O STJ (Superior Tribunal de Justiça), corte responsável pela interpretação final da legislação federal brasileira, completou uma semana sem julgamentos nesta terça-feira (10). Os sistemas eletrônicos do tribunal foram vítimas de um ataque inédito a órgãos públicos brasileiros e todo o acervo do tribunal, incluindo inúmeros acórdãos, jurisprudências e volumes digitais de milhões de processos estão criptografados por um sequestrador.

O caso acendeu o alerta em escritórios de advocacia que tratam do tema. O ataque de ransomware (onde o hacker bloqueia o acesso aos dados e exige um resgate – do inglês "ransom"– para obter novamente o acesso) contra a Corte mostra a necessidade de um plano de respostas a incidentes – e que o Tribunal pode ter falhado na sua reação.

O site do Tribunal voltou ao ar nesta terça-feira, e um comunicado afirmou que alguns sistemas internos da corte já operam novamente, o que permitiu a funcionários voltarem a trabalhar e ministros retornarem a analisar casos. Os novos processos devem ser novamente sorteados a partir desta quarta-feira (11). Até esta terça-feira (10), a Presidência centralizou o recebimento dos recursos por meio de um e-mail de protocolo emergencial. Segundo o Tribunal, a recuperação do arquivo e dos sistemas da Corte continuaria "em ritmo acelerado" e sessões foram remarcadas para o dia 17 deste mês.

Enquanto a Corte trabalha com o Exército brasileiro e a Polícia Federal para apurar quem efetuou o crime, a advocacia já acendeu a luz vermelha sobre segurança da informação no poder público. "Quando pensamos do ponto de vista de violação de dados, há uma preocupação legítima e grave que é: o tribunal é um controlador de dados, responsável por isso – e é uma situação onde ele perdeu o controle da situação", analisou o sócio do Machado Meyer, Diego Gualda. "Se estivermos pensando nos processos [sob custódia do STJ], parece que aqui existe um óbvio dano causado às eventuais partes".

O maior risco neste caso, argumentou Diego, é o prejuízo que pode se ter aos próprios jurisdicionados. "Estamos falando de uma Corte que é a última instância em termos de lei federal e está tudo parado, onde não se tem clareza se os dados serão completamente recuperados. O Tribunal parado traz prejuízos aos jurisdicionados", argumentou o advogado. "O dano é na credibilidade da própria Justiça e de como funciona o próprio Judiciário, mais do que o dano que eu possa ter do meu dado criptografado".


LGPD no setor público

O counsel responsável pela área de tecnologia, proteção de dados e propriedade intelectual do Lefosse Advogados, Paulo Lilla, aponta que o evento do ataque, ocorrido por um hacker que provavelmente não está no Brasil, expõe as disparidades entre os setores público e privado no tratamento de dados pessoais. Paulo lembra que uma versão inicial da Lei Geral de Proteção de Dados (LGPD), que entrou em vigor no final de agosto, planejava retirar o setor público do seu escopo.
O ataque sofrido pela corte não chegou a surpreender. "Considerando o aumento das atividades de criminosos, de hackers não apenas com ransomware, mas também phishing, não dava para dizer que se está surpreso com um ataque como este ao Superior Tribunal de Justiça", argumentou o sócio. "A tendência é que outros ataques possam ocorrer se nada for feito."

Paulo também se mostra preocupado com eventuais riscos à credibilidade do poder público em gerir dados sensíveis e sigilosos. "Da mesma forma que incidentes envolvendo empresas podem gerar uma quebra da relação de confiança, com a empresa perdendo valor de mercado e eventuais clientes, obviamente que o mesmo ocorre com o poder público", argumentou. A expectativa é que, com o ataque, emita-se um sinal de alerta para que o poder público se adeque à LGPD. "O incidente pode acontecer. E criminosos estão aí todos os dias buscando meios de invadir sistemas – principalmente do poder público", disse. "O dano reputacional que isso causa pode ser irreparável."


Solução In-house

E como evitar que um evento extremo como o vivenciado pelo STJ nas últimas semanas dentro dos escritórios de advocacia?
Um bom caminho passa por uma política baseada na governança e por respostas previsíveis e planejadas a cada tipo de ataque. "Claro que usamos ferramentas e soluções tecnológicas, mas o principal pilar desse plano são as pessoas", explicou o diretor de tecnologia e conhecimento do Mattos filho, Leonardo Brandileone, que explicou que o escritório conta com um plano de segurança da informação e adotou um comitê de segurança e privacidade de dados.

Uma cultura de proteção aos dados também é apontada como um bom recurso para evitar prejuízos: na estratégia desenhada pelo escritório, o treinamento em segurança cibernética é mandatório a todos os funcionários, incluindo seus sócios.

Outro segredo é que a governança do escritório para o data privacy não pode ser abalada quando há um ataque como o sofrido pelo STJ – considerado pouco inédito por todos os representantes ouvidos pela reportagem. "Ela [a governança] não pode mudar a cada grande incidente que ocorra por terceiros", disse Thiago Sombra, que é sócio da área de Proteção de Dados do escritório. "Porque isso depõe contra a própria natureza da governança que se quis criar". Mudar o projeto a cada novo fato externo, ponderou, vai mostrar que o projeto tem pouca clareza ou objetivos pouco definidos.

A segurança da informação, defende Thiago, não é um assunto apenas para a quem está na área de tecnologia do escritório. "A primeira preocupação de toda companhia é efetivamente ter um plano de resposta a incidentes bem estruturado e realizar exercícios com alguma frequência, sempre incorporando as melhores práticas de incidentes anteriores, sempre com foco em treinar a capacidade de reação", explicou. "Tornando essa prática sempre cada vez mais rápida, precisa e com menos risco de algum tipo falha de falha do processo na velocidade em que o incidente precisa ser remediado".

(LexLatin - 10/11/2020)