Os recentes ataques cibernéticos direcionados ao ministério da Saúde e a outros órgãos da administração pública no Brasil fizeram o Congresso agir. Depois de 20 anos em pauta, os parlamentares aprovaram nesta quarta-feira (15) em forma de decreto legislativo a adesão à Convenção sobre o Crime Cibernético, celebrada em Budapeste, no longínquo 23 de novembro de 2001.
Elaborada pelo Comitê Europeu para os Problemas Criminais, com o apoio de especialistas, a Convenção prevê o auxílio mútuo entre os países para investigação e punição dos autores de crimes cibernéticos. O texto também prevê a extradição desses autores em caso de serem responsáveis por crimes praticados fora do país lesado.
Entre os crimes previstos estão o acesso ilegítimo a dados, interferência em sistemas, inflações relacionadas à pornografia infantil, violação aos direitos de autor, entre outras.
Quanto às punições, caberá a cada país adotar as medidas legislativas e outras para que as infracções penais sejam punidas, inclusive com prisões.
O Brasil foi convidado a aderir à Convenção em dezembro de 2019. O governo federal considera que, embora o Marco Civil da Internet (Lei 12.965, de 2014) tenha criado importante estrutura legislativa para o combate aos crimes cibernéticos, os meios digitais não respeitam fronteiras. Por isso é necessário constante aprimoramento da cooperação e coordenação entre os países.
Ataques ao Ministério da Saúde
O ataque ransomware sofrido pelo Ministério da Saúde em 10 de dezembro tornou inacessíveis os dados sobre a vacinação contra a covid-19. O fato serviu de alerta e especialistas consideram que o grande número de pessoas em trabalho home office torna vulnerável os sistemas, tanto de empresas quanto governamentais.
Fellipe Guimarães, cientista da computação e CEO da Codeby, explica o que é um ataque ransomware:
“Trata-se de sequestro digital ou ransomware. O termo é popularmente utilizado para falar sobre a invasão de hackers através de brechas na segurança no acesso à rede ou ao servidor da empresa e também através de e-mail ou pendrive infectado. Com essas informações em mãos, o hacker as coloca em uma pasta ou servidor com senha, impedindo que o então proprietário dos dados tenha acesso. Os criminosos entram em contato com os donos dos dados e pedem um resgate milionário para devolver as informações, normalmente via criptomoeda, o que dificulta o rastreamento”, explicou.
Segundo Fellipe Guimarães, qualquer negócio que possui informações em sites está vulnerável a este tipo de crime. Ele acrescenta que os ataques cibernéticos contra empresas brasileiras cresceram 220% no primeiro semestre deste ano em comparação com o mesmo período de 2020, segundo estudo baseado em dados levantados pela Comissão de Valores Mobiliários (CVM), agência regulada pelo Ministério da Economia.
Home Office: cuidados com a internet
A proteção contra os ataques cibernéticos passa pela maior atenção do usuário. O especialista alerta para alguns fatores que influenciam a vulnerabilidade dos dados.
“Por exemplo: muitos trabalhadores em home office tendem a usar seus próprios dispositivos ou usar o computador da empresa em sua rede residencial, e ambos cenários implicam riscos potenciais à segurança.
“Além dos ataques cibernéticos e dos erros nas configurações do sistema, os vazamentos também ocorrem por downloads de arquivos maliciosos por engano, o preenchimento de cadastros em sites não confiáveis e outras atividades do tipo, que dependem de cuidados do usuário.
“Para evitar que um ataque ocorra é primordial desenvolver um planejamento de segurança digital eficaz, com treinamento constante de equipes. Também é preciso ter cuidados redobrados com o processo de armazenamento e proteção de dados.
Fellipe Guimarães dá dicas de procedimentos rotineiros e necessários para ampliar a segurança na rede:
“Sugiro que a empresa faça um backup de todos os seus dados, utilize mídias portáteis e tenha um sistema de inventário ativo, em que a segurança das informações sigilosas é mais eficiente e sua recuperação é mais prática.
Outro ponto fundamental é a arquitetura do sistema de cibersegurança. A empresa deve estabelecer a segregação de rede, evitando assim o congestionamento dos dados, o que facilitaria o acesso dos dados pelos criminosos.
“A coleta dos registros e a detecção em tempo real é primordial para que seja possível atuar em meio a uma crise o quanto antes.
“E por último, a padronização das configurações do sistema deve ser estudada minuciosamente, codificando e o protegendo. O processo a partir de patching (correção de bugs e vulnerabilidades de segurança) também pode ser uma alternativa vantajosa para a empresa, garantindo o aprimoramento de sua segurança cibernética”, concluiu.