A última semana foi de turbulência para a Lojas Renner. A empresa foi alvo de um ataque cibernético, teve dados sequestrados e o pedido de resgate chegou a US$1 bilhão. O Procon de São Paulo notificou a marca pedindo explicações sobre quais banco de dados foram atingidos, o nível de exposição, o período em que o site ficou fora do ar e se houve vazamento de dados pessoais de clientes ou informações estratégicas.
Na manhã desta terça-feira (24), a empresa comunicou que a operação de e-commerce foi restabelecida nos sites e nos aplicativos, no fim de semana. Os principais bancos de dados permanecem preservados e, neste momento, todos os sistemas prioritários já estão operando. A Renner também afirmou que não fez nenhum contato com os autores do ataque e não negociou ou fez pagamento de resgate de qualquer espécie.
A própria empresa confirmou a invasão no site, que causou indisponibilidade em partes dos sistemas e das operações. O ataque aconteceu por meio de um software usado por hackers para sequestrar dados de empresas ou pessoas e extorquir a vítima pedindo resgate.
A novidade é que o Procon-SP quer que a Renner esclareça sobre o processo de criptografia utilizado na coleta, tratamento e armazenamento de dados dos clientes e sobre a presença de um Encarregado de Dados nomeado – conforme previsto na Lei Geral de Proteção de Dados – LGPD.
Segundo André Gutierres, fundador da Beelegal Technology, esse é um ponto de atenção, pois sequestro de dados, em grande parte, vem de dentro das próprias empresas. “Na verdade, a falha de segurança nos processos, por exemplo, como senhas fracas ou até mesmo funcionários que, com acesso, podem utilizá-lo de maneira indevida, fazem com que ataques como este ocorram. Por isso que no processo de adequação da LGPD, são revisitadas as políticas de segurança e a governança de como são utilizados os dados das empresas”.
Existem metodologias para mapeamento e identificação de gaps, que permitem antever possíveis portas e aberturas para ataques como o que aconteceu com a gigante Renner.
É importante ressaltar que as informações sequestradas podem ser utilizadas indevidamente e isso pode levar a marca a sanções e multas da LGPD, pela falta de segurança. “E esse é um ponto importante para todas as empresas, porque estão sujeitas à Lei se não tiverem uma política de acesso e de governança eficiente”, afirma Gutierres.
O processo de adequação da LGPD é uma excelente oportunidade para a empresa revisitar seus processos e adequá-los conforme a Lei Geral de Proteção de Dados determina, e ao mesmo tempo reforçar e fortalecer pontos vulneráveis.
Segundo Gutierres, em casos de sequestro de dados, o resgate costuma ser alto e exigido em criptomoedas para não ser rastreável, e a empresa além de ter que pagar esses valores altíssimos ao sequestrador, também passa a correr o risco da utilização indevida dos dados.
“Em ataques como este, o sequestrador descriptografa os dados para que possam ser utilizados novamente pela Renner, mas nada impede que ele tenha cópias e as utilize de forma inapropriada. Isso gera prejuízo a todas as pessoas que têm cadastro na empresa, porque os seus dados podem passar a ser utilizados de maneira imprópria. ”
Então, percebe o desastre que é uma falha no processo de governança de dados?
Para ter uma gestão eficiente é necessário estar alinhado com a LGPD, assim impede ataques como este e possíveis crises de imagem.A Beelegal é uma empresa de tecnologia que busca soluções avançadas para o mercado. Desenvolve produtos e serviços tanto em tecnologia e segurança da informação, quanto de processos jurídicos. Realiza processos e projetos de robotização, inteligência artificial, plataformas de gestão de processos, gestão de dados, consultoria, entre outras soluções tecnológicas. Auxilia empresas na redução de custos e despesas, e no planejamento financeiro relacionado a processos jurídicos, acelerando a implementação de políticas e normas aderentes à lei.