Landulfo de Oliveira Ferreira Júnior //
I - Introdução
Falar dos cenários atuais em riscos cibernéticos é uma desafiadora missão, dado que o tema é de extrema importância em quaisquer atividades empresariais e profissionais. Demais disto, embora diariamente tenhamos notícias de novos casos de invasões, violações (breaches) de sistemas de segurança, a doutrina especializada ainda é incipiente entre nós.
Com a grande evolução da tecnologia e sua inevitável adoção em nosso convívio diário, nos acostumamos às facilidades, comodidade da mobilidade e da velocidade embutida em nossos modernos aparelhos de telefonia celular e tablets, dentro outros instrumentos de conexão com a internet. Aliás, a expressão telefonia já se mostra um tanto quanto ultrapassada neste contexto.
Já convivemos com naturalidade com a internet das coisas (IoT – expressão em inglês para Internet of Things) presente em eletrodomésticos, meios de transporte e até mesmo tênis, roupas, cortinas, luzes da casa e maçanetas conectadas à Internet e a outros dispositivos, como computadores e smartphones.
Usamos a tecnologia de forma tão frequente e incorporada ao nosso dia a dia, seja para pedir um taxi, um “uber”, compartilhar as fotos nas redes sociais, conversar com a família nos grupos de whatsapp e, até mesmo, responder a um e-mail corporativo durante a madrugada. Na grande maioria das vezes fazemos a conexão por meio de redes wi-fi gratuitas.
II – Os riscos do acesso a redes gratuitas não seguras
Aqui aparece um primeiro alerta. Serviços assim, gratuitos ou públicos, são potencialmente atrativos para surgimento de golpes on line, roubo de dados, de senhas de cartão de crédito, dentre outros. Os hackers se valem da fragilidade destas redes para configurar falsos pontos de acesso, ou simplesmente se introduzem maliciosamente em redes legítimas e as alteram, programando-as para capturar e manipular as conexões feitas pelas suas “vítimas”.
Todo este conforto e uso tecnológico tornou o ambiente virtual terreno fértil para a ação de hackers. Se no contexto pessoal tem sido assim, no âmbito das empresas e atividades econômicas não tem sido diferente.
Não podemos mais pensar ou indagar se nossas instituições sofrerão um ataque virtual, mas sim quando isto acontecerá e em que escala tal agressão se dará.
As agressões, violações ou ataques cibernéticos já são sentidas em atividades econômicas de natureza e características as mais diversas. Engana-se quem ainda acha que seu negócio ou atividade não é ou será alvo de um ataque cibernético.
A frequente utilização cotidiana de canais digitais deixa uma ampla gama de oportunidades para que assim aconteça.
Vimos, com maior ruído, a propagação do vírus WannaCry. Em tal episódio, em meados de 2017, mais de 200 mil sistemas em todo o mundo foram atacados e afetados, seja por meio de páginas falsas (phising) ou por e-mails com conteúdo capaz de capturar informações, tais como senhas, dados bancários e pessoais, dos infelizes usuários que vitimaram.
Assim como os canais digitais são vários, também os são os tipos de ameaças cibernéticas de que se valem os hackers: ransomware, worm, spyware, phishing, vírus contidos e encaminhados com spams. É uma lista que não esgota e se amplia a cada dia de modo constante e rápido.
Não existe, de fato, um ambiente em que se diga seja mais ou menos atraente aos ataques dos hackers. Certamente existem os que recebem um número maior de ataques ou tentativas de intrusão criminosa, a busca dos criminosos se dá por motivações várias, sendo as mais comuns a obtenção de acesso a informações de clientes de bancos, dados das próprias instituições financeiras, senhas, pirataria de propriedade intelectual, tentativas de comprovação da vulnerabilidade de sistemas e por aí vai.
Poderíamos ficar enumerando por longo tempo as atividades, mas optamos aqui por apenas levantar algumas que nos parecem de maior impacto e relevância, tais como empresas do mercado financeiro, aeroportos, operadores de serviços de saúde, hospitais, operadoras de telecomunicações, empresas públicas de controle de serviços como água, luz, tráfego rodoviário e urbano, empresas de transportes.
III – Cenários Catastróficos
Apenas com estes exemplos podemos aqui imaginar os transtornos, prejuízos financeiros, materiais e pessoais que podem resultar da invasão dos controles automatizados em sistemas eletrônicos de tais empresas ou entidades.
