O ano passado foi marcado por ataques de hackers a órgãos como o STJ (Superior Tribunal de Justiça) e o TSE (Tribunal Superior Eleitoral). De acordo com a Cybersecurity Intelligence, as ameaças digitais cresceram quase 400% em 2020 em relação a 2019. Ouvidos pela ConJur, advogados afirmaram que medidas preventivas e a correta aplicação da LGPD podem diminuir os riscos de invasão aos sistemas.
Na avaliação de André Damiani, criminalista especializado em Direito Penal Econômico e sócio fundador do Damiani Sociedade de Advogados, a principal solução não está em uma atualização legislativa, mas em um amplo enfoque para as práticas preventivas. “As organizações públicas, bem como as empresas que podem ser alvo de ataques de hackers devem implementar políticas de governança de dados para fortalecer os sistemas de segurança intrínsecos a elas e se resguardar de ataques de sequestro de dados.”
Entre outras medidas, Damiani sugere a realização de backups; utilização de redes wi-fi estáveis e seguras; instalação de antivírus e antimalwares; elaboração de uma política de privacidade e regras de segurança; e tentativas de ataques por “hackers do bem” com uma determinada frequência, para medir o nível de segurança.
Blanca Albuquerque, sócia de Damiani e especialista em proteção de dados pessoais pelo Data Privacy Brasil, acrescenta que uma das principais providências a serem tomadas pelas empresas e órgãos públicos é o “treinamento dos colaboradores e conscientização sobre os riscos de phishing, ransomware e demais estratégias utilizadas pelos hackers”. “Além disso, as organizações devem ter uma estratégia muito bem delimitada para enfrentar casos de incidentes de segurança, definindo o que fazer desde as primeiras horas e como os colaboradores devem ser mobilizados nessas ocasiões, evitando pânico e desorganização em momentos importantes e decisivos”, conclui.
Wilson Sales Belchior, sócio do Rocha, Marinho E Sales Advogados e conselheiro federal da OAB, lembra que a Organização dos Estados Americanos concluiu, em relatório de 2020 sobre a capacidade brasileira de cibersegurança, que a legislação sobre o tema continua em desenvolvimento. “Recomendou, assim, abordagem específica às ameaças cibernéticas à propriedade intelectual, expansão dos mecanismos de cooperação e designação de órgão para monitorar o cumprimento das normas e regulamentos a respeito do tema.”
Ainda segundo Belchior, a própria estratégia nacional (Decreto 10.222/2020) reconhece a importância de aprimorar o arcabouço legal, incluindo entre as ações estratégicas abordagem de temas ausentes, novas tipificações de crimes cibernéticos e elaboração de anteprojeto de lei tratando da segurança cibernética.
“Sem dúvidas, existe espaço para aperfeiçoamento normativo nessa área, contudo precisam ser mencionados avanços importantes. Na Lei Geral de Proteção de Dados (Lei 13.709/2018), é destacável o capítulo referente à segurança e boas práticas, bem como a competência da Autoridade Nacional de Proteção de Dados para determinar padrões técnicos de segurança voltados a proteção de dados pessoais. No Poder Judiciário, o Conselho Nacional de Justiça instituiu o Comitê de Segurança Cibernética, responsável, dentre outros aspectos, por apresentar protocolos de prevenção e investigação, estratégia da segurança cibernética e da informação, além de propor norma para criação de Centro de Tratamento de Incidentes”, afirma o advogado.
Luiz Felipe Rosa Ramos, co-head de Proteção de Dados da Advocacia José Del Chiaro, diz que o Brasil demonstrou, nos últimos anos, capacidade de garantir segurança cibernética durante a realização de eventos internacionais.
No entanto, ressalta, a posição global do país nesse quesito segundo a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) ainda é baixa (70º lugar) e os novos desafios com uma economia digitalizada são cada vez maiores.
“Algumas recomendações, endossadas pela OCDE, são: (i) estabelecer um processo periódico de revisão e aprimoramento das leis de segurança cibernética, dado o caráter dinâmico das ameaças e (ii) estabelecer programas de capacitação institucional para juízes, promotores e pessoal policial com vistas a adquirir novas competências necessárias para atuar em questões cibernéticas. De modo geral, o Brasil ainda precisa realizar um esforço amplo de conscientização sobre o tema da segurança cibernética, o que tende a ser estimulado com a entrada em vigor da LGPD”, destaca Ramos.