Ransomware, o sequestro virtual de dados: de quem é a culpa?
Tecmundo
Duvido que qualquer um que esteja lendo este artigo não teve um equipamento infectado por no mínimo um arquivo malicioso, aquilo que chamamos de vírus. Seja computador, seja smartphone, não importa, é praticamente impossível que isso não tenha ocorrido. Ainda mais nos primórdios da abertura do sinal comercial da internet no Brasil, em 1995, onde existiam muitos programas que eram enviados por e-mail e, depois de executados, piscavam as luzes e abriam o cd-rom, por exemplo.
Algo inofensivo se comparado aos dias de hoje. Naquela época, ninguém se importava em ter acesso aos nossos dados, porque eram pouquíssimas as operações possíveis no internet banking e não existiam os marketplaces que hoje vendem de tudo.
Ao longo dos anos, com o avanço da tecnologia e da internet e, principalmente, dos serviços financeiros e outros que têm valor no mercado, os tipos de malware foram ficando cada vez mais perigosos e sofisticados, já que passaram a recolher informações como senhas, dados pessoais e sensíveis tanto de empresas quanto usuários.
Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil (atenção, só irei me referir ao Brasil), as empresas que de qualquer forma usam, armazenam ou tratam dados de seus clientes ou de terceiros têm a obrigação de proteger essas informações e, se algo ocorrer, poderão ser responsabilizadas pelo vazamento. Existem muitos tipos de ataque e com intuitos diferentes, então vamos focar só no ransomware.
Mas o que é um ataque ransomware?
De forma bem simples, é um ataque em que o criminoso usa um tipo de “vírus”, o qual, uma vez executado ou aberto em um computador ou dentro de uma rede, prolifera-se para todos os equipamentos conectados naquela rede; com isso, os usuários são impedidos de acessarem os arquivos e sistemas, que foram atacados por meio de uma criptografia de dados armazenados conhecida como “sequestro virtual de dados”.
De uma forma bem simples, a criptografia de dados é uma forma de, por meio de aplicações matemáticas, fazer que todos os dados sejam codificados e não possam ser lidos sem uma chave que abra esses arquivos, por meio de uma atividade chamada decriptar. Os dados estão lá, mas embaralhados.
Esse ataque também pode ser feito por meio de uma brecha de segurança nos sistemas das empresas, onde o atacante entra na rede, coleta essas informações e, depois de coletar todos os dados que queria, lança o ataque e cobra uma espécie de “resgate” para fornecer a chave de acesso para liberar esses dados. Esse tipo de coleta de informações pode durar meses, já que tudo tem que ser recolhido de forma a não levantar suspeitas.
Se o resgate não for pago, os dados podem ser apagados ou expostos em qualquer rede ou vendidos para fraudadores. Porém, a verdade é que não há interesse dos criminosos em apagar os arquivos, mas sim na cobrança para desbloqueá-los, já que se apagar, eles não ganham nada. Só em último caso, se não houver o pagamento, aí sim os dados podem ser perdidos ou publicados como forma de vingança, o que pode gerar prejuízos gigantescos para quem sofre esse tipo de ataque.
Mas não dá para rastrear onde o pagamento será feito? Dificílimo. Esses pagamentos são realizados em forma de criptoativos, como Ethereum, Bitcoin, Cardano e centenas de outras “moedas virtuais” que são praticamente impossíveis de serem rastreadas porque são depositadas em uma carteira virtual — que é representada por números e não atrelada a nenhuma instituição financeira — e depois podem ser transformadas em dinheiro e sacadas sem deixar rastros.
Bom, é óbvio que esse é um crime e está previsto no artigo 154-A do Código Penal, que foi incluído pela lei n° 12.737/2012, a famosa “Lei Carolina Dieckmann”. Antes disso, não era crime. O sujeito que cometesse esse ato não tinha nenhum tipo de penalidade porque, como eu já disse em outros artigos , se não tem lei que defina como crime, não é crime. Porém, o foco não é quem comete o ataque, mas sim as consequências, que podem ser graves, para as empresas e as pessoas que são vítimas desse crime.
Sabemos que nenhum sistema é 100% à prova de falhas. Nenhum. Não adianta vir aqui dizer que existe isso porque é mentira. O que há são sistemas mais ou menos seguros, e é nas falhas que os criminosos vão explorando as vulnerabilidades para uma invasão, mas a maior causa de ataques é e sempre será "a pecinha" que fica na frente do computador. Quem? Você!
