Data Protection Officer (Encarregado) - Ed. 2020

O Papel do Dpo em Data Breaches – O que Fazer Durante e Após Um Incidente?

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Domingo Montanaro 1

1.Incidentes Cibernéticos

1.1.Introdução

Bill Gates escreveu num artigo 2 publicado em 28 de fevereiro de 2020 no “The New England Journal of Medicine”:

“Em qualquer crise, líderes têm duas responsabilidades igualmente importantes: resolver o problema imediato e impedir que isso ocorra novamente.”

O título do artigo de Bill é “Responding to Covid-19 – A Once-inaCentury Pandemic?”, em que um dos principais temas abordados é como melhorar a nossa habilidade – enquanto humanidade – em responder a surtos, ou, como escrito no artigo, a “outbreaks”.

Procurando “outbreak” no dicionário on-line “Lexico” 3 , temos:

The sudden or violent start of something unwelcome, such as war, disease etc.

Ou seja:

“O início repentino ou violento de algo indesejável, como uma guerra, doença etc.”

Ora, é automático conectar essa definição a um incidente cibernético de vazamento de dados numa corporação.

Por isso, é praticamente impossível não escrever sobre como nossa humanidade opera, nos tempos atuais, na temática de resposta a incidentes em geral, antes de pôr o foco na questão cyber.

As falhas diárias nos protocolos e processos, a falta de respostas das equipes supostamente especializadas e as incertezas dos stakeholders (todos os interessados no assunto) que se observou no primeiro trimestre de 2020 com o Covid-19, causando quedas acentuadas nas bolsas de valores de todo o mundo, discussões e desentendimentos entre líderes globais e vertiginosas campanhas de desinformação nas redes sociais – mesmo que não intencionais – são fenômenos e efeitos muito similares aos observados nos incidentes cibernéticos.

O que pouco se discute é a causa das falhas e da má resposta, em que também é possível traçar um paralelo entre como os chefes de Estado e líderes de grandes corporações se assemelham quando o assunto é responder a incidentes.

Sabe-se que o trabalho de um CEO se resume em gerar lucro para os acionistas de uma corporação. Para isso, a receita é:

1) Aumentar faturamento;

2) Reduzir despesas;

3) Gerenciar risco.

O tempo é um ativo escasso na agenda de qualquer CEO. Dos assuntos que ele (a) trata no dia a dia, olhando para os tópicos anteriores, qual será que tem menos prioridade e alocação de tempo?

Vamos refletir: Dos temas que encaixam nos itens #1, #2 ou #3 anteriores:

a.Quais impactam diretamente o bottom line, principalmente em curto prazo?

b.Quais refletem nos indicadores de performance da companhia?

c.Quais são mais empolgantes?

d.Quais são vistos como mais desafiadores?

e.Por quais podem ser enxergados resultados em curto prazo?

f.Por quais o CEO será reconhecido pelo conselho?

g.Por quais o CEO será lembrado?

Além de tudo isso, quando não há um histórico comprovado de incidentes que ocorreram, contendo frequência e impacto (quantificado, sempre que possível), muitas vezes os fatores otimismo e sorte se juntam, no melhor espírito “vamos tratar disso depois”.

Imagine que diferente seria se, ao passar o “condão” da presidência ao próximo presidente da empresa, este fosse informado com a seguinte mensagem:

Presidente, todos os anos temos um data breach que causa um prejuízo de 12 milhões de reais à empresa, sem contar o intangível do dano reputacional. Costuma acontecer no terceiro trimestre do ano, tal qual nos últimos 5 anos.

Certamente esse assunto constaria nas pautas com muito mais prioridade e frequência no radar do CEO.

Como dificilmente esse é o caso, visualizamos, portanto, na história de nosso país, uma miríade de incidentes não cyber que poderiam ter uma exposição muito menor à companhia vítima depois do primeiro impacto, mas como os processos não estavam criados, as ferramentas não estavam aptas e disponíveis e as equipes não estavam prontas e treinadas, sucederam-se impactos desnecessários que causaram grandes danos reputacionais, prejuízos e até mortes – como foi visto em incêndios, desmoronamentos, alagamentos etc.

Vale ressaltar que uma das características da humanidade, que é comum a todas as culturas, é o aprendizado pela dor. Ou seja, grupos que já tenham vivido experiências negativas – e passado por crises – tendem a se preparar melhor para as próximas.

