Dentre os países da América Latina, o Brasil é a nação com maior porcentagem de ataques cibernéticos, em que softwares agem como espécie de sequestradores de dados. Quando pensamos globalmente, o país ocupa a segunda posição. Essas informações, trazidas à tona pela empresa de segurança cibernética Kaspersky, são provenientes de um estudo divulgado em outubro de 2020.
A ação criminosa de retenção de informações foi batizada de “ransomware”, junção dos termos “ransom”, ou “resgate” em português, e “malware”, programa utilizado para infectar computadores. Os transgressores costumam adentrar os sistemas dos empreendimentos, tomar os elementos ali contidos e reivindicar resgate em troca das informações surrupiadas.
A Kaspersky enuncia, ainda, que a Terra dos Papagaios contempla cerca de 47% dos ciberataques, seguido pelo México, com pouco mais de 22% do catalogado. O trabalho da empresa de cibersegurança reverbera, para mais, que aqui, são registrados mais de 1 milhão e 300 mil ataques por ano, ocasionando, em média, prejuízo de 700 mil dólares por cada hackeamento. A maioria das investidas são direcionadas a empresas, contudo, órgãos governamentais também estão no cerne dos infratores.
Prova disso é o ataque hacker sofrido pelas Lojas Renner no último dia 19 de agosto, semana passada, que sequestrou os dados do sistema de e-commerce. Mas não só. O Grupo Fleury, negócio de medicina e saúde, teve parte da sua rede de laboratórios acometida pelos golpistas digitais, em junho. Ainda no mês de junho, a empresa JBS pagou o importe de 11 milhões de dólares em bitcoins, a fim de recuperar seus dados roubados. O sítio eletrônico do Tesouro Nacional não passou ileso às investidas dos ladrões virtuais. O ataque foi descoberto em 13 de agosto e envolveu, inclusive, a assistência da Polícia Federal.
O rol de corporações ou instituições que detiveram seus dados atingidos por delinquentes é extenso, de maneira que se insere, ainda, o empreendimento do setor de saúde Hapvida, a Copel (Companhia Paranaense de Energia) e a Eletronuclear, subsidiária da Eletrobrás e responsável pela administração das usinas nucleares do complexo de Angra dos Reis, além do próprio Superior Tribunal de Justiça (“STJ”).
Não é preciso ter o QI do Einstein ou de Leonardo da Vinci para perceber que a proteção de informações, principalmente as confidenciais, não são foco das políticas públicas e nem das empresas ou escritórios em atuação no cenário nacional, fato que reclama uma mudança urgente de comportamento, ante à vulnerabilidade em que o Brasil se coloca frente ao mundo.
A título de curiosidade, você sabia que o pintor Da Vinci, além de ás das artes (indivíduo que sobressai entre uma coletividade pelo que faz ou sabe) e admirado pela obra Mona Lisa, era o que se denomina “polímata”? Isto é, pessoa com múltiplos interesses e habilidades, dentre as quais destacam-se, no caso do artista, a pintura, escultura, arquitetura, matemática, anatomia, engenharia, física, geologia e astronomia. Conhecido por muitos como um dos maiores gênios da história da humanidade.
O prejuízo advindo do sequestro de dados é certeiro, seja em razão do pagamento do valor do resgate (para aqueles que se optarem), seja através da perda de dias e dias de trabalho em prol da recuperação dos elementos (quando for possível), ou, ainda, diante da necessidade de aperfeiçoar o sistema de segurança contra novos ataques.
O contratempo é complexo e tem se tornado parte do cotidiano, também, para os escritórios de advocacia. O modus operandi é o mesmo: os criminosos adentram o sistema de computadores, furtam os dados e cobram resgate para recuperação.
A moeda de troca pelas informações, muito comumente, é a moeda digital bitcoin, pois os transgressores buscam dificultar o rastreamento do montante, façanha cabível com a criptomoeda, como bem detalhado em nosso último artigo da Coluna (recomendo a leitura). Os famosos escritórios estadunidenses The Brown Firm; e Ziprick and Cramer LLP, por exemplo, já se tornaram alvos dos delinquentes virtuais.
Pensando em atitudes mais preventivas do que reativas – o que não costuma ocorrer quando se trata de indivíduo brasileiro, que espera o problema surgir para depois solucioná-lo – despontou a Lei Geral de Proteção de Dados Pessoais (LGPD), cujas sanções passaram a vigorar neste mês de agosto de 2021, com punições que envolvem desde advertências e multas, à bloqueio de dados.
