E a cada ano que se passa os números vão aumentando quase que em progressão geométrica. 

De acordo com informações recentes, extraídas do relatório de threat intelligence da FortiGuard Lab, laboratório de segurança cibernética da Fortinet Brasil, o Brasil foi o segundo país mais atingido por tentativas de ataques cibernéticos da América Latina durante o ano de 2022.

 Ao todo, foram identificados pelo menos 103,16 bilhões de investidas de cibercriminosos no país, o que representa um aumento de 16% na comparação com o ano de 2021, quando foram registrados 88,5 bilhões de tentativas de ataques.

Os setores mais afetados pelos ataques são variados, tendo um amplo número de ataques contra agências e empresas ligadas ao  governo, enquanto que no setor privado, o pódio fica com a educação, o varejo e a área de saúde. 

Normalmente, esses ataques podem trazer prejuízos financeiros, perda de dados e até mesmo podem danificar a reputação da empresa afetada. Por isso, é fundamental que as empresas adotem boas práticas e regras de governança aplicada em segurança da informação para blindar seu negócio de ciberataques.

A segurança da informação está intimamente relacionada com a adoção de práticas, processos e tecnologias visando proteger os ativos de uma organização contra incidentes que atentem contra a confidencialidade, integridade e disponibilidade das informações, tais como acessos não autorizados, uso indevido, roubo, alteração ou destruição da informação, que pode ou não envolver dados pessoais.

 Para tanto, é importante adotar um Programa de Governança que envolva a implementação de políticas e procedimentos para proteger o principal ativo da empresa: a informação.

A informação pode ser considerada confidencial quando referir-se aos segredos comerciais ou de propriedade intelectual, informações de registros financeiros, entre outras. Agora, quando esta informação for qualificada a ponto de poder identificar ou tornar identificável uma pessoa natural, ela será considerada como um dado pessoal e fará com que incida as disposições da Lei Geral de Proteção de Dados (LGPD). 

Neste contexto pode-se incluir informações como nome, data de nascimento, endereço, números de documentos, telefone, e-mail, fotografia ou qualquer outra informação que permita a identificação de uma pessoa.

Assim, de modo geral, quando houver a utilização de dados pessoais na atividade empresarial, a LGPD determina que os agentes de tratamento implementem medidas técnicas, organizacionais e físicas adequadas, para mitigar o risco de algum tipo de incidente de segurança que possa violar estes dados. 

Deste modo, é importante a implementação de uma cultura de privacidade e segurança da informação para garantir que todos os funcionários estejam conscientes da sua participação no processo de preservação dos ativos, visando mitigar os riscos que podem estar associados aos ciberataques.

LEIA TAMBÉM:

• Sanções por descumprimento da LGPD pode atingir o setor de saúde
• Cibersegurança: tendências e desafios para 2023

As chamadas medidas de segurança física, técnicas e organizacionais são diferentes abordagens que podem ser usadas para proteger as informações, sistemas e recursos da empresa contra ameaças cibernéticas. 

Medidas de segurança física são as que buscam proteger os recursos físicos da empresa, como servidores, equipamentos de rede e dispositivos de armazenamento, por exemplo; as técnicas são as que envolvem o uso de tecnologias e são úteis para proteger os recursos da empresa contra ameaças cibernéticas; por fim, as organizacionais envolvem a gestão de pessoas e organização de fluxos e processos.

Para cada tipo de situação é necessário a implementação de um tipo adequado de medida. Isso significa que a adoção de criptografia não vai proteger uma pasta que fica armazenada em um arquivo físico no corredor principal. Para espaços físicos devem ser adotadas medidas físicas e para o ambiente tecnológico é necessário implementar medidas técnicas. 

Já a utilização de medidas organizacionais é recomendável para indicar o comprometimento da organização com uma gestão focada em boas práticas e governança corporativa.

Isso envolve a realização de treinamentos regulares para os funcionários, a implementação de políticas de segurança da informação que estabeleçam as responsabilidades de cada um na proteção das informações e o gerenciamento das vulnerabilidades, possibilitando a realização de testes de segurança periódicos. 

