Covid-19 – Ameaças Cibernéticas, Cybersecurity e o Direito Digital

Por Rony Vainzof *

No dia 27 de março, entre tantas ações emocionantes de cooperação e ajuda mútua para minimizarmos os efeitos dessa catástrofe mundial que estamos passando, uma matéria estampada no jornal Valor trazia uma triste realidade: a invasão de sistemas cibernéticos triplica com a pandemia.

Basicamente a matéria relata o seguinte:

• Os departamentos de segurança da informação estão tendo que lidar com ataques cibernéticos em meio a necessidade de se manter conectados funcionários das empresas para trabalharem remotamente;
• Cresceram especialmente os ataques denominados “ransonware”, em que criminosos criptografam sistemas pedindo resgate financeiro por meio de criptomoedas para a sua liberação;
• Tentar desfazer a criptografia é praticamente impossível diante das técnicas utilizadas;
• Segundo a empresa Kaspersky, o número de ataques ransonware aumentou 3,5 vezes no Brasil;
• Segundo a Fortinet, há uma tentativa de ataque por minuto, sendo 75% fora do horário regular de expediente;
• Globalmente até mesmo hospitais têm sido atacados;
• Como são ataques automatizados, podem atingir todos os tipos de empresas;
• A queda do bitcoin, segundo um dos especialistas entrevistados (Fábio Assolini), pode ser uma das explicações para o aumento do número de ataques;
• Outros motivos seriam o aumento do trabalho remoto, assim como a utilização de redes ou dispositivos domésticos, invariavelmente menos protegidos; e
• Que se pensa em um primeiro momento em garantir a conexão. Depois é que vem a segurança. E nesse meio tempo os criminosos aproveitam para fazer os ataques.

Assim, além das empresas terem que refletir e tomar medidas acerca da continuidade dos seus negócios diante da inevitável crise econômica e da necessidade da rápida migração para home office de todos os seus colaboradores diante das medidas de medidas de enfrentamento e contingenciamento da COVID-19, outra questão cogente, infelizmente, é estarem atentas a prevenção e repressão de ilícitos cibernéticos.

Em caso de ataque, sob a perspectiva do Direito Digital, primeiramente importante avaliar os objetivos e efeitos do incidente. Entre algumas hipóteses estão:

1. Acesso não autorizado, porém sem extrair qualquer dado ou informação e sem indisponibilizar sistemas;
2. Indisponibilizar sistemas, para extorsão ou não;
3. Extrair dados ou informações corporativas confidenciais, como segredos de negócios ou fórmulas, protegidos pela Lei de Propriedade Industrial, para extorsão ou concorrência desleal;
4. Obter dados pessoais de clientes ou funcionários para extorsão, sob pena de possível e eventual exposição.

De qualquer forma, assim que qualquer incidente ocorre, o mais relevante, imediatamente, é buscar:

Cessar o ilícito (“fechar a torneira do vazamento” ou tonar a empresa operável novamente) e iniciar a avaliação do incidente gerando evidências de todas as diligências.

E isso porque, de acordo com o incidente, as seguintes medidas podem ser necessárias:

• Para companhias abertas, de acordo com a instrução CVM 358/2002, divulgar fato relevante ao mercado;
• Para empresas que tem ações abertas na bolsa dos EUA, avaliar a necessidade de noticiarem o fato relevante por meio do formulário 6-K à SEC, que serve para empresas de fora dos EUA divulgarem todas as informações que não são cobertas em suas demonstrações financeiras trimestrais / anuais para fornecer aos investidores americanos o mesmo grau de informação disponível para investidores no país de origem. Avaliar a mesma questão em outros países também;
• Se houver extração de informações corporativas confidenciais, adotar medidas para abstenção do seu uso e comprovar eventual ato de concorrência desleal;
• Se houver a extração de dados pessoais, avaliar a notificação aos titulares de dados afetados e também a eventuais autoridades setoriais, como a SENACON, quando envolver dados de consumidores, e BACEN, no caso de instituições financeiras. Isso porque, mesmo a Lei Geral de Proteção de Dados – LGPD não estando em vigor, como medida de transparência, é relevante essa avaliação para que as pessoas afetadas tenham ciência do ocorrido e os órgão reguladores ou fiscalizadores atualmente existentes também possam acompanhar o caso;
• Identificação se os eventuais dados envolvidos são ou não da base de dados da empresa;
• Monitoramento da surface web e da deep web;
• Plano de comunicação à imprensa;
• Identificação e coleta das provas digitais (evidências técnicas, entendimento de falhas, usuários envolvidos, etc);
• Ações cíveis (identificação e remoção) e/ou providências criminais.

