A crescente digitalização dos negócios trouxe inúmeras facilidades, mas também expôs empresas de todos os portes a um cenário alarmante de riscos cibernéticos. Ataques sofisticados podem, assim, comprometer dados sigilosos e até interromper operações inteiras, gerando prejuízos financeiros milionários e danos irreversíveis à reputação corporativa. Nesse contexto, a cibersegurança tem se tornado um tema cada vez mais debatido.
Um levantamento da ISH Tecnologia, empresa especializada em cibersegurança, revelou que, em 2024, as empresas brasileiras sofreram, em média, duas tentativas diárias de ataque cibernético.
O que é um crime cibernético?
Um crime cibernético é uma ação ilegal, tentada ou concretizada, em que criminosos acessam indevidamente a rede privada de uma empresa para obter dados confidenciais.
Os principais riscos associados a esses ataques incluem vazamento de informações, invasão de sistemas e manipulação ou destruição de dados. Assim, os incidentes podem levar a fraudes, prejuízos financeiros, danos à reputação da empresa e diversas outras consequências adversas.
Larissa Pigão, sócia do Pigão, Ferrão e Fioravante Sociedade de Advogados e especializada em Direito Digital e Proteção de Dados Pessoais, alerta: "o impacto de um ataque cibernético pode se estender por meses ou até anos, tornando a recuperação ainda mais complexa e custosa".
Ela explica: "Um ataque bem-sucedido pode abrir caminho para novas investidas. Se as vulnerabilidades exploradas não forem corrigidas, criminosos podem vender credenciais roubadas na dark web, permitindo que outros grupos mal-intencionados explorem os mesmos sistemas comprometidos."
Quais são os crimes cibernéticos mais frequentes?
Existem diversos tipos de ataques cibernéticos, mas alguns se destacam pela frequência e pelo impacto que causam. Roberta Raccioppi, advogada do EFCAN Advogados, explica como cada um funciona:
- Ransomware: essa ameaça sequestra dados por meio de criptografia, exigindo pagamento de resgate, frequentemente em bitcoins, para liberar as informações e dificultar rastreamento.
- Spyware: software malicioso que monitora atividades no sistema, capturando credenciais de acesso, tráfego de rede e outros dados digitados ou armazenados nos dispositivos da empresa.
- Phishing: golpes que induzem usuários a fornecer informações confidenciais, como logins, senhas e dados financeiros, geralmente por meio de e-mails falsos ou sites fraudulentos.
- DDoS (Negação de Serviço Distribuído): esse ataque sobrecarrega um servidor com tráfego malicioso, tornando seus serviços indisponíveis.
Segundo os especialistas consultados, o ransomware é unanimemente apontado como o ataque mais perigoso. Daniel Sibille, vice president of compliance for Latin America da Oracle, alerta: "As empresas devem estar atentas a diversos tipos de ataques cibernéticos, mas o ransomware é um dos mais preocupantes. Ele sequestra sistemas e exige pagamento para a liberação dos dados, causando paralisações operacionais e prejuízos financeiros significativos."
O que fazer após um crime cibernético?
Embora as medidas preventivas reduzam significativamente o risco de ataques, a crescente sofisticação dos criminosos torna impossível garantir total imunidade. Larissa Pigão, sócia do Pigão, Ferrão e Fioravante Sociedade de Advogados e especializada em Direito Digital e Proteção de Dados Pessoais, ressalta que, diante de um ataque, a prioridade deve ser conter a ameaça, isolando os sistemas comprometidos para evitar sua propagação.
Em seguida, é essencial acionar a equipe de resposta a incidentes, composta por profissionais internos ou consultorias especializadas, para avaliar a extensão do dano e implementar medidas imediatas de mitigação.
A preservação das evidências é uma etapa essencial, pois a integridade dos registros pode ser determinante em investigações forenses e eventuais disputas legais. Após conter o ataque, a empresa deve restaurar os sistemas a partir de backups seguros e corrigir as vulnerabilidades exploradas.
A advogada também destaca as obrigações de notificação previstas por normativas como a LGPD e outras regulamentações setoriais. Dependendo da gravidade do ataque, pode ser necessário comunicar a ANPD, órgãos reguladores e informar os clientes e parceiros afetados.
De acordo com ela, "é fundamental desenvolver um plano de ação para fortalecer a segurança, revisar e aprimorar as políticas internas, além de ajustar contratos e procedimentos, se necessário, para evitar futuras ocorrências".
