Preocupação presente no dia a dia das grandes companhias, ataques virtuais nem sempre estão no radar dos pequenos e médios negócios. Porém, nos últimos anos, o número de PMEs vítimas de ataques de Ransomware tem crescido de forma alarmante no Brasil. Divulgada neste mês, uma pesquisa realizada pela Arcserve com 1.100 tomadores de decisão de pequenas e médias empresas de 11 países — Estados Unidos, Canadá, Reino Unido, Alemanha, França, Austrália, Nova Zelândia, Índia, Brasil, Coreia e Japão — mostrou que 19% das PMEs brasileiras já sofreram ataques de Ransomware, colocando o Brasil no primeiro lugar entre os países pesquisados, seguido por EUA e Canadá.
Nesse tipo de ataque, o sistema informático de uma empresa é bloqueado por um código malicioso que utiliza a criptografia para impedir que os usuários acessem os dados e informações que nele se encontrem. Para voltar a ter acesso ao sistema, é exigido o pagamento de um valor a título de resgate, normalmente em criptomoedas.
De acordo com Guilherme Gueiros, advogado especialista em segurança digital no Urbano Vitalino Advogados, esse é o momento de as empresas de pequeno e médio porte se atentarem à segurança de dados e investir em mecanismos de prevenção. “As grandes empresas já aprenderam a lição e, embora ainda sejam vítimas de ataques mais sofisticados, já contam com um alto nível de proteção para os seus dados. Por outro lado, entre pequenos e médios empresários, essa conscientização é quase nula”, afirma.
As consequências de um ataque Ransomware
E caso a empresa seja vítima? O que fazer? Segundo Gueiros, quando uma empresa é vítima de um ataque de Ransomware, surgem, de uma hora para outra, riscos jurídicos, reputacionais e operacionais. Os riscos jurídicos estão associados às possíveis ações dos titulares de dados pessoais afetados; aos procedimentos de investigação e sanção por parte das autoridades constituídas; à existência de ações coletivas; e à violação de cláusulas contratuais com parceiros comerciais. Por sua vez, os riscos reputacionais decorrem da exposição midiática do acontecimento e de possíveis questionamentos sobre os procedimentos de segurança da empresa. Já os riscos operacionais podem ser dos mais diversos, desde danos decorrentes da perda de ativos até perdas comerciais sensíveis em situações extremas de interrupção das operações.
Nesse caso, afirma o especialista, “é preciso acionar uma equipe com atuação multidisciplinar para compor o comitê de crise, que irá executar as ações necessárias para responder eficientemente ao incidente. Esse comitê será responsável por tomar decisões relevantes com base em avaliações sobre a extensão e a gravidade do incidente. Por exemplo, se for identificado que o incidente afetou dados pessoais, será necessário notificar os seus titulares, a Autoridade Nacional de Proteção de Dados (ANPD) e também agências reguladoras setoriais, como Banco Central, CVM e SUSEP.”
Por isso, destaca a importância da prevenção. “É preciso olhar para o incidente antes que ele aconteça. Isso envolve a implementação de mecanismos de defesa (como, por exemplo, soluções de backup), a estruturação de um plano de resposta de incidentes cibernéticos e, não menos importante, a criação de uma cultura de cibersegurança dentro da empresa”, explica ele.
Ataques de Ransomware podem ser enquadrados como extorsão, terrorismo ou até estupro
Na dissertação de mestrado que deu origem ao livro “A tipicidade dos ataques de Ransomware no Brasil: uma interseção entre Criptovirologia e Direito Penal”, Gueiros estudou como esse tipo de crime é tipificado, isto é, de que forma se enquadra dentre os crimes previstos pela legislação penal brasileira. “Este é um tipo de conduta que pode ser enquadrada em diversos tipos penais. Via de regra, um ataque de Ransomware envolve os crimes de invasão de dispositivo informático qualificada pelo controle remoto do dispositivo (art. 154-A, §3º, CP), dano (art. 163, CP) e extorsão (art. 158, CP)”.
“Quando o ataque de Ransomware que não objetivar a obtenção de vantagem econômica, a conduta pode ser subsidiariamente enquadrada como constrangimento ilegal ou até mesmo estupro, quando o ofensor constrange a vítima a praticar ato libidinoso, como aconteceu com uma variante denominada de nRansomware”. Além disso, acrescenta o advogado, “se os ataques forem lançados com a finalidade precípua de causar danos à infraestrutura crítica do Brasil, a conduta pode configurar os crimes contra a segurança dos meios de comunicação, transporte e outros serviços públicos, e até mesmo crime de terrorismo, quando cometido por razões de xenofobia, discriminação ou preconceito de raça, cor, etnia ou religião”.
Para discutir o assunto, na próxima segunda-feira (01/08), a partir das 19h00, Gueiros participará de uma live com o Professor Dr. João Paulo Martinelli. O evento será gratuito e transmitido ao vivo no canal da Editora D’Plácido no Youtube.
SERVIÇO
O que: Live de lançamento do livro "A Tipicidade dos ataques de Ransomware no Brasil: Uma interseção entre Criptovirologia e Direito Penal”
Onde: Transmissão pelo Youtube no link: https://www.youtube.com/watch?v=sQtttWpOn8w
Quando: 01/08/2022, a partir das 19h00.