Como a tecnologia tem avançado diariamente, os malwares e ameaças cibernéticas também estão se reinventando, de modo que a versão do antivírus de hoje pode não ser suficiente para proteger os dispositivos amanhã. Ter o acompanhamento de uma assessoria especializada em cibersegurança permite identificar eventuais falhas de segurança e corrigi-las antes que os hackers possam explorá-las.

O valor aplicado em segurança da informação deve ser visto pela empresa como um investimento e não como um custo. A implementação de boas práticas de segurança da

informação pode trazer diversos benefícios para a empresa, como a redução dos riscos de ciberataques, a proteção da reputação da empresa e a garantia da continuidade dos negócios em caso de incidentes de segurança.

 Ao adotar essas práticas, as empresas estarão mais preparadas para enfrentar os desafios do mundo digital e proteger suas informações contra os ciberataques cada vez mais frequentes.

A melhor maneira para prover a segurança da informação é através de soluções e práticas tecnológicas para combater os riscos dos ambientes digitais. 

Adicionalmente, sugere-se aos usuários dos serviços digitais que nunca seja compartilhado publicamente informações que não gostariam que tornar-se de conhecimento público; que as postagens em redes sociais sejam limitadas para grupos específicos com outras pessoas que já fazem parte da sua rede pessoal; e que redobre-se a atenção às funcionalidades básicas de segurança que já existem em redes sociais e outros serviços como, por exemplo, a habilitação da autenticação multifator.

O fato de a empresa investir na implementação de medidas de segurança não é garantia de que um incidente não vá acontecer. Contudo, este comportamento será levado em consideração pela Autoridade Nacional de Proteção de Dados (ANPD), na eventualidade de abertura de um processo administrativo fiscalizatório para a apuração da responsabilidade do agente de tratamento.

 Nesse sentido, a comprovação da adoção de boas práticas e a implementação de uma governança em privacidade e proteção de dados é requisito essencial para atenuar uma possível sanção e ser fundamental para blindar a empresa de ciberataques.

O post Como a assessoria jurídica auxilia na blindagem contra ciberataques? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Durante o ano de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) iniciou o processo de regulamentação das sanções e poderá aplicar sanções retroativas por violações que tenham sido praticadas desde agosto de 2021, podendo ser aprovado ainda no mês de fevereiro de 2023, passando para a fase de fiscalização e aplicação das multas.

A aplicação retroativa fica restrita às infrações que eventualmente forem cometidas após a vigência dos artigos 52, 53 e 54 da LGPD, já que não há possibilidade de aplicação de sanções por infrações ocorridas antes disso. Outro ponto relevante a ser destacado é que não é apenas a ANPD que poderá realizar a fiscalização do cumprimento da legislação. Outros órgãos, como o Ministério Público, Senacon e o Poder Judiciário também devem atuar no caso de serem acionados diretamente pelos titulares.

Olhando para o cenário internacional e tomando como parâmetro o Regulamento Geral de Proteção de Dados (RGPD), desde a sua entrada em vigência na União Europeia, em 25 de maio de 2018, já foram aplicadas pouco mais de 900 sanções, com valor que ultrapassa 1,3 bilhões de euros e o setor de saúde é um dos mais afetados. 

O maior grupo de multas está relacionado a medidas técnicas e organizacionais insuficientes, isto é, falta de segurança de dados. Somente nesta área foram aplicadas 21 multas, num total de cerca de 8,9 milhões de euros ou mais de 90% do valor total das multas no setor da saúde.

No Brasil, em 2021, um hospital foi condenado a pagar uma indenização para uma paciente por conta de falhas de segurança na guarda dos prontuários médicos. 

Em resumo, de acordo com o processo, houve uma invasão aos sistemas do hospital, possibilitando que uma pessoa não autorizada tivesse acesso a informações que deveriam ser mantidas em sigilo e, com isso, conseguiu convencer familiares da paciente a realizar um depósito no valor de R$ 3.000 para a realização de supostos procedimentos médicos não cobertos pelo serviço contratado.

 Ao final da ação, o hospital foi condenado ao pagamento de uma indenização por danos morais e em restituir o valor pago ao golpista pela família da paciente.

