Cibercriminosos já teriam dados de obtidos em invasões. Pretendem forçar empresas a pagar resgate para não expô-los – e assim elas evitariam o pagamento das elevadas multas da LGPD
Cibercriminosos brasileiros estão fazendo poupança. Por enquanto, não em dinheiro. Mas eles acham que o dinheiro deverá vir depois. Exatamente depois que a LGPD estiver em vigor. E eles acham que virá em grande quantidade. Como veio para o grupo Sodinokibi, que chantageou a Travelex, na Ingletarra, e recebeu perto de US$ 2,3 milhões. Como veio para o grupo que criptografou os dados da universidade de Maastricht, nos Países Baixos, e recebeu 197 mil Euros.
A poupança é assim: os cibercriminosos já invadiram muitas empresas e já estão de posse de dados críticos que poderão levar o governo a multá-las depois que a LGPD entrar em vigor. Mas por enquanto não fizeram nada: não avisaram, não ameaçaram, não cobraram. Isso só vai acontecer depois que a LGPD estiver em vigor. Só então o recado vai chegar: ou a empresa vítima paga o resgate ou os cibercriminosos vão expor os dados revelando negligência, e então o valor da multa poderá ser bem superior ao do resgate. Os cibercriminosos apostam que as empresas vão preferir pagar os resgates.
Essa revelação é dos especialistas João Lucas Brasio, diretor técnico, e Felipe Galofaro, diretor de operações da empresa de segurança Elytron Security. Segundo eles, a aproximação da vigência da LGPD está criando esse mercado negro. “De um lado, a lei trouxe benefícios para todos, obrigando as empresas a cuidarem mais e melhor da segurança da informação. Mas infelizmente trouxe também esse efeito colateral”, conta Galofaro.
Veja isso
Indenizações da Virgin Media podem ir a 4 bilhões de Libras
Projeto de lei prorroga entrada em vigor da LGPD
“Antes o atacante pensava em roubar números de cartões, conseguir pagamento de boleto, invadir contas, roubar de fato. Queria o dinheiro. Olhava para a informacao e sabia que ali havia valor mas não sabia como transformar aquilo em dinheiro. Mas quando veio a lei, os cibercriminosos descobriram o mapa da mina: se já haviam invadido e já tinham as informações, a chantagem era cobrar para não vazar. Muitas empresas estão sendo atacadas, e no Brasil elas demoram em média 270 dias para descobrir”, detalha Brasio..
As vítimas estão em vários setores, comentam os diretores da Elytron: finanças, alimentos, varejo e outros. Comentários sobre os vazamentos, segundo eles, têm aparecido inclusive nas conversas entre cibercriminosos nos grupos do Facebook, Telegram e outras plataformas. “Já vimos gente aparecer tentando vender dados e ser aconselhada a esperar pela data da entrada em vigor da LGPD para ganhar mais” diz Galofaro.
A Elytron opera em várias frentes da cibersegurança, explicam os diretores, numa abordagem ampla, holística, que inclui desde monitoramento da internet para detectar riscos para os clientes até testes de penetração nas redes e aplicativos, segurança de dispositivos, transações e processos. E os clientes são desde grandes corporações até instituições (como partidos políticos, por exemplo) e pessoas físicas.
Em mais um trimestre, revelam os diretores, a Elytron vai criar uma spin off – a Hawk, destinada a oferecer serviços gerenciados de segurança para pequenas e médias empresas. Ela contará com um SOC junto com outro parceiro, a empresas de redes Think.
