Risco Cibernético. Tudo o que é preciso saber para gerenciar a nova ameaça do século 21.

Em 2012, John Kerry, o novo secretário de estado do presidente Barack Obama declarou em seu discurso de posse que que os ataques cibernéticos são as armas nucleares do século XXI.

Em audiência no Comitê de Serviços Armados da Câmara americana em 2013 o então diretor do FBI Robert Mueller declarou que que os ataques cibernéticos ultrapassarão o perigo do terrorismo em breve.

Até o final do século 20 os três maiores riscos a que uma empresa poderia estar possivelmente exposta eram o incêndio, a perda de receita e a responsabilidade civil. No século 21 devemos adicionar a estes o risco cibernético ou cyber risk.

Os ataques cibernéticos são hoje um grave risco não somente a segurança de um país como os Estados Unidos ou Brasil ou as suas empresas públicas, mas, também, as empresas privadas, devido a sua irremediável dependência de sistemas informatizados e bancos de dados digitais, além do inevitável uso da internet.

A tendência é achar que somente a grandes corporações ou multinacionais estão sujeitas a riscos cibernéticos. Trata-se de um engano, já que qualquer empresa, de qualquer porte e em qualquer segmento está exposta, especialmente as mais recentes que já nascem com alto grau de informatização.

Como veremos a seguir, as possíveis consequências financeiras da exposição a este risco são graves a ponto de levar uma empresa a bancarrota ou, pelo menos, afetar gravemente sua solvência econômica e financeira. Mas o que é podemos entender por risco cibernético e porque suas possíveis consequências são tão graves?

O Risco Cibernético

O risco cibernético abrange toda e qualquer possibilidade de perda que resulte do comprometimento da confidencialidade, integridade ou disponibilidade dos dados digitais de uma empresa, seja por falha interna, seja devido a um ataque por hackers.

As perdas se iniciam com a interrupção das atividades vitais da empresa levando a perda de receita, aliada aos custos recomposição ou recuperação de dados e, no caso de sequestro por hackers, eventuais pagamentos de resgate.

Responsabilidade Civil e Multas

Como se isto não bastasse, há, também, o risco de ações por perdas e danos movidas por clientes ou fornecedores ou multas pela eventual exposição indevida de dados sensíveis e confidenciais ou pela não conformidade com as regras mínimas de segurança, sanções estas, previstas em lei.

A Legislação

A Lei Geral de Proteção de Dados Pessoais,  no seu artigo 42, responsabiliza civilmente qualquer controlador ou o operador de dados pessoais por danos causados a qualquer pessoa por violação de privacidade. A lei prevê, também, multa de 2% do faturamento da empresa até o teto de R$ 50.000.000 para esta ou qualquer outra violação de seus artigos.

No caso específico de instituições financeiras, elas estão sujeitas, ainda, a aplicação de sanções por descumprimento da Resolução 4.658 do Banco Central, que trata das regras para implementação de planos de gerenciamento de risco cibernéticos neste segmento.

Para empresas que operam no mercado internacional sanções similares são aplicadas conforme a legislação de cada país. No caso específico dos países do mercado comum europeu, elas são previstas pelo Regulamento Geral de Proteção de Dados ou GDPR

Gerenciando o Risco Cibernético

A proteção contra o risco cibernético se dá por meio de um plano de gerenciamento de risco, destinado a avaliá-lo e reduzi-lo, por meio de medidas que variam conforme o caso.

A recomendação é contratar uma empresa especializada para avaliação e elaboração de uma estratégia de gerenciamento de risco cibernético, que leve em consideração os aspectos técnicos, legais e de segurança pertinentes a cada caso.

No entanto, há cinco medidas básicas e de bom senso a serem adotadas em qualquer circunstância. Elas não eliminam o risco, mas o reduzem drasticamente. Vejamos quais são elas:

1. Back-up

A primeira e mais importante medida é a adoção de um back-up de dados vitais, isto é, a sua cópia de segurança. E quando falamos de back-up, devemos entender um sistema adicional e independente daquele proporcionado pela guarda de dados na nuvem, como é o caso do one-drive, icloud ou google drive.

Sistemas e bancos de dados sediados na nuvem são menos vulneráveis, mas não são imunes a falhas ou ataques cibernéticos. Bem ao contrário, eles ainda estão sujeitos a múltiplas falhas e podem ser facilmente invadidos e bloqueados por hackers experientes.

Sistemas e bancos de dados na nuvem são uma primeira linha de proteção, mas ela é insuficiente. Um sistema de back-up, capaz de gerar cópias de segurança atualizadas, incluindo versões anteriores, em um servidor independente é uma terceira linha indispensável. Na maioria dos casos, ele será a sua tábua de salvação.

