Ataque cibernético

Calma. Não estou praguejando.

O caso da rede farmacêutica Nazária, vítima de um sofisticado ataque hacker na modalidade ransomware, causando prejuízo de mais de R$ 400 milhões, conforme noticiado pelo portal Lupa 1, cujo teor ganhou repercussão nos últimos dias, nos oportuniza a reflexão.

Ataques dessa magnitude não são raros como, infelizmente, o são a exata compreensão e cumprimento das obrigações legais e boas práticas de cibersegurança pelas empresas. Afinal, há uma lista de prioridades que se sobrepõem à área de tecnologia no planejamento orçamentário da organização, até que o empresário perceba que todas as demais prioridades contavam que os sistemas e informações armazenadas estivessem disponíveis.

A empresa deve se preparar para agir para QUANDO o INCIDENTE OCORRER e NÃO PARA CASO ELE OCORRA. É um mantra que acompanha profissionais sérios em segurança da informação e proteção de dados pessoais, seja ele fornecedor de soluções informáticas, serviços jurídicos ou governança.

Não por acaso, a Lei Geral de Proteção de Dados Pessoais (LGPD) e normas internacionais análogas não impõem sanções a partir de critérios objetivos e simplistas, na base do “vazou, pagou”. As leis de privacidade estabelecem diretrizes para o tratamento legítimo dos dados, que incluem a obrigação de os agentes de tratamento (empresa que trata os dados pessoais do cliente ou funcionário, por exemplo) adotarem medidas técnicas e administrativas para assegurar a legitimidade do tratamento durante todo o ciclo de vida dos dados. Isso inclui estabelecer procedimentos robustos para impedir que um terceiro acesse dados aos quais não tenha direito de acesso, seja ele um hacker ou funcionário interno.

De contratação de fornecedores que acessam dados eventualmente e em menor volume (transportadora que visualiza os dados dos clientes nas notas, p.ex.), a um sistema ERP que tratará todos os dados de clientes e funcionários, não basta incluir cláusulas de proteção no contrato ou obrigar o fornecedor a assinar um Acordo de Proteção de Dados Pessoais.

Essas práticas criam obrigações entre as empresas, porém, pouco ajudarão em um incidente se a empresa não demonstrar que realiza uma avaliação criteriosa da maturidade do fornecedor. Essas práticas também servirão para contratação de softwares de segurança, ainda que não tratem dados pessoais, ao reduzir riscos de contratar fornecedor incompetente.

Bom, se a empresa precisa assegurar que os dados não sejam acessados indevidamente, é óbvio que é preciso investir em sistemas de segurança e governança. Esses agirão para reduzir a probabilidade e o impacto de determinada ameaça, a qual, concretizando-se, deve ser administrada de modo a controlar os danos aos titulares e à própria organização. A documentação e comprovação das boas práticas servirão como atenuantes das sanções (Resolução nº 15 da ANPD) e dos valores das indenizações judiciais que vierem a ser movidas pelos titulares de dados afetados. Não bastará, portanto, a empresa bradar ter sido vítima de criminosos. Deverá demonstrar as medidas implementadas e que essas estão devidamente inseridas e praticadas nos processos internos.

A não comunicação de forma transparente do ocorrido, especialmente aos titulares de dados, como determina a LGPD, poderá, por exemplo, ser forte indício da ausência de Planos de Resposta a Incidente e certamente contribuirá para a majoração da sanção, pouco importando o grau de sofisticação do ataque.

Afinal, o que se espera minimamente é que o agente demonstre ao titular de dados ser digno de sua confiança para que eles, mesmo quando o inevitável ocorra, tenham a oportunidade de protegerem-se de golpes e outros usos indevidos de seus dados ou, caso terceiros não tenham acessado os dados (maioria dos casos de ransomware), o titular tenha informações claras sobre impactos no exercício dos seus direitos pela indisponibilidade de sua informação.