Em evento da AON que debateu riscos virtuais, a LGPD e a prevenção a ciberataques, especialistas apontaram as vulnerabilidades nas empresas.
As perdas decorrentes de ataques cibernéticos deverão atingir US$ 6 trilhões até 2021, segundo previsão de relatório da AON, que também estima investimentos de mais de US$ 1 trilhão nesse período em segurança cibernética. A diferença entre os valores pode dar a impressão de que o cibercrime está ganhando a batalha. Mas, não é essa a opinião de Rafael Sampaio, Country Manager da Etek NovaRed.
Sampaio afirma que empresas e governos estão reagindo e prova disso são as normatizações para a proteção de dados, como a nova Lei Geral de Proteção de Dados (LGPD) brasileira e, antes dela, a lei americana GDPR. “Muitas empresas mudaram seu modelo de negócio com a transformação digital. Mas, a cibersegurança precisa estar mais próxima do negócio, ou então o desequilíbrio econômico será cada vez maior”, diz. Ele participou do evento “What’s Now and Next? Evoluir é preciso”, realizado pela Aon, dia 23 de outubro, em São Paulo.
Na linha do tempo dos ataques cibernéticos, Sampaio pontua os anos 90 como a virada do jogo, quando surgiu o hacktivismo (hacker + ativismo), um movimento organizado que alegava tentar promover mudanças sociais. “O mundo passou a conhecer o cibercrime e o hacktivismo organizados”, diz. Hoje, os ataques cibernéticos já figuram entre os maiores riscos globais. No ranking da ONU está em quinto lugar, atrás apenas dos riscos naturais, como os terremotos.
A questão é que os riscos cibernéticos aumentam na proporção da evolução tecnológica. Sampaio teme a chegada do 5G, tecnologia que ampliará em grande escala o volume de circulação de dados. “A capacidade de conexão será 200 vezes maior e isso significa 200 vezes mais problemas. É um desafio cibernético”, diz. Outros desafios surgirão, segundo ele, com a expansão dos veículos conectados e as cidades inteligentes, “um prato cheio para o ciberterrorismo”, em sua opinião, bem como pela evolução da inteligência artificial.
O aumento dos riscos cibernéticos traz mudanças para as empresas, sobretudo para os conselheiros. Tanto que muitos estão sendo treinados para entender a sua responsabilidade de reportar incidentes de segurança. Entretanto, por maior que seja a cibersegurança, as pessoas ainda são o ponto fraco. Um simples e-mail malicioso pode criar um grande problema para a empresa. Por isso, as pessoas estão também no centro das ações de proteção.
Sampaio encerrou sua apresentação se referindo ao mundo vuca, termo composto pela junção das iniciais das palavras volatility, uncertainty, complexity e ambiguity, que expressa a pressão da vida moderna. “Vejo risco em todo lugar. É um jogo de gato e rato, mas sempre existirá espaço para se criar mais segurança”, diz.
LGPD
Com a experiência de quem acompanhou a implantação da GDPR no Google, quando era funcionário desta empresa, Marcel Leonardi, atual Of Counset na Pinheiro Neto Advogados, alerta que a LGPD brasileira não é atribuição de um único departamento. “É uma legislação robusta, que precisa de soluções jurídicas, técnicas e de seguro”, diz. Ele ressalta que a nova lei define o dado pessoal de uma maneira ampla, considerando todas as informações que estão atreladas ao perfil, o que inclui desde o histórico de navegação na internet até a ficha médica. “É todo dado que possa identificar alguém”, explica.
Todas as empresas tratam dados pessoais, ainda que sejam apenas de seus funcionários. Entretanto, Leonardi destaca que a grande mudança do ponto de vista legislativo é que a lei exige para cada atividade de tratamento uma justificativa. Ele cita o exemplo da regra do CMN para o combate à lavagem de dinheiro, que exige da instituição financeira a guarda de informações por cinco anos. O marketing do banco poderia usar esses dados para a oferta de crédito? Segundo Leonardi, poderia, caso a base legal fosse o legítimo interesse.
O legítimo interesse tem sido amplamente utilizado pelas empresas para diversas finalidades. Supondo que uma fabricante de werables (sensores) constate que 1% dos usuários são atletas, poderia oferecer produtos, como, por exemplo, tênis, contando com a autorização da lei. Mas, se resolvesse compartilhar os dados dos 99% de sedentários com seguradoras, por exemplo, poderia não obter autorização. “Mesmo que esses sedentários sejam saudáveis, esta análise não atenderia aos requisitos do legítimo interesse”, diz.
A LGPD entrará em vigor apenas em agosto de 2020, mas, Leonardi observa que tanto o Ministério Público como diversas empresas já exigem a conformidade com a nova lei. “Não se iludam achando que a lei será adiada ou que não vai pegar”. Ele também orienta sobre o entendimento da lei em relação à posse dos dados. “Os dados pertencem ao titular. As empresas pensam que são donas, mas a lei exigirá que tenham autorização para usá-los”, diz. Leonardi lembrou que as empresas infratoras serão obrigadas a divulgar que violaram a lei. “Será preciso ter um plano de contingência para lidar com isso, porque apenas o jurídico não poderá resolver”, diz.
Foco em pessoas
A expansão da conectividade aumentou a vulnerabilidade a ataques cibernéticos. Nycholas Szucko, Cybersecurity Director SOLA na Microsoft, reconhece que é muito difícil colocar o cibercriminoso atrás das grades, mas é possível se proteger. Para tanto, a Microsoft desenvolveu patches (remendos) que atualizam e corrigem problemas de softwares. Outra alternativa criada pela empresa é o Windows Hello, que trocou a senha pelo reconhecimento facial ou impressão digital.
Entretanto, por mais soluções que sejam desenvolvidas, Szucko afirma que o próprio usuário se sabota ao criar senhas fracas. Daí porque a segurança de dados nas empresas deve focar o pessoal. Medidas simples como a criptografia de mensagens oferecem uma barreira contra os ataques virtuais. Um dado curioso é que dentre todas as redes, de Hotmail a Netscape, a mais atacada, segundo Szucko, é o Xbox, por causa dos softwares de jogos. Outra informação curiosa é que o maior banco de dados do mundo é o Excel. “O dado não estruturado hoje é o maior desafio”, diz.
Fonte: Revista APTS Notícias (ed. 135/136) | Texto: Márcia Alves