LEIA TAMBÉM:
LGPD: adequação plena chega à 67% dos escritórios
Crimes cibernéticos: como advogados podem mitigar os danos legais
Passo a passo do protocolo de resposta
Se ocorrer um ataque cibernético, a empresa deve seguir um protocolo de resposta rápida para minimizar danos. As etapas incluem ações recomendadas por Roberta Raccioppi, advogada do EFCAN Advogados:
• Identificação e contenção do incidente: identificar a origem do ataque e isolar os sistemas afetados para impedir a propagação.
• Ativação do plano de resposta a incidentes: mobilizar a equipe de segurança e TI, conforme as políticas internas, para investigar e mitigar o impacto.
• Registro e documentação do incidente: coletar evidências para análise posterior e possível investigação.
• Ajuste das medidas de segurança: após conter o ataque, é essencial revisar as políticas e controles de segurança para evitar recorrências.
• Avaliação da necessidade de notificação à ANPD e aos titulares de dados: caso o ataque envolva violação de dados pessoais, a LGPD (Lei nº 13.709, artigo 48) exige que a empresa, na qualidade de Controlador de Dados, comunique a ANPD e os titulares dos dados, quando o incidente representar risco aos direitos dos indivíduos, além de adotar outras medidas cabíveis.
Cibersegurança na prática: como proteger sua empresa?
Daniel Sibille, vice president of compliance for Latin America da Oracle, reforça o risco crescente de penalizações para empresas que negligenciam a cibersegurança. "Reguladores e governos estão cada vez mais atentos à segurança digital. A tendência é de maior rigor nas exigências de proteção de dados e resposta a incidentes. Assim, empresas que não se adaptarem correm não apenas o risco de sofrer ataques, mas também de enfrentar multas e sanções. Segurança cibernética não é mais um diferencial—é uma obrigação."
Daniel enfatiza a importância da prevenção sob uma perspectiva empresarial: "A cibersegurança deve se apoiar em três pilares: tecnologia, processos e pessoas. Primeiramente, no aspecto tecnológico, é essencial contar com firewalls robustos, monitoramento contínuo e backups seguros. Além disso, no campo processual, políticas rigorosas de segurança da informação e compliance são fundamentais. Por fim, no fator humano, treinamentos frequentes para evitar ataques baseados em engenharia social fazem toda a diferença".
Além disso, o executivo comenta que uma governança de dados bem estruturada garante que informações críticas estejam acessíveis apenas para quem realmente precisa, reduzindo a superfície de ataque.
Por que a cibersegurança é importante?
No contexto de ataques que envolvem dados pessoais e sensíveis, os impactos legais para a empresa são severos. De acordo com a Lei nº 13.709 (Lei Geral de Proteção de Dados - LGPD), as consequências podem incluir:
- Multas e sanções regulatórias: podem alcançar 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Além disso, a Autoridade Nacional de Proteção de Dados (ANPD) pode determinar a suspensão total ou parcial do tratamento de dados.
- Danos à reputação: ataques cibernéticos podem fazer empresas perderem a confiança de clientes, investidores e parceiros. Por isso, é fundamental uma política eficaz de proteção de dados.
- Ações judiciais e indenizações: os titulares dos dados afetados podem acionar a empresa judicialmente. O artigo 42 da LGPD, que prevê responsabilidade civil e a obrigação de reparação de danos.
Conformidade com a LGPD
No Brasil, a LGPD prevê penalizações para empresas que não protejam adequadamente os dados dos titulares, intensificando a atuação e fiscalização da Autoridade Nacional de Proteção de Dados (ANPD). Além dela, órgãos como o CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) e a Polícia Federal também têm aumentado esforços para combater crimes digitais.
Roberta Raccioppi, advogada do EFCAN Advogados, alerta para a importância da conformidade com a LGPD. De acordo com ela, "o país está avançando cada vez mais na implementação de regulamentações e fiscalizações mais rígidas."
Ela completa: "Nossa experiência mostra que, diante do crescimento dos ataques, as empresas estão sendo cada vez mais cobradas a adotar práticas de segurança mais robustas, uma vez que, além das multas, podem sofrer sanções reputacionais e perda de confiança dos clientes."
Raccioppi também comenta: "Diante desse cenário, esperamos que o país evolua para a implementação de leis mais rigorosas, fiscalização mais intensa e penalizações mais severas, com o objetivo de reduzir a impunidade e aumentar a proteção contra ataques cibernéticos."