Como lidar com as questões legais relacionadas a um ataque ransomware

Muitas vezes, o responsável de segurança reage a um ataque de ransomware da mesma forma como atua com outros tipos de invasão – com planos para análise do malware, contenção de danos e a posterior retomada das operações, notificando as autoridades regulatórias apenas quando necessário. Os esforços de resposta devem ser feitos de maneira conjunta pelas equipes de comunicação, TI e o departamento jurídico – com o segmento de TI dando subsídios para o jurídico, e vice-versa.

Até aí, tudo bem. Mas o ransomware apresenta uma dinâmica diferente – ao contrário do que acontece em outros ataques, os hackers que atuam com o ransomware anunciam o que estão fazendo ao enviarem a chamada nota de resgate. Ou seja, a descoberta do ataque acontece mais rapidamente do que em outros casos. O objetivo dos invasores é manter os dados no site, mas criptografados – por isso, não existe uma preocupação imediata com roubo de informações.

Embora essa seja uma pequena vantagem para o ransomware, existem algumas questões jurídicas que precisam ser levadas em conta: uma vez que os dados não são expostos a pessoas de fora da empresa alvo do ataque, isso significa que a vítima não precisará entrar em contato com as autoridades e os consumidores?

A verdadeira questão a se discutir é se o acesso não autorizado por si só provoca uma notificação aos clientes – que é o que o ransomware faz de fato, ao acessar suas informações estratégicas sem autorização.

No Brasil, pode-se dizer que a tipificação do ransomware na esfera jurídica é a extorsão, conforme exposto no artigo 158 do Código Penal brasileiro: constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter vantagem econômica. A pena é de reclusão de quatro a dez anos, além de multa.

Nos Estados Unidos, onde as regras legais para as empresas apresentam um tom a mais de severidade, existe a exigência de notificação conforme as regras ligadas aos dados já existentes, mas não deixa de um tópico obscuro. Além disso, as agências reguladoras possuem regras específicas para cada segmento.

No geral, o posicionamento mais adequado a se tomar é notificar as autoridades legais e regulatórias a respeito do sequestro das informações, e adotar medidas mais rigorosas com relação à segurança dos dados – e não se esquecer de realizar backups frequentes. Assim, será possível recuperar informações que venham a ser roubadas sem a necessidade de pagamento do resgate exigido.