Especialista da WIT Insurance explica importância da notificação de autoridades, assim como controle de acessos e utilização de ferramentas de segurança
A montadora italiana Ferrari informou no começo dessa semana ter sido vítima de um ataque cibernético. A empresa disse em nota “que um agente não autorizado conseguiu acessar um número limitado de sistemas” em seu ambiente de TI.
Nomes, e-mails, endereços e telefones de clientes acabaram expostos. A montadora não chegou a ter suas operações paralisadas.
A Ferrari não confirmou se dados bancários e outras informações confidenciais foram comprometidas.
Segundo dados do FortiGuard Labs (laboratório de inteligência da empresa Fortinet) foram registradas 103,16 bilhões de tentativas de ataques cibernéticos em 2022 no território brasileiro. O número é 16% maior relação ao ano anterior.
Na América Latina, o Brasil perde apenas para o México – que registrou 187 bilhões de tentativas de ataques no ano passado.
Como lidar com um ataque cibernético?
Thiago Zanetoni, Sócio e Diretor Comercial Corporativo da WIT Insurance, orienta sobre a necessidade de se notificar as autoridades competentes caso uma empresa sofra algum tipo de ataque cibernético. “No caso da Ferrari tivemos desde pedido de resgate até a efetiva divulgação de nomes de clientes e dados pessoais. Recomenda-se, a partir daí, a notificação de autoridades, notificação pública e que se designe uma pessoa (ou pessoal) responsável para negociações, entre outras medidas emergenciais importantes”, compartilha o executivo.
Zanetoni conta que a mitigação de riscos passa, principalmente, por ações preventivas e pelo treinamento do time de colaboradores de uma organização. “Espera-se que a empresa monitore diariamente os alertas gerados pelas ferramentas de segurança, conceda credencial de administrador para acesso aos computadores e redes apenas para funcionários das áreas de TI/Helpdesk e implante a segregação de suas redes, mesmo entre unidades de negócios ou ambientes de administração e operação”, recomenda.
Seguro facilita Gestão de Crises
O especialista lembra que as principais seguradoras do mercado oferecem especialistas em Gestão de Crises para atuar neste tipo de caso. “Depende da seguradora, mas as principais desse segmento (em termos de amplitude de coberturas e qualidade de clausulado) fornecem aos clientes o apoio de empresas especialistas em Gestão de Crises que atuam nesses casos, provendo assessoria imediata no caso de uma violação da segurança da rede. Entre outros serviços, o seguro cuida da notificação de autoridades, disponibiliza consultores de extorsão, profissional de relações públicas, realiza investigações etc.”, exemplifica.
“Os alvos podem ser desde grandes bancos até um pequeno laboratório. Mesmo as empresas que possuem ferramentas de segurança atualizadas e funcionando bem podem ter vulnerabilidades. Por isso, ter um Seguro Cyber protegerá a empresa em um momento tão delicado como esse”, acrescenta Thiago Zanetoni.
Sobre a aceitação dos riscos, o Sócio e Diretor Comercial Corporativo da WIT Insurance afirma que ainda são poucas as companhias que atuam neste ramo de seguro. “Trata-se de um produto com clausulado bem específico, necessidade de respostas imediatas, além de coberturas e assistências diferentes de outros ramos tradicionais de seguros corporativos, particularizando a precificação e colocação do risco”, menciona. “As seguradoras que atuam no ramo estabelecem alguns requisitos sem os quais a aceitação do seguro não é possível. Apesar de serem exigências para que haja cobertura, valem como uma consultoria, pois os requisitos para que o seguro tenha cobertura faz com que a empresa tenha mais segurança em seus processos”, pondera.
Lei Geral de Proteção de Dados (LGPD)
Aprovada pelo Congresso Nacional em agosto de 2018, a LGPD entrou em vigor em 2020. Entretanto, as sanções administrativas previstas na Lei passaram a ser exigidas a partir de 1º de agosto de 2021. Aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), tais sanções podem incluir o bloqueio, a suspensão parcial ou a eliminação dos dados envolvidos em casos de descumprimento das normas. Além disso, a ANPD pode solicitar a proibição total do exercício de atividades relacionadas ao tratamento de dados, assim como aplicar multas de até R$ 50 milhões.
Thiago Zanetoni reitera, entretanto, que a maioria das sanções previstas pela LGPD estão relacionadas muito mais ao tratamento de dados pela empresa estar em desacordo com o texto da lei do que com incidentes, especificamente. “Por isso, é interessante que haja uma área da empresa responsável por realizar essas adequações ou, de preferência, seja contratada uma consultoria especializada em ajudar nesse processo, evitando as possíveis penalidades”, finaliza.