Ransomware é um software que causa danos a computadores e/ou rede de computadores que, de acordo com a Cybersecurity and Infrastructure Security Agency (CISA), através da encriptação de arquivos em um dispositivo, torna todos os demais arquivos e sistemas deles dependentes inutilizáveis – os criminosos, então, exigem resgates em troca da chave que devolve os dados à vítima.

No Combating Ransomware – A Comprehensive Framework for Action: Key Recommendations from the Ransomware Task Force, documento publicado recentemente pelo Institute for Security+Technology (IST), foi afirmado que não só o número de ataques com esse tipo de programa aumentou consideravelmente em 2020, como também o impacto econômico às empresas-vítima está mais caro:

Não foi fornecido texto alternativo para esta imagem

Os ransomwares são tão adaptáveis e escaláveis que há um mercado desenvolvido que possibilita a sua contratação como um serviço. Sim, “Ransomwares SaaS” são uma realidade sombria da atualidade: uma parte desenvolve o programa que encripta/rouba os dados das vítimas e licencia isso para um terceiro que executa o ataque e cobra o resgate, mediante cobrança de uma taxa pelo sucesso e/ou pela utilização do software.

No Brasil, além do pagamento do resgate pela vítima para recuperação dos dados e das perdas resultantes da paralisação das atividades durante o período do ataque, acessos não autorizados e situações acidentais de destruição, perda, alteração, comunicação ou difusão de dados pessoais são considerados incidentes de segurança aos olhos da Lei Geral de Proteção de Dados (LGPD). Isso significa que a empresa-vítima não pode se preocupar só com os impactos econômicos e financeiros óbvios, mas deve olhar também para o risco regulatório de sujeição à multa de até R$ 50 milhões de reais (por infração), bem como de imposição de severas restrições à utilização do seu banco de dados – e outras.

Não foi fornecido texto alternativo para esta imagem

Por isso, qualquer que seja o ramo de atuação e o tamanho da empresa, é fundamental a implantação de um sistema efetivo e eficaz de medidas preventivas e reativas de segurança de dados, customizado às necessidades do contexto regulatório, da infraestrutura e da complexidade das atividades desenvolvidas. Nesse cenário, o conhecimento sobre os processos, procedimentos e ativos de prevenção, identificação, controle e oferecimento de respostas assertivas a situações danosas à segurança da informação e privacidade de dados pessoais é bastante apropriado, visto que previne e controla ataques, traz efeitos sensíveis na aplicação das penalidades da LGPD e, ainda, criando um efeito dominó de adequação no mercado, através da exigência de instalação de programas similares pela sua cadeia de fornecimento e parceiros.

Avante!

* Advogada corporativa 

ATENÇÃO: As opiniões publicadas em artigos não necessariamente são as do editor deste blog.