“Seus dados agora são meus”: o que fazer diante de um sequestro digital
Quanto valem os dados da sua empresa? Se você nunca se fez essa pergunta, é bom fazer porque alguém pode te fornecer essa resposta à sua revelia um dia. Como assim?
A expansão da rede mundial de computadores, celulares e tablets conectados por meio de tecnologias 4G, 5G, fios, cabos, ondas e o que mais inventarem não é novidade para ninguém. Na verdade, é difícil hoje saber onde termina a vida feita de material concreto e onde começa a vida digital, dada a conexão – opa! – existente entre ambas.
Do mesmo jeito que as redes são um meio para reuniões de trabalho e relacionamentos interpessoais, elas também se tornaram um espaço para um tipo de crime que foi bastante comum no Brasil durante os anos 1990 e início dos anos 2000: os sequestros. As vítimas, no caso, são os dados privados de pessoas físicas e jurídicas, que são levados a cativeiro para serem resgatados mediante uma indenização.
“O ransomware [nome em inglês pelo qual o sequestro digital é conhecido] usa da criptografia. Ele infecta uma máquina, uma rede de computadores e criptografa os dados, tornando esses dados ilegíveis, a não ser para quem possua uma chave de criptografia, que é um dado também. Só que não é trivial você saber qual é essa chave”, explica Márcio Moretto Ribeiro, professor do curso de sistemas da informação da Universidade de São Paulo (USP). “O que o criminoso faz é cobrar um resgate, geralmente em bitcoin [moeda digital], que é mais difícil de rastrear, para te entregar essa chave”.
Márcio Moretto Ribeiro (Crédito: divulgação)
“Esse crime é disseminado geralmente através de ‘phishing scam’, que consiste no envio em massa de e–mails fraudulentos acompanhado de um código malicioso (trojan). Qualquer um, ao clicar/abrir determinado conteúdo ou link pode ser alvo de invasão maliciosa a partir desse código manipulado para criptografar, por exemplo, o disco rígido de um dispositivo”, afirma Marcelo Nogueira Mallen da Silva, especialista em Direito digital e empresarial e consultor da Truzzi Advogados.
Além disso, segundo Ribeiro, o valor dos resgate é determinado de tal forma que pareça vantajoso à empresa pagá-lo em troca da recuperação dos dados. “Os criminosos costumam cobrar um valor que é alto, mas não é estrondoso. A pessoa responsável avalia que é mais barato pagar o resgate do que arcar com os custos de perder os dados.”
Foi o que aconteceu com a JBS. A gigante brasileira do setor frigorífico teve os dados de sua subsidiária nos Estados Unidos sequestrados no primeiro semestre deste ano. A empresa pagou US$ 11 milhões (cerca de R$ 60 milhões) para recuperar seus dados. O valor, embora alto, é irrisório para a empresa, que lucrou mais de R$ 4 bi apenas no segundo trimestre de 2021.
A pesquisa “O Estado de Ransomware em Serviços Financeiros 2021”, realizada pela Sophos, mostrou que as empresas do setor financeiro de médio porte gastaram US$ 2 mi (R$ 10,73 mi, pelo câmbio da sexta-feira, 1/10) em média para se recuperar de um ataque de ransomware. A média global de gastos é de US$ 1,82 mi (R$ 9,71 mi).
O levantamento mostrou também que, em 2020, 62% das vítimas pesquisadas neste setor conseguiram restaurar seus dados criptografados de backups e 34% das organizações de serviços financeiros pesquisadas foram atingidas por ransomware em 2020. Já 51% das organizações afetadas disseram que os invasores conseguiram criptografar seus dados e somente 25% pagaram o resgate para obter os dados criptografados de volta. A média global foi de 32%.
O Brasil é o quinto maior alvo desse tipo de crime no mundo, ficando atrás dos Estados Unidos, Reino Unido, Alemanha e África do Sul, segundo pesquisa da consultoria alemã Roland Berger, que estimou os prejuízos globais causados pelos cibercrimes (não apenas o ransomware) em R$ 6 bilhões.
