Estamos vendo desfilar diante de nós um cortejo que só pode acabar sendo fúnebre. Trata-se da forma como as empresas brasileiras investem em prevenção e controles. Aqui, vou me fixar em controles sobre integridade de dados. E não falo de LGPD, que está sendo implementado de acordo com as regras exigidas da Lei, e nada mais. Como sempre, no Brasil, cumpre-se a Lei, sem pensar se isso é ou não suficiente para resolver o problema que a Lei tenta endereçar.
Faço um paralelo com a Carta de Paulo aos Romanos. Recentemente, dando aula de Escola Dominical na minha Igreja, tracei um paralelo entre Romanos e uma lei recente, que custou a “pegar”, e que francamente não sei se “pegou” no tranco ou por conscientização: a determinação do uso do cinto de segurança.
“… e o mandamento que era para vida, achei eu que me era para morte… …Assim, a lei é santa; e o mandamento, santo, justo e bom.“
Romanos 7:10 e 12
Criei então a Parábola do Cinto de Segurança. Antes de haver a decisão do Contran, usava-se cinto se a gente queria, e se um guarda nos parava, não nos multava por isso, porque:
“…porque onde não há lei também não há transgressão.”
Romanos 4:15
O espírito da Lei, porém, não é o de te obrigar a fazer algo, mas tentar salvar sua vida, te fazer viver bem. A gente deveria usar Cinto de Segurança por consciência de que é bom para nós e salva vidas, independentemente de corrermos o risco de tomar uma multa ou não. O brasileiro, porém, cumpre Lei se Lei há, na marra, e quando obrigado. Se pudesse, não cumpriria nem a Lei da Gravidade, que (graças a Deus) tem consequência trágicas, caso desrespeitada, pra todo mundo, até pra Ministros do Supremo.
LGPD deveria ser algo que foi iniciado pela sociedade. Auditoria (interna, independente) deveria ser um desejo da administração da Empresa. Coisas que seriam boas em si mesmas, e que, no final, custam, mas preservam.
O caso aqui, porém, é de ataques externos ou internos aos dados e sistemas de uma Companhia. O caso mais recente e emblemático, porque repetido, é do Fleury. Essa grande empresa teve seus dados “hackeados” duas vezes em dois anos. Não vou aqui julgar se foi inépcia, se foi por desleixo, nada disso. Quero crer (e creio) que os profissionais de lá fizeram todo o possível para evitar que um ataque ocorresse de novo, mas ocorreu.
O que dá medo, no Brasil, e me faz ver um funeral atrás do outro, é a mania de economizar com coisa séria, vital. É uma barbaridade o que se gasta em empresas com “apêndices” de menor importância, e o desprezo com se se trata, às vezes, funções fundamentais, como por exemplo, vazamento de informações públicas a terceiros. E aqui não se tata apenas de ataques hackers, muitas vezes concertados desde fora, com uso de ferramentas ultrassofisticadas. Falo de falta de cuidado interno com dados, de gente que escapa pela porta da frente com um pen drive lotado de coisas que obteve indevidamente, e usará indevidamente.
A Nova Apólice de Incêndio
Nos tempos mais analógicos, a grande preocupação de segurança eram os incêndios. Apólices grandes protegiam empresas da eventualidade de que o fogo destruísse suas instalações e as deixasse sem receitas, e portanto, à beira de um colapso financeiro. Esta ainda é uma preocupação, principalmente de empresas de capital intensivo, fundamentalmente indústria e comércio.
Ocorre que num mundo em que algumas empresas só existem virtualmente (sou Conselheiro de mais de uma), A nova apólice de incêndio deveria se chamar “Data Damage” ou “Riscos Cibernéticos”. Essas modalidades sequer existem, popularmente, no Brasil.
As seguradoras tomam todos os cuidados ao emitir uma apólice de incêndio, examinando cuidadosamente os ativos segurados, evitando entrar numa “furada”.
Creio que a mesma coisa ocorreria com os seguros da era da informação, como Cyber-Risks e Riscos de Vazamento de Dados. A seguradora teria grande cuidado em analisar se a segurada cumpre padrões mínimos de combate aos “incêndios de dados”, como exigem Brigadas de Incêndio, entre outros mecanismos, no caso do fogo literal.
O Cortejo Continuará?
A pergunta que fica é até que ponto o cortejo fúnebre, do qual muitas empresas participam como defuntas, sem saber, vai continuar, ou se o brasileiro começará a fazer as coisas por princípios, e não por imposição.
Eu preciso que a CVM me exija auditoria? Preciso que a Lei 11.638/2007 exija? Ou será que eu acho que sou grandinho suficiente para entender que a auditoria independente (em que pese maus exemplos recentes, que francamente espero que sejam esclarecidos)? Quantas Americanas, Wirecards, NMC Health ou Luckin Coffee da vida ainda ocorrerão para servir de exemplo aos mais altos escalões das empresas brasileiras?
Especificamente sobre “incêndios digitais”, quantos Fleurys (2021 e 2023), Magazines Luizas (2020), Ois (2019), Banrisuls (2018), JBSs (2017) ainda terão que acontecer?
Os ransomware (vírus que bloqueiam acesso das empresas a dados) são muitos, e suas origens são as mais diversas. Alguns se arriscam a dizer que até alguns governos totalitários os usam pra arranjar uma grana para ajudar o regime. Ryuk, talvez o mais lucrativo (para seus “usuários”), REvil/Sodinokibi (o da JBS), DarkSide (da Colonial Pipeline – quase matou a costa oeste dos EUA por falta de combustível), Maze (“especialista” em órgãos de governo) e Conti (usado – pasmem – durante a pandemia de COVID-19 pra roubar dados de hospitais), são alguns dos exemplos de males que nos afligem ou afligirão, se, como sociedade, não procedermos com o cuidado que a coisa merece.
O Brasil é um dos países cujo uso da informática é mais intenso em todo mundo. Estamos entre os maiores usuários de internet e mídias sociais do planeta, e não nos damos conta de que dia após dia
LockBit: é um ransomware relativamente novo que foi descoberto pela primeira vez em 2019. Ele tem sido usado em vários ataques cibernéticos contra empresas em todo o mundo.
É importante lembrar que a ameaça representada pelo ransomware é real e em constante evolução. As empresas devem tomar medidas para proteger seus sistemas e dados contra ameaças cibernéticas, incluindo a implementação de soluções de segurança robustas e a adoção de boas práticas de segurança cibernética.
Precisamos seguir o espírito que rege (ou deveria reger) as Leis – o espírito dá vida. A Lei é perfeita (a do Senhor), e eu não deveria ter medo de seguir leis boas, de bom grado, sem acha-las um fardo.