A Impresa foi alvo de um ataque informático a 2 de janeiro. Os sites do grupo encontram-se ainda indisponíveis. Mas a empresa não revela o que foi acedido.
Contactada pelo Observador fonte oficial não revela se houve acesso por parte dos atacantes a dados pessoais de assinantes ou trabalhadores, nomeadamente contactos ou dados bancários, não acrescentando “mais nada face ao último comunicado”.
No último comunicado, com três parágrafos, a Impresa assumia ter sido vítima de um ataque informático, que atingiu nomeadamente os sites do Expresso e da SIC — sabendo-se já ter atingido outros sites, como o Olhares, o Mirante e a revista Energise. Para a Impresa trata-se de “um atentado nunca visto à liberdade de imprensa em Portugal na era digital”, assumindo estar a trabalhar “com as autoridades competentes, nomeadamente com a Polícia Judiciária e com o Centro Nacional de Cibersegurança”. E anunciou nesse mesmo comunicado que irá apresentar uma queixa-crime e que os seus jornalistas continuam a noticiar através das redes sociais.
Mais não revelou. E os sites continuam em baixo. Esta segunda-feira os assinantes da Opto, plataforma de streaming do grupo, receberam uma SMS dos hackers, não sendo, assim, conhecido o nível de informação a que os atacantes tiveram acesso.
Subscritores da plataforma Opto, da SIC, receberam SMS no telemóvel enviada por hackers
Caso tenha havido violação de dados pessoais, a Impresa tem 72 horas para comunicar à Comissão Nacional de Dados Pessoais (CNPD). E, segundo disse ao Observador o secretariado-geral desta entidade, “informa-se que até ao momento não foi notificado”, lembrando que, nos termos do RGPD (Regulamento Geral sobre Proteção de Dados), “o prazo é de 72 horas após o conhecimento do incidente”.
Após essa notificação, “a CNPD analisará a bondade das medidas entretanto adotadas e a eventual necessidade de outras medidas”.
Falta apurar quando termina essa prazo. Nas orientações sobre a notificação de uma violação de dados pessoais ao abrigo do RGPD é mesmo realçada essa dúvida.
“O RGPD exige que, em caso de violação, o responsável pelo tratamento notifique a violação sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma. Isto pode levantar a questão de saber quando é que se pode considerar que um responsável pelo tratamento teve ‘conhecimento’ da violação”. O grupo de trabalho que esteve a estudar esta questão “considera que se deve considerar que um responsável pelo tratamento tem ‘conhecimento’ quando tem um grau razoável de certeza de que ocorreu um incidente de segurança que afetou dados pessoais”. Ou seja, depende da Impresa.
Acrescenta-se ainda nesse documento que “as circunstâncias de uma violação irão ditar as condições exatas em que se pode considerar que um responsável pelo tratamento tem ‘conhecimento’ dessa violação. Nalguns casos, será relativamente claro desde o início se ocorreu uma violação, ao passo que noutros poderá ser necessário algum tempo para apurar se foram afetados dados pessoais. No entanto, a ênfase deve estar na ação imediata para investigar um incidente, a fim de determinar se os dados pessoais foram de facto violados e, em caso afirmativo, tomar medidas de reparação e notificar, se necessário”.
Não havendo informação oficial da Impresa sobre quanto tomou conhecimento, certo é que foi público a 2 de janeiro de manhã que os sites tinham ido abaixo. Mas é preciso mais do que isso. É preciso que haja conhecimento de que houve violação de dados, para a notificação da CNPD.
O grupo Impresa está desde domingo sem os seus sites operacionais, depois de um ataque reivindicado pelo grupo autodenominado Lapsus$ e que esteve envolvido em dezembro em várias violações de sites brasileiros, em particular ligados ao Ministério da Saúde.
Sites do jornal Expresso e da SIC hackeados com pedidos de resgate pelos piratas informáticos
(notícia atualizada com as orientações da CNPD para a notificação)