O ciberataque ocorrido em 03 de novembro aos computadores do Superior Tribunal de Justiça que vitimou todo ambiente virtual da Corte, provocou muitas reflexões, mas principalmente a clara evidência de que todos corremos perigo quando se trata de cibercriminosos. Com os dias, mais detalhes começam a aparecer que indicam que se trata de um problema grave, utilizando um ransomware que parece ter “sequestrado” com criptografia arquivos importantes do sistema.
Mas afinal quem pode estar livre desses bandidos? Quem está livre dos ataques de Ransomware? Essa é a pergunta que todos devem estar se fazendo após o recente ataque ao STJ, e que já vinha atingindo mundo afora muitas empresas, como a Garmin, que causou uma interrupção da funcionalidade de todos os seus dispositivos e durou vários dias, terminando com o pagamento de vários milhões de dólares aos criminosos, o que só aumento o temor que todos os minimamente responsáveis tem.
Primeiramente em termos conceituais, ransomware é um pedido de resgate em troca de desbloquear o acesso aos dados de um sistema, usado para atingir, com algumas exceções notáveis, empresas relativamente pequenas, quase sempre sem sistemas de segurança sofisticados ou especialistas em pessoal nesse assunto.
Ao longo do tempo vimos empresas como a farmacêutica Merck, a gigante da logística Maersk e até mesmo uma grande variedade de hospitais ou órgãos de governo receberem chamadas de criminosos exigindo pagamento em troca da devolução ao acesso de seus próprios dados ou impedi-los de serem publicados, algo que às vezes e dependendo da natureza desses dados, pode resultar em uma compensação muito maior.
Veja o tamanho do problema, afinal, a Garmin, é uma empresa listada na NASDAQ desde 2000 avaliada em cerca de US$ 20 bilhões e seus serviços e produtos são utilizados no mundo inteiro, guardando uma quantidade gigantesca de dados, além de estar presente em inúmeros outros serviços prestados que são vitais, como em aeronaves e viaturas de pronto atendimento.
Agora tente imaginar o risco do prejuízo com um possível sumiço de dados de milhões de processos? O que ocorreria com as milhões de vidas atingidas pelo desaparecimento de todos esses dados? Muitos desses dados representam a vida inteira dessas milhões de pessoas que passaram a vida brigando por suas causas.
No caso da Garmi, o mais espantoso ainda é que a empresa optou por pagar o resgate correspondente de vários milhões de dólares, o que nos permite ter uma dimensão do problema e claro que ao mesmo tempo serve de estímulo para o crescimento desse tipo de delinquência, além de trazer novos criminosos para esse segmento do crime, o que ainda não sabemos se ocorreu com o STJ.
Recentemente, a agência de viagens CWT sofreu também um ataque, utilizando-se do mesmo expediente, pagou o resgate, que no primeiro pedido era de US$ 10 milhões e que após muita negociação, ficou em US$ 4,5 milhões. O mais espantoso é a troca de mensagens com criminosos, que chegaram a dar-lhes conselhos para que tais problemas não acontecessem novamente e um “preço muito especial”, ou seja, uma consultoria do bandido, algo parecido com o praticado em alguns estados brasileiros onde se pagam as milícias.
Assistimos ao crescimento vertiginoso do número de ataques e do seu valor, onde o pedido de resgate praticamente dobrou, sendo que em média os que são conhecidos estão mantendo uma média de US$ 84.000 e evidentemente, junto com o avanço dos valores, estão evoluindo também as técnicas utilizadas pelos bandidos.
A técnica de phishing vem sendo largamente utilizada, pois a partir de uma simples mensagem, disparada genericamente no estilo “vamos jogar a rede pra ver o que vem”, evoluímos para ataques cuidadosamente projetados para acessar uma empresa ou pessoa específica, muitas vezes com componentes que usam não apenas tecnologia, mas também elementos sociais, conhecimento da vítima, etc, ou seja, a engenharia social vem sendo uma aliada fantástica desses bandidos e da sua cada vez maior sofisticação, lembramos é claro que não existe a confirmação se seria esse o caso do STJ.
Agora as mensagens não são mais simples e-mails genéricos, às vezes até mal escritos ou mal traduzidos, nos quais apenas os muito incautos ou os muito desajeitados caíram, agora podem vir e ser reforçados por várias maneiras, procurar pessoas especialmente vulneráveis na organização e responder a esquemas muito cuidadosamente preparados, cada vez mais quantitativamente aumentando os riscos e, consequentemente, ferramentas cada vez mais sofisticadas, como bem alerta Cleórbete Santos, em sua inúmeras obras.