Contudo, mais preocupante do que os valores que são pagos em multas e indenizações, o dano reputacional e à imagem é algo que poderá conduzir o titular a procurar outra empresa para se relacionar por quebra de confiança. E para evitar as punições, o segredo é apenas um: estar em conformidade com a legislação e preparado para atender às demandas e solicitações que chegarem, sejam dos titulares ou dos órgãos de fiscalização.

É importante entender o ciclo de vida dos dados pessoais, apontar as finalidades pela qual ocorre cada uma das operações de tratamento e definir as bases legais que justificam e autorizam as atividades. Além disso, avaliar os compartilhamentos e as medidas de segurança que são adotadas para proteger a confidencialidade, integridade e disponibilidade das informações também é altamente recomendável.

No setor da saúde, por lidar com dados sensíveis, os cuidados devem ser redobrados pelos agentes de tratamento.

 Além disso, em razão da volumetria de dados pessoais e dados pessoais sensíveis que são manipulados no dia a dia em clínicas, consultórios, laboratórios e hospitais, os riscos podem ser muito altos e precisam ser tratados de acordo com a urgência e nível de criticidade. Isso porque, conforme previsão da LGPD, no caso de algum dano (patrimonial ou moral) ao titular, o agente de tratamento fica obrigado a reparar.

Daí vem a necessidade de se estabelecer um Programa de Governança em Proteção de Dados, que possa trazer segurança para as atividades de tratamento que são realizadas, garantindo um nível adequado de conformidade com a legislação como um todo (e não apenas com a LGPD), permitindo que os agentes de tratamento realizem suas operações e possam estar preparados para atender aos titulares, órgãos de fiscalização e também para agirem em casos de incidentes de segurança.

A pandemia do coronavírus fez com que houvesse uma alta na procura por atendimentos médicos e diariamente foram divulgadas informações sobre o número de novos contaminados, total de vacinados, registro de óbitos e indicação dos que foram curados. O compartilhamento destas informações consta no item 43, do Anexo da Portaria nº 204/2016, do Ministério da Saúde, que estabelece os critérios e lista de doenças que devem ser comunicadas compulsoriamente com os órgãos de saúde pública.

O volume de informações divulgadas e o registro em um banco de dados unificado atraiu hackers que realizaram ataque aos servidores do DataSUS e gerou o comprometimento de informações de saúde de milhões de brasileiros, causando instabilidade no aplicativo ConecteSUS, que reúne registros da vacinação contra o coronavírus. 

Após a identificação das falhas que permitiram o acesso indevido, houve a necessidade de reparos por parte do Ministério da Saúde, para reforçar o nível de segurança e recuperar os registros do aplicativo.

Esse ataque acendeu o alerta para o setor da saúde, fazendo com que inúmeras instituições que ainda não haviam iniciado seus programas de governança, começassem a se movimentar para adequar suas atividades. 

Pelo que se percebe do cenário atual, somente com a elaboração e implementação de um programa de governança em proteção de dados aderente, com a revisão das medidas de segurança para garantir o sigilo das informações que estejam sob guarda e responsabilidade das instituições e reforço das boas práticas para gerar engajamento e aculturamento interno, é possível demonstrar um nível seguro de conformidade.

Por lidar com dados pessoais sensíveis, que podem gerar um nível de exposição extremamente elevado aos titulares, as instituições de saúde precisam se manter vigilantes quanto às regras de proteção de dados e segurança da informação, vez que se encontram como alvo principal dos ciberataques. As empresas ligadas ao setor de saúde estão entre as mais visadas para ataques cibernéticos, superando o setor de varejo que foi altamente afetado nos últimos anos.

Os cibercriminosos sabem que os ataques que envolvem dados de pacientes podem afetar a continuidade dos atendimentos médicos e, em razão disso, caso não haja um backup atualizado e medidas de segurança capazes de garantir a confidencialidade, integridade e disponibilidade dos dados pessoais, numa tentativa de ransomware, por exemplo, há uma possibilidade de cobrarem valores elevados para o resgate de tais informações.

