Artigos

Como a pandemia aumenta os riscos cibernéticos – e como empresas podem se proteger

Por Paulo de Tarso Andrade Bastos Filho

Analisando as tendências para 2020, alguns elementos se confirmam com bastante força, impulsionados pelo aumento exponencial da utilização da internet para fins de trabalho remoto, comércio online e comunicação pessoal e profissional, devido à pandemia que se abateu sobre o mundo, situação catastrófica que ninguém previu.

Seu impacto mais negativo, além das óbvias questões humanas e sanitárias, foi justamente o crescimento ainda mais relevante dos crimes cibernéticos, principalmente devido à utilização maciça da rede por pessoas sem treinamento adequado, e geralmente atuando em ambientes corporativos ainda sem a devida implantação de um sistema de segurança da informação.

Entretanto, também se constata impacto cultural desejável, com o mercado e a população em geral mais atentos a possíveis abusos do Direito à Privacidade e às ferramentas para mitigar a indevida exposição dos dados pessoais.

Estamos inseridos em momento muito volátil, sem certeza quanto a como e quando será a retomada das atividades corporativas presenciais. Sendo assim, os esforços imediatos devem ser direcionados à segurança do funcionamento das redes.

Tanto o Congresso Nacional quanto o Poder Executivo estão buscando atrasar os efeitos da Lei Geral de Proteção de Dados, muito embora ainda não esteja claro qual das iniciativas será adotada como norma de fato, há certeza quanto à necessidade de garantir às empresas tempo adicional para se adequarem às obrigações e demandas da LGPD.

Enquanto a Medida Provisória n° 959/20 adia a vigência da LGPD para maio de 2021, o Projeto de Lei n° 1.179/20 posterga a vigência da LGPD para janeiro de 2021, e mesmo com toda turbulência na relação entre Executivo e Legislativo, podemos assumir que esse prazo permitirá que as empresas tenham oportunidade de se preparar melhor para cumprir com as demandas normativas já existentes, assim como antecipar as prováveis demandas regulatórias da futura Agência Nacional de Proteção de Dados.

Com esse cenário, de extensão do prazo para adaptação à LGPD, devemos adotar uma postura que pareça mais oportuna para as empresas enfrentarem o cenário de incertezas, tendo como objetivo a necessidade de se precaver para riscos cada vez maiores.

Riscos cibernéticos durante a pandemia
Antes mesmo dos acontecimentos de 2020, já sofríamos demais na mão dos criminosos cibernéticos, que criam por ano em torno de 120 milhões de tipos de malwares. Na última década tivemos ataques de espionagem industrial a empresas da Europa e da América do Norte, pela organização criminosa conhecida como Dragonfly, e também ataques ramsonware propagados pela ameaça WannaCry, que vitimou entidades privadas e públicas. Recentemente tivemos ameaças que exploraram vulnerabilidades de hardware, entre elas o malware conhecido como Spectre.

Na medida em que a pandemia força o mercado a explorar cada vez mais o trabalho remoto, expandindo de maneira improvisada suas capacidades de TI, é importante ressaltar que as empresas já se encontravam despreparadas para os riscos cibernéticos, agravados agora pela pandemia. De acordo com levantamento realizado pela Consultoria Mckinsey, apenas 16% das empresas no mercado norte-americano se encontram preparadas para lidar com os riscos cibernéticos da atualidade, e as brasileiras infelizmente se encontram ainda menos preparadas. Aliados aos riscos conhecidos, surgem novos desafios a cada segundo, já que os criminosos estão em constante busca de fragilidades em cada sistema.