Outra questão relevante é atentar para a apólice do seguro de incidentes cibernéticos. que usualmente prevê a necessidade da seguradora ser informada imediatamente acerca do evento para poder acompanhar a avaliação do incidente. Ainda, excluí a cobertura no caso de:

• Atos dolosos ou culpa equiparável da vítima;
• O incidente não foi resultado de erro, omissão, ato ilícito, ou fatos que a vítima deveria conhecer anteriormente à vigência do seguro;
• O incidente não foi resultado de falha na segurança de rede ou problema ou de uma falha de segurança que a vítima tinha conhecimento ou razoavelmente deveria ter conhecimento.

Normalmente, as seguintes perguntas/medidas contribuem para esclarecimento do incidente:

1. Descrever em detalhes a natureza do incidente;
2. Dados pessoais de clientes ou de colaboradores foram comprometidos? Em caso positivo, quantos titulares dos dados foram afetados e quais espécies de dados foram comprometidos?
3. O incidente atingiu titulares dos dados domiciliados em quais países?
4. Dados pessoais sensíveis de clientes ou de colaboradores foram comprometidos?
5. Alguma investigação interna foi realizada? Quais as conclusões da investigação?
6. O responsável pelo incidente entrou em contato com a empresa? Em caso positivo, de que forma e como a empresa conduziu o assunto?
7. Quais as medidas de segurança utilizadas antes do incidente para segurança da informação e proteção dos dados?
8. Quais as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente?

Não obstante todas as medidas reativas acima descritas em caso de incidentes, naturalmente

o ideal é que as empresas tenham uma cultura security by design,

mediante a implementação de medidas de segurança, técnicas e administrativas aptas a proteger sistemas, informações e dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, considerando a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, desde a fase de concepção do produto ou do serviço até a sua execução.

Boa parte do parágrafo acima foi por mim adaptado do art. 46, da LGPD, mas que serve regularmente como boa prática preventiva a incidentes que não envolvam dados pessoais, assim como os seguintes princípios na referida Lei:

• Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais (acrescento sistemas, informações e dados não pessoais) de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
• Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais (acrescento sistemas, informações e dados não pessoais);
• Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais (acrescento sistemas, informações e dados não pessoais) e, inclusive, da eficácia dessas medidas.

Outras medidas jurídicas e preventivas de cybersecurity que usualmente contribuem quando há um incidente são as seguintes:

• Mapeamento das informações relevantes da empresa e das operações de tratamento de dados pessoais para evidenciar o volume e a criticidade dos dados e informações tratadas, o que pode viabilizar o cross-checking (data breach fingerprint);
• Plano de resposta a incidentes e remediação, idealmente elaborado em colaboração por diversos departamentos;
• Comitê de Crise Multidisciplinar (DPO, CSO, Jurídico, Compliance, Gerenciamento de Riscos, Relações Públicas e Comunicação, por exemplo);
• Ter previamente definido a contratação de equipes de investigação externa para essas situações;
• Simulações de incidentes para treinamento e criação de sala de crise; e
• Previsão de obrigações entre as partes nos contratos entre controladores e operadores acerca de incidentes.

A Resolução 4.658/18, do BACEN, também é um importante marco orientador para outros setores que não o financeiro, pois dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, ao prever a necessidade de haver:

• A implementação e manutenção de política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados;
• Procedimentos e controles adotados para reduzir a vulnerabilidade da instituição a incidentes;
• Controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;
• O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;
• As diretrizes para: a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios; b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição; c) a classificação dos dados e das informações quanto à relevância; e d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;
• Os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo: a) a implementação de programas de capacitação e de avaliação periódica de pessoal; b) a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; e c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;
• Iniciativas para compartilhamento de informações sobre os incidentes relevantes;
• Diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes;
• Nas políticas, estratégias e estruturas para gerenciamento de riscos, critérios de decisão quanto à terceirização de serviços, contemplando a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.

Ademais, recomendo fortemente a leitura e aplicação da ISO/IEC 27701:2019, de 25/11/2019, extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, para gestão da privacidade da informação, que especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para a gestão da privacidade dentro do contexto da organização.

Outro conselho é a leitura atenta do Decreto 10.222/2020, que aprovou a Estratégia Nacional de Segurança Cibernética E-Ciber, documento robusto com muita informação relevante para todas as empresas, com os objetivos estratégicos de:

1. Tornar o Brasil mais próspero e confiável no ambiente digital;
2. Aumentar a resiliência brasileira às ameaças cibernéticas; e
3. Fortalecer a atuação brasileira em segurança cibernética no cenário internacional.

Entre outras questões, o referido decreto prevê:

• Criar controles para o tratamento de informações com restrição de acesso;
• Implantar programas e projetos sobre governança cibernética;
• Adotar, a indústria, padrões internacionais no desenvolvimento de novos produtos desde sua concepção (privacy/security by design and default);
• Recomendar a adoção de soluções nacionais de criptografia;
• Intensificar o combate à pirataria de software;
• Designar o gestor de segurança da informação;
• Recomendar a certificação em segurança cibernética, conforme padrões internacionais;
• Ampliar o uso do certificado digital.
• Estabelecer rotina de verificações de conformidade em segurança cibernética, internamente, nos órgãos públicos e nas entidades privadas.

