O STJ (Superior Tribunal de Justiça), corte responsável pela interpretação final da legislação federal brasileira, completou uma semana sem julgamentos nesta terça-feira (10). Os sistemas eletrônicos do tribunal foram vítimas de um ataque inédito a órgãos públicos brasileiros e todo o acervo do tribunal, incluindo inúmeros acórdãos, jurisprudências e volumes digitais de milhões de processos estão criptografados por um sequestrador.
O caso acendeu o alerta em escritórios de advocacia que tratam do tema. O ataque de ransomware (onde o hacker bloqueia o acesso aos dados e exige um resgate – do inglês "ransom"– para obter novamente o acesso) contra a Corte mostra a necessidade de um plano de respostas a incidentes – e que o Tribunal pode ter falhado na sua reação. O site do Tribunal voltou ao ar nesta terça-feira, e um comunicado afirmou que alguns sistemas internos da corte já operam novamente, o que permitiu a funcionários voltarem a trabalhar e ministros retornarem a analisar casos. Os novos processos devem ser novamente sorteados a partir desta quarta-feira (11). Até esta terça-feira (10), a Presidência centralizou o recebimento dos recursos por meio de um e-mail de protocolo emergencial. Segundo o Tribunal, a recuperação do arquivo e dos sistemas da Corte continuaria "em ritmo acelerado" e sessões foram remarcadas para o dia 17 deste mês. Enquanto a Corte trabalha com o Exército brasileiro e a Polícia Federal para apurar quem efetuou o crime, a advocacia já acendeu a luz vermelha sobre segurança da informação no poder público. "Quando pensamos do ponto de vista de violação de dados, há uma preocupação legítima e grave que é: o tribunal é um controlador de dados, responsável por isso – e é uma situação onde ele perdeu o controle da situação", analisou o sócio do Machado Meyer, Diego Gualda. "Se estivermos pensando nos processos [sob custódia do STJ], parece que aqui existe um óbvio dano causado às eventuais partes". O maior risco neste caso, argumentou Diego, é o prejuízo que pode se ter aos próprios jurisdicionados. "Estamos falando de uma Corte que é a última instância em termos de lei federal e está tudo parado, onde não se tem clareza se os dados serão completamente recuperados. O Tribunal parado traz prejuízos aos jurisdicionados", argumentou o advogado. "O dano é na credibilidade da própria Justiça e de como funciona o próprio Judiciário, mais do que o dano que eu possa ter do meu dado criptografado".
LGPD no setor público
O counsel responsável pela área de tecnologia, proteção de dados e propriedade intelectual do Lefosse Advogados, Paulo Lilla, aponta que o evento do ataque, ocorrido por um hacker que provavelmente não está no Brasil, expõe as disparidades entre os setores público e privado no tratamento de dados pessoais. Paulo lembra que uma versão inicial da Lei Geral de Proteção de Dados (LGPD), que entrou em vigor no final de agosto, planejava retirar o setor público do seu escopo.
O ataque sofrido pela corte não chegou a surpreender. "Considerando o aumento das atividades de criminosos, de hackers não apenas com ransomware, mas também phishing, não dava para dizer que se está surpreso com um ataque como este ao Superior Tribunal de Justiça", argumentou o sócio. "A tendência é que outros ataques possam ocorrer se nada for feito."
Solução In-house
E como evitar que um evento extremo como o vivenciado pelo STJ nas últimas semanas dentro dos escritórios de advocacia?
Um bom caminho passa por uma política baseada na governança e por respostas previsíveis e planejadas a cada tipo de ataque. "Claro que usamos ferramentas e soluções tecnológicas, mas o principal pilar desse plano são as pessoas", explicou o diretor de tecnologia e conhecimento do Mattos filho, Leonardo Brandileone, que explicou que o escritório conta com um plano de segurança da informação e adotou um comitê de segurança e privacidade de dados.
(LexLatin - 10/11/2020)