Por Tatiana Silva Coelho
Pesquisas da Apura Cyber Intelligence, que é empresa brasileira desenvolvedora de produtos e provedora de serviços especializados em segurança da informação e defesa cibernética, indicam que o Brasil está no sétimo lugar entre os dez países que mais sofreram ataques de ransomware no primeiro semestre de 2021.
Outras notícias trazidas pela Tecmundo registram que ransomware é o ataque mais comum entre empresas brasileiras. O malware consiste no roubo e criptografia de arquivos de grandes empresas, através do qual os cibercriminosos sujeitam essas empresas a pagamentos milionários como forma de resgate.
Basicamente, os invasores encontram brechas em sistemas e, mediante ato incontestavelmente criminoso, através de phishing em muitos casos, colhem credenciais de funcionário e, com esse acesso às redes corporativas, conseguem enviar os tais ransomwares, que travam máquinas e tornam parte da atividade da organização inoperante. Ou até mesmo completamente inoperante, se a atividade for 100% baseada em tratamento de dados pessoais.
Foi o que aconteceu com a JBS em maio deste ano. A empresa de alimentos que tem sede no Brasil foi vítima de ataque cibernético no exterior, atualmente aos cuidados do FBI, e teve as suas atividades na Austrália e nos Estados Unidos paralisadas.
Voltando para o Brasil, mas agora na esfera pública, tivemos a confirmação de caso de ransomware nos servidores do Tesouro Nacional, órgão do Ministério da Economia, assim como no Tribunal de Justiça do Rio Grande do Sul.
Existem grupos de ataques amplamente conhecidos pela prática de crimes virtuais. Contudo, mesmo com o trabalho diligente de autoridades e empenho no combate e punição por meio do Judiciário, fato é que o impacto orçamentário se mantém, frente aos milhões (em dólares, inclusive) que podem ser exigidos.
Para além disso, e talvez até considerado impacto mais danoso, é a reputação, é a minimização concorrencial, quando comprovado que a companhia não despendeu todos os esforços possíveis e razoáveis para inibir o dano.
A Lei Geral de Proteção de Dados determina que, em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos dados pessoais, deve ser feita a comunicação à autoridade nacional e ao titular. É aí que ocorre a avaliação e comprovação das medidas tomadas pelas empresas, padrões de boas práticas, sendo requisito para aplicação ou não aplicação de sanção pela Lei.
O pedido de resgate pelo cibercriminoso vai de encontro ao impacto monetário, mas quando se fala em reputação, não se trata somente da brecha deixada em sistema, mas do próprio vazamento de arquivos (que podem ser confidenciais), eventuais documentos de estratégia, contratos e o próprio banco de dados pessoais. Ainda, trata-se da ampla divulgação determinada pela autoridade nacional para salvaguardar o direito dos titulares dos dados pessoais.
Incidentes de segurança tornam-se cada vez mais parte da realidade, tendo em vista o avanço tecnológico tão vivo nessas gerações. E sendo este um problema longe de acabar, é sempre válido o alerta sobre a importância de boas práticas de segurança para empresas no que tange a proteção de dados.