Ao lado de temas como emergência climática e efeitos da pandemia, os riscos que os cada vez mais ousados e frequentes ataques cibernéticos representam para as empresas estão na lista das ameaças mais relevantes para os negócios, segundo levantamento do Fórum Econômico Global. Os riscos relacionados a segurança de dados e sistemas são importantes tanto do ponto de vista da probabilidade de ocorrência quanto da magnitude do impacto sobre as operações. A maior digitalização das empresas, processo acelerado com as restrições da pandemia e o home office forçado, ampliou a dependência da tecnologia — e, sem os cuidados adequados, os criminosos puderam se valer das vulnerabilidades para empreender ataques mais abrangentes — inclusive em órgãos públicos, como o Ministério da Saúde, que, na última sexta-feira, dia 10, teve seu site hackeado. Diversos fatores — alguns deles bastante simples — explicam esse cenário e evidenciam que apenas investimentos robustos em cibersegurança não são suficientes para uma efetiva proteção de dados. 

A prevenção, afirmam especialistas, exige a implementação de um programa interno consistente, que inclua não só ferramentas tecnológicas, mas também treinamento constante dos colaboradores e conscientização das equipes quanto à importância do engajamento na proteção. Os investimentos e esforços valem a pena, à medida que os ataques cibernéticos podem gerar problemas para as empresas quanto a pontos estabelecidos pela Lei Geral de Proteção de Dados (LGPD), prejuízos de imagem e até responsabilização de administradores por eventual negligência no tratamento da questão. 

Facilidades para criminosos 

Os criminosos cibernéticos, assim como os do mundo real, gostam de facilidade, e encontraram, desde o início da pandemia, um novo tipo de vítima: empresas que pertencem a setores em que a preocupação com segurança cibernética nunca foi prioritária e nos quais a dependência da tecnologia aumentou nos últimos dois anos. De acordo com pesquisa da consultoria Kroll, entre 2019 e 2021 os ataques aumentaram 1.300% na indústria de alimentação, 800% na construção e 600% na agricultura. Assim, os invasores puderam investir menos contra setores nos quais tradicionalmente a proteção é mais robusta, como finanças e telecomunicações. Na média das indústrias, os ataques avançaram 133% no período da pesquisa. 

Outro trabalho, da consultoria Roland Berger, mostrou que, no Brasil, o volume de ataques no primeiro semestre de 2021 superou o do ano passado inteiro: foram 9,1 milhões de ocorrências apenas de ransomware, o que coloca o País como quinta maior vítima desse tipo de ação, na qual os criminosos pedem resgate para devolver os dados em geral em bitcoins. E o ransomware tem outras modalidades, ainda mais maléficas para as empresas. Em uma delas, o invasor não só bloqueia os sistemas, como também acessa e copia os dados, ameaçando vazar as informações. “Essa é a dupla extorsão, mas também existe a tripla, em que os criminosos fazem contato com os clientes. Os invasores evoluem para acompanhar a preparação das empresas”, ressalta Felipe Palhares, sócio de proteção de dados do BMA Advogados. 

Controle limitado 

A despeito de um olhar mais atento e de alguns bolsos mais disponíveis para a prevenção, os ataques continuam, e há algumas razões para explicar essa situação, como opina Walmir Freitas, associate managing director e líder da prática de cyber da Kroll. Em primeiro lugar, ele diz que as empresas precisam entender que não é possível controlar todas as variáveis. “Há muito que não pode ser controlado, e é importante saber que outras ondas virão. Mas é necessário reforçar o que é possível controlar”, observa. 

Desse ponto deriva outro, relativo à maturidade da operação em termos de segurança cibernética. “A maturidade leva tempo, principalmente porque não se trata apenas de ter os melhores hardwares e softwares, mas também de contar com bons processos e pessoas treinadas e conscientes”, acrescenta. Muito pouco adianta, por exemplo, uma empresa ter sistemas dos mais avançados se não conseguir conscientizar os colaboradores de que também fazem parte da linha de defesa — e, como tal, não podem ficar abrindo links de origem desconhecida ou acessando sites duvidosos nos equipamentos ou na rede da empresa. Um e-mail malicioso pode ser a porta de entrada perfeita para um criminoso à espreita. A questão foi reforçada pela repentina adoção do home office imposta pela pandemia. É provável que muitas empresas não tenham conseguido garantir a segurança dos equipamentos e sistemas disponíveis para os colaboradores em suas próprias casas — à parte o fato de que, em escritórios domésticos, é maior a chance de as pessoas se distraírem e caírem em armadilhas na internet.  

É igualmente relevante, destaca Freitas, proteger os chamados perímetros da operação, como os fornecedores com os quais se compartilham dados e os prestadores de serviço, e pensar em backups em meios físicos, não apenas em nuvem. “Vale lembrar que tão importante quanto a prevenção é a preparação para uma gestão da crise se um ataque se concretizar. Nesse sentido, as simulações de resposta devem estar sempre em dia”, recomenda. 

