Ataques cibernéticos expõem falta de transparência de empresas e governo
Se 2021 terminou com os sistemas do Datasus paralisados por um ataque hacker, o ano de 2022 mantém até aqui uma rotina de incidentes cibernéticos tanto no setor público como privado. Além de novos vazamentos de chaves PIX, houve paralisação de sistemas como das Localiza, das Lojas Americanas, o centro que abriga o superlaboratório Sirius, o Sebrae, o Trbunal Regional Federal de São Paulo (TRF3), entre outros.
O que parece acompanhar todos os incidentes de segurança, seja na esfera privada ou governamental, porém, é a escassez de detalhes sobre os problemas. Quase quatro meses depois, o governo federal jamais esclareceu o que houve no Datasus. O Sebrae praticamente se limitou a informar que “em breve tudo estará resolvido” e o TRF 3 relatou tão somente que fez a “identificação do tipo de ataque sofrido e a definição da estratégia a ser seguida na apuração dos fatos e na restauração progressiva da infraestrutura tecnológica do Tribunal”.
Os diferentes avisos são sucintos mesmo quando admitem ataques externos. Ou a política é reduzir informações deliberadamente, como decidiu o Banco Central após o terceiro vazamento de chaves PIX – a autoridade monetária informou que não divulgará mais os casos de exposição de dados de chaves do sistema de pagamentos instantâneo por meio de avisos, mas somente listando os incidentes em sua página na internet.
“O traço característico de todos os incidentes que estão sendo noticiados é a ausência de transparência. Quando muito, limitam-se a falar que foi um ‘acidente’ ou um ‘ataque cibernético’. Se houve o risco ou a lesão à dados pessoais, essas empresas e órgãos públicos precisam atender ao dever de comunicação de incidente de segurança, previsto na Lei Geral de Proteção de Dados”, aponta o advogado especializado em direito digital e diretor de inovação e ensino da Smart3, Walter Capanema.
Os sucessivos casos de ataques ressaltam a importância central da segurança cibernética, lembra Capanema. “Estamos vendo o quanto a segurança cibernética é estratégica para os negócios das empresas e dos órgãos públicos. Não basta apenas investimentos. Alguns relatos da imprensa noticiam gastos de milhões de reais com segurança. É preciso que essa segurança seja eficiente e constante.”
Para o Anderson Figueiredo, diretor de consultoria Stratica, mesmo a aparente rotina de relatos de incidentes cibernéticos não chega a mobilizar os vários estratos empresariais. “Projeto de segurança, que nasceu como uma coisa pontual, virou uma prioridade mas é algo caro. Exige dinheiro, tem custo operacional e tecnológico. Mas ainda que muitos episódios despertem preocupação, ela só é absorvida mesmo quando acontece com alguém conhecido ou de porte semelhante. Se o banco tal, a operadora de cartão foi atacada, é algo muito distante. E a proximidade é que vai sensibilizar mais.”
Figueiredo acredita que o custo e a necessidade de segurança vão acabar favorecendo a disseminação ainda maior de soluções de nuvem. “A chamada jornada da nuvem vai ganhar um apelo de segurança que nunca foi usado verdadeiramente. Claro que nuvem também vai sofrer ataque, mas a estrutura é mais atualizada”, avalia.
Fonte: Convergência Digital