O Brasil vive uma disparada de ataques de ransomware, ameaça digital que impede o acesso às informações armazenadas em um sistema ao embaralhar os dados e exigir um pagamento para desbloqueá-los.
As investidas com vírus de resgate, como também é conhecido, bateram recorde na primeira metade de 2021 no mundo todo. O Brasil é o 5º maior alvo dessa ameaça, com 9 milhões de tentativas de ataques, segundo um relatório da empresa de cibersegurança SonicWall.
No centro disso estão dados pessoais, financeiros e de saúde das pessoas, o que gera preocupações sobre privacidade e possíveis golpes.
Segundo especialistas ouvidos pelo g1, o Brasil ainda precisa amadurecer seus protocolos de segurança e investigação para esses casos – que, muitas vezes, envolvem gangues digitais internacionais.
Enquanto os ataques são abundantes, as informações divulgadas pelas empresas vítimas são escassas – raramente elas confirmam que foram atacadas por um ransomware.
Veja abaixo perguntas e respostas sobre esse cenário:
- Como a empresa sabe que foi vítima?
- As empresas precisam fazer alguma notificação sobre o ataque?
- Como sabem se os dados foram vazados ou não?
- Quem investiga tudo isso?
- A autoridade de proteção de dados deve punir as empresas vítimas de ransomware?
- O que fazer para se proteger?
1. Como a empresa sabe que foi vítima?
Quando há um ataque do tipo ransomware, as operações da empresa costumam parar. Isso porque o vírus “tranca” as informações dos sistemas e impede o acesso a elas.
Os criminosos, então, exigem o pagamento de um resgate para entregar uma senha que desbloqueia os dados.
Foi o que aconteceu com a JBS, maior processadora de carnes do mundo, alvo de um ataque desse tipo que interrompeu de suas operações na Austrália, no Canadá e nos Estados Unidos. A empresa disse ter pagado US$ 11 milhões em resgate aos hackers.
Há ainda outras modalidades de extorsão:
As extorsões feitas após um ataque de ransomware — Foto: Daniel Ivanaskas/Arte g1
2. As empresas precisam fazer alguma notificação sobre o ataque?
A Lei Geral de Proteção de Dados (LGPD), que impôs regras sobre o uso de dados pessoais dos brasileiros, não deixa isso claro.
Ela aponta que as empresas devem notificar seus clientes e a Autoridade Nacional de Proteção de Dados (ANPD) sobre “a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.
A lei não diz com clareza a quem cabe essa avaliação, nem o que caracteriza “risco ou dano relevante”. Hoje, a análise é realizada pela própria empresa que foi vítima.
Segundo a especialista em direito digital Patricia Peck, se a companhia determinar que o hacker somente “trancou” os dados dentro do próprio servidor da organização e não copiou informações para ambientes externos, ela não precisaria notificar ninguém – nem os clientes, nem a ANPD.
Para ela, esse cenário não é ideal. A advogada propõe um debate sobre maneiras de atestar a segurança para o público após um ataque.
“Uma declaração própria da empresa é o suficiente para restabelecer a confiança? Se a empresa tivesse ali um selo, uma nota técnica a respeito disso traria tranquilidade pra todos, inclusive para própria organização”, diz.
Paulo Rená, professor de direito no UniCEUB e pesquisador no grupo Cultura Digital e Democracia, defende que as empresas devem comunicar, de imediato, a ANPD e as pessoas que tiveram seus dados afetados.
“Normalmente, as empresas têm o padrão de evitar se referir ao problema, evitar assumir que o problema aconteceu para não reduzir sua credibilidade perante a clientela. Mas a LGPD traz outra lógica, de que a transparência é um compromisso”, afirma.
No início de setembro, o g1 perguntou para a ANPD o que ela considera “risco ou dano relevante” e quais são seus procedimentos para avaliar casos de ransomware, mas não obteve retorno até a última atualização dessa reportagem.
3. Muitas empresas entendem que não houve prejuízo ao afirmar que seus bancos de dados estão “íntegros”. Como elas sabem se os dados foram vazados ou não?
No mundo digital, é difícil não deixar rastros, embora a intenção de um cibercriminoso é ser o mais discreto possível.
Segundo Daniel Bortolazo, gerente de engenharia de sistemas da empresa de cibersegurança Palo Alto Networks, bases de dados costumam ser muito grandes e, caso um hacker transfira as informações, a empresa poderá detectar um pico de uso da sua rede. Quando não há esse indício, é um sinal de que não houve vazamento.
Existem ainda serviços prestados por companhias especializadas que fazem varreduras na internet e na deep web em busca de dados vazados.
Segundo Eduardo Batista, sócio da firma de consultoria e auditoria PwC, a primeira etapa da análise de uma empresa vítima de um ataque cibernético é preservar o ambiente afetado para ter uma espécie de fotografia que ajude a identificar as vulnerabilidades que possam ter sido exploradas.
Depois de diagnosticar como o ataque foi realizado, a auditoria verifica os registros sobre ações realizadas no sistema.
O histórico pode apontar se houve transferência de dados, se o volume da transferência foi grande e se os cibercriminosos tomaram outra ação para permanecerem com acesso ao sistema, por exemplo.
Para dizer que as bases estão “íntegras”, as empresas comparam seus dados com um backup e determinam se ocorreram alterações das informações.
“Quando a empresa afirma que bases de dados não foram acessados é porque os registros apresentam fatos e evidências que comprovam que aquele incidente não teve alcance nas bases de dados. Caso contrário, a gente não consegue fazer essa afirmação”, disse Batista.
