Muito se tem falado nos últimos dias sobre os temas da proteção de dados pessoais e da cibersegurança, fruto do recente ataque informático sofrido pelo Grupo Impresa e que se estendeu aos websites e redes sociais das várias marcas que compõem o referido Grupo.

Este ataque informático – mais um, numa tendência que é claramente crescente nos últimos anos –, com impactos económicos e reputacionais, fez-se também refletir em termos sociais, voltando a trazer à discussão temas como a vulnerabilidade de sistemas informáticos e a segurança dos dados pessoais e demais informações confidenciais, constituindo um passo num despertar progressivo da importância destas matérias.

Incidentes de segurança como estes demonstram a premência da necessidade constante das organizações olharem para dentro de forma crítica, analisando em detalhe os meios de que dispõem e os investimentos que fazem em equipas robustas de sistemas de informação em especial de cibersegurança, bem como, a necessidade de se munirem de equipas especializadas e implementarem procedimentos adequados em matéria de proteção de dados.

Estas equipas deverão estar aptas a assegurar a defesa constante dos seus sistemas, redes, aplicações, e demais suportes digitais, através da adoção de processos e procedimentos adequados e robustos, assim como, deverão ser capazes de assegurar mecanismos de resposta eficazes que contenham e mitiguem os riscos e danos que resultam deste tipo de ataques.

PUB • CONTINUE A LER A SEGUIR

Face à evolução da engenharia social e dos conhecimentos técnicos sobre falhas e vulnerabilidades dos sistemas por parte dos hackers que se dedicam a este tipo de atividade criminosa (sem esquecer o risco de incidentes não intencionais), é tempo de as organizações despertarem com urgência para as presentes problemáticas, como forma de evitar danos que podem comprometer direitos e liberdades de titulares de dados e que as podem abalar económica e reputacionalmente.

Quando devo começar a pensar em incidentes de segurança?

A possibilidade de um incidente de segurança deve ser uma preocupação constante. Conforme já se disse, no mundo atual nenhuma organização é imune a incidentes de segurança. No entanto, há uma ideia que deve ficar clara: só uma organização que aposte em prevenção está preparada para enfrentar as dificuldades trazidas por estas situações.

Sofrer um incidente não é ilegal. O que pode violar a lei é a falta de medidas no pré-incidente ou a gestão desadequada no pós-incidente.

Uma organização que, a título de exemplo, mantenha nas suas bases de dados registos de passwords ou outra informação sensível, sem proteção (em particular sem hashing) ou que não dê formação aos seus colaboradores para que sejam capazes de detetar e evitar situações suspeitas está a colocar-se numa situação de elevadíssimo risco. Não se pode esquecer que, para além das sanções jurídicas, é preciso considerar o dano reputacional. A confiança leva anos a conquistar e momentos a perder.

Ocorreu um incidente de segurança! E agora?

O day after vai depender do que tiver sido implementado a nível de prevenção. A deteção de um incidente de segurança nunca é um momento agradável para uma organização, mas pode variar entre: a) o seguimento ordeiro de um conjunto de passos para gerir as consequências comerciais e legais do incidente; ou b) uma situação de simples caos.

Mesmo na melhor das hipóteses, o cumprimento dos requisitos jurídicos será sempre uma tarefa complexa que implica grande coordenação interna.

Por exemplo, ao abrigo do Regulamento Geral sobre a Proteção de Dados, a organização terá de comunicar à autoridade de controlo (em Portugal, a Comissão Nacional de Proteção de Dados), qualquer incidente que afete dados pessoais e seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. O prazo para que ocorra esta notificação só superficialmente pode ser lido como sendo de 72 horas. Na verdade, o que a lei diz é que a notificação deve ocorrer “sem demora injustificada e, sempre que possível, até 72 horas após [a organização] ter tido conhecimento da mesma”, podendo e devendo nos casos mais complexos, ser feita de forma faseada. Ou seja, em certos casos particularmente simples o “sem demora injustificada” pode implicar um prazo mais curto. O cenário oposto também é possível, uma vez que nem sempre será possível rapidamente definir a existência de um incidente de segurança com certeza ou calcular o seu risco, mesmo com os melhores esforços da organização. Da interpretação de conceitos potencialmente complexos pode carecer também a potencial notificação ao Centro Nacional de Cibersegurança de acordo com o Regime Jurídico da Segurança do Ciberespaço (e Decreto-Lei que o regulamenta).

Cumulativamente poderá colocar-se uma obrigação de informar as próprias pessoas visadas do incidente. Na verdade, mesmo que não seja obrigatório por lei, pode haver boas razões para o fazer na mesma. O impacto reputacional e a especulação à volta de um incidente que foi comunicado de forma clara tenderá a ser muito menor.

Dependendo do tipo de organização e do sector de negócio, outras obrigações de notificação e informação podem existir, por exemplo, à autoridades de controlo a nível de proteção de dados estrangeiras, à Autoridade Nacional de Comunicações, à Comissão do Mercado de Valores Mobiliários ou ao Banco de Portugal. E, claro, deve sempre ser feita a denúncia do crime junto do Ministério Público.

Assim, perante os riscos que podem advir de um incidente e a carga burocrática e esforço a nível de recursos necessário para cumprir os procedimentos legais, parece-nos que a resposta à pergunta que deu o mote a este artigo é um redondo “sim”. É que o investimento em cibersegurança e proteção de dados, se não evitar os incidentes, pelo menos fará com que se tornem uma experiência muito menos dolorosa.