0
0
No caso de um ataque de ransomware, é necessário identificar e isolar os sistemas comprometidos, além de proceder à restauração do backup mais recente em relação aos bancos de dados afetados. As autoridades responsáveis precisam ser acionadas e, se a empresa for de capital aberto, todos os acionistas e o mercado devem ser comunicados sobre o fato.
*Por Camila Borba Lefèvre e Flavia Meleras Bekerman
Os ataques de ransomware se espalharam pelo mundo corporativo, e muitas empresas estão sofrendo com as consequências desse tipo de golpe. Seguindo uma tendência mundial de aumento no número de casos, o Brasil já é o quinto maior alvo da ameaça virtual, com 9 milhões de tentativas de invasão, segundo relatório da SonicWall, empresa de cibersegurança.
O ataque cibernético acontece quando um computador ou grupo de computadores de uma empresa é infectado, criptografando os dados e impedindo que sejam acessados. Para que os dados sejam liberados, normalmente os criminosos exigem um resgate, ou, em inglês, ransom. O modelo é facilmente replicado, podendo atingir redes e servidores inteiros.
O sequestro de dados pessoais por um ransomware é um tipo de incidente de segurança ligado aos três pilares da Segurança da Informação: disponibilidade, integridade e confidencialidade. Como consequência, as organizações sofrem perdas e possíveis vazamentos da base de dados, incluindo dados pessoais de clientes, funcionários e terceiros envolvidos. Além disso, há um prejuízo financeiro considerável e exposição perante a opinião pública.
Mas, afinal, qual a relação entre a Lei Geral de Proteção de Dados (LGPD) e este tipo de ataque virtual? Segundo a Lei, os agentes de tratamento devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Portanto, o risco de vazamento ou até mesmo destruição da base de dados, característico desse tipo de ataque, pode significar uma infração à LGPD, que pode ser ainda mais grave se os dados envolvidos forem sensíveis.
Sendo assim, no caso de um ataque de ransomware, é necessário identificar e isolar os sistemas comprometidos, além de proceder à restauração do backup mais recente em relação aos bancos de dados afetados. As autoridades responsáveis precisam ser acionadas e, se a empresa for de capital aberto, todos os acionistas e o mercado devem ser comunicados sobre o fato. Contar com o apoio especializado de profissionais ligados à segurança da informação e proteção de dados pessoais é essencial para tomar as medidas adequadas. O próximo passo é a realização de investigações e auditorias para apurar os danos, causas e eventual responsabilidade pelo incidente.
No que se refere à proteção de dados pessoais, é importante que o Encarregado de tratamento de dados pessoais (DPO) avalie se o incidente de segurança tem potencial de acarretar algum risco ou dano relevante aos titulares. Caso sim, o Controlador deverá comunicar o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) em um prazo razoável de até dois dias úteis (48h) após a ciência do fato, esclarecendo questões como a natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; os riscos relacionados ao incidente; os motivos da demora, no caso de a comunicação não ter sido imediata; e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
A ANPD, por sua vez, dependendo da gravidade do incidente, poderá determinar a adoção de certas medidas para minimizar riscos, bem como determinar a ampla divulgação do fato em meios de comunicação. *Camila Borba Lefèvre e Flavia Meleras Bekerman são, respectivamente, sócia e consultora do Vieira Rezende Advogados.
FONTE: IP NEWS