Empresas não querem divulgar vazamentos de dados, afirma especialista em privacidade

Durante o evento “Importância da Segurança para a Proteção de Dados”, realizado hoje (28/1) pela Autoridade Nacional de Proteção de Dados (ANPD) e o CERT.br, Everson Probst, diretor de Serviços Forenses, de Investigação e Disputa da Grant Thornton Brasil, afirmou que empresas têm medo de divulgar que foram atacadas e que sofreu um vazamento de dados.

Ele explicou que as corporações não sentem necessidade de divulgar publicamente que sofreram ataques a menos que clientes e parceiros descubram sozinhos ou que hackers anunciem o golpe. Como exemplo, Probst citou o caso de uma empresa que sofreu ataque em sua rede operacional (OT) e mesmo assim não divulgou o ocorrido “porque resolvemos em três dias”, disse ele citando a justificativa da empresa.

Probst lembra que uma empresa deve comunicar o incidente de segurança quando ele apresentar riscos relevantes aos titulares dos dados. Nesse caso do incidente com a OT, a Grant Thornton chegou a fazer uma carta de recomendação para que seu cliente divulgasse, mas não foi seguida. “As empresas preferem esperar ter o dano para divulgar”, diz ele.

Pagar ou não pagar o hacker?

Durante o mesmo painel, Klaus Steding-Jessen, do CERT.br, comentou sobre o que fazer no caso de ter sido vítima de uma extorsão. “Não dá pra confiar em um cibercriminoso. A resposta simples é não pagar para não incentivar”, diz ele.

No entanto, ele reconhece que a questão é mais complexa do que parece e é preciso que cada empresa analise sua situação. “Tem que ver a questão da continuidade do negócio, se o negócio pode falir se não tiver acesso aos dados. Nesse caso, talvez seja melhor pagar.”

Sobre a confiança ou não no hacker, é possível minimizar os riscos. Grupos de cibercriminosos têm uma reputação a zelar porque se eles não entregam a criptografia, suas vítimas param de pagar pela extorsão. “É possível descobrir isso com especialistas de mercado.”