Imaginem o controle das comportas de determinada usina hidroelétrica nas mãos de um criminoso cibernético? Imaginem a impotência de quem de fato as devia controlar? Prejuízos? Impossível imaginar.
Outro exemplo de maior criticidade se daria no acesso indevido e criminoso de um sistema eletrônico de gestão e funcionamento de um hospital? Qual o alcance de tal ato? Aparelhos sendo desligados, sabotados ou tendo seu funcionamento alterado deliberadamente? Imaginem tudo isto no curso de cirurgias?
Não faz muito tempo tivemos impactos assim no Hospital do Câncer em Jales, Fernandópolis e Barretos, SP, em razão da “inoculação” do ransomware “Petya”.
O vírus ou como passamos a chamar o mecanismo do golpe, um ransomware, "sequestra" os arquivos no computador ou servidor e só os libera mediante pagamento em moedas virtuais, sendo os bitcoins os mais populares. O conteúdo do sistema não necessariamente é retirado dos computadores, mas os dados são codificados para impedir o acesso dos usuários a eles. O caos estará estabelecido a partir daí.
Estas poucas, mas assombrosas, menções a tais riscos nos obriga a tomar atitudes mais ousadas e ágeis diante dos riscos cibernéticos que cada vez mais nos cercam.
É urgente conscientizar todos os colaboradores, em todos os níveis, da importância de uma vigilante atuação ao receber e abrir e-mails de remetentes desconhecidos ou que contenham links e arquivos anexos que minimamente pareçam de algum modo suspeitos.
Alguns mecanismos de segurança já são praticados por parte das instituições, mas somente com o comprometimento de todos, numa verdadeira revolução cultural, para combater os riscos de ataques cibernéticos, é que se alcançará um ambiente reforçado contra estas ameaças. Não é demais dizer que a palavra segurança plena não mais poderá ser empregada neste ambiente.
As ameaças são constantes, internas e externas, e trocaríamos segurança, por vigilância permanente.
IV – A busca da proteção. Cautela nunca é demais
Alguns recursos, se bem utilizados e atualizados periodicamente podem mitigar a incidência dos ataques ou seus efeitos. Apenas exemplificativamente podemos citar a criptografia de dispositivos tecnológicos, testes permanentes de phishing, melhoria do controle de spam, dupla autenticação de senhas, troca permanente de senhas, utilização de senhas alfanuméricas e com símbolos, controles rigorosos do acesso a aplicativos e firmware, restrição de downloads de aplicativos ou programas não validados pela área de controle competente.
Assim, no meio bancário são adotados token físico, senhas duplas, leitor de impressões digitais ou das veias das palmas da mão, tudo para dar maior segurança aos usuários e ao próprio sistema bancário contra as fraudes e ameaças cibernéticas. Já estão em avançados estudos o uso de múltiplas tecnologias para biometria, que vão desde a identificação de voz até o reconhecimento facial.
E por falar em área de controle, a quem caberá tal missão?
Ao nosso ver precisamos encarar este desafio de modo multidisciplinar ou em multiáreas. Da mesma forma que todos os colaboradores precisam praticar a cultura de mitigação de riscos, todas as áreas das empresas ou instituições devem estar comprometidas com tal trabalho, assim várias áreas ou departamentos precisar estar alinhados no combater ao ciber risco, não apenas as áreas de tecnologia, como também as típicas de governança, de compliance, controles internos, auditoria.
É preciso mesmo estabelecer um programa de cibersegurança, em que tais áreas promovam educação e conscientização na segurança de softwares, gestão de risco, segurança de redes, monitoramento de acessos e uso destas, com foco também, já que é inevitável e não exauriente, como já dissemos, em mecanismos de continuidade do negócio e recuperação de desastres, com um PCN (plano de recuperação do negócio) bem estruturado, validado e em permanente atualização.
Dentre os mecanismos e medidas de segurança, algumas empresas já adotam orientação para que seus colaboradores, quando permitidos a levar seus próprios dispositivos (tablets, smartphones) ao trabalho ou acessarem assuntos corporativos nesses aparelhos, o façam por meio de acesso protegido ou VPN (Virtual Private Network) quando acessarem uma rede pública.
