Tendo cuidado de mais de 100 incidentes cibernéticos apenas no ano passado, e mais de 10 neste ano de 2023, Rony Vainzof, diretor do Departamento de Segurança da Federação das Indústrias do Estado de São Paulo (Fiesp), participou do Security Day Embratel, realizado em 24 de agosto, em São Paulo, abordando um aspecto bastante polêmico: a negociação do resgate e seus reflexos éticos e legais.
Com mais de 20 anos de atuação, ele conta que vem acompanhando a evolução dos crimes cibernéticos e, infelizmente, não percebe a mesma maturidade no nível da segurança cibernética.
Em 2012, Vainzof participou da construção do projeto de lei que ficou conhecido como lei Carolina Dieckman, sobre a criminalização de invasão de dispositivos informáticos. “Depois disso, veio o marco civil da internet e a Lei Geral de Proteção de Dados Pessoais (LGPD). Agora, temos outro projeto de lei, que tramita no Congresso Nacional, que é a política nacional de Segurança Cibernética. Mas outro ponto relevante, que está passando batido, é a Reforma Tributária. Ela tem uma alíquota especial para serviços de cibersegurança, que pode trazer um impulsionamento muito relevante para o mercado, fora o marco regulatório da inteligência artificial”, disse.
Voltando-se especificamente para o resgate e negociação, o especialista da Fiesp comenta que, de acordo com um relatório do Fórum Econômico Mundial, 93% dos líderes que atuam na cibersegurança consideram este um dos assuntos mais importantes em relação à estratégia das empresas e das nações. Outros 86% de líderes executivos, que não são de cyber, também consideram o tema muito importante, tanto que a pauta está entre as 10 mais relevantes, em âmbito global.
Segundo a Cybersecurity Ventures, os custos globais do cibercrime chegarão a US$ 10,5 trilhões/ano até 2025, número maior que os desastres naturais e mais lucrativo que o comércio global de todas as principais drogas ilegais somadas.
O relatório feito pela IBM em 2023 mostra que, em média, um incidente cibernético envolvendo mais de 17 nações custa para as organizações US$ 4,45 milhões. “Se o ataque for de ransomware, sobe para US$ 5,13 milhões. Para empresas que não pagam resgate, o custo é de US$ 5,17 milhões, enquanto para as empresas que pagam o resgate para recompor a sua operação, o custo é de US$ 5,06 milhões. Não há grandes diferenças em relação ao pagamento ou não do resgate.”
Um relatório da Sophos, de 2023, demonstra que 66% das organizações foram vítimas de algum tipo de ataque cibernético e, destas, 76% resultaram de alguma forma em encriptação de dados. “A média para recuperação de dados, não incluindo o pagamento por eventual resgate, é de US$ 1,82 milhões.”
Como muitas empresas estão passando para o digital, fica evidente a necessidade de confiança no ambiente digital, o “digital trust”, que invariavelmente envolve um tripé baseado em segurança cibernética, privacidade em proteção de dados e inteligência artificial ética e responsável.
Sanções da LGPD: prevenção faz a diferença
O diretor da Fiesp ressalta que saiu um regulamento sobre os critérios e parâmetros para aplicar as sanções da LGPD, bem como as medidas que atenuam as eventuais penas.
Logo, se a organização verificar uma falha de segurança que venha a motivar uma sanção por descumprimento da prevenção que está na LGPD ou do princípio da segurança, e a empresa conseguir cessar a falha antes de um processo de fiscalização, ela poderá ter uma atenuação significativa da pena de até 95%. “Ou seja, a prevenção vale mais do que nunca. É fundamental mapear seu ambiente para detectar eventuais ataques.”
O phishing, segundo relatório da IBM, ainda lidera as principais causas dos incidentes cibernéticos. “Graças à IA, cada vez mais o phishing vai ser convincente, o que aumenta a responsabilidade do acesso às credenciais, inclusive as entre sistemas, tornando a questão do zero trust super relevante sobre todos esses eventos cibernéticos”, comenta.
Ética
A negociação, ressalta, não é eticamente correta. Além de estimular o crime, não há como ter garantias de que o criminoso fará o que combinar com a organização. “Interessante é possuir um seguro cibernético. Você precisa ver, de forma consistente, o que está coberto ou não em suas apólices, inclusive eventual pagamento de resgate. Existe uma diferença gritante entre extorsão, ransomware e programas Bug Bounty”, alerta.
Portanto, antes de pagar ou não o resgate, é preciso avaliar os ganhos:
- fazendo o pagamento, existe a esperança de recuperação dos dados na ausência de backup; o retorno de um sistema operante com maior rapidez; e a necessidade de evitar a divulgação pública do incidente;
- não pagando, o benefício está em não estimular o mercado ilícito e não aumentar o dano reputacional, além da redução da possibilidade de sofrer novos ataques na sequência. Porém, é preciso lidar com a ausência de garantia do restabelecimento do sistema e a ausência de garantia de abstenção de uso das informações.
O especialista deixa claro que não negociar é regra, e que é muito importante que exista um plano de resposta aos incidentes, e que ele seja testado constantemente.
“Você precisa ter um interlocutor, ter advogados. Na hora de apertar o botão de emergência, qual é o plano de gestão de crise? No caso de ataque cibernético é preciso, primeiro, validar a veracidade do incidente e a reputação do atacante, pois com tantos dados vazados, pode ser uma extorsão infundada. A regra é NÃO PAGAR, exceção é negociar, dependendo do tipo de situação.”