O que executivos devem aprender com a violação de dados da Equifax?

A Equifax anunciou na última semana um acordo relacionado à violação de dados de 2017, que expôs registros pessoais e financeiros de mais de 148 milhões de pessoas. A decisão exige que a companhia pague pelo menos US$ 1,38 bilhão para atender as reclamações dos consumidores prejudicados.

A companhia terá de gastar US$ 380,5 milhões em benefícios aos afetados pela violação, incluindo compensação monetária, monitoramento de crédito e ajuda na restauração das identidades. O acordo também prevê que a empresa disponibilize mais de US$ 125 milhões em indenização em dinheiro.

Além disso, a companhia precisará pagar US$ 175 milhões em multas para acertar os honorários de advogados e US$ 100 milhões para resolver as pendências do Departamento de Proteção Financeira do Consumidor e da Federal Trade Commission (FTC). Ainda conforme a decisão acordada, a Equifax deverá investir US$ 1 bilhão nos próximos cinco anos para melhorar seu sistema de segurança de dados.

Danos intensos

As penalidades aplicadas fazem parte de processos complicados pelos quais a Equifax tem passado nos últimos dois anos. Imediatamente após a violação, e o esforço fracassado da própria companhia para lidar com as suas consequências, o CEO Richard Smith deixou a organização.

Outra situação que gerou polêmica está relacionada a Jun Ying, ex-vice-presidente da Equifax e CIO internacional, que, no final de junho, foi condenado a quatro meses de prisão e a pagar cerca de US$ 117 mil em multas e mais US$ 55 mil por ações ilícitas da empresa durante o período da violação de dados. Em outubro do ano passado, o ex-engenheiro da Equifax, Sudhakar Reddy Bonthu, também foi condenado a pagar uma restituição financeira e a cumprir oito meses de prisão domiciliar.

Considerada “totalmente evitável”, a violação não passou por processos apenas nos Estados Unidos. Em setembro do ano passado, o órgão regulador de dados do Reino Unido, o Information Commissioner’s Office (ICO), multou a Equifax em £ 500.000 (US$ 664.000) por não proteger os dados pessoais de cerca de 15 milhões de britânicos.

Multas semelhantes também foram aplicadas a outras companhias. No início de julho, a ICO anunciou planos para multar a British Airways em mais de £ 183 milhões (cerca de US$ 230 milhões) depois que hackers roubaram os dados pessoais de meio milhão de clientes da companhia aérea. A ICO também informou que pretende multar o grupo hoteleiro Marriott International em £ 99,2 milhões (cerca de US $ 123 milhões) por conta de violação de dados descoberta em 2018.

Penalidades não melhoram a segurança

Apesar das grandes penalidades aplicadas, grande parte dos profissionais de segurança da informação acredita que as empresas não colocarão a ênfase necessária em soluções de segurança cibernética para evitar esses tipos de situação. Ainda não se sabe se a visibilidade e repercussão pública impulsionarão as corporações a buscar medidas de segurança mais rígidas.

Mary T. Frantz, fundadora da Enterprise Knowledge Partners, afirma que os casos de violação de dados estimulam picos de gastos com segurança cibernética, mas que vão perdendo força ao longo do tempo. “Tenho observado um padrão em muitos setores nos quais as corporações fornecem amplo financiamento para os departamentos de segurança da informação após uma violação de dados. Depois de um ou dois anos, no entanto, as empresas reduzem drasticamente o financiamento da segurança da informação, muitas vezes antes que todas as melhorias de segurança planejadas sejam concluídas”, explica a especialista.

Exemplo para outras empresas

Norm Siegel, um dos líderes na defesa dos consumidores no acordo com a Equifax, acredita que os profissionais de segurança e os executivos devem levar a sério o caso. “Fomos capazes de garantir melhorias significativas na segurança de dados, incluindo um grande compromisso de capital apoiado por uma ordem judicial, que é outra característica importante deste acordo que talvez seja um impedimento para a negligência executiva da segurança cibernética”, comemora.

No entanto, a dificuldade de entender o impacto das violações de dados deverá levar ainda mais empresas para o caminho seguido pela Equifax. “Os advogados de defesa do consumidor continuam a desempenhar um papel fundamental na responsabilização das empresas”, afirma Amy Keller, advogada do acordo Equifax.

O acordo “demonstra que os consumidores se recusam a aceitar que as violações de dados são a ‘nova norma’” e “não apenas compensam os consumidores pelo tempo e dinheiro que gastaram como resultado da violação, mas também garantem que os consumidores tenham as ferramentas necessárias para se protegerem no futuro ”, acrescenta. Para Keller, “Se as empresas lucrarem com seus dados, elas têm o dever de proteger esses dados”.