Praticamente qualquer um pode cair em esquemas como esse, clicar em um link em uma mensagem ou página que aciona a instalação inadvertida de um programa de malware não é algo que simplesmente acontece com os desajeitados ou os tolos. Ao que parece o mundo civilizado precisa evoluir para combater esse tipo de crime com mais rigor, pois por mais que possamos entender que a tecnologia é adotada de forma muito proativa justamente por aqueles como os criminosos, com um importante incentivo para isso, e que o desenvolvimento das criptomoedas tem sido capaz de proporcionar um ambiente de maior impunidade para a coleta de resgates. É cada vez mais importante tomar ações coordenadas internacionalmente para evitar algo que ameaça se tornar epidêmico, e acima de tudo, pare de incentivá-lo ainda mais mostrando que, em um número perigosamente alto de ocasiões, os criminosos conseguem seu propósito e saem com o dinheiro debaixo do braço.
Não podemos incorporar o custo dessas ações em um capítulo contábil considerado “o custo de fazer negócios na rede”. O problema do ransomware tem uma solução difícil, mas é sempre possível encontrar uma. Precisamos fazer as coisas de forma diferente, evitar que os criminosos se refugiem em países que não tem lei ou ofereçam alguma impunidade, educar todos os envolvidos para prevenir tais ataques e nos proteger de todas as formas possíveis.
O mundo procura ferramentas e procedimentos para se prevenir desse crime, em 2016 foi criado o projeto No More Ransom (NMR) uma aliança entre a Polícia Nacional Holandesa, pela Europol, McAfee e Kaspersky e hoje já tem cerca de 163 parceiros institucionais (públicos e privados) no combate a esse cybercrime. Atualmente, estima-se o compartilhamento da plataforma foi fundamental para que o pagamento de cerca de 600 milhões de dólares em resgates pedidos pelos cibercriminosos tenham sido evitados.
O site possui cerca de 30 ferramentas de desencriptação e consegue agora decifrar 140 tipos diferentes de ransomware. Ao mesmo tempo o portal está disponível em 36 línguas com o objetivo de ajudar o maior número possível de pessoas.
Sendo o ransomware o “malware por resgate”, ele é inevitavelmente um software malicioso, utiliza-se de criptografia ou compactação de dados com senha, e torna refém as informações digitais das vítimas.
Nele são seus dados que são sequestrados e esse crime não vem poupando nem prefeituras. Tente imaginar uma prefeitura sem os dados do contribuinte para fazer o cadastro tributário do município? O risco sobe na medida em que todos os dados vão sendo digitalizados.
O Direito Penal brasileiro tem dois dispositivos que podem ser utilizados na tipificação do crime, o primeiro ficou conhecido como lei Carolina Dieckmann e foi introduzido em 2012 em razão da invasão de dispositivo informático, assim dispondo:
“Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (Incluído pela Lei nº 12.737, de 2012)
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012)
§ 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012)
§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra:I Presidente da República, governadores e prefeitos; II – Presidente do Supremo Tribunal Federal; III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal”.
Outro dispositivo aplicável é o que regula o crime de extorsão:
“Art. 158 – Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa:
Pena – reclusão, de quatro a dez anos, e multa.
§ 1º – Se o crime é cometido por duas ou mais pessoas, ou com emprego de arma, aumenta-se a pena de um terço até metade”.
Como se percebe a conduta para esse tipo de crime já está prevista em lei, porém, isso não tem diminuído o número de crimes praticados.
No caso específico do STJ, os arquivos foram cifrados e utilizaram uma extensão “.stj8888”; qualquer tentativa de renomear os arquivos podem fazer com que a ferramenta de restauração, em poder do autor do ataque, torne-se incapaz de decifrar o arquivo. Para provar a autenticidade, o criminoso também se propõe a decifrar gratuitamente um arquivo de até 900 KB. Após a demonstração gratuita, será necessário pagar para liberar o resto dos dados.
As evidências conhecidas pelos meios noticiosos, reportam que o autor teria conseguido acesso à rede no (1º), e a invasão teria sido facilitada pelo fato de que o técnico não estava trabalhando presencialmente. Essa liberdade permitiu a ele se familiarizar com os sistemas até o ataque final, enviado por e-mail.
