A situação é a seguinte: 7h20 da manhã de uma quarta-feira. Você, gestor de TI da empresa, recebe uma ligação do líder da sua equipe reportando uma invasão nos sistemas da companhia.
Arquivos foram criptografados e corrompidos. O financeiro não consegue viabilizar as vendas. Nenhuma NF pode ser expedida pelo sistema operacional. Os colaboradores não conseguem acesso à rede, de forma presencial e remota. O comercial não consegue gerar pedidos. E é dia de pagamento.
Você direciona sua equipe de acordo com o plano de contingência, todos cientes do que fazer. Mas às 7h15 o presidente da empresa te liga cobrando uma posição, seguido da diretora financeira, ambos muito preocupados. E, por fim, o gerente de recursos humanos está agoniado com a impossibilidade de dar vazão à folha de pagamento e com o potencial risco de exposição dos dados pessoais de colaboradores e terceiros.
Resumo do seu dia até às 8h: não é uma quarta-feira dos sonhos! Mas tudo está sob controle. E você, preparado, segue os passos de seu planejamento, inclusive avisando ao Departamento Jurídico sobre a situação.
Aliás, você se lembra inclusive dos porquês de acionar imediatamente o Jurídico:
– como companhia aberta, e um incidente dessa magnitude, que pode ser classificado como fato relevante, é imprescindível a ponderação de um comunicado ao mercado. Lembrando que a Comissão de Valores Mobiliários (CVM) permite que tal providência fique a critério da administração da companhia, sendo obrigatória a divulgação apenas se se verifique que o ataque, ou suas consequências, podem influir: (i) na cotação dos valores mobiliários de emissão da companhia aberta ou a eles referenciados; (ii) na decisão dos investidores de comprar, vender ou manter aqueles valores mobiliários; ou (iii) na decisão dos investidores de exercer quaisquer direitos inerentes à condição de titular de valores mobiliários emitidos pela companhia ou a ela referenciados – viés societário;
– obrigações contratuais precisarão ser avaliadas em face da impossibilidade de realizar entregas contratadas, e eventuais multas deverão ser consideradas na análise da gravidade e extensão do problema – viés contratual;
– em se tratando de uma ação maliciosa propagada por terceiros, um crime cibernético (pois invadir um dispositivo a fim de obter, adulterar ou destruir dados ou informações sem autorização do dono, ou ainda instalar vulnerabilidades para obter vantagem ilícita, é um delito que poderá ensejar a prisão do seu autor), a autoridade policial deverá ser informada – viés penal;
– tendo sido identificado se tratar de um ransomware – prática que compreende o sequestro de dados e a realização de um pedido de resgate – mesmo sendo altamente recomendável o não pagamento de valores pelo resgate, essa alternativa não deve ser descartada de pronto. Mas caso seja a opção decidida é importante se avaliar o impacto fiscal dessa operação, pois há quem defenda que o pagamento de resgate por ataques cibernéticos aproxima-se de uma perda associada a um ato ilícito praticado por terceiro, o que poderia ensejar na sua dedutibilidade, desde que os dados (i) sejam indispensáveis à manutenção da fonte produtora e (ii) possuam conexão com a operação econômica desenvolvida pela companhia – viés tributário;
– e se a opção for mesmo a de pagamento do resgate (não recomendada, frisa-se), o que geralmente é feito em criptomoedas, a questão relativa à transferência de valores do caixa da empresa para um beneficiário no exterior não identificável é ponto de atenção, pois o risco do registro da transação internacional junto ao Banco Central do Brasil, e eventual incidência de impostos sobre esses valores, também deve ser avaliado – viés societário e tributário;
– e por fim, mas não menos importante, dentre os dados atingidos pelo ataque estão dados pessoais e dados pessoais sensíveis, de modo que uma avaliação sobre a pertinência do reporte para os titulares de dados e para a Autoridade Nacional de Proteção de Dados deverá ser feita, além da avaliação de eventuais obrigações contratuais com fornecedores e parceiros comerciais, caso o incidente envolva dados pessoais de terceiros que tenham sido confiados à sua empresa – viés Compliance e Proteção de Dados;
Jurídico ciente, agora é seguir o plano, confiar no trabalho preventivo bem feito e torcer pelo melhor.
A situação acima é ficcional, não exaure todos os reflexos de um incidente de cibersegurança, mas certamente poderia acontecer em uma empresa de grande, médio ou pequeno porte, de atuação regional ou nacional, de notória participação no mercado ou não, dos mais variados ramos de atuação.
O que fica de análise é: essa relação da cibersegurança com providências jurídicas desencadeadas por um ataque malicioso estão mapeadas em sua empresa? Existe um plano de ação? Equipe treinada, parceiros de apoio considerados? Em se tratando de mais um risco a que o mercado está exposto – cada vez mais frequente, diga-se – importantíssimo que todas essas variáveis sejam conhecidas e um plano de ação seja traçado.
Vulnerabilidades sistêmicas no ambiente de tecnologia existem e são na maioria evitáveis. Mas algo pode passar, seja dentro da sua empresa ou por terceiro que está prestando um serviço para sua companhia. E se isso ocorrer, é bom estar preparado, inclusive pelo viés jurídico.