Comunicar publicamente a ocorrência de um ataque cibernético sempre foi encarado como ação delicada pelas corporações, algo que poderia causar danos à imagem da empresa pela exposição negativa que poderia causar. Mas essa prática, aos poucos, passa por uma revisão, acompanhando as mudanças no contexto atual.
Com o crescimento do número de incidentes, toda empresa está sujeita a virar um alvo, e, assim, uma ocorrência não é necessariamente um indicativo de negligência. Além disso, as corporações têm ampliado a conscientização sobre a importância da segurança dos dados pessoais, impulsionada pela entrada em vigor da Lei Geral de Proteção de Dados Pessoais, a LGPD (leia mais sobre os impactos da LGPD na cibersegurança).
Nesse novo cenário, as empresas passam a rever a postura padrão anterior de esconder ou negar a ocorrência de um ataque. Começam também a compreender a necessidade de analisar cada caso para estabelecer critérios sobre quando e como fazer a comunicação pública de um ataque, além de filtrar que tipo de incidente deve ou não ser publicizado.
Regramento
A LGPD, em seu artigo 48, veio como grande balizadora dessa comunicação, mas ela não é a única norma que trata do tema. “Há obrigações legais que se entrelaçam, apesar da LGPD ser a mãe de todas nesse momento”, afirma o advogado Renato Opice Blum, especialista em Direito Digital. Ainda assim, a Lei traz muitas recomendações e sugestões, sujeitas à interpretação, mas uma normativa com o detalhamento do que deve ser comunicado, incluindo prazos claros, ainda está em construção.
Enquanto isso, o advogado recomenda levar em conta o objetivo principal dessa comunicação, que deve ser o norteador para o critério de escolha se a comunicação deve ou não ser feita, e quão rapidamente: impedir um dano maior decorrente do vazamento de dados obtidos em um ataque. “Tudo o que puser ser feito para minimizar isso, deve ser feito, para diminuir as sanções da LGPD e demonstrar a proatividade. A própria jurisprudência interpreta isso como sendo atos de boa-fé e isso atenua a responsabilidade. Não afasta, mas atenua”, pondera Blum.
Portanto, o primeiro passo é consultar a equipe técnica, que vai trazer os insumos para essa avaliação de danos e de riscos aos dados que vêm com o incidente. Aqui, Blum recomenda adotar como referência os materiais da Agência Espanhola de Proteção de Dados (AEPD), que publicou guias para essa análise de risco. E, mesmo em caso de dúvidas, fazer a comunicação à Autoridade Nacional de Proteção de Dados (ANPD), que pode orientar sobre os passos seguintes e possíveis comunicações com outros órgãos e agências envolvidos, de acordo com o setor, ou até mesmo envolver a Polícia Federal em uma investigação, quando for de sua competência.
“Primeiro é preciso avaliar: esse ataque, com esses dados que foram vazados, geram um risco relevante para os direitos e liberdades do titular? Se a resposta for sim, tem que fazer uma notificação para a ANPD que, por sua vez, pode entender que é necessário comunicar todos os titulares que tiveram seus dados vazados”, resume Vanessa Fonseca, diretora da área de Security Consulting da Accenture.
Avaliação do cenário
Mas, para além dos dados, é preciso avaliar os riscos para as ações, em caso de companhia aberta, e para a marca, por exemplo. Por isso, esse é um trabalho multidisciplinar. É importante reunir as equipes jurídica, de tecnologia da informação, de marketing, recursos humanos, além da alta gestão e eventuais consultorias, para avaliar os riscos e a necessidade de comunicação do incidente. Vale lembrar que essa é só uma das diversas medidas que uma empresa precisa tomar quando um incidente é detectado. Assim, os critérios sobre a comunicação do incidente e todas as equipes envolvidas já devem fazer parte do plano de resposta a incidentes da organização.
Isso porque a avaliação de risco pode ser sujeita a muitas variáveis. Vanessa dá um exemplo: “o risco de um dado de saúde vazado é muito diferente de uma empresa que tenha, por exemplo, apenas o nome vazado. Mas mesmo esse pode ser um risco relevante se, imagine, uma montadora automotiva tem sua base vazada e lá está que determinada pessoa comprou um carro de luxo. Aparentemente, esse não é um risco relevante. Mas pode ser que essa informação afete uma negociação que essa pessoa não quer divulgada. É muito subjetivo. Então, antes de qualquer incidente ocorrer, a empresa tem que ter um planejamento.”
Ter esse planejamento prévio contribui, inclusive, para trazer calma a um processo que é cheio de tensão. É preciso ter em mente que, mesmo quando a decisão for por comunicar, é preciso não se precipitar. “Você tem que comunicar com consistência e com certeza, senão você pode não só gerar uma interpretação equivocada por parte das autoridades, mas também pode dificultar uma explicação ou uma correção da informação que foi abruptamente enviada a uma autoridade. Então tem que ser com muito pé no chão, muita responsabilidade, muita frieza, muita calma e com um mapa, com um cenário correto”, orienta Blum.
Por outro lado, quando dados são vazados, essa é uma informação que se torna pública muito rapidamente. “Seja porque o atacante quer publicidade para o ataque e divulga, ou joga na deep web uma amostra para vendê-los, seja porque clientes da empresa tentam acessar o site e não conseguem e já começa todo um ruído no mercado”, diz Vanessa. Mesmo nesses casos, os especialistas recomendam fazer uma comunicação cuidadosa, informando que o fato está sendo investigado, mas só dar os detalhes quando houver certeza sobre eles.
Uma boa prática, ainda que custosa, para o bom relacionamento com os clientes e para a preservação da marca é criar um canal de comunicação específico, além do uso das redes sociais. “É algo muito bem recebido pelo mercado a empresa ter proatividade. Você diminui o ruído e mostra para o mercado que nenhuma empresa está blindada. A empresa também é vítima”, diz Vanessa. “Você pode passar por um incidente e sair fortalecido.”
Guias e materiais de referência
Busca pela conformidade
Para manter a conformidade com os regulamentos de privacidade em evolução em todo o mundo, as empresas precisam investir em recursos e orientação. Neste e-book da Microsoft, são colocadas soluções para alguns desafios dessa jornada, como: quais dados merecem atenção inicial, estratégias para obter visibilidade e controle das informações armazenadas na nuvem, além de como informar sobre os novos padrões de segurança adotados. O e-book inclui ainda um resumo de produtos da Microsoft que podem ajudar as empresas nos esforços rumo à conformidade.