Pesquisa divulgada pela Check Point Research (CPR), referente ao terceiro trimestre de 2022, mostra que a saúde é o setor mais atingido por ataques cibernéticos no Brasil, sendo que uma em cada 42 organizações foi afetada por um ransomware. Em média, as organizações foram atacadas 1.484 vezes semanalmente, um aumento de 37% comparado ao período do terceiro trimestre de 2021. 

Para proteger suas informações, é importante que as empresas do setor de saúde implementem medidas de segurança cibernética rigorosas.

Isso inclui a realização de treinamentos de segurança para todos os funcionários, a instalação de software de segurança atualizado em todos os dispositivos e a criação de políticas rigorosas de senhas, controle de acessos e gestão de ativos. 

Além disso, é importante monitorar constantemente as atividades de rede e contar com uma equipe de segurança cibernética para monitorar as ameaças e responder rapidamente a qualquer incidente. Em conjunto com o Data Protection Officer (DPO), esses profissionais têm o conhecimento e a habilidade para proteger as informações sensíveis e garantir a continuidade dos negócios.

Estar atento às novidades tecnológicas e implementar as medidas adequadas obviamente que não é garantia de que a empresa não sofrerá um incidente, assim como a adoção de boas práticas. Porém, a boa-fé do agente de tratamento é um critério atenuante no caso de aplicação de sanções pela autoridade.

Adalberto Fraga Veríssimo Júnior é advogado, graduado em Direito pelo Centro Universitário Filadélfia (UniFil), certificado em proteção de dados pela CertiProf e em segurança da informação (ISO 27001) e proteção de dados (LGPD e GDPR) pela AdaptNow, especialista em Direito Digital e Proteção de Dados pela Ebradi, pós-graduando em Cibersegurança e sócio da Lee, Brock, Camargo Advogados (LBCA) na área de Direito Digital e Novas Tecnologias.

O post Sanções por descumprimento da LGPD pode atingir o setor de saúde apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Em 5 de novembro, em meio aos preparativos para as eleições municipais e ante a iminência da repetição das internações e mortes trazidas pela pandemia da covid-19, a imprensa noticiou ataques hacker que atingiram os bancos de dados do Superior Tribunal de Justiça (STJ), do Conselho Nacional de Justiça (CNJ), do Ministério da Saúde e do governo do Distrito Federal, que tiraram do ar muitos de seus serviços.

Em 11 de novembro, o Tribunal de Justiça do Rio Grande do Sul (TJ-RS) declarou publicamente a indisponibilidade de seus sistemas, por conta de outro ataque hacker.

Finalmente, em 15 de novembro, no dia em que se realizou o primeiro turno das eleições municipais em quase todo o Brasil, o presidente do Tribunal Superior Eleitoral (TSE), o ministro Luís Roberto Barroso, anunciou que o tribunal havia sofrido um grande ataque hacker, com o vazamento criminoso de dados administrativos de funcionários e ex-ministros.

Além das medidas preventivas que deveriam ser implementadas com eficiência pelo governo a fim de evitar essas situações, a frequência com que tais ataques hacker vêm acontecendo, especialmente na modalidade ransomware (quando se requer um resgate para a cessação da agressão), suscita também uma importante reflexão sobre as possíveis soluções que as autoridades públicas poderiam adotar uma vez concretizadas essas ameaças.

Seria possível, nessas hipóteses, que o Estado viesse a negociar com os autores dos ataques e, eventualmente, a pagar o resgate requerido? Seria possível compatibilizar eventual pagamento com as exigências orçamentárias?

No nosso entendimento, os ciberataques na modalidade ransomware representam ameaças concretas ao Estado, à administração pública, aos serviços essenciais que ela se propõe a oferecer de forma contínua e, consequentemente, a todos os cidadãos.

Tornando-se possível equiparar tais situações às de “imprevisibilidade” e “urgência” que autorizam, nos termos do artigo 167, parágrafo 3º, da Constituição Federal, a abertura de créditos adicionais extraordinários que justificariam eventual pagamento de resgate para fins de cessar os ataques.

Ora, poder-se-ia argumentar que o parágrafo 3º do artigo 167 da Constituição restringe as hipóteses de abertura do crédito adicional em questão às situações de guerra, calamidade ou comoção interna.