Nesse sentido, é corriqueiro ouvir, por exemplo, que as os americanos tendem a investir mais recursos – tempo e dinheiro – em prevenção de ameaças do que os brasileiros. Por mais que isso seja verdade por diversas óticas (inclusive a econômica), acredita-se que a causa disso é o fato de eles, enquanto comunidades, serem mais atacados que os brasileiros. Ou seja, as inúmeras crises trouxeram o assunto de prevenção às pautas, tal qual se observou com o ataque terrorista às torres gêmeas de 11 de setembro de 2001, que impulsionou fortemente o setor de segurança – inclusive de cyber security – por forças mercadológicas e até mesmo regulatórias.

Para incidentes cibernéticos, principalmente no que tange ao vazamento de dados (data leak), os próprios americanos cunharam uma expressão, que vem se tornando praticamente uma postura, que se utiliza amplamente em grandes empresas: assume breach – que orienta esses times a já pensarem em seus processos partindo do pressuposto de que aqueles sistemas serão atacados com sucesso.

Por mais neurótico e controverso que isso possa soar, causando debates entre especialistas de risco cibernético, a postura é compreensível e traz valor à companhia: por que não estar preparado se, a levar por tudo o que estar acontecendo no mundo, o incidente é inevitável?

O fórum econômico mundial publicou em janeiro de 2020, em seu famoso relatório “The Global Risks Report 2020 4 ”, a estimativa que o cyber crime faturará a quantia de 6 trilhões de dólares em 2021.

Falham as empresas que ainda adotam o discurso e a postura de pensar e agir só em prevenção, com a falsa ideia de que esses esforços em prevenção impossibilitam os ataques. Melhor é assumir que esses esforços em prevenção estão desestimulando os atacantes de menor potencial ofensivo e dificultando as ações de adversários com mais recursos, mas que, a depender do nível de recursos e motivação desse adversário, seu ataque bem-sucedido é inevitável e por isso a companhia precisa também estar preparada a mitigar os impactos quando o incidente se materializa, com sucesso.

O risco cibernético deve, portanto, ser gerenciado através de esforços contínuos em prevenção, detecção e reação a incidentes.

Um programa de mitigação de risco cibernético, portanto, segundo o respeitado órgão americano NIST (National Institute of Standards and Technology), em seu guia de boas práticas conhecido como “Cyber Security Framework 5 ”, tem as seguintes etapas:

Etapa

Descrição

Identificação

Entendimento para gerenciamento do risco a ativos, pessoas, sistemas, dados e capacidades.

Proteção

Implementação de mecanismos de segurança que limitem ou contenham um ataque.

Detecção

Habilidade de detectar quando um ataque é bem-sucedido.

Resposta

Ações de contenção dos impactos causados pelo incidente.

Recuperação

Habilidade de voltar às operações normais o mais rápido possível.

Fonte: Elaborada pelo autor.

A capacidade da corporação de executar estas últimas duas etapas (Resposta e Recuperação) é o que determina sua maturidade em cyber resiliência, que é a habilidade de rapidamente responder a incidentes cibernéticos e se recuperar deles.

1.2.Data breach, data leak e vazamento de dados

Por mais similares que possam parecer, é importante explicar o que é cada um desses fenômenos.

1.2.1Data breach

Segurança da informação é, no mínimo, o conjunto de 3 características básicas da informação:

•Disponibilidade: que aquela informação ou dado estará disponível quando for necessário acessá-la;

•Integridade: que aquela informação ou dado estará sempre da maneira consistente e precisa com relação àquilo que deveria ser;

•Confidencialidade: que aquela informação ou dado está sendo acessada apenas por quem deve ou tem direito a ter acesso.

Como saber quem tem direito legítimo a acessar um determinado dado? No momento da concepção daquele dado ou informação, quem o concebe deve classificá-lo.

Quatro níveis de classificação são os mais comuns e são praticamente considerados o mínimo que deve ser feito em empresas de qualquer porte, sendo eles:

•Confidencial: apenas pessoas com autorização para acesso a informações confidenciais podem ter acesso àquele dado;

•Restrito: apenas pessoas ou entidades citadas na lista de distribuição do documento ou dado podem ter acesso;

•Interno: apenas pessoas de dentro da instituição a quem pertence o dado ou documento podem ter acesso;

•Público: qualquer pessoa ou entidade pode ter acesso àquele dado ou documento.

Portanto, a violação (termo “breach”) se dá quando a confidencialidade daquele dado é comprometida, resultando em acesso não previamente autorizado.