Outra prática de segurança fundamental, como já dissemos, é a realização de treinamentos e instituição de uma cultura sobre os riscos de acessar redes públicas gratuitas apenas por meio de uma VPN, criando assim uma conexão segura e criptografada, em que os dados transitam como que dentro de um túnel de proteção para o servidor da empresa. O uso da VPN irá cifrar os dados em tráfego, mesmo que o colaborador esteja conectado em rede não confiável.
Dados colhidos em pesquisa da empresa Avast, especializada em serviços de proteção para redes e sistemas, indicam que mais da metade dos brasileiros se conectavam a wi-fi pública, mas menos de 7% utilizavam uma VPN ou um servidor seguro para proteger seus dados.
Realmente, o ambiente e práticas nocivas, por desconhecimento ou negligência tornam o ambiente virtual ainda mais hostil e propício para golpes.
Chegamos ao extremo de constatar que o temor com os danos e prejuízos causados por um ataque cibernético tem maior relevância para os executivos e gestores das empresas do que ataques terroristas propriamente ditos ou com catástrofes naturais.
Não se pode deixar de mencionar o escândalo causado pelas revelações de que a empresa Cambridge Analytica usou a rede social Facebook para analisar hábitos e de certo modo manipular eleitores norte-americanos e que levou o seu CEO Mark Zuckerberg a assumir perante o Congresso dos Estados Unidos as falhas de proteção de dados armazenados pelo Facebook.
V – O Seguro contra Riscos Cibernéticos
Neste cenário, o Seguro para riscos cibernéticos se desponta com mais uma ferramenta para melhor gestão dos riscos das mais diversas atividades. Mas não nos apressemos em imaginar que o Seguro seja neste ou em qualquer caso uma “bala de prata”.
O seguro contra Riscos Cibernéticos tem características bem peculiares que precisam ser bem compreendidas pelos contratantes e público em geral. Ele será uma ferramenta valiosa e que estará apoiada em diversas providências e condutas prévias do Segurado.
O risco cibernético existe e não temos como pensar em uma proteção absoluta contra o ele. Todo esforço no sentido de identificar, rastrear, adotar ações necessárias para mitigar as ameaças cibernéticas deve ser feito independentemente da contratação de uma apólice de seguro contra riscos cibernéticos e neste sentido é preciso que o contratante esteja bem assessorado pelo Corretor de Seguros de sua confiança e que conheça e tenham ampla capacitação técnica para a contração do seguro.
Também chamado de “seguro de Responsabilidade Cibernética (Cyber)”, tem como objetivo proteger as empresas quanto aos impactos financeiros e patrimoniais em casos de reclamação de terceiros por danos que sejam de responsabilidade civil segurado na administração de dados de terceiros.
As principais e mais comuns coberturas oferecidas pelo mercado segurador nas apólices de seguro contra riscos cibernéticos são:
Interrupção do negócio
Pagamento de valores compensatórios, dentro dos limites previamente estabelecidos nas apólices, pela paralização das atividades da empresa segurada e consequentes perdas.
Demandas de extorsão cibernética
Custeio do pagamento ou de reembolso de valores, nos casos previstos e expressamente autorizados, para obter a liberação dos dados sequestrados.
Responsabilidade por Dados Pessoais e Corporativos:
Abrange indenizações que o Segurado seja obrigado a pagar em razão da divulgação pública de dados privados que estão sob custódia da sociedade e a divulgação pública de dados corporativos de um terceiro (orçamentos, listas de clientes, planos de marketing, etc) ou informações profissionais de um terceiro que estejam sob custódia do segurado e sejam confidenciais.
Responsabilidade pela Segurança de Dados, que por erro ou omissão do Segurado resulte em:
§ Contaminação de dados de terceiro por software não autorizado ou código malicioso (vírus);
§ Negação de acesso inadequada para o acesso de um terceiro autorizado aos dados;
§ Roubo ou furto de código de acesso nas instalações do Segurado ou via sistema de computador;
§ Destruição, modificação, corrupção e eliminação de dados armazenados em qualquer sistema de computador;
§ Roubo ou furto físico de hardware da empresa por um terceiro;
§ Divulgação de dados devido a uma violação de segurança de dados.
