Segundo dados da Trend Micro, só em outubro de 2020, o Brasil foi alvo de 36,8 milhões de detecções do tipo ransomware. Nesse tipo de ataque, o hacker sequestra dados ou ativos informacionais de uma empresa e pede o “resgate” dessas informações. É como um sequestro-relâmpago, com a diferença que o sequestrado não é mais uma pessoa, mas uma empresa.
Um dos casos emblemáticos acontecidos em 2020 foi o ataque à Embraer, em que a empresa sofreu um incidente e informou em nota oficial que “não iniciou qualquer processo de negociação, bem como não realizou quaisquer pagamentos a terceiros supostamente envolvidos em tal incidente”.
Marcos Tupinambá, especialista em segurança digital, diz que uma empresa nunca deve pagar o resgate dos dados, a despeito do desgaste da reputação da empresa. “Quem garante que o criminoso realmente vai devolver os dados? Teríamos que confiar no cavalheirismo dele”, brinca o especialista.
Para Tupinambá, há outro aspecto ainda mais desafiador: “Se alguém conseguiu criptografar esses dados é porque tinha acesso aos sistemas da empresa”. Ou seja, além do roubo dos dados, a companhia terá que lidar com a invasão de seus sistemas de segurança.
LGPD
Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), as empresas serão obrigadas a reportar ataques contra seus sistemas. Assim, deveremos ver uma explosão de casos do gênero no Brasil. A advogada Patrícia Peck, especializada em Direito Digital e uma expert na área técnica, diz que os impactos das perdas vão desde a interrupção dos negócios, danos na reputação corporativa e violação de informações dos clientes.
“À medida que as organizações se tornam cada vez mais dependentes de tecnologia, o problema passa a ser a vulnerabilidade na própria infraestrutura digital. As ameaças cibernéticas estão em permanente evolução em complexidade e intensidade e podem resultar em interrupção comercial significativa ou danos à propriedade”, destaca Patrícia.
Ela ainda chama atenção para a agilidade de ação em caso de vazamento de dados pessoais, justamente pela questão reputacional da empresa e seu dever de garantir proteção das informações dos titulares, sejam eles consumidores, funcionários ou ainda terceiros (visitantes, fornecedores, acionistas).
“Neste caso específico, é preciso investigar profundamente a origem do vazamento, pois é comum que em incidentes desta magnitude haja mais de um responsável envolvido. Isso demonstra ainda mais a necessidade de se pensar o negócio de forma preventiva, ética e transparente quando o assunto é segurança digital”, completa.
