Sequestro de dados e Ransomwares: Proteção e Resposta Legal
O sequestro de dados, ataque cibernético desempenhado pela modalidade de software malicioso conhecido como ransomware no campo da segurança da informação. Nesse tipo de ataque, os invasores negam à vítima o acesso aos seus próprios dados.
Este artigo explora o funcionamento desse tipo de ataque e destaca como a consultoria jurídica especializada em Direito Digital pode desempenhar um papel fundamental na prevenção e na mitigação de riscos e danos, bem como na orientação estratégica em caso prático de resposta a um incidente.
Como funciona um ataque de sequestro de dados (ransomware)?
Em um ataque de sequestro de dados (ransomware), os atacantes criptografam as informações da vítima, negando o acesso a esses dados. Nesse contexto, os dados não são efetivamente extraídos, permanecendo na mesma localização. Porém, eles ficam inacessíveis ao usuário devido à criptografia empregada.
Existem duas principais classes de ransomware:
1. Cripto Ransomware: Criptografa arquivos e impede o acesso aos dados.
2. Locker Ransomware: Bloqueia o acesso à interface do dispositivo.
A seriedade de um ataque de sequestro de dados pode ser devastadora para uma organização. Considere o cenário em que sistemas vitais para uma empresa como ERPs (Enterprise Resource Planning) e CRMs (Customer Relationship Management) podem ser completamente comprometidos. Nessa situação, o acesso a dados cruciais para a operação é completamente bloqueado, resultando em consequências potencialmente catastróficas.
A recuperação dos dados frequentemente envolve a delicada negociação do pagamento de resgates em criptomoedas, notadamente o Bitcoin, prometendo restaurar o acesso aos dados a partir de uma chave de acesso a ser fornecida. Trata-se de operações de alto risco que geralmente envolvem valores exorbitantes, em circunstâncias que podem ser experiências extremamente angustiantes.
É importante ressaltar que o pagamento do resgate não garante a recuperação completa dos arquivos e dados. Inclusive, com frequência os criminosos cibernéticos continuam a exigir mais dinheiro após o primeiro pagamento, criando um ciclo de extorsão. Nunca deve ser omitido que tais negociações envolvem agentes que operam à margem da lei.
Capitulação da conduta criminosa
Com as recentes mudanças trazidas pela Lei nº 14.155/2021, houve uma considerável elevação da gravidade dos crimes cibernéticos, como a violação de dispositivos informáticos, o furto e o estelionato eletrônico.
Tal Lei trouxe um novo tipo penal, o Artigo 154-A do Código Penal, o qual estabelece pena de reclusão de 1 a 4 anos e multa para quem “invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita”.
Entretanto, é crucial ressaltar que o direito penal, em sua maioria, não permite interpretações amplas. Portanto, em determinados contextos, um ataque de sequestro de dados pode ser classificado como o crime de estelionato, conforme estipulado no artigo 171 do Código Penal.
Há algum tempo, as autoridades, a sociedade civil, o legislativo e a comunidade técnica vêm debatendo a necessidade de criar um tipo penal específico para desencorajar a prática do sequestro de dados, modalidade de ataque cibernético que ainda não possui uma classificação perfeita na legislação penal brasileira.
Nesse contexto, o Projeto de Lei 879/2022 destaca-se como uma iniciativa que visa tipificar o sequestro de “dados pessoais, conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, ou informações sigilosas” como um crime específico. Na data da publicação deste texto, o PL estava em fase de tramitação na Câmara dos Deputados, aguardando a designação e vista do relator.
Caso seja aprovada, a lei estabelece penas de três a seis anos de prisão para invasores de sistemas e dispositivos que tornem os dados dos usuários inacessíveis. A pena aumenta para quatro a oito anos se houver a cobrança de resgate.
Impactos da LGPD diante de uma ameaça do sequestro de dados
A Lei Geral de Proteção de Dados (LGPD), em vigor no Brasil, estabelece diretrizes rigorosas para a segurança de dados de todas as organizações. Curiosamente, os atacantes passaram a utilizar as sanções milionárias da LGPD como uma ameaça adicional.
Entretanto, é imperativo reconhecer que a implementação da LGPD apresenta às empresas uma oportunidade estratégica para otimizar suas práticas de segurança de dados.
Os projetos de conformidade não apenas capacitam as organizações a atenderem às exigências legais, mas também oferecem uma ocasião valiosa para reestruturar suas operações e estar mais preparadas para enfrentar incidentes cibernéticos de violação de dados.
Ressalta-se que a legislação prevê sanções severas para organizações que não adotam medidas preventivas ou não respondem eficazmente a incidentes. Além disso, é altamente recomendável que as empresas designem um Encarregado pelo Tratamento de Dados Pessoais, responsável por avaliar a gravidade de tais incidentes e fornecer orientação apropriada.
