Pedir resgate de dado sequestrado por ransomware é crime e tem de ser punido de forma rigorosa, atestaram o diretor de risco e segurança da Informação do TCU, Rodrigo Coutinho, Jefferson D’Addario, do grupo Daryus Consultoria e Alex Amorim, CISO e DPO do Grupo Cogna Educação, que participaram nesta quarta-feira, 11 de novembro de 2020, do RNPSeg20, evento da RNP sobre Segurança da Informação.
“Roubar um dado público é impedir a oferta de um serviço ao cidadão. Os dados são a riqueza das organizações. No caso do governo, eles permitem a construção de políticas públicas. Ao final, quando um dado público é sequestrado, a conta é do cidadão”, observou Rodrigo Coutinho, do TCU.
O especialista lembrou que, cinco anos depois, ‘o big data está mandando a conta’. Isso porque houve uma ‘onda’ para reter dados para uso futuro e muita informação está acumulada para possível uso futuro, mas, agora, surgiu a Lei de Proteção de Dados Pessoais. E esses dados passaram a ter uma identidade. “O dado guardado não usado virou um problema. Tem que saber de quem é, pedir autorização e saber se pode ser usado”, resume.
Para Jefferson D’Addario, da Daryus Consultoria, se há um pedido de resgate por um dado sequestrado está tipificado a ocorrência de um crime. “Sou favorável à criminalização sim. Tem de ser punido porque é como se fosse um atentado ao patrimônio, ao negócio”, pontuou. Para Alex Amorim, CISO e DPO do Grupo Cogna Educação, todo risco não mapeado é um risco aceito e cabe às empresas também entenderem que o cenário mudou. “Falamos de ransomware há mais de ano. Tivemos o Wanna Cry em 2017. Por que as empresas ainda são pegas de surpresa? porque não há um mapeamento do risco. Porque não houve a devida preocupação com a segurança da informação”, ponderou.
Para Edilson Lima, do CAIS/RNP, é urgente falar sobre segurança, continuidade de negócios com o alto escalão. “Eles precisam entender que um ataque cibernético traz prejuízo ao bolso, à marca e que não se trata de segurança da informação só com time de segurança da informação”, pontuou. O CISO da RNP, Emilio Nakamura, foi além: ter um plano A de contingência de negócios é obrigação, mas ter um plano B organizado é ainda mais estratégico porque ele será deflagrado na emergência. Como disseram os especialistas, ter uma resposta rápida ao incidente é a melhor estratégia, uma vez que não há sistemas 100% seguros.