Tendo em vista que os ciberataques não têm sido considerados pela comunidade internacional como atos de guerra e nem tampouco se enquadrariam nas outras duas hipóteses, impossível seria a abertura do crédito adicional extraordinário no orçamento para fins de pagamento de resgate em casos de ataque de ransomware.

Ocorre que o Supremo Tribunal Federal (STF) já entendeu que as hipóteses de “guerra”, “comoção interna” e “calamidade pública” são apenas exemplos fornecidos pela Constituição na intenção de densificar normativamente a interpretação do que haveria de se considerar como requisitos de “imprevisibilidade” e “urgência” imprescindíveis à configuração das hipóteses autorizadoras da abertura do crédito adicional extraordinário.

E mesmo verificando a existência de um arcabouço jurídico e legal que autorize eventual decisão administrativa de pagamento de resgate, ainda assim será necessário que a decisão do pagamento seja extremamente fundamentada, com a demonstração de cálculos de eficiência, potenciais riscos e danos, irreversibilidade de prejuízos, adequação, necessidade e proporcionalidade, de modo que se demonstre a ausência de qualquer outra solução alternativa que se provasse, ao final, menos custosa.

E essa ponderação de custo e eficiência também não descartaria a necessidade de demonstrar que a decisão, ao final, mostrou-se adequada também à moralidade, pois este é igualmente um dos princípios que regem a administração pública e a preocupação com o seu cumprimento ou melhor, com a sua preservação num grau tal que não nulifique a conservação dos demais valores e princípios concorrentes na atuação estatal – deve nortear também as decisões administrativas.

Por fim, é importante notar que a discricionariedade do Estado no exercício do poder de polícia na hipótese em questão deve estar muito bem fundamentada, levando em consideração todas as análises exemplificativas acima indicadas, para que não se alegue que o seu exercício extrapolou o interesse público e se configurou como excesso.

Aliás, parece-nos que o arcabouço constitucional e legal autoriza essa hipótese inclusive em âmbito orçamentário, uma vez que referidos ataques facilmente cumpririam os requisitos de “imprevisibilidade” e “urgência” imprescindíveis à autorização de abertura de créditos adicionais extraordinários que permitiriam o pagamento dos referidos resgates.

Levando-se em consideração todas as hipóteses, parece-nos que o Estado poderia, sim, com base no arcabouço jurídico em vigor, negociar resgates com cibercriminosos, desde que cumpridos todos os requisitos mencionados e desde que comprovada a absoluta necessidade, adequação e proporcionalidade de sua decisão ao caso concreto.

O post Pagamento de resgate em ciberataques apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Para Camargo, os continuados casos de megavazamentos no Brasil mexem com os direitos fundamentais dos brasileiros, sendo uma das preocupações da Presidente Patrícia Vanzolini e do Vice-presidente, Leonardo Sica, principalmente porque falta uma regulação que consiga modular as sanções para diferentes tipos de crimes digitais, no sentido de combater os ataques de hackers transnacionais.

Solano de Camargo é Pós-doutorando em Direito Internacional pela Faculdade de Direito de Coimbra (UC). Doutor e mestre em Direito Internacional e Comparado pela Faculdade de Direito da Universidade de São Paulo (USP), onde se graduou. Pesquisador (split-site doctoral program) na Faculdade de Direito da Universidade do Porto (UP). Graduado em Direito francês pela Université Jean Moulin (Lyon 3).

Membro da International Bar Association (IBA), da International Law Association (ILA) e da Sociedade Latino-Americana de Direito Internacional (SLADI). Advogado e professor em São Paulo. Eleito um dos Advogados Mais Admirados do Brasil pela Análise Advocacia, período de 2009 a 2021. Na mesma publicação, também figurou como um dos destaques nas áreas Cível, Digital, Aeronáutica e Consumidor, entre outras.

O post SOLANO DE CAMARGO PRESIDIRÁ A COMISSÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS DA OAB SP apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

A pandemia da covid-19 impulsionou uma verdadeira revolução digital, transformando completamente a vida das pessoas ao redor do mundo, que se viram obrigadas a migrar desde suas atividades rotineiras, como um happy hour ou mesmo reuniões importantes, para o ambiente digital, o que acabou ocasionando, também, o aumento significativo de ciberataques.

