2/12/2020
A grande adesão ao trabalho remoto ocasionada pela pandemia da COVID-19 alterou consideravelmente as relações humanas e os meios de trabalho. Nesse contexto, o intenso uso de plataformas digitais a partir dos dispositivos pessoais, inclusive na área profissional, tem se tornado a regra. Como resultado, nota-se o aumento de ataques cibernéticos explorando vulnerabilidades no uso desses dispositivos, como os computadores, smartphones e tablets.
Observa-se que, além das plataformas corporativas, empresas também devem se preocupar com o uso das redes sociais por seus funcionários e prestadores de serviços para a execução de suas atribuições profissionais e tarefas diárias.
Vale destacar que os ataques podem ocorrer de formas variadas. Uma dessas formas acontece quando o “hacker” se aproveita de uma falha ou vulnerabilidade do próprio aplicativo ou plataforma para enviar um falso contato para a o usuário ou mesmo uma mensagem contendo programas maliciosos que se instalam no dispositivo pessoal. Outro tipo de ataque muito frequente é a chamada “engenharia social”, isto é, por meio de persuasão, alguém obtém o acesso indevido a dados ou informações sigilosos. A partir de uma conta já “hackeada” ou por meio de mensagens de SMS, o autor do ataque tem acesso a todos contatos da pessoa “hackeada”.
Outra forma de ataque que vem crescendo neste período é o chamado “phishing”. A tática consiste na dispersão de e-mails ou designs que exigem que o usuário clique em um link ou confirme um cadastro. Com isso, os “hackers” conseguem roubar dados que dão acesso à números de cartões de crédito, tokens pessoais, contas bancárias com suas respectivas senhas e outros dados pessoais e sensíveis. Além disso, observa-se um aumento considerável de sequestros de sistemas e dados (chamados “ransomware”).
Dessas falhas e ataques, podem resultar os incidentes de segurança previstos na LGPD como o acesso não autorizado a dados pessoais – como acontece em ataques phishing -, a destruição e perda de dados pessoais – como acontece em ataques de ransomware – e a alteração e a comunicação ilegal de dados pessoais que pode decorrer de ambos os ataques.
Apesar de as sanções administrativas previstas na LGPD – que incluem multas que podem chegar a R$ 50.000.000,00 – não serem aplicáveis até 1º de agosto de 2021, estes incidentes podem resultar em multas por autoridades de defesa do consumidor e em processos judiciais de grande repercussão. São multas que têm como objeto os danos sofridos pelos titulares de dados.
Recentemente, o país experimentou a paralisação das atividades do Superior Tribunal de Justiça (“STJ”) decorrente de um ataque de ransomware durante as sessões de julgamento dos colegiados das seis turmas, que afetou não só os sistemas, mas também os backups de dados do Tribunal. Com isso, os sistemas de informática do STJ ficaram indisponíveis por uma semana e os prazos processuais, somente puderam ser retomados após este período. Também como noticiado até o fechamento dessa edição, o Tribunal Regional Federal da Primeira Região (TRF-1) sofreu ataque de invasores, que teriam acessado arquivos em mais de 40 bases de dados internas. Como consequência, o site do Tribunal ficou indisponível para adoção de medidas preventivas, além de restrições em serviços do órgão.
No meio corporativo, essa preocupação igualmente se verifica. Tanto é verdade que, a fim de prevenir e mitigar a incidência desses ataques, empresas têm investido em campanhas de conscientização e treinamentos para colaboradores. Nelas são abordadas as principais ameaças e as formas de evita-las, além de como agir em caso de ser vítima de um ataque.
Acima de tudo, os esforços mencionados precisam ser apoiados em políticas internas que considerem a estrutura e a cultura da empresa para garantir maior efetividade das medidas de segurança em torno de dados e programas de prevenção e respostas em casos de incidentes e ataques cibernéticos.
Coautoria de: Esther Jerussalmy Cunha, Fabricio Bertini Polido e Ricardo Luis Fernandes da Silva
