Como a LGPD afetará as empresas na prática

Uma empresa é considerada pequena perante ao BNDES com faturamento bruto anual de até R$ 16 milhões.  Já uma média empresa é aquela cujo faturamento bruto anual seja de até R$ 90 milhões e a partir disso será considerada média-grande as que possuem faturamento bruto de até R$300 milhões. Acima disto, o BNDES considera a empresa como Grande.  Uma eventual multa por descumprimento da lei de proteção de dados pessoais neste caso seria a seguinte:

Classificação da EmpresaValor da Multa Até
PequenaR$    212.000,00
MédiaR$ 1.800.000,00
Média-GrandeR$ 6.000.000,00
GrandeR$ 50.000.000,00

Voltemos nossos olhos agora a deep web, onde impera o submundo do crime organizado. Uma modalidade praticada de crimes pela internet com crescente expansão é a extorsão mediante a dados roubados de uma empresa.

O sistema de uma determinada instituição é hackeado, onde os dados de clientes são copiados e depois de algum tempo, o criminoso entre em contato com os responsáveis pela segurança bem como os sócios da empresa para informar sobre seus sistemas e as vulnerabilidades existentes em sua estrutura que permitiu que determinadas informações sensíveis fossem copiadas.

Como prova, o hacker do mal (sim, originalmente todo hacker era para ser do bem) manda alguns dados roubados aos sócios para comprovar suas habilidades e ainda sugere algumas formas de corrigir a vulnerabilidade para novos ataques não ocorram.

Como prêmio pelo “serviço prestado”, o criminoso solicita que a instituição remunere o hacker com transferência de bitcoins (moeda virtual rastreável, porém não identificável) para uma carteira específica.

Geralmente esse tipo de extorsão costuma custar algo entre 3 a 10 bitcoins, dependendo do tamanho da empresa. A cada nova interação com a instituição, o criminoso aumenta seu custo e começa a ameaçar de leiloar os dados copiados na deep web, caso a transferência para sua carteira não seja realizada no prazo estipulado.

Práticas semelhantes ocorreram com grandes empresas, segundo noticiado pela imprensa, algumas instituições financeiras, Market Places e outros grandes players do mercado, além de várias outras que acabaram cedendo à pressão dos cyber criminosos mediante a pagamento em bitcoin do resgate e com isto, tendo seu nome preservado.

Dado que 1 bitcoin hoje (30/04/2019) está cotado em R$ 20.787,17, estamos falando que esses crimes de extorsão solicitam em troca pela não divulgação dos dados na internet algo entre R$ 60.000,00 a R$ 210.000,00.

Com a aprovação da lei geral de proteção de dados pessoais, podemos concluir que o valor do resgate em bitcoins é infinitamente menor do que a multa de 2% que a instituição deveria pagar em caso de vazamento da informação.  E claro, além da multa e dores de cabeça com o governo, o empresário terá um custo enorme em relação a sua imagem, pois muito mais que multas, o custo de uma empresa com sua imagem maculada é maior do que qualquer outro existente, levando até uma possível falência dependendo do tamanho do incidente.

A GDPR brasileira é praticamente um passe livre aos cybers criminosos. Já os empresários, do pequeno ao grande porte, precisarão se adequar para não ter sua imagem exposta ou viver na mão de chantagistas virtuais. É aí que a demanda por profissionais de segurança irá explodir.

Primeiramente, as estruturas e aplicações precisarão ser avaliadas em um possível teste de intrusão. Caso apresentem alguma vulnerabilidade (e acredite, vão apresentar), precisarão ser corrigidas através de mitigação de risco em equipamentos, sistemas operacionais, renovação de políticas de segurança e porque não na correção e modernização de aplicativos, mobilizando programadores e analistas de sistemas de diversas linguagens desde o Cobol até as mais modernas.

Para casos de dados vazados, muitas empresas precisarão de peritos forenses computacionais para documentar como de fato se deu o vazamento, se houve falha de segurança por falha humana, equipamentos ou mesmo envolvimento de funcionários ou prestadores de serviço facilitando o trabalho dos criminosos. Pareces técnicos serão de suma importância para explicar os detalhes e atenuar as multas aplicadas.

Sem contar que o órgão regulador da Lei 13.709/18 – a ANPD – precisará eventualmente de peritos para avaliar a gravidade de cada caso de vazamento apurado, sem contar o apoio aos DPOs (Data Protection Officer), profissional responsável por aconselhar e verificar se tais empresas estão obedecendo a LGPD ao processarem e tratarem dados pessoais de terceiros. Na Europa, pequenas e médias empresas já demonstram dificuldades em se adequar tecnicamente para garantir a privacidade dos dados levando o governo a criar um fundo de ajuda para essas empresas. Duvido muito que isto aconteça no Brasil, dado que a conta sempre é apresentada ao empresário neste país, portanto, tanto as grandes empresas de segurança como os profissionais autônomos serão procurados para ajudar nessa verdadeira avalanche de demanda por pentesters e peritos, além de gestores de segurança, auditores e pessoal de blue team.

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

Nossas Redes

Mais LIDOS

Empresa líder em segurança da informação. A proteção digital da sua empresa é a nossa prioridade. Contamos com o uso de tecnologia de última geração por profissionais altamente especializados.

Copyright © Todos os direitos reservados Conheça nossas Políticas de Privacidade