Ransomware e a LGPD: pagar o sequestrador ou tomar multa da ANPD?

Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) no mês de setembro, as atenções da empresas ficaram voltadas para os processos de adequação à lei. Porém, muitas se esquecem de que para obter a real Proteção de Dados Pessoais, é necessário um forte mecanismo de segurança da informação, principalmente quando falamos de ataques de ransomware.

O vírus que bloqueia dados em um computador utilizando a criptografia,
causando o embaralhamento de dados, é bastante conhecido no Brasil. O país ocupa a segunda posição entre os mais atacados por esse tipo de ameaça, segundo a Trend Micro.

Outro dado importante é que o Brasil é o líder mundial em phishing, investida utilizada pelo cibercriminoso para enviar o ransomware, e assim sequestrar ou invadir uma máquina, um banco de dados ou um sistema por meio de um e-mail falso.

Após o bloqueio dos dados, o hacker entra em contato solicitando o pagamento de um resgate para a liberação dos dados, que deve ser feito por meio de criptomoedas como,,o Bitcoin, para impedir o rastreamento pelas autoridades policiais. Esse momento é em que muitas empresas se deparam com o questionamento: pagar ou não pela liberação dos dados?

Como o sequestro das informações, uma empresa pode paralisar completamente sua operação, o que pode acarretar também em prejuízos financeiros.

Por isso, é necessário ter um plano de respostas a incidentes que restabeleça o quanto antes os backups, investindo na educação interna dos colaboradores para que não abram e-mails ou dispositivos que possam conter vírus. E, por fim, mas não menos importante, manter as plataformas de antivírus atualizadas.

Com o advento da LGPD, no entanto, a criação desses mecanismos de segurança não são suficientes para evitar a penalização financeira de uma organização.

Por isso, surge o dilema: como tratar os ataques de Ransomware nos tempos de LGPD?

A empresa pode se sentir segura por conseguir restabelecer sua operação de forma rápida com a subida dos backups em produção e ficar livre de pagar o hacker para a liberação dos dados sequestrados, mas e as consequências se o criminoso expuser os dados pessoais sequestrados em plataformas públicas?

Há multas e penalidades que a empresa poderá sofrer mediante a denúncia à ANPD por violação dos dados pessoais. Além da fiscalização da autarquia e da deterioração da imagem perante o mercado, como ficará a empresa ao receber um “tsunami” de ações dos titulares de dados que se sentirem lesados ao terem seus dados pessoais expostos por falta de cuidado e de proteção da organização? Sem dúvida os prejuízos são maiores do que a simples paralisação da operação ou multa da ANPD.

Por isso, mais do que nunca, as empresas precisam continuar com os seus planos de adequação jurídico-processual para a LGPD, e, ao mesmo tempo, investir pesadamente em treinamentos, plataformas de segurança, equipe de resposta a incidentes e recuperação de desastres para impedir totalmente sequestros de dados. O que antes “apenas” paralisaria suas operações por um período, agora pode trazer múltiplos prejuízos.

A recomendação é de que as empresas aproveitem este momento de adequação da LGPD para investir na área de cibersegurança, logo que o mercado de sequestro de dados ficou mais “atrativo”. Você pode não pagar o sequestrador por possuir backups com os dados, mas terá que se precaver para que as informações não sejam divulgadas

A cibersegurança deve ser item prioritário nos investimentos corporativos
hoje e sempre. Os cibercriminosos não dormem, e a LGPD está atenta a qualquer violação de dados pessoais.

*William Faria é DPO (Data Protection Officer) da GFT Brasil e advogado