Implicações legais 

Somam-se aos efeitos mais evidentes dos ataques as implicações legais para as empresas, em especial pela violação de pontos da LGPD. Para contornar problemas mais graves, frisa Palhares, são recomendáveis ações como contratação prévia de assessores externos nas áreas jurídica, de comunicação e de investigação (afinal, na urgência da resposta a um ataque fica complicado pesquisar no mercado os prestadores desses serviços). 

Um ataque cibernético é considerado, nos termos da LGPD, um incidente de segurança, que por isso deve ser comunicado à Agência Nacional de Proteção de Dados (ANPD) e aos titulares dos dados. A lei não estabelece prazo (fala apenas em “prazo razoável”), mas a ANPD, em seu site, recomenda que essa comunicação seja feita em até dois dias úteis a partir do conhecimento do incidente. Se uma empresa não realizar esse procedimento e a notícia do ataque sair na imprensa, certamente vai receber um ofício da agência com um questionamento. 

Segundo Palhares, as empresas precisam, ainda, notificar parceiros comerciais e se preparar para processos administrativos ou judiciais. “O próprio aviso à ANPD já cria um processo administrativo preparatório, que pode virar sancionador. E vale lembrar que titulares de dados vazados também podem entrar com processo judicial contra a empresa que teve seus sistemas invadidos”, detalha o advogado, que também recomenda interlocução com órgãos de defesa do consumidor, como o Procon, o Senacon e o Ministério Público, que têm sido muito atuantes.  

Responsabilidade dos administradores 

Mais uma face desse problema envolve os administradores das empresas, que podem ser responsabilizados pelas consequências de um ataque no caso de não terem sido diligentes no tratamento da questão. O porto seguro para os administradores está no dever de diligência, que passa por ações preventivas. Se um administrador tiver tomado medidas bem pensadas — não necessariamente bem-sucedidas — está protegido. “Esse é o conceito da business judgement rule, segundo a qual um administrador deve tomar decisão informada, refletida (com análise de cenários possíveis) e desinteressada. Não tem obrigação de fim, mas de meio — se errar não vai ser responsabilizado se foi diligente”, explica Luís Flaks, sócio da área de Direito societário do BMA Advogados.  

No caso de companhia aberta, há ainda o ponto do dever de lealdade — os administradores e conselheiros não podem negociar ações da companhia de posse de informações relevantes que ainda não estão disponíveis para os demais acionistas. Ocorre que, sem saber da ocorrência de um ataque, pode acontecer de os administradores e conselheiros negociarem os valores mobiliários após o episódio — afinal, há um intervalo entre a invasão, sua identificação e a comunicação para o alto escalão da empresa, um dos motivos pelos quais os especialistas sugerem que as companhias sejam o mais célere possível nesses trâmites.  

Por isso, para se evitar problemas, uma medida eficaz é a divulgação, pela área de relações com investidores, de um aviso de blackout period. Com esse alerta, administradores e conselheiros podem saber que estão impedidos de negociar com ações da companhia. “Se o ataque tiver grandes repercussões para a empresa, deve-se soltar um fato relevante ao mercado, já que se trata de um episódio que pode afetar decisões de investimento, preços de valores mobiliários e exercício de direitos. Se o RI divulga um aviso de blackout period, um administrador ou conselheiro que eventualmente tiver negociado antes da publicação do fato relevante terá argumento de defesa”, complementa Flaks. 

Com o chapéu de quem enfrenta na prática as ameaças dos ataques cibernéticos, Alexandre Domingos de Sousa, head de segurança de informação da Dasa, faz uma observação interessante. “O criminoso tem algo que as empresas não têm: tempo. Por isso, é fundamental que as companhias estejam sempre atentas, principalmente quanto à proteção dos dados mais sensíveis para a operação”, diz. “Aprendi que segurança está relacionada a fazer coisas básicas. Ataques não são baseados em ‘ciência de foguete’ e sim na identificação de falhas simples, como senhas fracas, ausência de segundo fator de autenticação e falta de conscientização de segurança dos usuários. Só investimento em tecnologia não é suficiente”, comenta.  

Na avaliação dele, a LGPD veio obrigar as empresas a colocar em prática ações básicas, como saber onde estão as informações. “Esse é o primeiro passo. Pois como é possível proteger o que não se sabe que existe e nem onde está? O setor financeiro pode olhar para tudo, já tem maturidade, mas acredito que os outros devem começar protegendo bem as joias da Coroa. Esses dados mais sensíveis devem ter monitoramento 24 por 7, com antivírus atualizados e pessoas devidamente autorizadas para o acesso”, defende.  

Mesmo percorrendo todo o mapa da segurança — treinando colaboradores, tratando do assunto com fornecedores e prestadores de serviço, adquirindo e mantendo atualizados os sistemas e preparando planos de reação — as empresas nunca estarão totalmente fora do alcance dos criminosos. Por isso, como numa guerra, é importante que estejam vigilantes e preparadas para o pior. 

Leia também

Por que um marco legal para a inteligência artificial?

Ainda com lacunas, regulamentação de IA caminha no Brasil

Ainda à mercê de hackers