Após ter sofrido ataque cibernético, os técnicos do STJ encontraram, na quinta-feira (05/11), pedido de resgate dos dados que foram sequestrados. As informações preliminares apontavam que o hacker não precisou de grande sofisticação para entrar nos sistemas da Corte.
A Lei Geral de Proteção dos dados cria a obrigação para que Administrações Públicas protejam os dados das pessoas, o foco, portanto, é a pessoa física, logo os cidadãos independente da relação que possuam também são abrangidos pela LGPD, o que também coloca o STJ na obrigação de proteção dessas informações.
Logo, quem garante a nossa segurança? Do caso fortuito ao namoro por ímpeto, esse é o grande desafio, ponderar a segurança com a privacidade na tecnologia.
Recentemente o governo atualizou o decreto 10.046 de 2019, que regulamenta o uso de dados das pessoas pela administração pública, via de regra, o compartilhamento dos seus dados pela Administração Pública Federal direta e indireta com os demais poderes e entre si, seguem as seguintes diretrizes:
“I – simplificar a oferta de serviços públicos;
II – orientar e otimizar a formulação, a implementação, a avaliação e o monitoramento de políticas públicas;
III – possibilitar a análise das condições de acesso e manutenção de benefícios sociais e fiscais;
IV – promover a melhoria da qualidade e da fidedignidade dos dados custodiados pela administração pública federal; e
V – aumentar a qualidade e a eficiência das operações internas da administração pública federal”.
Ou seja, o uso dos seus dados é restrito a essa finalidade, que ainda que possa parecer muito amplo e vago, opera sobre a característica de ato administrativo de natureza vinculada e como tal, deixa muito pouco espaço para o poder discricionário do intérprete, sob o risco do uso, por parte do servidor, de uma interpretação alargada desse dispositivo, ser conduta prevista com a punição administrativa.
O fato é que com a publicação da lei Geral de Proteção de Dados, os dados sensíveis passaram a ter seu uso limitado nos termos da Lei, e o decreto que trata sobre a governança desses dados amplia esses limites.
A história da relação da privacidade das pessoas com o Estado é também a progressão da evolução do Estado e dos Direitos dos seus cidadãos, se antes a privacidade era apenas para classes mais favorecidas, nos tempos atuais ela tem o mesmo peso para qualquer cidadão, independentemente de sua classe social.
Se antes o sigilo bancário e fiscal eram as referências da guarda do sigilo funcional, hoje com a Lei Geral de Proteção dos Dados, o corte que precisa ser feito é bem distinto, pois nenhum dado que não esteja previsto em lei por decorrência da atividade administrativa, de natureza vinculante, pode ser compartilhado sem motivação e sem a manifestação expressa do titular dos dados.
Um levantamento reproduzido na obra de Daniel Bucar “A Proteção de Dados da Pessoa Humana na Administração Pública” pode dar ideia de como esse assunto é novo, visto que “Nos primeiros vinte anos de vigência da CRFB/1988, a estatística jurisprudencial relativa a julgados proferidos pelo STF e pelo STJ, no que toca a feitos em que são invocados os vocábulos privacidade e intimidade, demonstra um complexo tratamento desses termos, que são utilizados tanto para a tutela do sigilo bancário como para fundamentar a condenação ao pagamento de indenização por danos morais experimentados por criança que teve sua imagem divulgada em cadernos escolares confeccionados por ente municipal e distribuídos em sua rede de ensino público”. Segundo esse estudo: 51% dos julgados versam, de alguma forma, acerca de situações de sigilo patrimonial (bancário, fiscal e contratual), 20% sobre tratamento de dados pessoais não exclusivamente patrimoniais, 16% quanto à proteção da comunicação de dados (por meio da correspondência e do serviço telefônico) e o restante (13%) sobre a obtenção de prova ilícita e divulgação indevida de imagens e dados pessoais por qualquer espécie de mídia.
Esse quadro é um retrato de 1988 a 2008, ou seja, a discussão sobre a matéria é nova, o que nos permite concluir que a doutrina tem muito por produzir.
As novas tecnologias ampliaram a base de dados da administração e logo, o cuidado na gestão e governança deles é fundamental.
O episódio acende a luz amarela, pois não é o primeiro e nem será o último, mas apenas mais um capítulo nesse perigoso mundo digital, onde fomos transformados em dados e nossas vidas e prato principal nesse banquete onde é servida a nossa privacidade.