Na última semana, o Superior Tribunal de Justiça foi alvo de um dos mais graves ataques hackers já identificados no país. De acordo com informações da Agência Brasil, o ataque ocorreu na terça-feira (3), interrompendo julgamentos que ocorriam por videoconferência nas seis turmas do STJ e tirando do ar os servidores e sistemas da corte.
O ataque cibernético põe luz à necessidade de investimentos em segurança da informação e criptografia, principalmente em um momento em que o Governo brasileiro trabalha na unificação de todos os cadastros de cidadãos existentes na administração pública (Decreto 10.046/2019). Mais do que investir em segurança cibernética, é necessário implementar critérios de tratamento de dados que possam garantir a privacidade e a segurança das informações que estão sendo armazenadas por terceiros (sejam eles órgãos governamentais ou empresas privadas), impedindo que sejam utilizadas sem o consentimento e conhecimento de seu titular. A Lei Geral de Proteção de Dados Pessoais (LGPD) já está em vigor e veremos na prática como será a sua aplicação.
Dados roubados podem ser utilizados de várias formas. Vantagens comerciais, roubo de identidade, espionagem, quebra de senhas, transferências financeiras ilegais e ações de vigilância podem ser facilitadas com o uso indevido de dados pessoais, quando acessados por indivíduos mal intencionados.
Em outubro, alguns finlandeses vivenciaram um verdadeiro pesadelo. Pacientes foram chantageados após arquivos confidenciais com transcrições de suas sessões de terapia terem sido roubadas por hackers. O sistema de uma empresa que administra clínicas de terapia na Finlândia foi invadido e os pacientes passaram a receber e-mails exigindo o pagamento de 200 euros para que suas informações confidenciais não fossem divulgadas na internet.
Esse tipo de ataque cibernético é chamado de "ransomware" e ocorre quando uma base de dados ou sistema é invadido, os dados são criptografados e o invasor cobra um "resgate" para que a criptografia seja quebrada e as informações possam ser acessadas novamente. Especula-se que foi este o tipo de ataque realizado aos sistemas do STJ.
Nossos dados estão sendo devidamente protegidos? O grande desafio é identificar o ponto de equilíbrio entre as facilidades, geradas com a centralização de bancos de dados e unificação de informações, e os critérios de segurança e tratamento de dados necessárias para garantir a privacidade e o sigilo destas informações.
*Thaís Covolato, coordenadora do Comitê de Identidades Digitais da Camara-e.net
