Uma recente auditoria do Tribunal de Contas da União apontou que apenas 2,9% dos órgãos federais estão totalmente adequados em relação à LGPD. Diante deste cenário e após 2 anos da implementação da lei, que entrou em vigor em setembro de 2020, percebemos que ainda há um longo caminho a ser percorrido para que as instituições possam efetivamente garantir a privacidade dos dados dos usuários. Este fato se torna ainda mais crítico ao estarmos diante de um cenário mundial de guerra e com crescimento de ciberataques.
Ressalto o conflito entre a Rússia e Ucrânia diante deste assunto, pois a telemetria da ESET identificou o aumento de ataques desde o início da invasão, criando um espaço de ciberguerra que mostra o quanto governos e instituições podem ter sua soberania e segurança ameaçadas até mesmo no espaço digital. Um exemplo disso é como quase 60% dos ataques de RDP (Remote Desktop Protocol-RDP) recebidos e detectados ao longo do primeiro trimestre de 2022 foram originados na Rússia.
Além disso, em todo o mundo as ameaças cibernéticas aumentaram em 20% neste ano, de acordo com o ESET Threat Report. Isto tem ocorrido, principalmente, devido à volta do malware Emotet, que vem se propagando por e-mails com campanhas de spam e phishing.
Podemos observar que, com o aumento destes ataques, uma das principais portas de entrada para conseguir acesso aos sistemas das instituições são por meio dos colaboradores da própria empresa, pela exploração de uma vulnerabilidade, ou até mesmo, por servidores corporativos que estão hospedados na nuvem.
Um outro levantamento interessante trazido pela Dark Tracer mostra que os ataques a órgãos públicos têm se espalhado significativamente, sendo que mais de 1,7 milhão de dados de acessos a órgãos governamentais foram roubados por meio de malware. Neste cenário, o Brasil é considerado um dos principais alvos da América Latina quando se trata de ataques a sites governamentais.
Assim, quando vemos que 49% das organizações públicas ainda não elaboraram um plano de ação para estarem em conformidade integral com a LGPD, acendemos um alerta que serve de exemplo para demais instituições também no âmbito privado.
Até que ponto as organizações estão promovendo capacitações para o estudo e entendimento da segurança de dados em seus ambientes? O compartilhamento de informações privadas está sendo feito de forma cuidadosa? Realmente existe uma preocupação com a adaptação não só à lei, mas para que todos os sistemas da empresa estejam protegidos?
Estas são questões que devem ser levadas em conta para que se coloque como prioridade a adequação à LGPD e, consequentemente, desenvolva ambientes mais seguros com a cibersegurança das instituições e a maneira como lidam com informações coletadas e armazenadas em seus sistemas. Isto pode ser feito por meio de adoção de políticas internas de segurança, abrindo espaço para que haja um profissional ou comitê encarregado de garantir a execução de medidas de aplicação da lei, além de promover a preparação de todo o time organizacional nas questões que envolvem o tratamento de dados e possíveis vulnerabilidades envolvidas.
Diante de um cenário de crescentes ataques e recursos sendo aprimorados pelos cibercriminosos constantemente, é necessário que as organizações também estejam atentas e em aprimoramento incessante, olhando com o cuidado necessário para a forma que protegem seus sistemas e os dados de todos os usuários contidos neles. Assim, a adequação à LGPD precisa ser vista como um caminho para que estas ações sejam tomadas da maneira correta, garantindo não só o cumprimento da lei, mas, principalmente, a proteção de todos os usuários.
Por: Carlos Baleeiro