Ações preventivas organizacionais
Vulnerabilidades são uma realidade em todas as organizações. Algumas estão cientes dos riscos, enquanto outras não tem plena consciência das potenciais vulnerabilidades. É nesse cenário que profissionais especializados desempenham um papel essencial ao guiar e implementar medidas destinadas a identificar e reduzir esses riscos.
1. Mapeamento de atividades de tratamento de dados
Esse processo envolve uma análise abrangente de cada setor e a identificação do fluxo de informações, permitindo uma compreensão detalhada de como os dados são coletados, processados e armazenados. Trata-se de atividade fundamental na identificação de riscos.
2. Treinamento e conscientização
Comumente é mencionado que as pessoas são o elo mais fraco no momento de um ataque cibernético.
No entanto, é importante considerar que colaboradores treinados e preparados será o maior trunfo de uma organização em uma situação de ameaça. Um colaborador bem-informado e vigilante é um recurso inestimável. Eduque seus colaboradores sobre a LGPD, privacidade e proteção de dados.
3. Testes e simulações
A realização de testes regulares com os colaboradores é um procedimento essencial para avaliar a capacidade da equipe em identificar, comunicar entre com outras equipes e responder eficazmente a possíveis ameaças.
4. Política de Resposta a Incidentes de Segurança de Dados
A implementação de uma política formal para gerir incidentes de segurança é vital. Essa política deve ser clara, de fácil entendimento e prontamente acionável em momentos de crise.
5. Backup
Um dos aspectos cruciais na proteção contra o sequestro de dados é a realização de backups regulares. Manter cópias atualizadas dos dados em locais seguros pode ser a diferença entre uma recuperação tranquila e um pagamento de resgate exorbitante.
Assessoria jurídica: projeto de conformidade com a LGPD e DPO as a service
Um escritório de advocacia especializado pode auxiliar sua empresa na criação e implementação de um projeto de conformidade com a LGPD. Esse projeto envolve a análise detalhada das práticas de coleta, armazenamento e tratamento de dados pessoais, identificando áreas de risco e garantindo que sua empresa esteja em conformidade com a legislação.
Além disso, treinamentos internos para conscientização dos colaboradores, ajudam a fortalecer o elo mais fraco (que pode ser o mais forte se bem-preparado) quando se fala de segurança de dados e incidentes de segurança: o usuário.
O que fazer em caso de um acidente de segurança?
Consultoria legal especializada na tomada de decisões estratégicas
No calor do momento de um incidente, é crucial contar com o auxílio de uma consultoria jurídica especializada para a preservação de provas e evidências. É essencial que esse procedimento seja realizado em conformidade com a Lei Anticrime (Lei 13.964/2019) e os artigos 158-A ao 158-F do Código de Processo Penal, que tratam da cadeia de custódia. Além disso, é importante seguir as recomendações forenses em conformidade com a ISO 27037:2013.
Quando ocorre um incidente de segurança de dados, como um ataque de ransomware, o relacionamento técnico com a Autoridade Nacional de Proteção de Dados (ANPD) pode ser um trunfo. Nesse sentido, é preciso entender que um incidente precisa ser comunicado se atender, cumulativamente, aos seguintes critérios:
1. Envolva dados pessoais sujeitos à LGPD;
2. Acarrete risco ou dano relevante aos titulares dos dados pessoais.
É fundamental ressaltar que, mesmo na ausência de uma confirmação definitiva do incidente, é prudente considerar a possibilidade de uma comunicação preventiva à ANPD.
Um escritório de advocacia experiente pode orientar sua empresa sobre como e quando comunicar o incidente à ANPD. Isso é vital para evitar multas significativas que podem chegar a 50 milhões de reais, conforme previsto na LGPD.
Como uma consultoria jurídica especializada pode ajudar?
1. A condução de investigações internas;
2. A avaliação das obrigações legais pertinentes;
3. A tomada de subsídios para decisões estratégicas baseadas em critérios técnicos;
4. Uma comunicação eficaz com outras autoridades legais, stakeholders e titulares de dados;
5. A gestão de litígios.
Ter um parceiro jurídico sólido nesse processo é uma vantagem estratégica.
O cenário de cibersegurança e proteção de dados é complexo e dinâmico, e a orientação jurídica especializada é fundamental para manter sua empresa segura e em conformidade.
Uma consultoria jurídica especializada fornecerá orientações, ajudará na implementação das regulamentações e na elaboração de políticas internas em conformidade com a legislação. O escritório Camargo & Vieira conta com a solução de Adequação Total à LGPD com profissionais capacitados e atualizados, prontos para auxiliar na adaptação às novas regras, implementação de políticas e prevenção de infrações legais.
