“Dados são o novo petróleo”, essa famosa frase do cientista de dados Clive Humby nos faz refletir sobre a grande importância que a informação possui nos dias de hoje.
Vivemos na era dados e, especificamente, os dados pessoais são utilizados cotidianamente pelas empresas para realizar incontáveis operações e atividades.
Diante deste cenário, temos que os dados são ao mesmo tempo abundantes e preciosos, colocando em evidência a necessidade de proteção de tais ativos. No Brasil, a Lei Geral de Proteção de Dados (LGPD), já está inteiramente em vigor, prevendo sanções administrativas e judiciais a empresas envolvidas em incidentes de segurança.
Neste artigo explicamos como um incidente de segurança com dados pessoais pode ocorrer na prática, os seus estágios e as consequências de sua ocorrência. Continue lendo para entender como preveni-los e mitigá-los, protegendo a sua empresa e os titulares de dados pessoais!
Índice
Entendendo um incidente de segurança
O ano é 1960.
Seu pai é dono de um simples restaurante na esquina da sua casa e você passa suas tardes por lá, o ajudando depois da escola. O movimento é bom; as pessoas chegam, desfrutam das suas refeições, se divertem e vão embora. A clientela é fiel, mas vocês só sabem o primeiro nome das pessoas, quando muito.
Como todo negócio, há problemas; seu pai lida com pequenos furtos frequentemente e já teve de arcar com os prejuízos de um incêndio que se originou por conta de um descuido do novo assistente de cozinha.
Certa ocasião o mesmo assistente esqueceu um pote de maionese fora da geladeira durante um dia quente de verão. Todos os clientes que comeram pratos que continham a maionese passaram mal e a notícia correu pelo bairro. O movimento diminuiu na semana subsequente, mas depois normalizou; as pessoas acabaram se esquecendo, eventualmente.
O ano é 2021.
O pequeno restaurante de esquina do seu pai virou uma rede, cuja administração você assumiu. São dezenas de fornecedores e prestadores de serviço, centenas de colaboradores e milhares de clientes.
Nos servidores do seu negócio são armazenados todos os dados pessoais dessas pessoas; algumas delas somente pediram um jantar pelo aplicativo uma única vez. Há uma base de dados pessoais enorme, com nome, CPF, endereço e dados de cartão de crédito.
Você dedica uma parcela considerável do faturamento da rede de restaurantes à tecnologia. O desenvolvimento tecnológico permitiu que os sabores dos seus restaurantes atingissem bairros mais remotos da cidade, aumentando exponencialmente a clientela.
Como todo negócio, há problemas; o mesmo desenvolvimento tecnológico trouxe consigo novas ameaças e você foi vítima de um crime cibernético, apesar do investimento em segurança da informação.
Essa situação se trata de um típico incidente de segurança, conforme previsto pela LGPD.
O prejuízo que seu pai teve com pequenos furtos e com o incêndio não chega nem perto da quantia que o hacker está pedindo para desbloquear o acesso ao seu servidor. Seu negócio é alimentação, mas sem acesso ao servidor você não consegue trabalhar.
Depois de 3 dias com as portas fechadas, você paga o valor exigido em criptomoedas.
Mas o hacker não gostou da demora e exige mais um pouquinho para não divulgar a informação de que você foi vítima de um ataque cibernético.
Você, finalmente, procura ajuda. A consultoria especializada te aconselha a não ceder; a notícia sobre o incidente deve ser dada por você aos seus clientes, fornecedores, prestadores de serviço e colaboradores.
Há uma sensação de confiança quando a notícia é divulgada por você. Assim que receberam a notícia, todos os potencialmente afetados pelo incidente trataram de tomar providências para se proteger no mundo digital: trocaram senhas, atualizaram sistemas, reforçaram a segurança.
A maior parte dos seus fornecedores te conhece há anos e não deixou de fazer negócios com você. Mas muitos clientes desapareceram depois que o jornal local divulgou o acontecido em suas redes sociais.
Parte da clientela nunca voltou. Ao contrário do dano reputacional da época do seu pai, que desapareceu em uma semana, agora não se esqueceu da notícia uma semana depois. Nada morre na Internet. Toda vez que se digita o nome do seu restaurante no Google, a notícia no pequeno portal local reaparece.
Esse cenário fictício reflete uma mudança significativa nas relações sociais econômicas, onde tratamento de dados pessoais é hoje indispensável para a vida em sociedade.
Como destacamos, o avanço tecnológico traz consigo novos riscos aos negócios. Se há décadas enfrentávamos riscos como incêndios e furtos, hoje, somados a boa parte dos riscos do passado, estão os riscos modernos.
O maior deles? Certamente o crime cibernético.
O que são os crimes e riscos cibernéticos?
