Não se combate hackers com mais leis

Hackers brasileiros

Não se combate hackers com mais leis, esse é o tema do artigo de hoje, escrito por João Azeredo e Flávia Mortari.

É necessário entender que não se combate hackers brasileiros com mais leis, isso é um fenômeno mundial, que atinge a todos os países.

O recente ataque cibernético ao Superior Tribunal de Justiça (STJ) foi destaque na mídia nacional e dominou os debates do mundo jurídico. Temia-se que todo o acervo eletrônico do tribunal, inclusive as cópias de segurança, teria sido encriptado e estaria inacessível.

Após mais de uma semana o acesso aos sistemas, até mesmo à plataforma de processo eletrônico, foi restabelecido e até o momento não há notícias de que houve perda de dados dos processos, o que já é um grande alívio diante de um cenário inicial muito preocupante de possível necessidade de reconstituição de milhares de autos eletrônicos.

No entanto, ainda há muito o que ser esclarecido para que se evite que novos ataques afetem tão profundamente a atividade de entidades públicas. Além disso, é preciso apurar se o ataque se limitou à encriptação do acervo ou se essa foi apenas uma distração para ocultar o verdadeiro objetivo: a captura de dados sigilosos.

Hackers brasileiros: Investigação realizada no sigilo.

É evidente que uma investigação dessa natureza demanda algum nível de sigilo e, além disso, todos os esforços iniciais estavam concentrados no restabelecimento do funcionamento do sistema.

No entanto, agora que a fase mais crítica foi superada, espera-se que o STJ inicie o processo de divulgação de detalhes concretos do que ocorreu, porque a transparência está muito aquém do desejável, o que dificulta tanto a reação no caso de eventual contato do hacker diretamente com pessoa cujos dados possam ter sido obtidos por meio do acesso ilegal quanto o combate a novos ataques.

Apesar da ausência de detalhes nesse momento, baseado apenas no fato de que o funcionamento do sistema de um tribunal que é vital para a ordem pública do país só foi restabelecido mais de uma semana após o ataque, parece seguro afirmar que houve erros graves no âmbito do STJ que precisam ser revelados para se evitar que outras organizações não os repitam.

Hackers brasileiros: Caso confirme as notícias

Se confirmadas as notícias disponíveis até o momento, o ataque sofrido pelo Superior Tribunal de Justiça, conhecido como crypto ramsonware – vírus que se espalha na rede e encripta o acervo eletrônico para subsequente cobrança de resgate -, não é sofisticado nem novo.

Esses ataques são um fenômeno mundial muito grave, decorrentes da própria evolução tecnológica, e causam crescentes e enormes danos todos os anos a todos os tipos de organizações e pessoas. Como ocorre com a maioria dos problemas complexos, não há solução simples e nos parece que essas situações devem ser enfrentadas em diferentes frentes de atuação.

Primeiramente, é preciso garantir que a estrutura e processos de segurança internos estejam adequados. Todas organizações estão sujeitas a ataques, mas com estrutura e processos de segurança efetivos, mesmo nos casos em que o sistema é infectado, é possível limitar os efeitos, restabelecer o funcionamento rapidamente e mitigar os danos.

A outra frente de atuação é a repressão aos ataques e aqui discordamos em parte de algumas opiniões veiculadas recentemente sobre a necessidade de atualização da legislação penal que trata desse tema.

Não nos parece que o problema é a falta de lei, mas sim a aplicação efetiva da norma. É verdade que a lei brasileira não é das mais sofisticadas quando o assunto são crimes cibernéticos, mas não é esse o motivo pelo qual esse tipo de ataque se prolifera, nem seria um impeditivo para se responsabilizar os responsáveis pela invasão do sistema do STJ, caso sejam eles identificados.

Hackers brasileiros: Os tipos de pena

Os tipos penais de invasão de dispositivo informático (artigo 154-A, do Código Penal) e de interrupção ou perturbação de serviço informático/telemático (artigo 266, do Código Penal) são exemplos de condutas que se amoldam aos fatos do caso divulgados até o momento.

