O Superior Tribunal de Justiça (STJ) foi vítima de um ataque hacker na tarde do último dia 3 de novembro. Quando os técnicos da Corte perceberam que havia um vírus em circulação nas redes, havia sessões de julgamento em andamento. A solução foi desconectar todos os links do STJ, o que resultou no cancelamento das sessões, inviabilizou o uso dos sistemas do tribunal e de suas linhas telefônicas e tirou do ar o seu site.
Se é cedo para apontar responsáveis, não é prematuro afirmar que este tipo de ataque está intimamente associado a descuidados graves na segurança da informação. Mais especificamente, acessar indevidamente redes e sistemas e extrair informações só é possível se não houver a aplicação de técnicas elementares como criptografia, por exemplo.
Edward Snowden, analista de sistemas que denunciou o programa de vigilância global da Agência Nacional de Segurança dos Estados Unidos, escreveu para o The Guardian em outubro de 2019 o artigo "Sem criptografia nós perderemos toda privacidade. Este é o nosso novo campo de batalha" (Without encryption, we will lose all privacy. This is our new battleground). Nele, o ex-administrador de sistemas da CIA afirmou categoricamente que se o tráfego da Internet não for criptografado, qualquer criminoso que notar pode roubar uma cópia, registrando secretamente suas informações para sempre. No entanto, a criptografia impede que esse tráfego e suas informações sejam interceptados além daqueles que possuem as chaves de acesso.
Segundo informou o STJ, o ataque hacker fez uso de criptografia para bloquear o acesso aos dados sob sua responsabilidade e que todas os dados estão a salvo graças aos sistemas de backup. Ainda segundo o Tribunal, estão íntegras as informações referentes aos processos judiciais, e-mails, contratos entre outros.
Algumas questões surgem e devem ser respondidas pelo STJ: que tipos de criptografia eram até então utilizados para proteção das redes e sistemas do Tribunal? os dados contidos no ambiente virtual do STJ foram corrompidos? houve cópia dos processos, inclusive daqueles que possam conter segredos de justiça? há monitoramento para detecção de vazamento desses mesmos dados? os hackers exigiram pagamento pelos dados roubados?
A Lei Geral de Proteção de Dados determina a obrigatoriedade de comunicação de eventos dessa natureza à Autoridade Nacional de Proteção de Dados e aos titulares dos dados, já que pode haver risco ou dano às partes interessadas nos processos. A mesma lei estabelece que os responsáveis deverão comprovar a adoção de medidas técnicas adequadas para que os dados pessoais afetados estejam ininteligíveis para terceiros não autorizados a acessá-los. Noutras palavras, a obrigação é de que os dados estejam criptografados.
Estranha coincidência é que pelo menos 80 órgãos do Governo do Distrito Federal foram atacados no mesmo dia e com a mesma técnica denominada Ransomware, quando hackers sequestram importantes bases de dados e depois exigem volumosas quantias de criptomoedas para que as vítimas tenham restituídos os seus dados.
A criptografia não pode mais ser tratada como opção pelos gestores dos setores público e privado. Ela é uma técnica necessária e imprescindível para os tempos que vivemos. Nossas vidas estão cada vez mais virtuais e não é razoável que a segurança das nossas informações não esteja à altura da nossa exposição.
A criptografia não é mais uma opção. A criptografia é uma obrigação.
*Edmar Araujo, presidente executivo da Associação das Autoridades de Registro do Brasil (AARB). MBA em Transformação Digital e Futuro dos Negócios, jornalista, especialista em Leitura e Produção de Textos. Membro titular do Comitê Gestor da ICP-Brasil
Os comentários são exclusivos para assinantes do Estadão.