4. Quem investiga tudo isso?
As empresas que sofrem ataques de ransomware são vítimas do crime de extorsão e devem procurar a polícia, segundo os especialistas ouvidos pelo g1. A ANPD, por sua vez, deve apurar eventuais vazamentos e danos aos cidadãos.
“A empresa pode fazer a denúncia em uma delegacia de crimes eletrônicos. Isso poderia escalar para uma investigação da Polícia Federal, se for demonstrado uma atividade de quadrilha que ataca a nível interestadual ou internacional”, destaca Patricia.
Essas investigações no Brasil podem melhorar, segundo a advogada. Para ela, “não estamos preparados e capacitados para combater esse tipo de ameaça”, que, muitas vezes, exige cooperação internacional para capturar os criminosos.
O ideal, para os especialistas entrevistados, é que houvesse uma cooperação entre vários órgãos nacionais com diferentes atribuições para combater o problema.
De acordo com o advogado Paulo Rená, a ANPD pode apurar casos de ataques com ransomware em conjunto com o Ministério Público.
“A gente não tem como antecipar a dinâmica, na prática, para os casos de incidentes, mas, sem dúvida, há atribuições que somam, não necessariamente são concorrentes”, explica.
Daniel Bortolazo, da Palo Alto Networks, aponta que algumas das gangues digitais vendem o ransomware como um serviço, alugando o vírus para que outros hackers façam as extorsões, geralmente cobradas em criptomoedas.
Esse cenário dificulta a contenção da ameaça, que ganhou muitos “braços” para atacar em todo o mundo.
Claudio Baumann, diretor geral do provedor Akamai na América Latina, afirma que as criptomoedas não têm relação com atividade criminosa em si, mas permitiram que os cibercriminosos trabalhassem em ações mais ousadas e pedissem resgates mais altos.
Em um dos casos recentes e emblemáticos, a JBS foi alvo de um ataque e precisou interromper algumas de suas operações na Austrália, no Canadá e nos Estados Unidos. O FBI foi acionado para investigar esse incidente e apontou que o grupo REvil (também conhecido como Sodinokibi) foi o responsável.
Acredita-se que a maioria de seus membros residam na Rússia ou em países que faziam parte da ex-União Soviética e as autoridades americanas ainda não conseguiram capturá-los.
Os presidentes de Estados Unidos e Rússia discutiram o tema da segurança digital no 1º encontro das autoridades – e os EUA já sinalizaram que vão pressionar o país europeu a combater as gangues digitais que operam por lá.
Entenda mais sobre ransomware:
VÍDEO: Ransomware – entenda como vírus é usado em extorsões
5. A autoridade de proteção de dados deve punir as empresas vítimas de ransomware?
A ANPD pode punir as empresas que foram vítimas de ransomware, tiveram seus dados roubados e depois vazados pelos criminosos. Isso porque a lei diz que as companhias precisam seguir medidas técnicas mínimas de segurança. O problema é que esse padrão ainda não foi definido.
Sem essas definições por parte da autoridade, seria difícil punir alguma empresa alegando que ela não cumpriu os requisitos básicos de segurança.
“Isso não é só para o setor privado, vale para setor público também. Se a gente entrar hoje em sites públicos, eles vão estar com padrão de senha segura?”, questiona a advogada Patricia Peck.
A lei prevê que as companhias estão sujeitas a multas de até 2% de seu faturamento, limitado a R$ 50 milhões por infração – o valor não é usado para indenizar os clientes e vai para um fundo que financia projetos que tenham como objetivo reparação de danos ao consumidor, meio ambiente, patrimônio e outros.
As sanções também podem envolver advertência, bloqueio dos dados pessoais a que se refere a infração e proibição de que a empresa realize atividades ligadas a tratamento de dados.
Contudo, a atuação da autoridade será “educativa”, pelo menos durante os próximos meses, justamente porque a autoridade ainda não regulamentou diversos trechos da lei.
Há ainda o fato de a ANPD ter uma equipe relativamente pequena, com 36 cargos, que não deve ter uma atuação de fiscalização proativa.
Segundo Rená, além da equipe reduzida, outro fator que restringe a atuação da ANPD é o fato dela não ser uma agência com orçamento próprio.
“Ela está na estrutura do poder Executivo, então isso também acaba limitando um pouco. Ela não é uma agência reguladora com a liberdade da Anatel ou da Aneel”, afirma.
6. O que fazer para se proteger?
Segundo Claudio Baumann, da Akamai, as empresas precisam adotar uma política de segurança com foco na prevenção de incidentes. A iniciativa envolve treinamentos para funcionários saberem como se proteger e a identificação de todos os dados controlados pela companhia.
“Dado que a segurança é um processo, o importante é começar. Não é de um dia para o outro que uma empresa vai estar protegida, mas é importante começar, entender quais são os pontos de vulnerabilidade e ir evoluindo nisso”, afirma.
Daniel Bortolazo, da Palo Alto Networks, ressaltou a importância de as empresas criarem um plano de ação e simularem casos como o do ransomware, para estarem preparadas no momento do ataque real.
Não existem sistemas completamente seguros e à prova de ataques, mas há medidas que podem ser tomadas para diminuir os riscos, seja em dispositivos particulares ou dentro das empresas.
Dicas para pessoas e empresas:
- mantenha sistemas e programas atualizados – os ataques exploram vulnerabilidades que estão sendo descobertas e corrigidas;
- utilize a autenticação em dois fatores – isso dificulta o acesso dos hackers às suas contas
- tenha backup dos dados;
- cuidado com e-mails e sites falsos – o phishing, quando um criminoso tenta enganar uma pessoa com uma mensagem convincente, é uma das portas de entrada mais comuns para os hackers;
- tenha um plano de ação – tenha um guia com um passo a passo de como agir em cenários de ataques cibernéticos.
Fonte: G1