Não nos parece razoável, também, que uma pessoa tenha orquestrado e efetuado sozinha esse ataque, e nem mesmo que a obtenção dos dados não será utilizada, posteriormente, para fins diversos e ilícitos.

Acrescentaríamos à situação com facilidade, portanto, os delitos de associação criminosa e extorsão (artigos 288 e 158, do Código Penal) – para além de muitos outros que os dados obtidos podem dar vazão.

O problema aqui não é de falta de lei adequada – no Brasil raramente o problema é falta de leis -, o desafio é identificar os autores desses ilícitos, o que depende de força policial e Ministério Público preparados para esse tipo de desafio.

Mais do que investir recursos na criação de novas leis ou criticar as existentes, é preciso apostar no treinamento e aperfeiçoamento de equipes dedicadas ao enfrentamento de crimes cibernéticos. Infelizmente, a realidade atual dessas equipes nas diferentes instituições é de grupos esforçados, mas em evidente desvantagem.

Hackers brasileiros: Técnicas de investigação

Insiste-se em técnicas de investigação que se focam no requerimento de informações e confrontos com provedores de serviço de internet, em prejuízo de abordagem mais ampla, com uso de diferentes instrumentos de investigação, tal qual a cooperação internacional, imprescindível para combate desse tipo de delito.

É comum ouvir-se críticas de integrantes desses grupos que os provedores de serviços de internet não cooperam com as investigações, mas causa muita preocupação que as forças de prevenção e repressão sejam tão dependentes da ajuda de empresas para desenvolver aquilo que deveriam ser suas próprias atividades.

É importante que essa crise não seja em vão e que as lições aplicáveis sejam aprendidas para se evitar um desastre ainda mais grave no futuro. É preciso melhorar a governança de segurança, dar mais transparência na comunicação ao público nos casos em que houver eventos como o que presenciamos recentemente e melhorar a qualidade e eficiência na investigação para identificação e responsabilização dos autores desses atos.

A falta de preparo para lidar com a situação e a impunidade, afinal, são convites ao crime.

Hackers brasileiros: Sobre João Azeredo

João Azeredo é sócio e Head de Tecnologia e Inovação do Moraes Pitombo Advogados. Anteriormente, João Azeredo atuou como Head of Litigation na Oracle do Brasil, responsável pela área de contencioso cível e criminal na América Latina.

Graduado pela Faculdade de Direito da USP, tem mestrado em Direito e Tecnologia da Informação pela Stockholm University, Suécia, e em Direito Civil pela Faculdade de Direito da USP.

Hackers brasileiros: Sobre Flávia Mortari

Flávia Mortari é sócia do Moraes Pitombo Advogados. Graduada em Direito pela PUC/SP, Especialista em Direito Econômico na FGV, Especialista em Direito Penal Econômico Internacional pelo Instituto Brasileiro de Ciências Criminais e Instituto de Direito Penal Econômico e Europeu da Universidade de Coimbra (Portugal) e Mestre em Direito Comercial e Societário pela Universidade de Londres (Inglaterra). Além disso, é membro do Instituto Brasileiro de Ciências Criminais (IBCCrim) e da Society of Corporate Compliance and Ethics (SCCE).

Leia também – Pandemia: profissionais do esporte se adaptam com a ajuda de tecnologias.

Matérias Relacionadas:

2021 e a Teoria do Pêndulo, você já ouviu falar?
8 iniciativas do para engajar os colaboradores em quarentena
Como a Gestão do Tempo e Liderança podem transformar a sua vida
Diversidade e Inclusão na agenda das organizações: a importância da estruturação do processo
Sete competências necessárias para conseguir uma carreira de sucesso
A saúde mental dos seus colaboradores pede atenção
A experiência digital é para todos?
LGPD e ex-funcionários: quais cuidados devem ser tomados?

ARTIGOS RELACIONADOSMais do autor