São Paulo – Um ciberataque promovido contra a XP Investimentos entre 2013 e 2014, que atingiu dados de 29 mil pessoas, só veio à tona nesta semana. A empresa diz que cuidava de cada caso de forma individual, mas vazamentos de dados provocados por hackers, como aconteceu nesse caso, evidencia uma questão mais abrangente: a definição legislativa do tratamento de informações pessoais.

Em entrevista a EXAME.com, Fabro Steibel, diretor-executivo do Instituto de Tecnologia do Rio (ITS-Rio) e professor na ESPM, disse acreditar que esse tipo de crime, quando hackers roubam uma empresa e divulgam dados de clientes, é considerado genérico e fica difícil de punir devidamente os responsáveis.

"No exterior, quando há uma falha, a empresa precisa comunicá-la, no Brasil não temos essa obrigação. Precisamos pensar na externalidade disso, as senhas são usadas repetidamente em vários sites e aplicativos. Isso pode dar acesso a outros serviços. A falta de lei de dados cria esse vácuo onde os clientes são expostos a esse grande risco", declarou Steibel.

A aprovação de uma lei como a prevista no projeto de número 330 (2013) estabeleceria penalidades a empresas que cometem infrações às normas de proteção de dados pessoais, como multa, suspensão temporária de atividade, intervenção administrativa e interdição parcial ou total da atividade da companhia. O projeto está travado no Senado desde de julho do ano passado.

Nelson Barbosa, engenheiro de segurança da Norton, ressalta que qualquer empresa pode ser vítima de um vazamento de dados e, por isso, precisam ter suítes completas de segurança e departamentos de TI dedicados. No entanto, falar sobre hacks ainda é um tabu para as empresas.

"A Norton identificou que muitas companhias escolheram não demonstrar o verdadeiro tamanho das brechas que sofrem. O fato é que as empresas, por vezes, escolhem reter suas informações – o que é controverso, já que transparência é algo crítico para segurança", declarou Barbosa a EXAME.com.

Ainda assim, o especialista indica que empresas do setor bancário e financeiro levam a sério a cibersegurança. "Devido à natureza de seus negócios, é necessário que elas se posicionem de forma a antecipar e se defender de possíveis ataques, principalmente neste momento em que buscam se tornar 100% digitais", disse Barbosa.

Prejuízos

Outra questão que os ciberataques colocam em discussão são as perdas financeiras das empresas. No caso da invasão ao banco de dados da XP Investimentos, por exemplo, foram desviados cerca de 500 mil reais e três investidores, segundo o Valor.

De acordo com o estudo Cyber Handbook, de dezembro de 2016, a consultoria  Marsh & McLennan Companies estima que a violação de dados vai gerar perdas de 2,1 trilhões de dólares no mundo até 2019. Ou seja, o prejuízo será de quatro vezes mais do que em 2015.

Ainda assim, as companhias não se preocupam tanto com esse tipo de ameaça. Por indústria, estes são os dez setores que mais contratam seguros contra ataques cibernéticos, segundo a Marsh:

1.       Manufatura: 63%
2.       Comunicação, Mídia e Tecnologia: 41%
3.       Educação: 37%
4.       Atacado/Varejo: 30%
5.       Instituições financeiras: 28%
6.       Power & Utilities: 28%
7.       Indústrias: 27%
8.       Hospitality and Gaming: 15%
9.       Serviços: 13%
10.     Healthcare: 6%

Carlos Santiago, líder da prática de consultoria de risco da Marsh, conta que o mercado brasileiro ainda tem potencial e passa por uma fase de conhecimento do risco e amadurecimento da ideia de que a contratação de seguros pode ajudar a lidar com ações mal-intencionadas dos hackers. Além disso, ele indica que muitas empresas multinacionais têm seguros apenas em suas matrizes – e não no Brasil.

"O seguro tem que ser considerado dentro de um grupo de medidas de prevenção e mitigação do risco cibernético", disse Santiago. "O objetivo do seguro é apoiar a empresa a ter os recursos para mitigar o impacto de um ciberataque, contratando especialistas para cuidar da falha na tecnologia ou no âmbito processual que causou o incidente, e também para reduzir o impacto aos clientes."

Por ora, os ciberataques seguem sem punições específicas e a falta de transparência das empresas nesses casos continua a colocar em risco as contas online dos internautas.