Ataque cibernético nos EUA gera estado de emergência em 17 estados do país
Roselaine Araujo
Jornalista da Brasiliano INTERISK
raraujo@brasiliano.com.br
28/06/2021
A Colonial Pipeline, rede de oleodutos americana, foi atacada em maio por um grupo criminoso que roubou mais de 100 GB de dados. Responsável em transportar cerca de 2,5 milhões de barris de óleo por dia, o duto corresponde a 45% do abastecimento de gasolina, diesel e querosene de aviação da costa leste dos EUA. Fontes da CNN, New York Times, Bloomberg e Wall Street Journal revelaram que foram pagos a US$ 5 milhões pelo resgate de dados. Entretanto, a Colonial Pipeline se recusou a confirmar essa informação.
A Colonial Pipeline, um dos maiores oleodutos de combustível dos EUA, sofreu um ataque cibernético de grande proporção no início de maio (09/05). A ação dos criminosos chegou a paralisar todo o fluxo de combustíveis por uma semana, o que fez o governo americano decretar estado de emergência em 17 estados do país.
Por trás da ação criminosa, está o grupo DarkSide, que veio a público confessar sua responsabilidade. Em nota divulgada pela agência de notícias Bloomberg, o grupo afirmou: "nosso objetivo é ganhar dinheiro e não criar problemas para a sociedade. A partir de hoje, introduzimos a moderação e verificamos cada empresa que nossos parceiros desejam criptografar para evitar consequências sociais no futuro".
Depois de tirar do ar totalmente a rede de oleodutos, o grupo roubou mais de 100 GB de dados da Colonial. Hoje, o oleoduto afetado transporta cerca de 2,5 milhões de barris de óleo por dia, o que corresponde a 45% do abastecimento de gasolina, diesel e querosene de aviação da costa leste dos EUA. Diversos analistas do mercado de petróleo afirmaram que uma das consequências do ataque será a alteração nos preços dos combustíveis, que deverá registrar um aumento entre 2% e 3%.
Segundo a polícia federal americana, o FBI, a arma usada no ataque foi um vírus que sequestra arquivos por meio de criptografia (ransomware). Já a Digital Shadows, empresa de segurança cibernética com sede em Londres que rastreia criminosos cibernéticos em todo mundo, disse que a invasão no sistema aconteceu depois que os hackers descobriram como entrar no sistema a partir das brechas de acesso deixadas por um número elevado de engenheiros que acessam remotamente os sistemas de controle do oleoduto.
Quem contratou o grupo hacker DarkSide supostamente pagou cerca de US$ 5 milhões (R$ 26,3 milhões na atual conversão) pelo resgate de dados. Logo após o ataque, surgiram boatos que o grupo criminoso estaria ligado ao governo russo. Porém, o presidente americano Joe Biden fez a seguinte declaração à imprensa americana: "não há evidência, com base em nosso pessoal de inteligência, de que a Rússia esteja envolvida".
Especialistas analisam os Crimes Digitais
Wagner Wilson Deiró Gundim, advogado e sócio do Gundim Ganzella Advogados, fez uma análise do caso. “Este ataque cibernético é uma das maiores evidências da fragilidade a que todos os países do mundo estão submetidos no que diz respeito à proteção e segurança da informação. O mundo vive hoje um desenvolvimento tecnológico nunca visto, o que certamente trouxe incontáveis benefícios para vida em sociedade. Entretanto, por outro lado, uma das consequências negativas que decorrem diretamente dessa evolução é a exposição cada vez mais massiva e frequente de nossos dados e sistemas essenciais a ações de grupos criminosos”, explica Gundim, que é pós-doutorando em Direito e Novas Tecnologias.