Responsabilidade por Empresas Terceirizadas:
Para situações em que ocorra a violação de informação pessoal que resulte em uma reclamação contra uma empresa terceirizada pelo processamento ou coleta de dados pessoais em nome do Segurado e pelos quais o mesmo é responsável.
Custos de Defesa
§ Honorários advocatícios e custas judiciais incorridos exclusivamente da defesa ou recurso de um procedimento civil, regulatório, administrativo ou criminal.
Investigação
Os honorários, custos e gastos razoáveis que o Segurado incorra para o assessoramento legal e a representação relacionados a uma investigação.
Sanções Administrativas
As Sanções Administrativas que o segurado seja obrigado a pagar relacionadas a uma investigação.
Restituição de Imagem da Sociedade e Pessoal
Custos e despesas para mitigar os danos à reputação em consequência de uma reclamação coberta pela apólice.
Notificação e Monitoramento
Custos incorridos para a notificação de uma violação de dados aos usuários.
Dados Eletrônicos
Na hipótese de uma ‘’Violação de Dados de Segurança’’, estarão cobertos os custos para determinar se os dados eletrônicos podem ser ou não restaurados, restabelecidos ou recriados, e os custos para restaurar, restabelecer ou recriar tais dados eletrônicos, quando possível.
Nas sempre precisas palavras de Patricia Peck Pinheiro (em “Direito Digital”, 6 ed. rev. atual e ampl. – São Paulo: Saraiva, 2016, p. 504.), “independentemente de se ter um seguro ou não, o gerenciamento de riscos digitais passa necessariamente pelas seguintes etapas: a) adequação à legislação vigente aplicável em toda a cadeia de negócio; b) revisão de contratos com fornecedores, parceiros, colaboradores e clientes; c) elaboração de novas minutas de contratos que tratem adequadamente das responsabilidades das partes quanto aos riscos digitais envolvidos, incluindo aplicação de cláusulas ou acordos de nível de serviço (SLA) e Plano de Continuidade de Negócio (PCN); d) implantação de políticas de segurança para o uso de ferramentas tecnológicas no trabalho; e) conscientização para construção de cultura interna na empresa de segurança da informação e proteção dos ativos intangíveis.”
É preciso estar atento para as condições contratuais e custos das apólices que variarão em razão do perfil da empresa segurada, sua área de atuação e os limites que ela quer contratar. Uma empresa que atue no mercado financeiro e de crédito tem necessidades de cobertura bem distintas de um hospital ou de uma rede de restaurantes, por exemplo.
Com um crescente número ataques cibernéticos, que cresceu quase 200% nos últimos anos, num ambiente em que cerca de US$3,75 bilhões em prejuízo decorrentes de golpes e fraudes a partir de um método popular utilizado no Brasil, quando um malware foi capaz de falsificar boletos bancários, parece-nos impossível ficar inerte diante dos riscos e ameaças originarias de ambiente virtual e tecnológico.
Um outro fator contribui decisivamente para que os seguros cibernéticos tenham tomado grande impulso recentemente. É que com a entrada em vigor do Regulamento Geral de Proteção de Dados (GDPR, em sua sigla em inglês) empresas em todo o mundo passaram a se preocupar em grau mais elevados pelas consequências de eventual vazamentos de dados por elas armazenados, ainda que o Regulamento reja dados de cidadãos europeus ou que lá residam, tanto pelo descumprimento das regras nele contidas, em se tem multas de elevados valores, quanto pela maior severidade dos danos causados por tais vazamentos.
Dados do Global Risks Report 2018, realizado pelo World Economic Forum (WEF) apontam para custos na ordem de US$ 8 trilhões relativos a crimes cibernéticos cometidos contra empresas.
Outra interessante vantagem de se contratar apólices de seguros contra riscos cibernéticos é contar com uma regulação de sinistro feita em parceria com profissionais especializados que poderão agir de forma mais rápida e profissional na mitigação dos efeitos dos danos resultantes da invasão ou sequestro de dados, buscando fazer cessar o quanto antes tais efeitos e prejuízos daí resultantes, como a paralização dos negócios da empresa segurada.
VI - Cenário Regulatório Brasileiro
Quanto ao cenário regulatório e legal, finalmente temos no Brasil uma clara definição sobre o tema privacidade de dados. Além da previsão constitucional, esculpida nos termos do artigo 5º, incisos X e XII, a legislação específica, que somente entrará em vigor no início de 2020, após seu vacatio legis, necessita ser amplamente compreendida e regulada, de nodo a torna-la instrumento eficiente para o combate e estabelecimento de contornos para as consequências das perdas advindas de invasões a bancos de dados pessoais.
