Para executivos, maior ameaça dos ataques cibernéticos é a quebra de privacidade dos clientes

POR MARINA BRANDÃO
Fonte: O Globo

 Ainda assim, no Brasil não há legislação que obrigue empresas a notificarem ataques

RIO – Em meio à quantidade e amplitude dos ataques cibernéticos ocorridos ao longo de 2017, com o maior deles chegando a afetar mais de 300 mil computadores em 150 países, incluindo o Brasil, por meio do vírus WannaCry, cresceu o movimento de conscientização acerca dessa ameaça virtual. De lá pra cá, a palavra “ciberataque” ganhou uma nova dimensão e, agora, passou a integrar o rol de ameaças com maior probabilidade de acontecer, listado em terceiro pelo “Relatório de Riscos Globais 2018”, do Fórum Econômico Mundial. O evento, que teve início na terça-feira em Davos, na Suíça, colocou ainda o crime cibernético em sexto lugar na lista de riscos de maior impacto.

Foi pensando nesse cenário que a JLT Brasil, gestora de risco e corretora de seguros e resseguros, elaborou um levantamento a fim de entender a percepção dos executivos de grandes e médias empresas a ameaça cibernética – cedido com exclusividade ao GLOBO. Segundo a pesquisa, para 68% dos executivos de grandes empresas brasileiras, a maior preocupação no caso de um ataque cibernético é a quebra de privacidade da informação de seus clientes. Em seguida, vêm perda de receita (29%), danos à reputação da empresa (12%) e danos materiais (5%).

— Até o início do ano passado, a maioria dos executivos não estava ciente dos impactos que os ciberataques poderiam acarretar, e acreditavam que era responsabilidade apenas do setor de TI cuidar da segurança da empresa. Os grandes ataques foram um ponto de virada, e agora as empresas percebem a segurança cibernética como um problema da empresa, e que pode gerar prejuízos financeiros muito grandes: desde a perda de receita, até a de reputação. Toda a cadeia de produção é afetada — explica Marta Schuh, especialista em risco cibernético da JLT Brasil.

Mesmo com essa maior percepção dos executivos acerca da importância da prevenção a crimes cibernéticos – que, segundo o relatório do Fórum Econômico Mundial, podem chegar a custar até US$ 8 trilhões às empresas nos próximos cinco anos –, o Brasil ainda não possui legislação específica para proteção de dados, que obrigue as empresas a notificarem ataques. Isso explica o porquê de apenas 25% dos entrevistados da pesquisa assumirem que suas empresas já foram vítimas de um ataque virtual.

— É um número claramente subnotificado. Tive casos de empresas em que encontrei os relatórios com as informações à venda na dark web (setor da web não acessível por meios convencionais, onde se pode compartilhar conteúdo de forma anônima, em geral, usado por terroristas e criminosos), e mesmo assim elas não assumiram que tinham sido atacadas. Quem sai perdendo com essa falta de regulação é o consumidor, que sequer sabe que seus dados foram vazados, e só vai descobrir depois que seus documentos forem fraudados — critica Schuh, lembrando que a maioria dos que assumiram ter sofrido ataques (55%) relataram que a principal consequência fora justamente o sequestro de dados.

Atualmente, a relação jurídica estabelecida entre empresas e clientes é regida pelo Código de Defesa do Consumidor e pelo Novo Código Civil, que prevê que aquele que causar dano a outro, por ato ilícito, “fica obrigado a repará-lo”. Enquanto isso, três projetos de lei sobre o tema tramitam no Congresso. O PL 5276/2016 está na Câmara dos Deputados e dispõe sobre a responsabilidade e ressarcimento de danos; o 4060/2012 de proteção de dados, também na Câmara; e o PL 181/2014, também de proteção de dados, no Senado.

— No Brasil, ainda vemos muita resistência quando falamos em regulamentar a proteção de dados. Temos que caminhar para que os detentores de informações sejam responsabilizados e sejam obrigados a notificar tanto um órgão regulados como os próprios clientes. A falta de regulação permite que as empresas se escondam — afirma Schuh.

REGULAÇÃO EUROPEIA PRESSIONA EMPRESAS BRASILEIRAS

Na Europa, o Regulamento Geral da Proteção de Dados (RGPD) entrará em vigor em maio e é uma resposta a esse cenário. Pela nova norma, companhias com clientes da União Europeia (UE) terão que notificar, dentro de 72 horas, os órgãos de proteção de dados da ocorrência de um ataque digital se não quiserem enfrentar multas de até € 20 milhões ou 4% de seu faturamento anual mundial. A lei terá aplicabilidade extraterritorial, o que significa que não afeta apenas as empresas da União Europeia.

Segundo Marcela Hill, sócia do Campos Mello Advogados as empresas brasileiras precisam se adequar às boas práticas mundiais se quiserem permanecer competitivas diante do cenário internacional.

— Agora, com a RGPD, a Europa tem uma autoridade direta à qual as empresas precisam se reportar, e que fornece esse suporte de regulamentação. No Brasil, as empresas que quiserem se mostrar sérias e responsáveis terão que comunicar a perda de dados e ter políticas internas para mitigar esses problemas, se quiserem se provar no âmbito internacional — conclui Hill.