Criminosos cibernéticos ameaçam a reputação das empresas e podem vencer a guerra contra a segurança

Por Carlos Alberto Pacheco

As ameaças virtuais que navegam nas redes de todo o planeta não encontram obstáculos e ne, poupam a integridade de empresas, pessoas e quem quer que seja. Um terrível exemplo vem da África do Sul. No final de julho, um vírus deixou a cidade de Joanesburgo às escuras. O vírus atingiu implacavelmente a empresa responsável pelo abastecimento de eletricidade, a City Power, criptografando todo o seu banco de dados e rede. Os clientes ficaram impedidos de acessar o site do órgão, verificar pagamentos e débitos ou fazer upload de faturas até que todos os aplicativos afetados tenham sido recriados.

O vírus é do tipo ransomware, que impede os usuários de acessar o sistema e exige o pagamento de resgate para recuperar o acesso. É também conhecido como malware.

O mundo corporativo é um cenário ideal para esse tipo de ação deletéria, com a grande exposição de empresas de todos os matizes – seguradoras, corretoras, financeiras e resseguradoras inclusive.

O Brasil é um alvo natural e demonstra estar em situação de vulnerabilidade. Nos últimos anos cresceu de forma substancial o ataque de crimosos cibernéticos por uma razão muito simples:  país é um celeiro de mercados emergentes com perspectivas de crescimento e as empresas nacionais estão em risco permanente.

O estudo Cyber View produzido pela Marsh/JLT sobre segurança digital no Brasil traz dados alarmantes. Segundo o levantamento, 46,3% das empresas entrevistadas consideram importante, mas não prioritária a segurança contra ataques cibernéticos e 44,2% não possuem sequer planos de contingência ou orçamento para combater catástrofes virtuais.

Ainda segundo a pesquisa, 55,4% das empresas afirmam ter 100% de dependência do uso de tecnologia em diversas etapas de suas atividades e 35% podem ter paralisações severas diante de uma crise tecnológica. Segundo dado preocupante: 62,7% das organizações entrevistadas não adotam medidas de prevenção de danos ao contratar fornecedores que conversem com os seus sistemas e 81% não possuem seguro para riscos cibernéticos.

A especialista em riscos cibernéticos da Marsh/JLT, Marta Schuh, aponta uma contradição: se, por um lado, as empresas investem muito em inovação tecnológica, automação operacional e informatização de distribuição e logística, por outro, estão pouco atentas aos riscos incorporados destes investimentos. “Uma interrupção ou paralisação na produção, no processo de distribuição ou mesmo um vazamento de dados de clientes, pode causar prejuízos significativos”, adverte Marta.

Proteção de dados

Há tempos que a segurança cibernética no país precisava de uma  legislação contra um poderoso inimigo. Então surgiu a Lei 13.709 ou Lei Geral de Proteção de Dados (LGPD), que completou um ano desde a sua sanção pelo Palácio do Planalto, embora entre em vigor somente em agosto de 2020. Várias empresas se anteciparam e já estão tomando providencias para se adequarem às exigências da lei, tornando seus mecanismos de proteção mais eficazes e métodos diferenciados de coleta e tratamento de dados.

Contudo, a LGPD exige um processo com alto nível de complexidade e adequação. Pouco mais de 30% das instituições financeiras afirmam já estar em condições de atender aos dispositivos da lei. “Vale lembrar que, em 2018, o Banco Central publicou a Resolução 4.658 estabelecendo novos critérios de políticas de segurança cibernética aplicáveis a instituições que incluem bancos, financeiras, corretoras e seguradoras”, lembra a gerente de Financial Lines, Cyber & Liability da Generali Global Corporate & Commercial, Mariana Ortiz.

Um dos principais méritos da LGPD é o de estabelecer que a transmissão da coleta de dados só pode ser efetuada apenas mediante autorização do titular. Há dois pilares importantes neste processo – oferecer segurança no tráfego das informações e transparência no uso de dados pessoais. Números mais recentes, segundo levantamento da empresa PGMais, apontam um cenário assustador: só em 2018, ano marcado por escândalos financeiros e vazamento de dados, a maioria das violações foi ocasionada por ataques criminais ou maliciosos (48%), e custaram, em média, US$ 3,9 milhões. No Brasil, o prejuízo girou em torno de US$ 1,77 milhão.

