Na última semana, os portais de notícias identificaram um vazamento de dados e informações confidenciais em volume surpreendente de mais de 200 mil arquivos, totalizando aproximadamente 630 GB exposto na dark web. Dentre as informações, foram expostos segredos comerciais de grandes empresas, como especificações de determinados modelos de iPhone, da marca Apple, bem como desenhos do veículo Model Y, da empresa Tesla, por exemplo.
Supostamente, os dados foram obtidos através de um ataque ransomware à empresa indiana Tata Electronics, fornecedora das marcas afetadas. O grupo criminoso responsável, identificado como World Leaks, informa que obteve acesso aos arquivos confidenciais através de uma falha de segurança na infraestrutura da empresa invadida, tendo exigido valor de resgate para liberação e não divulgação dos documentos, a qual não foi respondida a tempo pela empresa.
O presente ocorrido expõe primeiramente um risco que merece especial atenção: a empresa atacada não era a proprietária final de todas as informações comprometidas. Grande parte dos documentos expostos pertencia a clientes e parceiros comerciais que confiavam à fornecedora informações estratégicas relacionadas ao desenvolvimento de produtos, processos e operações. Em outras palavras, Apple e Tesla passaram a sofrer os efeitos de uma falha de segurança ocorrida em um terceiro integrante de sua cadeia produtiva.
Embora o caso envolva empresas globais e altamente sofisticadas, a realidade observada não é exclusiva de grandes corporações. Empresas de médio e pequeno porte frequentemente compartilham informações estratégicas com escritórios de contabilidade, fornecedores de tecnologia, operadores logísticos, consultorias, prestadores de serviços terceirizados e diversos outros parceiros que, em maior ou menor grau, possuem acesso a dados sensíveis ou informações confidenciais de suas operações.
Muitas organizações ainda concentram seus esforços de segurança apenas em sua própria infraestrutura tecnológica, sem avaliar adequadamente os riscos representados pelos terceiros com os quais se relacionam. Processos de due diligence, avaliações periódicas de segurança, cláusulas contratuais específicas sobre proteção de dados e segurança da informação, definição de responsabilidades em caso de incidentes e mecanismos de auditoria são medidas que contribuem para reduzir significativamente a exposição a esse tipo de evento.
Contudo, tão importante quanto prevenir é saber reagir. Outro aspecto crítico observado em incidentes de ransomware é a falta de um plano estruturado de resposta. Não raramente, empresas descobrem durante a própria crise que não possuem procedimentos claros para identificar a extensão dos danos, preservar evidências, comunicar adequadamente clientes e parceiros, avaliar obrigações regulatórias ou tomar decisões relacionadas à continuidade de suas operações.
Nessas situações, o fator tempo assume papel determinante. As primeiras horas após a identificação de um incidente costumam ser decisivas para a contenção dos danos e para a redução dos impactos financeiros, operacionais e reputacionais. Decisões precipitadas, comunicações inadequadas ou a ausência de coordenação entre as áreas técnica, jurídica e de negócios podem ampliar significativamente os prejuízos decorrentes do ataque.
Além dos desafios operacionais, incidentes dessa natureza podem gerar implicações jurídicas relevantes. Dependendo do contexto, pode haver comprometimento de dados pessoais, necessidade de avaliação de comunicações regulatórias, descumprimento de obrigações contratuais, questionamentos de clientes e parceiros comerciais, bem como potenciais impactos relacionados à proteção de informações confidenciais e segredos de negócio. Por essa razão, planos de resposta a incidentes, treinamentos periódicos, protocolos internos e mecanismos de governança adequados passaram a integrar o conjunto de medidas indispensáveis para empresas que desejam atuar de forma resiliente em um ambiente digital cada vez mais complexo.
O caso envolvendo a Tata Electronics demonstra que os impactos de um ataque cibernético podem ultrapassar os limites da empresa diretamente afetada, alcançando clientes, parceiros comerciais e toda a cadeia de valor. Mais do que uma questão tecnológica, a cibersegurança tornou-se um tema de governança corporativa, gestão de riscos e proteção de ativos estratégicos.
Empresas que investem na gestão de riscos de terceiros e na estruturação de planos de resposta a incidentes, além de reduzirem sua exposição a prejuízos, também fortalecem sua capacidade de enfrentar crises de forma coordenada, eficiente e juridicamente segura. Em um cenário em que a pergunta deixou de ser “se” um incidente ocorrerá e passou a ser “quando” ocorrerá, a preparação se torna um requisito essencial da boa gestão empresarial.
Fonte: https://bpmoney.com.br/inovacao/tecnologia/tata-electronics-ataque-hacker-expoe-dados-apple-tesla/
Por João Antonio Arantes
Advogado do Direito Digital e Compliance da Lopes & Castelo Sociedade de Advogados
