade tinha outras prioridades e não realizou o investimento. Agora, caberá à Justiça determinar quem é o culpado pelo vazamento das informações sensíveis desta comunidade de 12.000 habitantes.
Em sua defesa, Brian argumentou que ao assumir o posto identificou vulnerabilidades e sugeriu a compra de um custoso sistema de backup baseado na nuvem. A municipalidade achou que o investimento não era prioritário e, quando todo o sistema saiu do ar em poucas horas, era o momento de encontrar um único culpado.
Qualquer que seja a decisão final do processo, não há ganhadores, exceto os hackers que atingiram seu objetivo. Perderam os consumidores, que viram seus dados sensíveis caírem nas mãos de criminosos, o executivo da área de TI, que teve sua reputação comprometida e, principalmente, o departamento municipal responsável pela guarda das informações dos habitantes, que sem dúvida falhou em proteger os dados dos moradores da cidade. E o que é mais lamentável, existem soluções no mercado de proteção e de disponibilidade de dados que conseguem entregar segurança a um preço extremamente acessível, ainda mais se comparado aos valores pagos em resgates em crimes desse tipo.
Com a entrada em vigor no Brasil, em agosto do ano que vem, da Lei Geral de Proteção de Dados (LGPD) as empresas passarão a ter uma responsabilidade legal muito maior no caso de ocorrência de vazamentos de dados, com as multas variando entre 2% do faturamento do ano anterior até R$ 50 milhões, passando ainda por penalidades diárias. Porém, como prova o caso da municipalidade de Lake City, o importante é não deixar que o vazamento ocorra, protegendo os dados sensíveis através da adoção de uma solução que também permita a rápida volta do sistema ao ar após um incidente como esse.
Tomar todas as precauções para que os criminosos não alcancem seus objetivos é uma obrigação tanto da empresa como do responsável pela segurança da área de TI. Após um ataque bem-sucedido, capaz de sequestrar todos os dados de um sistema e comprometer totalmente a sua operação, é muito tarde para identificar culpados. Quem pagou a conta do ransomware nesse caso? Todos os envolvidos: empresa, responsável pela TI e todos os seus clientes.
Daniela Costa, vice-presidente para a América Latina da Arcserve.
