Especialistas comentam sobre os danos causados por ataques cibernéticos, o papel da LGPD nesse cenário e de que forma as empresas podem se prevenir contra essa questão, que, atualmente, encabeça a lista de preocupações dos CEOs

A digitalização vem abrindo caminhos em diversos setores, otimizando processos e solucionando “dores” e gargalos em diferentes mercados. Atualmente, o grande tráfego de dados, resultado da digitalização cada vez mais presente nas empresas, é ouro para as companhias. O matemático britânico Clive Humby, inclusive, acredita que os dados são o novo petróleo.

E, com esse ativo tão valioso em mãos, protegê-los tem sido um dos grandes desafios dos executivos nos dias de hoje. Um levantamento da consultoria EY revelou que a cibersegurança é o tema que mais preocupa os CEOs atualmente, juntamente com assuntos relacionados à desigualdade de renda e a perda de postos de trabalho por conta dos avanços tecnológicos.

Outro relatório, este da KPMG, que se baseia na opinião de 400 executivos, aponta que o tema é uma das maiores preocupações para o crescimento dos negócios. Não à toa, cibersegurança é um dos assuntos tratados com a devida prioridade dentro de comunidades internacionais há alguns anos, como o Fórum Econômico Mundial.

Para o professor Marcelo Lau, coordenador acadêmico do MBA em Cibersegurança do Centro Universitário FIAP, de fato, essa questão é um dos componentes cruciais para o desenvolvimento de negócios.

“Independentemente do tamanho do negócio, medidas em segurança podem ser implementadas por meio de recomendações de boas práticas aos funcionários, clientes e fornecedores, pois entendo que a conscientização é um passo fundamental para que toda e qualquer organização esteja ciente dos riscos e adote boas medidas para se proteger, o que inclui práticas do cotidiano, como a adoção de senhas de qualidade para acesso aos sistemas, e tecnologias como antivírus aos mais diversos dispositivos”, diz.

Segundo dados de empresas de cibersegurança, houve um aumento de 62% na média semanal de ataques cibernéticos entre 2020 e 2021 no Brasil. De acordo com a empresa Apura, especializada em segurança na internet, os principais alvos são Governo (17,4%), Indústria (17,4%), Saúde (13%), Engenharia e Arquitetura (8,7%), Tecnologia (6,5%) e Atacado/Varejo (6,5%).

O último grande caso no mercado varejista foi o da Americanas, terceira maior varejista do País. Os portais das lojas Americanas, Submarino e Shoptime – que fazem parte do conglomerado – ficaram quatro dias fora do ar. Conforme apurado pela Folha de SP, o prejuízo pode ter ficado acima dos R$ 400 milhões. 

“Além da perda financeira, é importante destacar prejuízos de imagem e potencial desvalorização da marca, que atingem também os investidores”, complementa Marcelo Lau.

De acordo com o professor, o dano imediato é a evasão de consumidores para outras plataformas de e-commerce. “Os clientes que tinham adquirido produtos e não conseguiam acesso à plataforma apresentaram um comportamento de insegurança com relação ao recebimento de suas compras”, diz.

Outra questão que não foi bem digerida pelos clientes foi a falta de um posicionamento rápido do grupo. A B2W Digital, responsável pelas marcas Americanas, Submarino e Shoptime, não divulgou detalhes sobre o incidente e, também, não veio a público para prestar satisfação.

“Isso fez gerar dúvidas entre os consumidores, que ficaram sem saber se o incidente resultou apenas na indisponibilidade de sistemas ou se algo mais grave aconteceu, tal como potencial vazamento de seus dados pessoais.”

Ciberataques e a LGPD

Desde o dia primeiro de agosto de 2021, as sanções para quem desrespeitar a Lei Geral de Proteção de Dados, conhecida pela sigla LGPD, entraram em vigor. A medida, aprovada em 2018 e vigente desde 2020, vem na esteira de outras legislações que visam proteger as informações pessoais dos consumidores e dos cidadãos.

Inspirada na lei europeia GDPR (General Data Protection Regulation), que vigora desde 2018, a LGPD é mais simples. Embora a brasileira siga os principais princípios e fundamentos da europeia, a nossa é bem mais enxuta.

“A GDPR é extremamente complexa e mais densa. A nossa, apesar de ser inspirada nela, é bem menos rigorosa”, comenta Gisele Truzzi, advogada especialista em Direito Digital e fundadora do escritório Truzzi Advogados.

Isso não significa, no entanto, que é uma lei sem importância. “Ela é extremamente importante, sobretudo, em um mundo que está cada vez mais digital. Para as companhias que já se adaptaram se torna um grande diferencial por mostrar compliance”, complementa Gisele. 

Em um mundo cada vez mais digitalizado se torna relativamente fácil encontrar vulnerabilidades em empresas e em seus respectivos sistemas. Por isso, na esteira da LGPD, é fundamental que medidas de proteção a estes sistemas sejam adotadas, o que inclui adoção de normas e regulamentos, além de tecnologias e processos que garantam a eficácia da proteção permanentemente.

“É importante entender que a LGPD é uma lei que descreve questões relativas a aspectos jurídicos do que deve ser realizado. Mas para que esses aspectos jurídicos possam ser implementados são necessárias ferramentas de software, de harware, entre outros, além de boas práticas das pessoas nas organizações. A legislação define esse aspecto jurídico, mas evidentemente isso depende das várias formas que podem ser implementadas as defesas e outras questões que envolvem proteção de dados”, afirma Jéferson Campos Nobre, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS).

Do ponto de vista legal, a penalização do cibercriminoso ocorre quando é possível identificar o(s) autor(es) de um delito – tanto no mundo real, como no mundo ciber. “Mas, há, sim, possibilidade de aplicar penalidades, uma vez que existem delegacias relacionadas diretamente com crimes cibernéticos. No caso de proteção de dados, nós temos a própria LGPG em relação a multas que podem ser aplicadas às organizações que não tenham cumprido”, acrescenta Nobre.

Dados 100% blindados

De acordo com Marcelo Lau, não há como garantir a segurança total. O que as empresas podem – e devem – fazer é se atentar, ao máximo, às medidas em segurança, dificultando as ações de cibercriminosos.

“Medidas para se blindar incluem a proteção de dados por parte do cidadão (consumidor), das empresas (fazendo sua parte na adoção de tecnologias e de processos em segurança), além do poder público (que deve orientar, aplicar medidas de segurança e fiscalizar).”

E, tratando-se desse assunto, há uma carência de profissionais preparados para atender as demandas em cibersegurança no País. No entanto, segundo uma pesquisa da CSO Online, que traz os países que estão melhor posicionados em relação aos riscos em cibercrimes, o Brasil não está nem entre os melhores, nem entre os piores.

“Há diversas iniciativas em cibersegurança há anos, o que possibilita estarmos preparados em diversos setores quanto à ocorrência de ataques cibernéticos. Mesmo assim, somos alvo de incidentes nos mais diversos segmentos de negócios. Diariamente, o Brasil sofre inúmeras tentativas, sendo que estas são rechaçadas por profissionais, processos e tecnologias que têm suportado essas ações”, complementa o professor da FIAP.

E, com a transformação digital ocorrendo em diferentes setores, este tema estará cada vez mais presente na agenda dos executivos, sobretudo, com o advento da indústria 4.0, que impulsiona ainda mais tecnologias e tráfego de dados.

“Acredito que nos próximos anos teremos um aumento no interesse sobre cibersegurança. Muito provavelmente ainda iremos ver outros ataques, mas é um tema que exigirá cada vez mais atenção e terá relevância dentro das empresas”, finaliza Jéferson Nobre.