Quantas são as empresas que identificam no seu balanço o valor dedicado a Cyber segurança? Qual o valor da Cyber segurança para o negócio?
O valor da Cybersegurança de um negócio, ganha cada vez mais relevância para as empresas, e logo cabe ao Direito, por seu regramento e a contabilidade pela identificação dos valores, valorar no balanço das empresas reconhecendo-a como ativo.
Tente imaginar por exemplo a importância da cybersegurança em um banco, seja ele digital ou não? Imagine o valor da cybersegurança em um site de compras? Logo é mais do que evidente a necessidade imperial desse valor está sendo reconhecido no balanço.
Diariamente os ataques se ampliam, e com ele o prejuízo reputacional de inúmeras empresas, algo que deixou de ser privilégio de pequenos negócios e hoje atinge a todas indistintamente.
Entre os crimes, que diariamente ouvimos, na narrativa de colegas os ataques cibernéticos ganharam relevância, seja pela possibilidade de ganhar escala e densidade, seja pelo uso a cada dia maior de recursos e dispositivos digitais em nossas rotinas. A transformação digital é transversal, e logo os riscos surgem em todas as rotinas, seja da clonagem das nossas contas, as senhas de casa, de bancos, de contas das plataformas de streaming, uma infinidade de possibilidades que surgirem com a nossa vida a cada dia mais digital, que colocam em risco a nossa segurança e à integridade pessoal, privada e nacional, atingindo um novo conceito, que precisa ser aprofundado, a defesa da integridade digital.
Com base em uma pesquisa da Verizon, desenvolvida com o apoio da brasileira Apura Cyber Intelligence, em 2021, ataques conhecidos como ransomwares de dupla extorsão cresceram 13%. Nas empresas, o alvo é a busca de dados sigilosos, por vezes, em razão de sistemas infectados ou do vazamento de credenciais de funcionários.
Para as vítimas, além do prejuízo com o tempo parado para a recuperação dos sistemas, pode haver também o crime de extorsão, com os criminosos exigindo o pagamento duas vezes, a primeira para obter a devolução dos dados e a segunda para que as informações não sejam divulgadas.
De acordo com o relatório Global Digital Trust Insights, de 2022, da PwC, os investimentos na área de prevenção ao cibercrime tendem a crescer, com 69% dos entrevistados informando que aumentarão seus gastos em proteção cibernética no decorrer deste ano. Em paralelo, a empresa de pesquisa e consultoria em tecnologia Gartner estimou que os gastos com segurança da informação e gerenciamento de riscos totalizarão US$ 172 bilhões em 2022, contra US$ 155 bilhões em 2021 e US$ 137 bilhões no ano anterior.
Os criminosos, utilizam a técnica de phishing, onde a partir de uma simples mensagem, disparada genericamente no estilo “vamos jogar a rede pra ver o que vem”, evoluímos para ataques cuidadosamente projetados para acessar uma empresa ou pessoa específica, muitas vezes com componentes que usam não apenas tecnologia, mas também elementos sociais, conhecimento da vítima, etc, ou seja, a engenharia social vem sendo uma aliada fantástica desses bandidos e da sua cada vez maior sofisticação.
Agora as mensagens não são mais simples e-mails genéricos, às vezes até mal escritos ou mal traduzidos, nos quais apenas os muito incautos ou os muito desajeitados caíram, agora podem vir e ser reforçados de várias maneiras, procurar pessoas especialmente vulneráveis na organização e responder a esquemas muito cuidadosamente preparados, cada vez mais quantitativamente aumentando os riscos e, consequentemente, configurando ferramentas cada vez mais sofisticadas.
Praticamente qualquer um pode cair em esquemas como esse, clicar em um link em uma mensagem ou página que aciona, inadvertidamente, a instalação de um programa de malware não é algo que simplesmente acontece com os desajeitados ou os tolos.
Ao que parece o mundo civilizado precisa evoluir para combater esse tipo de crime com mais rigor, pois por mais que possamos entender que a tecnologia é adotada de forma muito proativa justamente por aqueles como os criminosos, com um importante incentivo para isso, e que o desenvolvimento das criptomoedas tem sido capaz de proporcionar um ambiente de maior impunidade para a coleta de resgates, é cada vez mais importante tomar ações coordenadas internacionalmente para evitar algo que ameaça se tornar epidêmico. Acima de tudo, parar de incentivá-lo ainda mais mostrando que, em um número perigosamente alto de ocasiões, os criminosos conseguem seu propósito e saem com o dinheiro debaixo do braço.
Não podemos incorporar o custo dessas ações em um capítulo contábil considerado “o custo de fazer negócios na rede”. O problema do ransomware tem uma solução difícil, mas é sempre possível encontrar uma. Precisamos fazer as coisas de forma diferente, evitar que os criminosos se refugiem em países que não tem lei ou ofereçam alguma impunidade, educar todos os envolvidos para prevenir tais ataques e nos proteger de todas as formas possíveis.
Sendo o ransomware o “malware por resgate”, ele é inevitavelmente um software malicioso, utiliza-se de criptografia ou compactação de dados com senha, e torna reféns as informações digitais das vítimas.
Nele são seus dados que são sequestrados e esse crime não vem poupando nem prefeituras. Tente imaginar uma prefeitura sem os dados do contribuinte para fazer o cadastro tributário do município? O risco sobe na medida em que todos os dados vão sendo digitalizados.
O Direito Penal brasileiro tem dois dispositivos que podem ser utilizados na tipificação do crime, o primeiro ficou conhecido como lei Carolina Dieckmann e foi introduzido em 2012 em razão da invasão de dispositivo informático, assim dispondo:
“Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (Incluído pela Lei nº 12.737, de 2012)
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012)
§ 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012)
§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I Presidente da República, governadores e prefeitos;
II – Presidente do Supremo Tribunal Federal;
III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal;
IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
Outro dispositivo aplicável é o que regula o crime de extorsão:
Art. 158 – Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa:
Pena – reclusão, de quatro a dez anos, e multa.
§ 1º – Se o crime é cometido por duas ou mais pessoas, ou com emprego de arma, aumenta-se a pena de um terço até metade.
Como se percebe a conduta para esse tipo de crime já está prevista em lei, porém, isso não tem diminuído o número de crimes praticados.
A cybersegurança está novamente no foco das empresas no País, e não tem tamanho nem valor mínimo, todas estão no foco.
Publicado originalmente no site www.jusbrasil.com.br, em