UM DESAFIO JURÍDICO
O crime não é tipificado por uma legislação específica, apesar do Brasil ter sua Lei Geral de Proteção de Dados (LGPD), com vigência plena desde agosto deste ano, e esta prever uma indenização para as vítimas. Além disso, a Lei Federal 14.555, de maio de 2021, alterou dispositivos do Código Penal Brasileiro, de modo a tornar mais graves os tipos penais de violação de dispositivo informativo, furto, estelionato e fraude eletrônica ou por meio da internet.
Marcelo Nogueira Mallen da Silva (Crédito: divulgação)
“O sequestro digital de empresas agrega uma série de outras condutas criminosas convergentes”, afirma o advogado. “Isso porque os meios empregados estão dia após dia mais refinados e demandam um novo olhar sob a vigência das normas e alterações legislativas em geral, principalmente aquelas complementares à garantia constitucional da privacidade inerente a pessoas físicas e jurídicas.”
O crime, ele explica, pode ser desmembrado e agrupado da seguinte forma: invasão de dispositivo informático, furto (qualificado), extorsão e estelionato. A partir disso, determina-se a penalidade para os sequestrados, pela soma dos crimes eventualmente cometidos.
DIVULGAR OU NÃO DIVULGAR, EIS A QUESTÃO
Por tratar não apenas dos dados das empresas, mas, eventualmente, também de seus clientes, colaboradores, funcionários e fornecedores, o sequestro digital coloca as companhias diante de um dilema: deve-se publicizar ou não o ocorrido?
“A tomada de decisão por divulgar ou não independe de atuação da polícia ou demais instituições”, afirma Mallen. “Mesmo sendo de difícil ponderação ainda optar por divulgar casos de vulnerabilidade da segurança da informação, isso demonstra maturidade e boas práticas de governança, preocupação em solucionar problemas, aumentando o grau de credibilidade e transparência junto aos clientes, fornecedores, a sociedade, ao mercado e as autoridades envolvidas.”
Outro agravante é que esses crimes não conhecem fronteiras, podendo ser praticados desde, por exemplo, outro país que não aquele onde a empresa está sediada. No caso da JBS, que tornou o caso público, o grupo russo REvil (também conhecido como Sodinokibi), um dos mais lucrativos do mundo nessa área, fora apontado como autor do sequestro pelo FBI.
Hoje, apenas a União Europeia tem uma regulação que vai além dos limites geográficos de um determinado país. “A tendência é você ficar cada vez mais vulnerável ao ataque. São quadrilhas internacionais”, afirma Márcio Borges, pesquisador do NetLab da Universidade Federal do Rio de Janeiro (UFRJ) e especialista em ciência da informação.
FORMAS DE PROTEÇÃO
Apesar de se tratar de um crime de alta complexidade, não há, ainda, formas de prevenção além daquelas já conhecidas, como o backup permanente, o salvamento dos dados em nuvem, as atualizações do sistema, o reforço da rede de proteção de dados e a atualização dos softwares de segurança. “Ele [o sequestrador] explora uma vulnerabilidade zero day, uma vulnerabilidade na rede. A Microsoft [por exemplo] assim que fica sabendo de uma vulnerabilidade, a corrige e anuncia uma atualização do sistema. Mas as pessoas precisam realizar essas atualizações. As empresas vão estar mais vulneráveis quando não estiverem com o sistema atualizado. É aí que mora o perigo”, afirma Ribeiro.
Além disso, cabe a rejeição a e-mails não institucionais e anexos suspeitos; o monitoramento qualitativo e quantitativo periódico dos backups. É bom levar isso a sério. Muito a sério. “Isso é um problema de privacidade. A questão da segurança será cada vez mais cobrada das empresas”, diz Borges.
