Publicações

Publications

« Voltar « Back
Artigo16.05.2017

O que podemos aprender com o ataque cibernético do WannaCry?

Por:

Raphael de Cunto; Paulo Henrique Bonomo

Anexo ao BI nº 2.454

ImprimirVisualizar em PDF

​Na última sexta-feira, 12 de maio de 2017, um ataque cibernético de escala mundial chamou a atenção para existência de uma simples vulnerabilidade no sistema operacional Windows.

A ausência de atualização de software permitiu que o vírus WannaCry atacasse mais de 200 mil computadores em 150 países. O vírus, do tipo ransomware, atacou máquinas e sequestrou seus dados por meio de criptografia. O "resgaste" para liberação dos dados seria feito em bitcoins.

Curioso sobre o caso é que a tecnologia do vírus não era novidade e a própria Microsoft afirma ter lançado uma atualização em meados de março que preveniria ataques do vírus.

Os efeitos do vírus foram sentidos por indivíduos, grandes empresas e, até mesmo, órgãos governamentais. Do serviço nacional de saúde do Reino Unido ao ministério do Interior da Rússia, passando pela gigante das telecomunicações espanhola Telefónica: onde houve uma brecha, o WannaCry entrou.

No Brasil, seus efeitos foram sentidos no Ministério Público e no Tribunal de Justiça do Estado de São Paulo, bem como no INSS, dentre outras instituições públicas. A Petrobras determinou que todos os seus funcionários reiniciassem suas máquinas imediatamente. O Hospital Sírio Libanês informou publicamente ter sofrido com o ataque.

Será que o Direito consegue endereçar adequadamente situações como a que o mundo enfrentou na última sexta-feira?

Afirmar que as leis brasileiras não fornecem nenhum tipo de resposta para esse tipo de situação é um equívoco. A atuação do WannaCry é tipificada como um crime de acordo com a Lei no 12.737, de 30 de novembro de 2012 (a Lei Carolina Dieckmann), sujeitando os infratores à pena de detenção e multa. O artigo 186 do Código Civil determina que quem violar direito e causar dano comete ato ilícito, que, por sua vez, deve ser reparado nos termos do artigo 927 do mesmo Código.

Essa talvez seja a resposta jurídica mais geral e direta para o caso no Brasil, sem prejuízo às disposições que outras leis, como o Código de Defesa do Consumidor ou o Marco Civil da Internet, possam ter.

O Decreto no 8.771, de 11 de maio de 2016, que regulamenta o Marco Civil da Internet, a título de exemplo, determina normas gerais e de cunho preventivo aplicáveis aos provedores de conexão e aplicações de Internet que visam impedir incidentes relacionados à segurança da informação[1].

Apesar da norma em questão ser uma referência legal de medidas protetivas no âmbito online, suas disposições são exigidas apenas dos provedores de conexão e acesso à Internet. Dessa forma, diante das circunstâncias do ocorrido, seriam os padrões previstos pelo Decreto no 8.771/2016 a maneira mais adequada de prevenir novos ataques?

Diferentemente de outros sistemas legais, como o europeu, não temos nenhum tipo de norma que imponha um amplo padrão de conduta preventivo a ameaças cibernéticas a, pelo menos, grandes empresas ou órgãos públicos. 

Por outro lado, será que deveríamos criar leis para regulamentar o assunto? Como pode um mesmo conjunto de regras ser aplicável a um hospital, uma indústria automobilística ou um órgão público? Normas tão abrangentes seriam demasiadamente gerais. Monitorar o cumprimento de leis com tais características e aplicar sanções seria alvo de infindáveis questionamentos. 

Ainda que fosse possível ultrapassar a fronteira das diferenças entre diferentes segmentos, atividades ou indústrias e criar um arcabouço legal mais específico, será que tais normas não se tornariam obsoletas rapidamente? Mesmo os países que possuem normas mais detalhadas para lidar com situações como a do ataque da última sexta-feira não conseguiram evitar seus efeitos. 

A autorregulamentação de mercado parece ser um caminho mais adequado para criação de regras de prevenção contra ataques cibernéticos. Cada ramo de atividade sabe melhor a que tipo de ameaças está sujeito, bem como o tempo adequado para atualizações normativas. Essas regras poderiam, inclusive, ser adotadas pelo setor público como referência em suas próprias práticas. 

Porém, nada adianta um conjunto de medidas e regras de prevenção, bem como sistemas de última geração, se o fator humano não for endereçado. Grande parte das ameaças cibernéticas ainda dependem da conduta daqueles que manuseiam as máquinas. Ignorar um aviso de atualização de software pendente ou abrir um e-mail de fontes duvidosas pode ser tudo que era necessário para que um vírus como o WannaCry tome controle dos computadores da sua empresa. 

Portanto, é também necessário estipular políticas internas sobre o uso das ferramentas de trabalho e, até mesmo, treinamentos aos funcionários sobre como fazer um uso adequado destes instrumentos. 

Ataques como esse mostram a velocidade com a qual os processos tecnológicos evoluem e o quanto é necessário ter programas de prevenção ativos, com equipes e procedimentos internos aptos a manter todos os sistemas prontamente atualizados e que saibam agir diante de ameaças reais.


_________________________________________________________________

[1] O artigo 13 do Decreto no 8.771, de 11 de maio de 2016, determina medidas de segurança e sigilo dos registros, dados pessoais e comunicações privadas que devem ser adotadas pelos provedores de conexão e aplicações de Internet, dentre as quais: (i) o estabelecimento de controles estritos sobre o acesso aos dados; (ii) adoção de mecanismos de autenticação de acesso a registros; (iii) criação de inventário detalhado de acesso a informações; e (iv) o uso de soluções de gestão que garantam inviolabilidade de dados, como a criptografia. 

Compartilhar:
Faça parte do nosso mailing Join our mailing list Receba em primeira mão publicações
e comunicados do escritório
Keep current with our
latest news and events

São PauloRua Hungria, 1100. 
01455-906
Tel: +55 (11) 3247-8400
Fax: +55 (11) 3247-8600ver mapasee map

Rio de JaneiroRua Humaitá, 275 - 16º andar. 
22261-005
Tel: +55 (21) 2506-1600
Fax: +55 (21) 2506-1660ver mapasee map

BrasíliaSAFS, Qd. 2, Bloco B
Ed. Via Office 3º andar.
70070-600
Tel: +55 (61) 3312-9400
Fax: +55 (61) 3312-9444ver mapasee map

Palo Alto228 Hamilton Avenue, 3rd floor
CA 94301 USA
Tel: +1 650-798-5068ver mapasee map

Termos de Uso
Política de Privacidade