Marta Schuh, da JLT/Marsh, enfatiza a necessidade de se contar com ações preventivas e planejamento para minimizar danos. “É possível recorrer a ações e mecanismos que ajudem a mitigar impactos caso um incidente cibernético venha a acontecer, sejam impactos financeiros ou de reputação. O problema é que a grande maioria das companhias brasileiras ainda desconhece tais recursos”, lamenta.

Desafios

De forma geral, especialistas em segurança são unânimes em considerar que o tema apresenta desafios fundamentais, como a regulamentação da coleta, armazenamento, utilização, tratamento e fluxo de dados. No âmbito do mercado segurador, investimento em tecnologia é primordial em sintonia com as medidas contempladas na LGPD. Como as apólices devem prever danos provenientes de ataques cibernéticos, faz-se necessário traçar raios-X dos riscos de cada carteira para aplicação posterior do “antídoto” correto.

O head de Financial Lines da AIG Brasil, Flávio Sá, durante o workshop “Riscos Cibernéticos – A Lei Geral de Proteção de Dados e os Impactos nos Diversos Produtos”, promovido pela Federação Nacional dos Seguros Gerais (FenSeg), afirmou que o avanço da tecnologia e dos canais digitais são um desafio, mas também oportunidade para o mercado. “O Brasil é o quinto país do mundo em ataques cibernéticos. Proteger esses dados e saber como proceder para criar apólices é ponto chave”, considerou.

A avaliação de Flávio Sá ratifica um dado divulgado pela Confederação Nacional das Seguradoras (CNseg) quanto à vulnerabilidade do Brasil em 2017. Naquele ano, o país teria ficado atrás apenas da China no campo minado das perdas financeiras provocadas por ataques cibernéticos, “com 61% da população adulta conectada já tendo sido vítima de cibercrime, totalizando R$ 80 bilhões de prejuízos”.

Defesa do consumidor

A advogada e pós-doutorado em Direito Constitucional, ex-presidente da Associação Internacional de Direito de Seguros (Aida), Angélica Carlini, comentou sobre a aplicação da LGPD em artigo publicado na Revista Opinião.Seg. Ela lembra que, desde maio passado, a União Europeia já havia adotado o Regulamento Geral de Proteção de Dados aplicável a todos os países daquele bloco e aos operadores econômicos. “Isso havia obrigado muitas empresas brasileiras a se adaptarem ao novo regramento europeu, em razão das relações econômicas e societárias mantidas com empresas europeias ou, por sua atuação naquele espaço”, afirmou.

Angélica lembra também que a defesa do consumidor é um dos fundamentos da proteção de dados pessoais adotada pela lei e não vê obstáculos de natureza técnico-jurídica para que as duas atuem complementando uma a outra. Segundo a especialista, contudo, causa preocupação quanto à aplicação do Código de Defesa do Consumidor com a nova lei de proteção de dados, é a designação da autoridade competente na tarefa de fiscalizar e punir eventuais transgressões.

A advogada questiona a competência da Autoridade Nacional de Proteção de Dados ou os membros do Sistema Nacional de Direitos do Consumidor na matéria. “Essa é uma questão da maior importância porque em um estado de forte tradição autoritária como o Brasil, a falta de indicação clara da autoridade competente para fiscalizar e punir permite a duplicidade de práticas, com inegável prejuízo aos setores econômicos e a consequente judicialização das decisões adotadas em caráter administrativo”, argumenta.

Na visão de Angélica, a criação de uma autoridade de proteção de dados definida como órgão da administração federal (Medida Provisória 869, de 27 de dezembro de 2018) significa que esta “terá supremacia sobre órgão de defesa e proteção do consumidor para fiscalizar e, eventualmente, punir empresas que não se adequem às determinações da LGPD”.

Segurança cibernética deve ser prioridade nas estratégias organizacionais de empresas de todos os portes no Brasil sob pena de se perder essa guerra tecnológica antes da LGPD entrar em vigor. Apesar das instituições financeiras se prevenirem, as seguradoras e prestadoras de serviço devem seguir o mesmo caminho. É fundamental as companhias estarem preparadas para graves situações de violação de dados um plano de crise previamente definido. A precaução é o melhor remédio ante a tragédia anunciada.