Já o vazamento (data leak) é quando essa violação da confidencialidade desses dados se dá de dentro do perímetro (ou seja, da infraestrutura legítima de Tecnologia da Informação) da corporação para fora, comumente em massa, quando esses dados são distribuídos entre pessoas e entidades que não constam da lista de distribuição e, assim, não poderiam, segundo as regras de segurança da informação do proprietário do dado, acessá-lo.

Na prática, a intrusão na rede de computadores de uma empresa, por um adversário externo à corporação, que acessa um dado restrito – e que não tem acesso legítimo àquele dado pois não está na lista de distribuição – através da abertura de um arquivo PDF, é um data breach. Se ele copia esses arquivos PDF para seu computador, estando esse computador fora do perímetro oficial de TI, além de um data breach observa-se um data leak (vazamento de dados). E quanto mais ele distribui esse arquivo (seja porque o está vendendo, seja porque quer dar publicidade ao dado), maior é a amplitude e o impacto desse data leak / vazamento de dados.

1.3.Categorização do incidente

Todo incidente de vazamento de dados tende a causar alarde. Como o assunto tem entrado, cada vez mais, na pauta de órgãos reguladores, órgãos do executivo, imprensa e outras entidades da sociedade civil, sempre que há um aparente vazamento de dados pessoais de clientes ou colaboradores de uma instituição conhecida, a empresa que decide sobre a custódia desses dados (controlador) costuma entrar num estágio de crise, comumente desorganizada e que coloca os principais executivos em modo de susto, incerteza e paranoia.

Para diminuir a incerteza e poder habilitar a instituição a proceder com os protocolos de resposta adequados, uma primeira etapa de resposta precisa ser acionada, em modo de urgência e atuação imediata, que é a categorização do incidente.

Os profissionais responsáveis por categorizar o incidente deverão responder às primeiras perguntas cruciais sobre aquele incidente e, de acordo com as respostas, classificá-lo para a direção da empresa.

Recomenda-se que a categorização do incidente seja feita por:

A) Um grupo de pessoas (em detrimento a apenas uma pessoa): para que a indisponibilidade de um profissional específico não aumente o tempo de resposta dessa tarefa;

B) Profissionais de distintos backgrounds e responsabilidades, para diminuir a chance de erro de julgamento pessoal, algo que pode acontecer com mais facilidade em momentos de crise e sob pressão.

Não é recomendado que a decisão da categorização do incidente seja colegiada, pois isso pode atrasar o início das tarefas de resposta. Por mais integrantes que possam existir no comitê responsável por categorizar o incidente, um líder precisa tomar a decisão, informado e orientado pelos componentes do grupo, num determinado prazo preestabelecido (exemplo: 4 horas). O líder pode ser o profissional mais sênior que estiver disponível para assumir o papel de líder daquele exercício.

Adicionalmente, outro erro a se evitar é que um prestador de serviços (exemplo: empresa especialista) seja responsável por essa tarefa de categorização do incidente. Além da demora óbvia de acionar parceiros comerciais – em detrimento ao acionamento interno – pode existir situações de conflito de interesses. Um exemplo claro é que quanto maior a gravidade do incidente, mais recursos (budget, especificamente) precisarão ser alocados nas atividades de resposta, incluindo prestadores de serviços, que não incomumente pode ser a empresa especialista em mitigação de risco cibernético ou proteção de dados que auxilia a corporação (vítima do vazamento de dados) a categorizar o incidente. Mesmo que fique tudo registrado (critérios pelos quais aquele incidente foi categorizado daquela maneira), é sabido que “accountability 6 ” é mais difícil com prestadores de serviço do que internamente.

No mínimo, recomenda-se que o comitê de categorização do incidente tenha pelo menos um representante das seguintes áreas:

– Proteção de dados (sugere-se que seja o Encarregado);

– Tecnologia da Informação;

– Segurança da informação;

– Unidades de negócio – daquela unidade afetada;

– Jurídico;

1.3.1.Perguntas a serem respondidas e ações recomendadas

A seguir, perguntas, ações imediatas, prazos sugeridos e escopos para a correta classificação do incidente pelo comitê de classificação do incidente.

Pergunta: A massa de dados é mesmo da nossa corporação? Nós somos os controladores desses dados que vazaram?

...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548790/o-papel-do-dpo-em-data-breaches-o-que-fazer-durante-e-apos-um-incidente-data-protection-officer-encarregado-ed-2020