Uma pesquisa recente do Fórum Econômico Mundial dá conta de que o prejuízo decorrente de crimes cibernéticos no ano de 2020 chegou a 3 trilhões de dólares.
O General Keith Alexander, da Agência Nacional de Segurança dos Estados Unidos, afirmou em uma palestra que “a perda de informação industrial e propriedade intelectual por meio de espionagem cibernética constitui a maior transferência de riquezas que a humanidade já viu”.
Há uma cidade na Romênia chamada Râmnicu Vâlcea, que ganhou notoriedade por ser um centro de crime cibernético. O crime cibernético é uma das 3 maiores atividades econômicas da cidade.
De acordo com o Instituto de Gerenciamento de Risco, o risco cibernético pode ser definido como qualquer tipo de perda financeira, disrupção ou dano à reputação de uma organização advindo de qualquer tipo de falha no sistema de tecnologia da informação.
Há diversos tipos de riscos cibernéticos. Uma multa aplicada pela Autoridade Nacional de Proteção de Dados (ANPD) é risco cibernético; uma matéria num grande portal falando sobre um determinado problema no site da empresa é risco cibernético; o impacto da interrupção de operações que causa perda financeira (um mandado de busca e apreensão que interrompe o data center, por exemplo) é risco cibernético.
Sobre o conceito de crime cibernético, é importante destacar que um sistema é um conjunto de componentes que se inter-relacionam. Assim, uma falha no sistema de TI não é necessariamente uma falha no TI; podemos estar nos referindo à uma falha humana, já que o ser humano é um componente do sistema. Teremos, aí, um incidente com dados pessoais, por exemplo.
O relatório da IBM sobre os custos de um incidente de dados dá conta de que, em 2020, 23% dos incidentes foram causados por erro humano. Eis a importância da conscientização sobre dados pessoais. Se quem manipula dados pessoais no exercício das atividades diárias não entende aquilo como algo que deve ser protegido, a probabilidade de falha humana cresce muito.
Deve-se ter em mente que, para além das penalidades em caso de descumprimento, previstas pela LGPD, os custos de um incidente de segurança também incluem os custos diretos, como a contratação de profissionais para solucionar o problema, e indiretos, como a perda de clientes.
Ocorre que muitas empresas ainda tratam incidentes como acidentes. Por exemplo: quando é identificado um vírus no computador, resolve-se a questão eliminando o vírus sem fazer uma investigação para saber de onde veio tal vírus, quais as circunstâncias que resultaram nesse incidente de segurança.
A perpetuação desse tipo de postura inviabiliza a preparação correta da empresa para lidar com os incidentes quando eles ocorrerem. Este é um ponto fundamental: veja que utilizamos a palavra “quando”: quando os incidentes ocorrerem.
O ano é 2021. Não é mais uma questão de possibilidade de ocorrência de incidentes: eles irão ocorrer. A postura que deve ser adotada pelas empresas é aquela em que se sabe que incidentes de segurança ocorrerão e se prepara para lidar com eles.
E boa parte do processo de preparação para a ocorrência de incidentes está em conseguir identificar os estágios de um incidente; o que nem sempre é fácil de fazer quando estamos no olho do furacão de um incidente.
Esse conhecimento é fundamental para saber como agir e quais os tipos de profissionais são necessários em cada estágio para que a sua empresa esteja verdadeiramente adequada à LGPD e preparada para enfrentar uma situação delicada como a que ocorre em casos de incidentes.
A melhor forma de realizar a gestão dos ricos advindos de incidentes de segurança é por meio do Relatório de Impacto à Proteção de Dados (RIPD), mais conhecido pela sigla em inglês “DPIA” (Data Protection Impact Assessment).
Este documento descreve o tratamento de dados pessoais realizado pela empresa para, então, avaliar a sua necessidade/proporcionalidade frente aos respectivos riscos aos direitos e liberdades. A partir da elaboração do DPIA é possível avaliar tais riscos e determinar medidas para preveni-los, controlá-los e mitigá-los.
Os estágios de um incidente
Antes de analisarmos cada uma dessas etapas é importante destacar que, a depender do contexto, da empresa, do incidente e de outros fatores, esses estágios podem ocorrer de forma distinta. Neste artigo tratamos do tema de forma genérica e conforme os estágios desenvolvidos pela Ventura Academy.
Assim, é preciso realizar uma avaliação individual e personalizada para decorrer sobre estágios de um incidente na sua empresa.
Marco Zero
É o momento no qual percebe-se que a empresa é vítima de um incidente cibernético. Não se trata, necessariamente, do momento em que o incidente ocorre, mas do momento em que a sua ocorrência é descoberta pela empresa.
Essa descoberta pode se dar por meio de um contato feito pelo autor do ataque cibernético para fins de extorsão, por exemplo.
