Ransomware e a LGPD: pagar o sequestrador ou tomar multa da ANPD?
Com a entrada em vigor da Lei Geral de Proteção de Dados no mês de setembro, as atenções da empresas ficaram voltadas para os processos de adequação à lei. Porém, muitas se esquecem de que para obter a real Proteção de Dados Pessoais, é necessário um forte mecanismo de segurança da informação, principalmente quando falamos de ataques de Ransomware.
O vírus que bloqueia dados em um computador utilizando a criptografia, causando o embaralhamento de dados, é bastante conhecido no Brasil. O país ocupa a segunda posição entre os mais atacados por esse tipo de ameaça, segundo a Trend Micro. Outro dado importante é que o Brasil é o líder mundial em phishing, investida utilizada pelo cibercriminoso para enviar o Ransomware, e assim sequestrar ou invadir uma máquina, um banco de dados ou um sistema por meio de um e-mail falso.
Após o bloqueio dos dados, o hacker entra em contato solicitando o pagamento de um resgate para a liberação dos dados, que deve ser feito por meio de criptomoedas como,,o Bitcoin, para impedir o rastreamento pelas autoridades policiais. Esse momento é em que muitas empresas se deparam com o questionamento: pagar ou não pela liberação dos dados?
Como o sequestro das informações, uma empresa pode paralisar completamente sua operação, o que pode acarretar também em prejuízos financeiros. Por isso, é necessário ter um plano de respostas a incidentes que restabeleça o quanto antes os backups, investindo na educação interna dos colaboradores para que não abram e-mails ou dispositivos que possam conter vírus. E, por fim, mas não menos importante, manter as plataformas de antivírus atualizadas.
Com o advento da LGPD, no entanto, a criação desses mecanismos de segurança não são suficientes para evitar a penalização financeira de uma organização. Por isso, surge o dilema: como tratar os ataques de Ransomware nos tempos de LGPD?
A empresa pode se sentir segura por conseguir restabelecer sua operação de forma rápida com a subida dos backups em produção e ficar livre de pagar o hacker para a liberação dos dados sequestrados, mas e as consequências se o criminoso expuser os dados pessoais sequestrados em plataformas públicas?
Há multas e penalidades que a empresa poderá sofrer mediante a denúncia à ANPD por violação dos dados pessoais. Além da fiscalização da autarquia e da deterioração da imagem perante o mercado, como ficará a empresa ao receber um “tsunami” de ações dos titulares de dados que se sentirem lesados ao terem seus dados pessoais expostos por falta de cuidado e de proteção da organização? Sem dúvida os prejuízos são maiores do que a simples paralisação da operação ou multa da ANPD.
Por isso, mais do que nunca, as empresas precisam continuar com os seus planos de adequação jurídico-processual para a LGPD, e, ao mesmo tempo, investir pesadamente em treinamentos, plataformas de segurança, equipe de resposta a incidentes e recuperação de desastres para impedir totalmente sequestros de dados. O que antes “apenas” paralisaria suas operações por um período, agora pode trazer múltiplos prejuízos.
A recomendação é de que as empresas aproveitem este momento de adequação da LGPD para investir na área de Cibersegurança, logo que o mercado de sequestro de dados ficou mais “atrativo”. Você pode não pagar o sequestrador por possuir backups com os dados, mas terá que se precaver para que as informações não sejam divulgadas
A cibersegurança deve ser item prioritário nos investimentos corporativos hoje e sempre. Os cibercriminosos não dormem, e a LGPD está atenta a qualquer violação de dados pessoais.
William Faria é DPO (Data Protection Officer) da GFT Brasil