Sim, é você mesmo, que abre arquivos sem saber qual é a procedência deles, que cai nos golpes de phishing ou insiste em abrir aquele e-mail que tem uma grande e inacreditável oferta de produtos. O ser humano é e sempre será o responsável por abrir as portas das invasões. É claro que ocorrem falhas de sistemas também, mas em número bem menor se comparado às nossas atitudes erradas.
O grande problema atualmente é que as empresas não estão investindo em treinamento dos próprios empregados e prestadores de serviços. Com isso, essas pessoas são alvos fáceis desse tipo de “sequestro digital”, com consequências tão graves que poderiam ser até melhor se os dados fossem apagados, porque, se vazam, as multas são altas, segundo a Lei Geral de Proteção de Dados – lei n° 13.709/18.
Contudo, existe a necessidade de se provar se ocorreu um dano, já que não é só porque os dados foram expostos que, necessariamente, o “proprietário” deles teve um prejuízo. Os dados vazados devem ser importantes a ponto de, se usados por outras pessoas, causarem prejuízos materiais ou morais.
Nesse sentido, existem casos em que o dano é presumido, ou seja, não precisa ser provado. Um exemplo fácil de se entender é quando os seus dados bancários são expostos na internet e alguém usa para abrir contas em bancos, solicitar cartão de crédito e no pagamento da fatura. Não é preciso provar que aquilo gerou um dano para mim, porque é óbvio que isso me trás problemas, já que meu nome fica negativado e o banco pode me cobrar por essas compras; portanto, eu tenho que provar que não fui eu quem realizou as transações. Outra possibilidade é ser exposto que eu tenho alguma doença incurável ou algo do tipo.
Sendo uma empresa, então pode ser processada se não tomar cuidado, e não estamos falando só de grandes empresas. Qualquer uma e de qualquer tamanho. Desde aquela que usa sistemas informatizados de armazenamento de dados até aquelas que usam o caderninho para controlar as dívidas dos fregueses.
Outro problema é de natureza administrativa, as penalidades que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) em caso de vazamento, que estão previstas no artigo 52 da lei e variam de acordo com a gravidade e o tamanho do vazamento.
As empresas são obrigadas a notificarem esses vazamentos , e o artigo 48 é direto em afirmar. Se isso não for feito, as penas podem ser aumentadas significativamente, já que além do vazamento ter ocorrido, a empresa não fez nada para tentar barrar esse evento e não deu a informação aos seus clientes.
Não faça como ocorreu em 2018, quando um banco foi invadido e, mesmo com alguns dados expostos (para provar que realmente aquela invasão havia ocorrido), eles negaram o episódio e tentaram intimidar o TecMundo a retirar a notícia do ar. Seja responsável, assuma o erro e tome as providências para minimizar ou encerrar os prejuízos dos usuários.
Então é melhor pagar?
Este é um problema grande: pagar ou não pagar? Se você pagar, quem garante que os dados não serão expostos ou que o invasor não vai voltar a te atacar? Lembre-se de que ele já sabe a sua vulnerabilidade e pode mais uma vez usá-la para entrar no sistema e sequestrar de novo os dados, então uma parte da solução é reinstalar tudo do zero.
E se não pagar pode ter que arcar com os prejuízos que podem ser até maiores do que o “resgate” pedido. Recentemente, a JBS pagou o resgate de mais de US$ 11 milhões (equivalente a cerca de R$ 55 milhões) para que as suas atividades fossem retomadas, enquanto a Embraer decidiu não ceder . Mas não tem como saber quem estava certo ou errado e quais seriam os dados expostos.
Pois é, meu amigo. A responsabilidade é sempre da empresa. Por enquanto, treinamento da equipe pode ser o melhor que você pode fazer, assim como estar preparado para os incidentes, mostrando quais são as consequências caso isso ocorra e o que pode ser feito para que as chances sejam reduzidas.
De qualquer forma, é preciso que a sua empresa esteja preparada para a LGPD. E aí? A sua empresa está?
*****
Rofis Elias Filho, colunista do TecMundo, é geek e advogado, apaixonado por tecnologia desde pequeno. Foi o primeiro da rua a ter internet em casa, em 1994, e se especializou em Direito de Informática no Brasil e em Portugal. Hoje, é professor da mesma matéria em diversas instituições, tendo sido coordenador-executivo da Pós-Graduação da ESA/SP. É sócio do escritório Elias Filho Advogados , que advoga para diversas empresas de tecnologia no Brasil e no exterior.