O número de ataques cibernéticos a empresas de todos os ramos tem crescido em todo mundo, e de maneira muito acelerada no Brasil. Incidentes como vazamentos em massa de informações cadastrais e financeiras de clientes, que até poucos anos atrás eram esporádicos, são agora corriqueiros.

Só nas últimas semanas cerca de 50 milhões de usuários do Facebook tiveram suas contas expostas a hackers – fazendo o número de contas afetadas em um ano na plataforma chegar a 140 milhões. A plataforma informou que os atacantes acessaram informações como o “nome, cidade e género”, mas não conseguem garantir efetivamente quais dados eles realmente tiveram contato. Nesta semana, o Google anunciou que está encerrando o serviço Google+ devido a um vazamento de informações de meio milhão de usuários.

O Brasil não fica atrás com vazamento de dados pessoais de milhões de usuários em setores variados, como o financeiro, varejo e serviços, por exemplo. Além da maior dependência tecnológica e conectividade das empresas, o que explica este fenômeno é também um aumento considerável na negociação – em mercado negros online – de informações pessoais e enriquecimento de diferentes tipos de bases de dados fraudadas, vazadas ou com acesso não autorizado.

Os pontos mais visados para os ataques são bancos de dados e sistemas que os processam, além das transações entre empresas e entre empresas e consumidores, lojas virtuais, aplicativos e dispositivos de comunicação, como roteadores – e claro, smartphones. Em grande parte dos casos o objetivo é o roubo de informações e dados pessoais. Segundo a pesquisa Cost of Data Breach 2018, conduzida pelo Ponemon Institute, o custo médio de uma invasão de dados global a uma empresa é de 3,6 milhões de dólares. O valor estimado é relativo ao impacto gerado a cada empresa, considerando desde as investigações, recuperação e proteção dos sistemas afetados, perda de negócios e o impacto negativo na reputação e no valor de mercado.

No Brasil, hoje, há cada vez mais publicidade das ações que são executadas pelos atacantes, inclusive por conta do maior interesse da opinião pública pelo assunto. Os criminosos responsáveis são muito ousados, pela facilidade na execução dos ciberataques e pela dificuldade de atribuição de responsabilidade e persecução penal, mesmo nos casos mais conhecidos.

Há, porém, um aceno a evolução no setor por meio da sanção da Lei Geral de Proteção de Dados (LGPD – Lei 13.709/18), feita em agosto desde ano – depois de 8 anos de discussões. A lei altera o Marco Civil da Internet e cria uma regulamentação para o uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e estabelece quem são as figuras envolvidas e quais são suas responsabilidades.

A partir de 2020, quando a lei entrará em vigor, as empresas que confirmarem a ocorrência de qualquer tipo de ataque cibernético ao seu sistema deverão divulgar a infração aos seus usuários, bloquear os dados até a sua regularização e eliminar os dados pessoais que estiverem envolvidas no caso. O artigo 52 ainda prevê “II – multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração”.

A lei tem como principal objetivo a transparência do tráfego de informações entre usuários e companhias. É um avanço algo nesse âmbito ser debatido e instalado no Brasil, tendo em vista que já acontece na Europa (GDPR) e nos Estados Unidos.

Nesse novo cenário, as companhias estão em uma corrida contra o tempo, preparando suas estruturas internas para corresponder a todas as demandas da lei. No que diz respeito aos dados pessoais, as empresas serão obrigadas a contar com a figura de um “controlador”, responsável pelas decisões sobre o armazenamento e tratamento dos dados; “operador”, que executa o tratamento e o processamento das informações; e, o “encarregado de proteção de dados”, responsável pelo tratamento de todos os dados e de gerir a comunicação entre todas as partes envolvidas, inclusive com as autoridades.

Obviamente precisarão reforçar também seus sistemas para garantir que há este controle de segurança para prevenir, detectar e proteger-se de ataques. Para os usuários, a mudança será a visibilidade do controle, ou seja, cada pessoa saberá quais dados estão sendo usados pela empresa, por quanto tempo eles serão armazenados e quem tem acesso a esse material.

Infelizmente, a grande maioria das empresas no Brasil possui controles de segurança muito rudimentares e infelizmente serão vítimas fáceis de criminosos que objetivam obter dados pessoais de seus clientes de forma inadequada. Felizmente, as empresas ainda têm 2 anos para se preparar para esta realidade. A hora é agora.