A Lei 13.709/18 não é tão nova em folha assim, foi aprovada no ano de 2018, entretanto, apenas em setembro de 2020 entrou, efetivamente, em vigor. Muito embora o regramento tente garantir que as corporações concebam medidas de governanças voltadas à proteção de dados, até a presente data, não se enxerga mudanças significativas no sistema de segurança das companhias ou dos escritórios de advocacia neste aspecto.
A legislação enuncia que as informações colhidas devem ser devidamente tratadas, armazenadas e protegidas pelas empresas detentoras das informações, de maneira que o descuido com a mencionada proteção, que possa ocasionar um vazamento, tem o condão de gerar penalidades. Dentre os dados protegidos pela legislação, estão, por exemplo, nome completo, gênero, data de nascimento, CPF, RG, IP do usuário na rede mundial de computadores, dentre outros.
A Autoridade Nacional de Proteção de Dados (“ANPD”) será o órgão responsável pela fiscalização dos protocolos de segurança e privacidade que devem ser estabelecidos pelas empresas. No entanto, as demais entidades competentes, como o Conselho Administrativo de Defesa Econômica (“CADE”), o Código de Defesa do Consumidor (“CDC”) e o Ministério Público, se for o caso, são capazes de atuar em cooperação com a Autoridade Nacional.
Com as penalizações sendo aplicadas desde 1º de agosto de 2021, os empreendimentos nacionais, que, como de praxe ausentaram-se de aplicar as normas, colocando em prática aquele “jeitinho brasileiro” de deixar tudo para a última hora, vão ser obrigados a se adequarem à regulamentação. É agora ou nunca!
Para se ter uma ideia, a empresa de soluções de segurança BluePex divulgou no último mês de julho, que 12% das empresas ainda não promoveram qualquer ação para adequar-se ao regramento; 55% ainda estão pesquisando esclarecimentos sobre a LGPD; e 27% enunciaram que se encontram parcialmente preparadas. Do total, somente 4% dos empreendimentos estão completamente preparados.
Dentre as muitas penalidades que as firmas têm potencial de suportar, derivadas do sequestro de dados pelos ransomwares, com multas que podem atingir o valor de 50 milhões de reais ou 2% do faturamento anual dessas firmas ou órgãos, talvez a pior seja a degradação da imagem do empreendimento perante o mercado. Não é difícil mensurar que esses prejuízos podem ser superiores à punição da ANPD ou à interrupção das atividades por alguns dias.
Constata-se, portanto, que a adaptação das corporações no que tange à proteção e privacidade de informações merece ser considerada a partir de um prisma geral, não refletido apenas sob o plano processual ou jurídico. Deste modo, é cristalino que a efetivação da harmonização das companhias advém de treinamento e estudo sobre o que, realmente, concebe a Lei Geral de Proteção de Dados, além de instruções para monitoramento e suspensão dos ataques.
É nítido que a criminalidade avança conforme o mundo muda, de maneira que os delinquentes, a partir de agora, de acordo com o compreendido pelos estudiosos da Apura Cybersecurity Intelligence, refinarão ainda mais os ataques às operações de organizações privadas e públicas, utilizando as penalidades a serem empregadas pelos órgãos competentes como fundamentação para a extorsão do resgate pelo banco de dados surrupiado.
Sendo assim, deste instante em diante, o empenho e investimento em cibersegurança passa a ser fundamental e, me arrisco dizer, vital, em todos as companhias (desde aquela pequenininha até a empresa de grande porte). Isto porque, ao passo que os infratores modernizam seus golpes, a LGPD também se mantém de olho em toda e qualquer omissão das organizações aptas a gerarem prejuízos atinentes à divulgação ilícita de informações pessoais. Como um dia disse Tim Cook, CEO da Apple, “proteger os dados de outra pessoa é proteger a todos nós”.
Para mais informações sobre como as empresas e órgãos públicos podem evitar o sequestro de dados e demais golpes virtuais, bem como se adequar as diretrizes da Lei Geral de Proteção de Dados, acesse o Blog do Colunista no site www.cavalcantereis.adv.br e deixe suas dúvidas nos comentários ou através do email iuri@cavalcantereis.adv.br. Artigo escrito em coautoria com a advogada Thaynná de Oliveira Passos Correia, da equipe do Cavalcante Reis Advogados (Instagram: @cavalcantereisadvs).