As empresas em média precisam de mais de 100 dias para identificar um ataque bem sucedido contra seu sistema. Sendo assim, estão cada vez mais vulneráveis, devido ao aumento do trabalho remoto que envolve toda a rede. A expectativa do mercado era que no final de 2020 haveria 30 bilhões de equipamentos de operação com Internet das Coisas (IoT), e com a pandemia essa evolução tecnológica já está se acelerando, expondo significativamente fraquezas que podem ser facilmente exploradas, por exemplo, em ataques de negação de serviço distribuída (denial-of-service).Entre esses riscos, há um em especial que considero dos mais importantes, que se materializa quando as empresas tratam ameaças cibernéticas como uma questão meramente técnica, que poderia ser resolvida de forma isolada por seu departamento de TI. Na verdade, as ameaças cibernéticas são e devem ser encaradas como uma questão de gestão de riscos, e a administração corporativa poderá enfrentar adequadamente essa realidade apenas quando se organizar para dar prioridade à sua estrutura digital.

A governança corporativa colaborativa como ferramenta para segurança cibernética
Logo, os riscos cibernéticos devem ser encarados como um problema de todos empresários e colaboradores, sendo considerados desde a constituição das empresas e priorizados nos modelos de negócio, numa cultura pela segurança cibernética, principalmente para enfrentar as novas ameaças trazidas neste contexto de pandemia.

Com todas as pessoas operando em rede, cresce o potencial elo a ser explorado por criminosos. Portanto, não adianta apenas investir em capacidade técnica. Sem treinamento aos usuários, um sofisticado firewall seria inútil contra a maioria das ameaças que geram dano efetivo, levando as pessoas a caíem em ataques de phishing, que dependem de colaboração passiva ou ativa da vítima.

A empresa EQUIFAX, por exemplo, sofreu em 2017 um ataque que permitiu a criminosos roubar dados de milhões de americanos. Nesse caso foi necessário envolvimento multilateral de vários entes públicos e privados para conseguir recuperar a segurança do sistema, e a empresa agora lida com multas a pagar e com processos judiciais daquelas pessoas prejudicadas por golpes com seus dados pessoais.

Considerando que uma crise como essa prejudica a disposição para gastos e investimentos, o foco da empresa deve ser no planejamento cuidadoso, levando em conta todos os stakeholders, para evitar possíveis ameaças.

A Oportunidade Trazida pela Medida Provisória n° 959/20 e o Projeto de Lei n° 1.179/20
Apesar da suspensão dos efeitos da LGPD até 2021, a adequação aos Princípios Gerais de Proteção de Dados trará necessariamente às empresas maior segurança cibernética, pois para cumprir as normas as empresas que manuseiam dados pessoais devem tomar medidas tecnicamente razoáveis para proteger os mesmos de indevido acesso, utilização ou divulgação.

Olhando o lado positivo, apesar da crise humanitária e sanitária que nos afeta, o prazo concedido pelas iniciativas concorrentes do Legislativo e o Executivo traz algum alento para o empresário, que pode usar esse período extra para se inteirar sobre quão preparada sua organização realmente se encontra frente aos riscos cibernéticos que se avolumam.

As empresas devem definir quais bens devem ser protegidos, e inventariar os pontos de acesso à rede da empresa que podem vulnerabilizar esses bens, para então adotar a postura de envolver, senão toda a empresa, todas as pessoas que tenham acesso a essas informações e dados, capacitando-as com treinamento adequado e, assim, evitando fragilidades do sistema.

O trabalho remoto já é uma realidade, independentemente de quando a humanidade vencerá o COVID19, e cada vez mais existirão pontos de acesso conectados às redes das empresas, e, portanto, ameaças a seus bens. Cabe a elas priorizar as iniciativas de colaboração como caminho para se preparar coletivamente para os riscos cibernéticos e outros que virão.

Paulo de Tarso Andrade Bastos Filho é advogado especialista em compliance, que atua na implementação de programas de governança nas áreas de tratamento de dados pessoais, livre concorrência , tributário e anticorrupção.

Notícias Relacionadas

Artigos

Artigos

Como a pandemia aumenta os riscos cibernéticos – e como empresas podem se proteger

Notícias Relacionadas

Como melhorar a segurança e experiência do cliente em centros comerciais?

Busca por sistemas de alarmes cresce 23% nos primeiros meses de 2024, de acordo com a Verisure

Nobreaks se tornam equipamento fundamental no monitoramento urbano