Cyber Risk - Ed. 2021

1. Prevenir para Mitigar: A Importância do Desenvolvimento de Cultura de Segurança Cibernética nas Organizações

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Autores:

Maria Augusta Peres Catelli

Renata Yumi Idie

O presente artigo objetiva demonstrar a relevância da adoção de medidas preventivas para garantir a proteção de ativos informacionais nas organizações, mormente considerando o panorama dos recentes incidentes de segurança da informação e a imaturidade da sociedade brasileira no campo da segurança cibernética. Apontar-se-á que todas as organizações estão sujeitas a eventuais incidentes de segurança, mas que é possível e necessário adotar medidas preventivas para mitigar os riscos e as consequências negativas deles decorrentes. Buscar-se-á demonstrar as principais normas do ordenamento jurídico brasileiro que envolvem a responsabilização por incidentes de segurança cibernética e as possíveis sanções às organizações. Ainda, o artigo abordará a importância da adoção de boas práticas orientadas por padrões internacionais e a necessidade de se criar uma cultura de segurança cibernética dentro das organizações, envolvendo desde a elaboração de políticas internas até o treinamento dos colaboradores.

1.Panorama dos recentes incidentes de segurança da informação e seus reflexos

O ano é 2017 e, em um mesmo dia, milhares de ataques ransomware 3 começam a ser relatados em todo o mundo. Computadores infectados eram bloqueados e os usuários se deparavam com a mensagem de que os dados foram criptografados e que os acessos somente seriam liberados mediante o pagamento de resgate em bitcoins .

O ransomware WannaCry ou WannaCryptor 4 não tinha um alvo específico, atingindo computadores que não contavam com o sistema operacional Windows atualizado – não estando protegidos contra uma vulnerabilidade corrigida em março do mesmo ano – de modo que se espalhou rapidamente, tomando grandes proporções. Tal cenário colaborou para que o ransomware ficasse conhecido em todo o mundo e gerasse um alerta para as empresas quanto à necessidade de manter os sistemas operacionais atualizados, tratar as vulnerabilidades e manter em dia o backup dos dados e documentos de seus servidores.

Algumas semanas depois, uma nova ameaça, o ransomware Diskcoder.C, passou a circular pelo mundo. O aludido artefato malicioso também explorava vulnerabilidades de sistemas não atualizados para, igualmente, extorquir o usuário. Assim como no episódio anterior, o usuário recebia uma mensagem indicando um curto prazo para pagamento do resgate, só que, dessa vez, sob a ameaça de reinicialização do sistema e deleção dos dados.

O ano de 2017 também foi de grandes incidentes de data breach , como o vazamento de dados de 143 milhões de clientes de uma empresa norte-americana, entre os quais estavam nomes, datas de aniversário, endereços, registros civis e dados de cartões de crédito dos clientes 5 , e, ainda, o episódio de circulação na dark web de cerca de 1.4 bilhão de logins e senhas de usuários de grandes plataformas.

Os dados continuaram em foco em 2018. Empresas ao redor do mundo sofreram com o furto e a exposição de dados pessoais de seus clientes, afetando desde instituições financeiras, redes hoteleiras até empresas responsáveis por redes sociais. As empresas tiveram que lidar com a exposição de dados como nome, RG, CPF, número de passaporte, endereço de e-mail, data de nascimentos e demais informações de seus clientes, aumentando a exposição destes à prática de fraudes.

Em 2018, também foram relatados casos de Criptojacking. Com a crescente das criptomoedas, houve a disseminação de malwares cujo objetivo não era causar danos às vítimas, mas utilizar e consumir a capacidade de processamento da CPU dos dispositivos para mineração de bitcoins , atrapalhando o desempenho da máquina infectada 6 . Assim, embora não seja o principal objetivo, esse tipo de ataque também causa prejuízos às vítimas, na medida em que afeta a capacidade produtiva dos dispositivos.

Em 2019, os ataques de ransomware continuaram em alta, focando dessa vez entidades governamentais. Segundo pesquisa realizada pela Kaspersky, foi observado um aumento de 60% de ataques a essas entidades ao se comparar com o mesmo período no ano anterior 7 .

Mas, em termos práticos, qual é o impacto dos incidentes de segurança da informação?

Em estudo realizado em 2017, o FBI chamou atenção para grande crescente nesse tipo de crime pelo fato de que, na atualidade, a maior parte das empresas depende de sistemas informatizados para o desenvolvimento de suas atividades. A estimativa é que ransomwares infectam mais de cem mil computadores por dia em todo o mundo e que o pagamento de resgates chega ao montante de 1 bilhão de dólares no ano 8 .

Por sua vez, o estudo realizado pela McAffe em parceria com a Center for Strategic and International Studies (CSIS), “Economic Impact of Cybercrime – No slowing down 9 ”, apresentado no ano de 2018, chegou à estimativa de prejuízo de 445 a 600 bilhões de dólares para as empresas em âmbito global. Tal estimativa considerou, de forma mais ampla, os custos relacionados a: (i) desvios de propriedade intelectual e informação confidencial; (ii) fraudes online e crimes financeiros geralmente mediante o furto de informações e identificadores pessoais; (iii) manipulação financeira, por meio da utilização de informações confidenciais furtadas; (iv) custos gerados em razão da interrupção dos serviços e a redução da segurança nas atividades online , incluindo os efeitos dos ataques de ransomware ; (v) custos com a proteção da rede e aquisição de seguros cibernéticos e demais medidas para recuperação após ataque cibernético; (vi) danos à reputação, riscos à marca e responsabilização legal da empresa vítima do ataque.

Tratando sobre Brasil, o “Global Cybersecurity Index (GCI)”, elaborado pela União Internacional de Telecomunicações, agência da Organização das Nações Unidas voltada para as tecnologias da informação e comunicação e apresentado em 2019, apontou que o país ocupava a 70ª posição no ranking mundial. Ademais, segundo a …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
24 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1250394476/1-prevenir-para-mitigar-a-importancia-do-desenvolvimento-de-cultura-de-seguranca-cibernetica-nas-organizacoes-cyber-risk-ed-2021