ATAQUE CIBERNÉTICO AO STJ: QUESTÕES A SEREM ANALISADAS

ATAQUE CIBERNÉTICO AO STJ: QUESTÕES A SEREM ANALISADAS

Na semana passada, dia 03 de novembro, quem tentou entrar no site do Superior Tribunal de Justiça percebeu que havia algo de errado. Sim. O STJ foi alvo de um ataque virtual de hackers, que por meio de um ransonware, “sequestraram” dados dos servidores.  Os hackers deixaram um arquivo de texto “NEWS.FOR.STJ” nas maquinas criptografadas. Como é usual neste tipo de ataque, o documento continha as instruções de pagamento, mas, estranhamente, não informava o valor do resgate, para que as “informações” fossem devolvidas.  (1)

Esse ataque tão significativo ao STJ pode servir de ponto de partida para discussão de dois temas importantes: o primeiro tema são as leis que coíbem esse tipo de crime no Brasil. Será que a legislação atual está sendo suficiente? E, em segundo, qual a responsabilidade do STJ, no caso de dados pessoais e dados sensíveis serem vazados e os titulares desses dados sejam prejudicados ou não, perante a recente lei entrada em vigor – a Lei Geral de Proteção de Dados Pessoais – LGPD?

Especialistas alertam que o país conta com um número insignificante de normas para inibir a prática, como o Marco Civil da Internet (Lei nº 12.965, de 2014) e a Lei Carolina Dieckmann (nº 12.737, de 2012), e penas brandas que não condizem com a gravidade de atos dessa natureza. O próprio Código Penal diz que não é crime se o hacker entra, criptografa e depois não deseja faturar com o resgate. (2) De acordo com texto do MP de São Paulo, que analisa a lei Carolina Dickman, que alterou o código penal, além das imperfeições na redação dos tipos penais, as penas cominadas na nova lei são ínfimas se considerada a potencial gravidade das condutas incriminadas, bastando dizer que um ataque de denegação de serviço  (3) pode colocar em risco vidas de uma população inteira. (4)

Tais leis, por certo, não têm se mostrado muito eficientes, uma vez que o Brasil respondeu por quase metade (46,69%) da 1,3 milhão de tentativas de ataques de ransomware na América Latina entre janeiro e setembro deste ano. É um vírus que “sequestra” o servidor da vítima e, geralmente, cobra um valor pelo resgate. (5)  Os casos de ataques de hackers a empresas são enormes, da mesma forma, são enormes os prejuízos financeiros.

O problema dos ataques cibernéticos, no entanto, com a LGPD, passa a ter mais uma faceta a ser analisada: o lado da empresa atacada. De acordo com a LGPD, que entrou em vigor no dia 18/09/2020, as empresas privadas e públicas são responsáveis pelas operações de tratamentos de dados pessoais e sensíveis realizadas, que devem garantir o sigilo e a privacidade das informações. Assim, pode se perguntar, o STJ pode ser responsabilizado caso haja vazamento de dados pessoais de particulares? Em tese sim, pois de acordo com a LGPD, os órgãos públicos também se sujeitam a lei e são responsáveis pela segurança de seus bancos de dados e sistemas.

O ataque cibernético ao STJ tem levantado uma série de dúvidas sobre a segurança dos sistemas dos tribunais do país. O Processo Judicial Eletrônico do Conselho Nacional de Justiça inclusive virou meme. Diz um deles: “O hacker tentou invadir o PJe, mas desistiu depois que o sistema travou pela quinta vez e tinha que começar tudo de novo”. (6)  

O artigo 42, da LGPD diz que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”. (7)  Se for comprovado que o Judiciário não usou de padrões de segurança adequados, pode ser responsabilizado sim.

Conclui-se, portanto, que a LGPD é uma lei que pode gerar consequências sérias no caso de seu descumprimento. Alerta-se para o fato que, de acordo com a lei, não é necessário que haja o dano para que haja a responsabilização. Se for identificado que houve falha de segurança, a empresa pode ser processa administrativa e judicialmente por falta de tal requisito.

Sem dúvida, a LGPD é uma lei a ser estudada.


(1) https://thehack.com.br/stj-e-vitima-de-ransomware-e-tem-seus-dados-e-os-backups-criptografados/

(2) https://valor.globo.com/legislacao/noticia/2020/11/09/brasil-conta-com-poucas-armas-legais-para-combater-ataques-de-hackers.ghtml

(3) ataque de denegação de serviço: a conduta denominada ataque de denegação de serviço , 0 DOS (denial of service) não constitui geralmente uma invasão de sistema alvo, mas uma sobrecarga de acessos que fazem com que o fluxo de dados da rede seja interrompido. É chamado de ataque de denegação de serviço difundido ou DDOS (distributed denial of service) quando o criminoso infunde por meio de seu computador (mestre) vulnerabilidades ou programas maliciosos em vários computadores (zumbis), fazendo com que contra a vontade ou mesmo sem que os usuários afetados percebam, acessem simultaneamente ou sequencialmente o serviço que pretende ser travado. Disponível em : http://www.mpsp.mp.br/portal/page/portal/cao_criminal/notas_tecnicas/NOVA%20LEI%20DE%20CRIMES%20CIBERN%C3%89TICOS%20ENTRA%20EM%20VIGOR.pdf

(4) Http://www.mpsp.mp.br/portal/page/portal/cao_criminal/notas_tecnicas/NOVA%20LEI%20DE%20CRIMES%20CIBERN%C3%89TICOS%20ENTRA%20EM%20VIGOR.pdf

(5) https://valor.globo.com/legislacao/noticia/2020/11/09/brasil-conta-com-poucas-armas-legais-para-combater-ataques-de-hackers.ghtml

(6) https://valor.globo.com/legislacao/noticia/2020/11/09/lgpd-pode-ser-usada-contra-o-stj.ghtml

(7) http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Deixe uma resposta