Especialista Ana Paula Siqueira mostra sete passos de como se defender
O descuido no estabelecimento de um firewall adequado para a defesa do sistema de rede levou a 2ª Turma Recursal do Poder Judiciário de Santa Catarina a manter uma decisão que atribui a culpa a duas empresas por um ataque cibernético.
A invasão do sistema resultou em um prejuízo de R$ 3,9 mil. Consequentemente, a decisão tomada pelo Juizado Especial Cível de São Miguel do Oeste, que determinou que cada empresa arque com metade do prejuízo incorrido, foi mantida.
De acordo com o processo, em novembro de 2021, uma empresa que atua no setor atacadista e varejista de produtos estabeleceu contrato com uma companhia responsável por operar máquinas de pagamento com cartão de crédito. No dia 13 de janeiro de 2022, os funcionários da empresa atacadista encontraram problemas ao tentar acessar a conta. No dia seguinte, identificaram uma invasão do sistema e uma transferência de R$ 3,9 mil para um indivíduo chamado Lucas, que não faz parte da equipe de funcionários.
Vítima do esquema, o atacadista propôs uma ação de danos materiais contra a empresa operadora da máquina de cartão de crédito, solicitando a devolução do valor indevidamente transferido. Em sua defesa, a operadora do cartão atribuiu a culpa exclusivamente a terceiros e afirmou a inaplicabilidade do Código de Defesa do Consumidor.
Devido à responsabilidade compartilhada, a operadora do cartão foi condenada a pagar R$ 1.950 ao atacadista. Insatisfeita, a empresa recorreu à Turma Recursal, mas teve o seu pedido negado por unanimidade, com base nos argumentos originais da sentença.
“A autora certamente negligenciou ao não estabelecer um firewall adequado para a proteção do sistema de rede e para a verificação de quem estava acessando o sistema. (…) Além disso, ficou comprovado que a empresa demandada contribuiu para o ato ilícito, pois a segurança do sistema por ela disponibilizado estava abaixo do esperado, seja porque a senha fornecida era ‘fraca’ ou porque não foi indicado de forma específica qual IP estava acessando o dispositivo”, afirmou a magistrada na sentença (Autos n. 5002265-68.2022.8.24.0067).
A especialista em Direito e Segurança Digital Ana Paula Siqueira apresenta 7 dicas estratégicas para não sofrer esse tipo de prejuízo:
- Implementar medidas de segurança robustas: Isso inclui o uso de firewalls, antivírus, anti-malware e sistemas de detecção e prevenção de intrusões. Além disso, a empresa deve manter todas as aplicações e sistemas operacionais atualizados, pois as atualizações geralmente corrigem vulnerabilidades de segurança.
- Autenticação Forte: As senhas fracas podem ser facilmente quebradas por hackers. É recomendado usar senhas fortes, com uma combinação de letras maiúsculas e minúsculas, números e símbolos. Além disso, a autenticação de dois fatores pode fornecer uma camada adicional de segurança.
- Monitoramento e Alerta de Rede: Deve-se monitorar regularmente a rede para identificar comportamentos suspeitos ou não autorizados. Ferramentas de SIEM (Security Information and Event Management) podem ajudar a coletar e analisar dados de log de vários sistemas para identificar potenciais ameaças e emitir alertas em tempo real.
- Educação e Treinamento em Segurança Cibernética: Os funcionários podem ser o elo mais fraco na segurança cibernética, pela falta de informação em cursos e apostilas simples. Treiná-los sobre as melhores práticas de segurança, como reconhecer e reportar e-mails de Phishing, usar redes seguras e proteger informações confidenciais, é fundamental e é prova de que a empresa está comprometida com a lei.
- Política de Segurança Cibernética: A empresa deve desenvolver e implementar uma política de segurança cibernética sólida que defina claramente as responsabilidades, procedimentos e diretrizes para todos os usuários da rede.
- Testes de Penetração e Avaliações de Vulnerabilidade: Esses testes ajudam a identificar pontos fracos em seu sistema e a avaliar a eficácia de suas medidas de segurança.
- Gerenciamento de Acesso: Limitar o acesso a informações sensíveis e utilizar o princípio do mínimo privilégio podem reduzir o risco de acessos não autorizados.
A especialista explica a necessidade de constantes atualizações dos sistemas de proteção. “A segurança cibernética é um esforço contínuo e deve ser revista e atualizada regularmente para enfrentar as ameaças emergentes”, conclui Ana Paula Siqueira.