Home > Notícias

Terrorismo: das bombas para o phishing

Esforço contra cibercriminosos precisa ser conjunto. Treinamento e conscientização são primeira barreira contra ameaças

Francisco Camargo*

30/07/2021 às 10h16

cibercrime_552746107.jpg
Foto: Adobe Stock

“There are
only two types of companies — those that know

they’ve
been compromised, and those that don’t know.”

Dmitri Alperovitch

Uma verdadeira guerra está ocorrendo no espaço cibernético.
Ataques, invasões, furto de dados, sequestro digital vitimam empresas,
governos e organizações por todo o mundo. Nesse cenário, uma coisa é certa,
existem só dois tipos de empresas quanto a ciberataques: as que sabem
que foram atacadas e as que ainda não perceberam. Muito menos perigoso para
criminosos, o crime digital compensa cada vez mais.

Os atacantes podem coordenar o ataque de outros países, ficando
fora da jurisdição e das leis locais, onde o ataque está sendo realizado. Se
pegos, por exemplo no Brasil, vão encontrar uma legislação defasada e leniente,
cujas penas, em geral são leves.

O esforço contra os criminosos digitais precisa ser conjunto,
organizações, governo e população. O treinamento e a conscientização da
população são a primeira barreira contra os cibercriminosos.

A maioria dos ataques se baseia em engenharia social e segue o
mesmo protocolo: spam para divulgar um phishing, uma ameaça e urgência para que
seus links sejam clicados, um malware toma conta do endpoint e, por meio dele,
é franqueado o acesso à rede da empresa. Aí, o criminoso pode escolher o que
vai fazer, se um ransomware (sequestro de dados) ou coleta de dados e posterior
chantagem para a não divulgação das informações roubadas.

A tecnologia de segurança da informação tem evoluído muito com a
inteligência artificial e seu aprendizado de máquina, vigiando o comportamento
dos endpoints, da rede, com bloqueio e remediação.

Além dos prejuízos financeiros e à reputação das empresas, a
partir de 1º de agosto, as multas e sanções da LGPD - Lei Geral de Proteção de
Dados – começam a ser aplicadas pela ANPD – Autoridade Nacional de Proteção de
Dados. E as empresas, vítimas desses atacantes cibernéticos, também poderão ser
pesadamente penalizadas por esses vazamentos.

Ninguém está questionando o princípio básico da privacidade, que o
indivíduo é o proprietário dos seus dados, que é a base sobre a qual foi
concebida a LGPD.

Nunca foi tão necessário proteger as informações das pessoas. No
entanto, a lei não diferencia dolo (com intenção) de culpa (sem intenção) e
todo ato de vazamento é punido da mesma forma, o que é uma injustiça na maioria
das vezes.

Um ponto importante, de grave insegurança jurídica, é que não só a
ANPD pode punir, mas os institutos de defesa do consumidor, os Procons
municipais, estaduais, as prefeituras, o Ministério Público estadual também
pode aplicar sanções e multas, nacionalmente, a empresas, basta que
tenham um único cliente, cujos dados foram vazados, naquele município.

Um aspecto que precisa ser observado é quanto à responsabilidade
solidária dos fabricantes de software, principalmente nacionais, cujo cliente
tenha sido invadido, com os criminosos usando alguma vulnerabilidade do
software.

Imaginemos um caso hipotético, mas que certamente vai acontecer,
um ataque rouba dados da base de clientes de um grande e-commerce, a partir de
uma vulnerabilidade encontrada no ERP – software de gestão – de uma
desenvolvedora, e que foi implantado por uma consultoria.  

O varejista é multado pela ANPD em 50 milhões de reais e tenta se
ressarcir na justiça processando o fabricante do software e a consultoria que o
implantou.

Sem limite para a responsabilidade solidária, o desenvolvimento de
software no Brasil ficou um negócio de alto risco.

Há que se observar, no entanto, como diz a Lei, apenas a ANPD é a
responsável por analisar e aplicar as sanções, o que não tem acontecido. Cabe
lembrar que normatizar o tema da privacidade e da proteção de dados no Brasil é
uma prerrogativa da União, já ratificada pelo STF.

A falta de segurança jurídica pode acarretar a fuga de
investimentos e o fim precoce do ecossistema brasileiro de inovação
tecnológica.

* Francisco Camargo é fundador do grupo CLM e presidente do conselho
da Associação Brasileira de Empresas de Software (ABES)