Por certo que as Leis 12.414/11 e 12.965/14, esta última regulamentada em 2016 pelo Decreto 8.771, se mostraram necessárias naquele momento, mas como dissemos, a maciço entendimento de que ainda se mostravam inadequadas à proteção de dados pessoais.
Com a promulgação da Lei 13.709/18, nossa Lei Geral de Proteção de Dados, que disciplina a proteção dos dados pessoais e define as situações em que estes podem ser coletados e tratados tanto por empresas quanto pelos órgãos do Poder Público, temos, enfim, um marco civil dos dados pessoais, com a definição de conceitos do que sejam dados pessoais, o que são dados anônimos, o que pode ser vendido, o que pode ser coletado e, claro, as sanções administrativas às quais ficam sujeitos aqueles que infringirem os direitos assegurados na proposta de lei.
Como bem anotado por Danilo Doneda (em “A proteção de dados pessoais nas relações de consumo: para além da informação creditícia”, v.2. Escola Nacional de Defesa do Consumidor. Brasília: SDE/DPDC, 2010, p.39.), discorrendo sobre a necessidade de proteção jurídica a este patrimônio pessoal, os próprios dados pessoais, “o risco se concretiza na possibilidade de exposição e utilização indevida ou abusiva de dados pessoais; na eventualidade destes dados não serem corretos e representarem erroneamente seu titular; em sua utilização por terceiros sem o conhecimento de seu titular”.
Restou, todavia, postergado um ponto crucial para a efetiva proteção dos dados pessoais, no que pertine à criação de um órgão regulador e fiscalizador ou autoridade reguladora, a ANPD – Agência Nacional de Proteção de Dados, que terá vital relevância para garantir o respeito aos princípios e regras contida na LGPD, devendo emanar dela, como órgão normativo e fiscalizador as diretrizes, regulação e forma de execução de tais normas e princípios tendentes à proteção de dados pessoais.
Felizmente, as iniciativas privadas são mais ágeis e melhor se adequam aos movimentos de evolução e de constantes mudanças quando à segurança dos dados, há notada movimentação no sentido de buscar maior segurança e proteção adequada, pelo caminho da autorregulação ou, ainda, por meio de construções corporativas internas, não obstante serem as ameaças de que aqui tratamos algo de impossível controle dada sua contínua e veloz evolução, o que de modo algum pode retirar dos protagonistas de todo este cenário a obrigação de melhor e de forma mais eficaz se proteger.
CONCLUSÃO
Como visto, embora em ambiente novo e desconhecido, já travamos constantes batalhas contra o cyber crime, sendo de todo necessário conscientizar o todo social dos riscos e responsabilidades decorrentes do uso das novas tecnologias, mediante o estabelecimento de premissas de segurança em todos os âmbitos, domésticos, pessoais e empresariais, de modo a mitigar os prejuízos que podem resultar de invasões, sequestros de dados e mal uso de dados pessoais. O seguro de risco cibernético se apresenta como relevante ferramenta para a consecução deste objetivo, embora não evite a ocorrência dos crimes, pode amparar a vítima, sob a ótica econômica, dos efeitos nocivos do risco. A Legislação mundial e, em especial a brasileira, corre contra o tempo para regular as relações jurídicas resultantes do armazenamento, tratamento e uso de dados pessoais, trazendo, mesmo que incipiente, alento e previsão de melhor relacionamento entre usuários, titulares e agentes de tratamento de dados.
REFERÊNCIAS BIBLIOGRÁFICAS:
DONEDA, Danilo. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia.v.2. Escola Nacional de Defesa do Consumidor. Brasília: SDE/DPDC, 2010
GIL, Antonio Loureiro. Fraudes informatizadas. 2 ed. São Paulo: Atlas, 1999.
MENDES, Laura Shertel. Privacidade, proteção de dados e defesa do consumidor; linhas gerais de um novo direito fundamental. São Paulo: Saraiva, Série IDP.2014.
PINHEIRO, Patrícia Peck. Direito Digital. 6 ed. rev. atual e ampl. – São Paulo: Saraiva, 2016