Os ataques de ransomware durante a pandemia têm sido um dos maiores problemas de segurança na internet já enfrentados por organizações e governos, em todo o mundo. Ransomware é um tipo de software malicioso – malware – que criptografa arquivos e documentos em qualquer dispositivo, desde um único laptop até uma rede inteira de equipamentos, incluindo servidores. Na maioria das vezes, as vítimas têm poucas opções: pagar resgate aos criminosos; restaurar os arquivos a partir de backups; contratar caríssimos serviços antihackers; ou, na pior das hipóteses, começar tudo do zero.

É forçoso reconhecer que os ataques cibernéticos não são simples ilícitos criminais, mas representam ataques à segurança nacional, de alcance geopolítico. Os indivíduos por trás dos ataques moram em algum lugar, onde normalmente gastam parte de seus ganhos ilícitos, embora a maioria dos Estados acusados de abrigar os hackers negue incentivar ou promover esses ataques, como é o caso da Rússia ou da Coreia do Norte.
A situação parece piorar quando o próprio governo brasileiro não parece disposto a agir contra o problema, sendo notórios os casos de megavazamentos de dados dos cidadãos confiados a um sem número de bancos de dados públicos.

Uma primeira opção para desincentivar o pagamento de resgates seria a exigência legal de se publicarem esses pagamentos, como forma de expor os atos ilícitos. Porém, a própria Lei Geral de Proteção de Dados (LGPD) exige a divulgação imediata dos incidentes de vazamentos de dados pessoais.

Em segundo lugar, a falta de investimentos em segurança cibernética poderia ser uma razão apresentada pelas seguradoras para a falta de cobertura dos incidentes, o que levantará, certamente, uma série de oposições daqueles que consideram o Código de Defesa do Consumidor aplicável a praticamente todas as relações econômicas.

Por fim, é importante enfrentar os problemas trazidos com as criptomoedas. É muito importante desenvolver regras transnacionais e locais antilavagem de dinheiro, adequadas à era digital. Como se sabe, as criptomoedas não são totalmente ocultas, mas registradas em blockchain, e podem ser às vezes mais rastreáveis que a moeda tradicional.

O grande desafio das autoridades policiais é descobrir a identidade do hacker ou do receptador dos frutos da extorsão. Porém o avanço da Inteligência Artificial, cada vez mais, permitirá a análise de operações online, na qual se poderão distinguir as transações lícitas das ilícitas.

O ponto é que estes problemas não podem ser resolvidos por agentes isolados, como empresas ou indivíduos, sem a liderança dos governos e o estabelecimento de regras claras que combatam efetivamente os ataques.
A primeira medida a ser tomada pelo Estado brasileiro é a melhor regulação das diferentes modalidades de crimes virtuais – hoje em dia resumidos a poucos artigos do Código Penal –, estabelecendo novos tipos e permitindo o contra-ataque virtual a invasões iniciadas dentro do território ou no exterior (hack-back)

Entrou em vigor recentemente a Lei 14.155/2021, que agrava as penas dos crimes de furto e estelionato quando praticados mediante o uso de dispositivos eletrônicos. Com a alteração, configura-se o crime ainda que o dispositivo invadido não seja alheio (mas esteja sob uso de outra pessoa), estando o dispositivo conectado ou não à internet. Todavia, enquanto permanecer a atual redação do artigo 154-A do Código Penal (Lei Carolina Dieckmann), as autoridades policiais brasileiras e as Forças Armadas estarão proibidas de contra-atacar os hackers, como já fazem nos Estados Unidos, na Suíça ou na França, pois toda e qualquer invasão a dispositivo eletrônico será um ilícito.

Segundo o Código Penal, os policiais que poderiam agir para cessar um ataque cibernético são tratados da mesma forma bipolar que a história trata Lampião e seus cangaceiros: ao contra-atacar, são eles tão criminosos quanto os próprios hackers.

O post Os novos cangaceiros do ciberespaço apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.