Para exemplificar, Gundim cita o livro "Proteção de Dados Pessoais: a função e os limites do consentimento", escrita por Bruno Bioni. “Nesta obra, o autor mostra que vivemos agora numa sociedade de vigilância e as pessoas deixaram de ser atores para se transformar em meros expectadores de suas próprias informações, o que é um perigo. De modo específico, o caso dos EUA revelou que o objetivo do grupo criminoso não foi apenas o bloqueio da rede de operação, mas também a subtração de informações para posterior exigência de uma espécie de resgate”, diz.
Segundo Wagner Gundim, os prejuízos estão além da interrupção imediata dos combustíveis e da posterior elevação de preços nas bombas. “Há também uma indiscutível mácula na imagem da empresa, uma vez que a falha nos seus sistemas de segurança possibilitou que os dados de possivelmente milhões de pessoas fossem expostos à ação do grupo criminoso. Este episódio mostra a importância do direito humano à privacidade e proteção de dados. Isto significa que todos os países precisam estar preparados para dar respostas efetivas em situações como essa. É uma realidade que exige não apenas os mecanismos normativos - como é o caso do Regulamento Geral de Proteção de Dados Europeu (RGDP) e da Lei Geral de Proteção de Dados (LGPD) no Brasil, mas também de uma consciência sobre a necessidade de lidar melhor com dados pessoais. Todas as empresas privadas e públicas precisam estar munidas de instrumentos de boa governança, compliance e mecanismos tecnológicos que reduzam a ocorrência de situações como essa”.
O advogado lembra que apostar em sistemas de segurança que atendam as determinações da legislação é fundamental. “É essencial investir na capacitação de seus funcionários, sistemas de segurança (mapeamento de fragilidade, softwares mais avançados, programas de backups, entre outros meios para blindar o acesso remoto de dados por funcionários). A tutela dos dados e privacidade de seus usuários devem ser o norte do negócio", conclui.
Ricardo Vieira de Souza, advogado e diretor da Vieira de Souza Advogados Associados e coordenador adjunto do curso de Direito Digital e Proteção de Dados Pessoais da PUC-SP, lembra que combater ataques digitais é altamente desafiador. “Os crimes cibernéticos são mais difíceis de impedir. A polícia precisa fazer um patrulhamento ostensivo para combatê-los, porém o efetivo policial para eles é muito pequeno comparado aos delitos tradicionais. Invasões como essas que aconteceram nos EUA são altamente preocupantes porque afetam serviços de infraestrutura crítica, assim como os bancos, hospitais, serviços de água e energia. Se houver um ataque amplo contra todas as infraestruturas críticas, qualquer país pode entrar em colapso. Por isso, todas as empresas devem investir mais em tecnologia para aperfeiçoar suas políticas de segurança, evitando novas ocorrências desta natureza”, alerta Ricardo.
Ricardo Vieira de Souza, advogado, diretor da Vieira e Souza Advogados e coordenador adjunto do curso de Direito Digital e Proteção de Dados Pessoais da PUC-SP
Patrícia Punder, advogada especialista em Compliance da Punder Advogados, destaca os danos além do prejuízo financeiro. “É necessário avaliar todos que acessam os sistemas das empresas porque ataques assim afetam também a reputação das empresas. Os clientes necessitam contar com organizações que possuem uma tecnologia apropriada aos diversos tipos de riscos que existem. O mercado requer empresas e pessoas mais qualificadas para mapear riscos. Caso contrário, o número de ataques irá aumentar cada vez mais”.
Segundo Patrícia, inibir essas violações depende de um olhar mais apurado ao problema.
“É imprescindível investir na maturidade da organização a fim de entender o atual cenário e melhorar a segurança de dados. Os investimentos não podem ser considerados como gastos. Toda a reputação de uma empresa de e-commerce, por exemplo, depende da confiança de seus clientes/usuários na segurança tecnológica ofertada pelo website. No entanto, inúmeras companhias ainda não chegaram nesse nível de desenvolvimento. Por isso, infelizmente ainda iremos presenciar muitas invasões até que os investimentos ocorram em patamares mais elevados”, adverte.
Patrícia Punder, advogada especialista em Compliance da Punder Advogados