Destaca-se, no referido Decreto, a previsão de permitir a convergência dos esforços e de iniciativas, e atuar de forma complementar para receber denúncias, apurar incidentes e promover a conscientização e a educação da sociedade quanto ao tema.

Também de promover um

Ambiente participativo, colaborativo e seguro, entre as organizações públicas, as instituições privadas, a academia e a sociedade, por meio do acompanhamento contínuo e proativo das ameaças e dos ataques cibernéticos,

Com o objetivo de:

• Estimular o compartilhamento de informações sobre incidentes e vulnerabilidades cibernéticas;
• Realizar exercícios cibernéticos com participação de múltiplos atores;
• Estabelecer mecanismos que permitam a interação e o compartilhamento de informações em diferentes níveis;
• Aperfeiçoar a infraestrutura nacional de investigação de crimes cibernéticos;
• Incentivar a criação e a atuação de equipe de tratamento e resposta aos incidentes cibernéticos – ETIRs, com ênfase no uso de tecnologias emergentes; e
• Estimular o uso de recursos criptográficos, no âmbito da sociedade em geral, para comunicação de assuntos considerados sensíveis.

Ainda, justamente um dos pontos previstos no Decreto em questão para aprimorar o arcabouço legal sobre segurança cibernética é:

Definir requisitos de segurança cibernética nos programas de trabalho remoto.

O referido Decreto também contempla o incentivo a concepção de soluções inovadoras em segurança cibernética, buscando o alinhamento entre os projetos acadêmicos e as necessidades da área produtiva, de modo a incentivar a pesquisa e o desenvolvimento de soluções em segurança cibernética, que tragam a necessária inovação aos produtos nacionais nessa área crítica, atual e imprescindível. Dentre as ações a serem consideradas, estão:

• Propor a inclusão da segurança cibernética nos programas de fomento à pesquisa;
• Incentivar a criação de centros de pesquisa e desenvolvimento em segurança cibernética no âmbito do Poder Executivo federal e no setor privado;
• Viabilizar investimentos em pesquisas, por meio dos fundos públicos e privados;
• Criar programas de incentivo ao desenvolvimento de soluções de segurança cibernética;
• Estimular o desenvolvimento e a inovação de soluções de segurança cibernética nas tecnologias emergentes;
• Incentivar a adoção de padrões globais de tecnologia, que permitirá a interoperabilidade em escala internacional;
• Incentivar o desenvolvimento de competências e de soluções em criptografia;
• Estimular o prosseguimento das pesquisas sobre o uso de inteligência espectral; e

Estimular a criação de startups na área de segurança cibernética.

Porém, talvez o ponto mais relevante e nevrálgico de tudo o que estamos passando seja o baixo nível de maturidade em segurança cibernética existente, motivo pelo qual o E-ciber prevê justamente elevá-lo, de acordo com algumas iniciativas abaixo:

• Incentivar os órgãos públicos e empresas privadas para que realizem campanhas de conscientização internas;
• Realizar ações de conscientização da população;
• Criar políticas públicas que promovam a conscientização da sociedade sobre segurança cibernética;
• Propor a inclusão da segurança cibernética, por intermédio de suas competências básicas, e do uso ético da informação na educação básica – educação infantil, ensino fundamental e ensino médio;
• Estimular a criação de cursos de nível superior em segurança cibernética;
• Propor a criação de programas de incentivo para graduação e pós-graduação no Brasil e no exterior em segurança cibernética;
• Fomentar a pesquisa e o desenvolvimento em segurança cibernética;
• Criar programas de capacitação continuada para profissionais do setor público e do setor privado;
• Incentivar a formação de profissionais para atuar no combate aos crimes cibernéticos;
• Aperfeiçoar mecanismos de integração, de colaboração e de incentivos entre universidades, institutos, centros de pesquisa e setor privado em relação à segurança cibernética;
• Incentivar exercícios de simulação em segurança cibernética; e
• Promover a gestão de conhecimento de segurança cibernética, em articulação com os principais atores da área, a fim de otimizar a identificação, a seleção e o emprego de talentos. 

Assim, nesse momento inglório que todos nós estamos vivendo, diante do uso ainda mais intenso da Tecnologia da Informação e da Comunicação, infelizmente o tema Cybersecurity também se apresenta como prioritário ao lado de tantos outros.

Espero que as informações aqui trazidas possam contribuir para a compreensão das ameaças no ambiente cibernético, possibilitando às empresas mitigar os riscos, e a promover procedimentos em prol da utilização segura dos meios digitais.

____
* Advogado, professor e árbitro especializado em Direito Digital e Proteção de Dados.