LGPD, pandemia e ciberataques 

1

O debate sobre a prática de cibersegurança e direito digital, por vezes, se limita em definir as possibilidades da ocorrência de um incidente de segurança. Porém, deve-se ampliar a máxima para o questionamento: será que já ocorreram ataques que ainda não são de conhecimento da companhia?

Com a pandemia da covid-19, grande parte dos profissionais migraram para a modalidade do home office, fazendo com que as empresas ficassem mais vulneráveis à ocorrência de incidentes, visto que os dados não são mais tratados em um ambiente controlado pela organização. Por exemplo, algumas reuniões para tratar de assuntos extremamente sensíveis deixaram a estrutura protegida por firewalls e portas com acesso biométrico e passaram para a sala de casa.

Isso, de fato, trouxe impactos para as companhias, mas é importante dizer que os ataques cibernéticos sempre existiram. Em maio de 2017, 150 países viram mais de 200 mil computadores serem infectados pelo WannaCry. O ransomware, que criptografa todos os dados da máquina invadida e só os decifra após um pagamento de resgate emcriptomoeda, atingiu grandes empresas e instituições pelo mundo, incluindo hospitais públicos no Reino Unido.

Nos casos relacionados ao meio corporativo, os hackers elegem como principais alvos as grandes companhias que possuem potencial de pagamento de resgate.  Por isso, é importante as empresas contarem com uma boa governança de dados, disasterrecovery e backups de informaçõessensíveis, para que na prática a operação pare pelo menor tempo possível para a restauração do ambiente e, talvez, sem a necessidade de pagamento de resgate.

Considerando cenários atualizados, os ataques ransomware vinham se reduzindo no decorrer do tempo, principalmente com a evolução de tecnologias em sistemas, firewalls e antivírus – a maioria já adequada a artefatos e ataques dessa natureza. Porém, com a nova realidade apresentada pela pandemia, novas brechas foram encontradas, permitindo que ataques como esse voltassem com força.

Essa nova onda trouxe uma mudança significativa em relação ao modus operandi do WannaCry, muito além de apenas novas formas de se explorar vulnerabilidades, mas principalmente em relação aos elementos motivadores. Agora, após o ataque, os hackers anunciam a invasão no ambiente da empresa e cobram resgate. Contudo, a ameaça deixou de ser sobre a indisponibilidade dos dados criptografados ou sobre o eventual prejuízo para o negócio decorrente de sua paralização, e sim, sobre o vazamento dos dados extraídos ilegalmente. Ou seja, a ameaça que acompanha o pedido de regaste é a possibilidade de divulgação de dados sigilosos da companhia, incluindo dados pessoais e sensíveis. Esse elemento motivador mostrou-se muito mais efetivo para os hackers, pois eventuais salvaguardas da companhia para reaver dados perdidos não têm serventia nesse contexto.

É nesse novo cenário, com a explosão de ciberataques  em tempos de pandemia, que se reforça a necessidade da constante atualização e monitoramento de processos e sistemas de segurança da informação no meio corporativo. E, mesmo com uma nova blindagem da estrutura das empresas, é provável que outras ameaças surjam no pós-pandemia.

Além do crescimento desses ataques digitais, outra preocupação das empresas tem sido a adaptação à Lei Geral de Proteção aos Dados (LGPD), em vigor desde setembro do ano passado. Algumas se viram, inclusive, em uma situação sem saída: pagar para o hacker ou ser penalizado judicialmente, se os dados forem expostos na internet.

As ações dos cibercrimonosos seguem em alta, enquanto a LGPD entra em nova fase. A partir de agosto, empresas e órgãos públicos estão sujeitos a sanções da Autoridade Nacional de Proteção de Dados (ANPD) por descumprimento da lei, que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais.

A multa pode chegar a 2% do faturamento da pessoa jurídica – limitada a R$ 50 milhões por infração. A empresa corre o risco ainda de ter o funcionamento do banco de dados a que se refere a infração suspenso pelo período de até seis meses – prorrogável por igual período até a regularização.

Apesar de a LGPD estar em vigor há quase um ano, a maioria das empresas ainda não está totalmente preparada para cumprir as regras previstas na lei. A expectativa é que, inicialmente, a ANPD atue apenas orientando sobre a legislação, uma vez que a aplicação das multas ainda depende de regulamentação.

Porém, tal fato não deve servir de desculpa para adiar a adoção de medidas necessárias para a adequação aos requisitos da LGPD. Isto porque a lei trata do maior ativo da sociedade da informação: os dados. E, além de um eventual impacto direto nos negócios, a empresa que tiver qualquer incidente na área, como um vazamento de dados, pode sofrer danos irreparáveis em sua reputação.

É preciso ainda ter consciência que a adequação aos requisitos da lei não ocorrerá da noite para o dia, ao contrário, pode levar anos, dependendo do porte da empresa e da complexidade do negócio. Além disso, a manutenção do programa de privacidade será constante, na medida que a complexidade dos ambientes e os dados coletados e processados tendem a acompanhar as mudanças no ambiente de negócio e a própria evolução da empresa. Assim como a segurança da informação, a gestão adequada dos dados pessoais é um dos pilares da LGPD – o que implica em realizar um bom mapeamento de dados, implementar processos e dedicar-se ao aculturamento de funcionários e colaboradores de forma constante.

Por fim, a adequação aos requisitos da LGPD significa colocar a empresa em compliance – em conformidade – com a lei, como um projeto sem horizonte definido para a conclusão. Isso porque, como qualquer outra obrigação legal, ela está relacionada à como a empresa trabalha, ou seja, a processos de negócio que mudam ao longo do tempo.  O PIX, sistema de pagamento instantâneo, e o Open Banking, que permite o compartilhamento de dados financeiros de clientes entre instituições bancárias, são exemplos claros dessas mudanças, que trazem a necessidade de avaliar dados e processos antes não mapeados pela companhia à luz da LGPD.

Em resumo, as empresas precisam redobrar a atenção: um olho nos hackers e outro na LGPD, com monitoramento e atualizações constantes, abrangendo, além da segurança da informação, a gestão adequada dos dados. Por isso, a prevenção é a melhor forma de se proteger, tanto no que se refere à própria reputação quanto aos direitos fundamentais das pessoas.

Everson Probst, sócio de Serviços Forenses (FIDS) da Grant Thornton Brasil.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.