São características típicas desse estágio: o risco iminente (quando há vazamento de dados, por exemplo, caso o autor do ataque ainda continue tendo acesso aos dados – a “torneira aberta” – ou quando há uma ameaça por parte do autor do ataque), a necessidade da atuação de urgência, a pouca visibilidade do incidente (há poucas informações disponíveis sobre o que realmente aconteceu; é possível, inclusive, que o autor do incidente blefe ao fazer algum tipo de ameaça), a incerteza, a paranoia e a dificuldade em estabelecer um ciclo de confiança (momento no qual não se sabe em quem pode-se confiar).
Nesse estágio, o grande objetivo deve ser a preservação da vida da empresa.
Avaliação
É o momento em que se realiza a perícia. Neste estágio, preocupa-se com o modus operandi do ataque e a extensão do dano. Muitas empresas, no afã de querer reestabelecer a operação natural dos negócios, acabam por pular essa etapa e partem para remediar a questão. É aqui que as empresas tratam incidentes como acidentes, como frisamos; perde-se a oportunidade de investigar o que realmente aconteceu.
Descobrir a extensão do dano nessa etapa de avaliação é fundamental para identificar e comunicar aos clientes que foram afetados pelo incidente.
A atuação de um perito nesse momento é essencial.
Atribuição
A preocupação nesse momento é em relação à autoria; a pergunta desse momento não é mais “como?” (tal qual no momento anterior), mas “quem?”. É o momento para a atribuição de responsabilização; de questionar sobre quem tinha os meios, os motivos e a oportunidade. É o momento para auferir se, de fato, houve algum crime.
A etapa de atribuição é importante para passar uma mensagem de diligência para o mercado e também internamente. A responsabilização e a aplicação de medidas disciplinares aos responsáveis demonstram ao mercado e ao público interno que a empresa é diligente e que não tolera esse tipo de comportamento.
A atuação de um investigador é muito importante nesse momento.
Revisão
Nesse momento “a poeira já baixou” e é a hora de rever como a empresa se comportou nos três primeiros momentos, que são tão vitais. É nesse estágio que são confeccionados os relatórios das equipes envolvidas e são enfrentadas questões relacionadas à proficiência das equipes internas no que se referiu ao tratamento daquele determinado incidente.
Essa auditoria interna deve ser capaz de responder a seguinte questão: “onde falhamos? ”. Isso é fundamental para mitigar os riscos de o mesmo incidente ocorrer novamente.
Esclarecimentos
É nesse estágio que são respondidas as perguntas dos acionistas, do conselho da empresa, do estado (o que pode se dar inclusive por meio da Autoridade Nacional de Proteção de Dados ou do Ministério Público), da matriz, de parceiros, ou de quaisquer outras entidades interessadas.
Esse é o momento de esclarecer quais foram as medidas tomadas para tentar evitar o incidente e quais foram as atitudes tomadas para mitigar os danos do ocorrido.
Isso é especialmente relevante quando lembramos que a própria Lei Geral de Proteção de Dados (LGPD) determina que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de incidentes.
A medida em que os princípios da LGPD são incorporados pela sociedade e que se valoriza mais a proteção de dados pessoais, esse momento ganha cada vez mais relevância como uma “satisfação” à sociedade.
Com isso, acaba por ser um momento fundamental para evitar ou mitigar eventuais sanções administrativas (essas aplicadas pela Autoridade Nacional de Proteção de Dados) ou judiciais.
O perito pode auxiliar bastante nesse momento para contribuir com as explicações técnicas sobre o incidente.
Judicialização
Esse estágio ocorre quando se entende que há algum tipo de indenização a ser paga pelos danos causados pelo incidente.
Conclusão
Os desafios que as empresas enfrentavam em 1960 certamente não são os mesmos enfrentados em 2021.
Quando consideramos o avanço tecnológico e todas as vantagens que nos trouxe ao longo dos anos, devemos também colocar na balança os riscos dele advindos.
Vimos ao longo desse artigo que o crime cibernético é certamente o maior desafio que enfrentamos na atualidade. É por isso que é fundamental estar preparado para quando a sua empresa enfrentar algum incidente de segurança de dados pessoais.
Sim, quando, e não “se”. O incidente ocorrerá, e você precisa estar preparado para ele para proteger tanto a sua empresa das penalidades previstas na LGPD, quanto os titulares de dados pessoais que terão suas informações divulgadas.
Para estar preparado, é essencial que a sua empresa se adeque à LGPD. Conte conosco para ajudá-lo(a) nesse processo!
Assine a nossa newsletter para receber, em primeira mão, os próximos conteúdos sobre proteção de dados pessoais.
Você também pode nos avaliar no Google, o seu feedback é muito importante para nós!
*Imagem de Getty Images, no Canva Pro.
Trackbacks/Pingbacks