2. Política de Uso de e-mails e Acesso a Rede.

Outra importante porta de entrada para ataques cibernéticos são os spans de e-mails com anexos maliciosos e o acesso a sites não autorizados. Muitos deles não passam de armadilhas.

Não é por outro motivo que são chamados de “cavalos de Tróia” destinados a burlar a segurança dos sistemas, roubar dados ou espiona-los com fins escusos.

Para evitar este risco, a solução é uma rígida política de procedimentos e treinamento para os colaboradores da empresa no uso de e-mails e da internet no ambiente da empresa.

3. Aplicativos Originais e Atualização

Outra importante via para ataques cibernéticos é a utilização de aplicativos ou programas piratas ou, no caso dos legítimos, a falta de atualização, em especial a dos sistemas operacionais como Windows ou Mac.

A grande maioria das atualizações dos sistemas operacionais destina-se a corrigir falhas de segurança detectados pelos próprios fornecedores. Eles investem pesadamente para torná-los cada vez mais seguros, frequentemente contratando hackers em período integral para descobrir falhas de segurança.

E você não paga nada a mais por isto. Não utilizar este importante valor agregado para a segurança de sua empresa não é apenas um erro. É pedir para ter problemas.

4. Senhas Fortes

O uso de senhas óbvias ou repetidas é mais um importante fator de risco cibernético. Mais uma vez, uma política rígida para definição de senhas e sua mudança periódica é a solução. Como dica, existem inúmeros aplicativos baratos destinados a gerenciar e administrar senhas. Vale a pena o investimento.

5. Utilização de Antivírus e “Fire Walls”

Por mais que todas estas medidas e procedimentos de segurança sejam adotados, hackers bolam meios cada vez mais sofisticados de ataques. E para tentar preveni-los a solução é um programa de antivírus e programa de um “fire-wall”.

O antivírus é um aplicativo capaz de detectar vírus ou qualquer outro programa malicioso já residentes nos seus computadores e seus bancos de dados. Já o “fire-wall” é um aplicativo que monitora o tráfego de informações na rede detectando arquivos maliciosos ou suspeitos, antes que possam afetá-los.

O Seguro

Por mais sofisticada e adequada que possa ser a política de gerenciamento de riscos cibernéticos de uma empresa, ela jamais será capaz de eliminá-lo por completo. Por este motivo, todo plano de gerenciamento de riscos prevê a contratação de um seguro, que representa a última linha de proteção financeira contra o risco cibernético.

Já existem no mercado nacional diversos planos destinados a cobrir a maioria dos riscos cibernéticos. Eles variam nos detalhes, conforme cada seguradora, mas, de forma geral, eles contam com as seguintes coberturas:

Responsabilidade Civil

Os planos de seguro de risco cibernético amparam, de forma geral, a indenização imposta por sentença judicial ou acordo aprovado pela seguradora, bem como os custos processuais e de defesa no âmbito civil em consequência de riscos cibernéticos.

A cobertura pode limitar-se somente a jurisdição nacional no âmbito da LGPD ou internacional abrangendo ações movidas no exterior, incluindo o mercado comum europeu no âmbito da GDPR.

Multas

Reembolsa as multas previstas por violação culposa da LPGD, no caso de cobertura restrita a jurisdição nacional ou qualquer outra multa imposta no exterior caso a cobertura se estenda a jurisdições no exterior.

Custos de Contenção de Danos

Reembolsa o custo de medidas destinadas a redução de danos por responsabilidade civil, como campanhas publicitarias e serviços de atendimento e esclarecimento a eventuais clientes e fornecedores que possam sentir-se lesados pela violação de privacidade.

Recomposição de Dados Digitais

Reembolsa os custos para recuperação de dados perdidos ou corrompidos seja por falha de sistema, seja por ataque de hackers.

Custos de Auditoria e Investigação

Reembolsa os custos para auditoria de dados digitais, tanto para comprovar sua confiabilidade e integridade, como para investigar onde a falha ou ataque se originou.

Lucros Cessantes

Ampara, dentro de certos limites, a perda de lucro bruto resultante de interrupção do sistema de vendas ou serviços diretamente causadas por falhas ou ataques cibernéticos.

Pagamento de Resgate

Ampara o custo de resgate sob ameaça exigido por hackers em caso de ataque cibernético.

O custo do seguro depende essencialmente do porte e tipo de atividade da empresa segurada e, não menos importante, do sistema de gerenciamento de risco cibernético nela vigente.

Forte abraço e bom trabalho a todos!

Mauricio Carasso