Os ataques cibernéticos são cada vez mais veiculados na imprensa, inclusive os chamados ransomware.
Recentemente, um desses ataques chamou atenção pelo nível utilizado em sua extorsão e na concretização das ameaças presentes no crime.
“O grupo de ransomware ALPHV/BlackCat levou a extorsão a um novo nível ao apresentar uma queixa à Comissão de Valores Mobiliários (SEC) dos EUA contra uma de suas supostas vítimas por não cumprir a exigência de que ataques cibernéticos devem ser comunicados ao órgão em até quatro dias.
A gangue BlackCat listou a fornecedora de software MeridianLink em seu vazamento de dados com a ameaça de que vazaria dados supostamente roubados da empresa, a menos que um resgate fosse pago em 24 horas. A MeridianLink é uma companhia de capital aberto que fornece soluções digitais para organizações financeiras, como bancos, cooperativas de crédito e credores hipotecários”. (Ciso Advisor).
Ataques cibernéticos no Brasil
Como se observa na reportagem, houve um incidente de segurança em uma empresa nos Estados Unidos, com vazamento de dados. No Brasil, a Lei Geral de Proteção de Dados Pessoais exige que incidentes dessa natureza sejam comunicados tanto à autoridade nacional quanto aos titulares de dados cujo vazamento os atingiu. Ademais, no próprio plano de governança e compliance das empresas deve haver planos de resposta a incidentes de segurança além da necessária remediação do incidente (Artigo 50, § 2º, Inciso I, alínea “g” da LGPD).
Nota-se que esse comunicado se assemelha ao Recall ou chamamento previsto no Código de Defesa do Consumidor. Com efeito, o dever de comunicar a Autoridade Nacional e também os consumidores procura impor à empresa vítima de incidente que informe as pessoas cujos dados foram vazados para que cada uma delas saiba que seus dados (e quais) foram atingidos, permitindo-lhe medidas para mitigar os danos daí advindos. Rememora-se que entre dados vazados, podem se encontrar até senhas. Nesse caso, o comunicado ao titular do dado pessoal permite a troca da senha.
Mas, além disso, a comunicação permite – potencialmente – ao consumidor que se proteja de eventuais golpes ligados ao vazamento de dados.
Portanto, acreditamos que os consumidores devam passar a observar e acompanhar os vazamentos de dados, acompanhar as posturas de empresas com vazamentos de dados, se relatam ou não os incidentes de segurança, preferindo aquelas que se adequam à LGPD que dá instrumentos relacionados ao aqui narrado.
Por: Flávio Henrique Caetano de Paula Maimone
Disponível em: www.olondrinense.com.br
