Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Como lidar com as questões legais relacionadas a um ataque ransomware

O sequestro de informações digitais também tem impacto jurídico; veja aqui como lidar com as questões legais relacionadas ao ransomware
Emilia Bertolli
1 minuto de leitura
Publicado 16 de Janeiro de 2017
Ultima atualização 1 de Dezembro de 2023

Muitas vezes, o responsável de segurança reage a um ataque de ransomware da mesma forma como atua com outros tipos de invasão – com planos para análise do malware, contenção de danos e a posterior retomada das operações, notificando as autoridades regulatórias apenas quando necessário. Os esforços de resposta devem ser feitos de maneira conjunta pelas equipes de comunicação, TI e o departamento jurídico – com o segmento de TI dando subsídios para o jurídico, e vice-versa.

Até aí, tudo bem. Mas o ransomware apresenta uma dinâmica diferente – ao contrário do que acontece em outros ataques, os hackers que atuam com o ransomware anunciam o que estão fazendo ao enviarem a chamada nota de resgate. Ou seja, a descoberta do ataque acontece mais rapidamente do que em outros casos. O objetivo dos invasores é manter os dados no site, mas criptografados – por isso, não existe uma preocupação imediata com roubo de informações.

Embora essa seja uma pequena vantagem para o ransomware, existem algumas questões jurídicas que precisam ser levadas em conta: uma vez que os dados não são expostos a pessoas de fora da empresa alvo do ataque, isso significa que a vítima não precisará entrar em contato com as autoridades e os consumidores?

A verdadeira questão a se discutir é se o acesso não autorizado por si só provoca uma notificação aos clientes – que é o que o ransomware faz de fato, ao acessar suas informações estratégicas sem autorização.

No Brasil, pode-se dizer que a tipificação do ransomware na esfera jurídica é a extorsão, conforme exposto no artigo 158 do Código Penal brasileiro: constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter vantagem econômica. A pena é de reclusão de quatro a dez anos, além de multa.

Nos Estados Unidos, onde as regras legais para as empresas apresentam um tom a mais de severidade, existe a exigência de notificação conforme as regras ligadas aos dados já existentes, mas não deixa de um tópico obscuro. Além disso, as agências reguladoras possuem regras específicas para cada segmento.

No geral, o posicionamento mais adequado a se tomar é notificar as autoridades legais e regulatórias a respeito do sequestro das informações, e adotar medidas mais rigorosas com relação à segurança dos dados – e não se esquecer de realizar backups frequentes. Assim, será possível recuperar informações que venham a ser roubadas sem a necessidade de pagamento do resgate exigido.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento