De acordo com o relatório global State of the Phish, da Proofpoint, 91% das organizações brasileiras infectadas por ransomware pagaram resgate em 2022 e muitas (29%) o fizeram mais de uma vez. Dentre as empresas consultadas, 92% contavam com uma apólice de seguro cibernético para ataques dessa natureza e a maioria das seguradoras estava disposta a pagar o resgate parcial ou integralmente (93%), 11 pontos percentuais acima da média global.
Diante dessa realidade, um projeto de lei do senador Carlos Viana (Podemos) tem como objetivo tipificar os crimes de bloqueio de dados e ransomware no Código Penal Brasileiro. A proposta apresentada no PL 879/2022 indica pena de três a seis anos de prisão, além de multa, para os cibercriminosos que invadirem dispositivos e redes para bloquear arquivos. A punição aumenta para até oito anos de reclusão caso seja cobrado resgate para devolução das informações.
Em entrevista concedida à Security Report, Carlos Viana, Senador do Partido Podemos, comenta que a ideia surgiu diante da quantidade de casos reportados em todo o país de empresas que tiveram os sistemas invadidos e informações bloqueadas por grupos especializados nesse tipo de crime. Ele reforça que, apesar da rapidez e forma como o crime é praticado no ciberespaço, é preciso que haja na legislação brasileira uma regulamentação para a punição desses casos específicos.
“Conversamos com a Justiça Federal, com especialistas do setor e percebemos que a legislação não foi atualizada para a questão cibernética e isso é um problema”, pontua Viana. Em sua avaliação, os criminosos se sentem mais à vontade quando não há uma lei que defina claramente as punições para esse tipo de ocorrência. Ele acredita que a legislação pode até não inibir como totalidade, mas que a lei dará condição de punição aos cibercriminosos.
“Uma empresa que tem os arquivos roubados pode ficar à mercê dessas ações maliciosas, inclusive, corre o risco de fechar as portas se não negociar com os criminosos. Sem uma lei específica, o cibercrime se sente motivado a agir”, comenta o senador.
Na visão do Emerson Wendt, Delegado da Polícia Civil do Rio Grande do Sul, o projeto é importante, uma vez que existem GAPs legislativos, ou seja, a tipificação atual possível de enquadramento para crimes ligados ao ransomware é o mesmo delito de invasão de dispositivo informático nos termos do art. 154-A do Código Penal. Segundo ele, uma lei aprovada e sancionada irá suprir uma lacuna que hoje pode gerar dúvida, especialmente quando há solicitação de resgate.
“O problema do ransomware é mundial. É claro que uma legislação penal no Brasil contingência a questão da possível punição dos autores, porém não resolve a questão tecnológica, com cultura de prevenção e reação ao malware em questão”, diz. Na visão do delegado, outro ponto importante é expandir o debate a fim de englobar ações coordenadas entre áreas policiais e judiciais não só no Brasil, mas em outros países.
O Delegado ainda acredita que o simbolismo de uma norma penal é esperar que haja uma punição adequada para os casos de ataques com ransomware e, assim, um cenário jurídico desfavorável ao criminoso. Em relação às dificuldades enfrentadas pelas organizações para combater essa ameaça, Wendt reforça que não envolve apenas questões da tecnologia com criptografia e a metodologia do ataque, mas também a forma de interação criminosa quanto ao resgate.
“As instituições de segurança e de tecnologia ainda não sabem lidar adequadamente com a investigação criminal quando envolvem criptoativos. Mas, diga-se, neste caso, depende-se em regra de uma interação internacional, o que é dificultado pela necessidade protocolar de uma cooperação internacional”, completa.
O Senador Viana enxerga que as empresas brasileiras ainda estão distantes das correntes e similares internacionais que há muito tempo desenvolvem programas de Segurança nessa área. Para ele, a maioria dos empresários com quem conversou, inclusive com advogados de empresas vítimas e que tiveram os dados sequestrados, relataram com clareza que não tinham conhecimento da possibilidade de perderem suas informações. “Portanto, há pouca informação e o investimento em Segurança é um ponto essencial em meio a esse processo de amadurecimento e combate aos criminosos em nosso País”, enfatiza.
Aprovação no senado e melhores prática
Carlos Viana explica que o projeto precisa ser aprovado no Senado e posteriormente pela Câmara dos Deputados. Para ele, assim como qualquer legislação, pode haver futuras alterações, mudanças e modernizações. “Se a medida ao longo do tempo se mostrar inferior ao tipo de crime, nós podemos alterar e aumentar as condenações. Futuramente, as sentenças poderão sofrer alterações, é algo que pode ser modificado conforme o crime vai se tornando mais agressivo para as organizações”, destaca.
Wendt ainda pontua que percebe um crescente interesse das polícias e dos Ministérios Públicos quanto ao tema da investigação dos casos de ransomware, especialmente quando envolvem criptoativos. Por outro lado, ele acrescenta, que a dificuldade fica na utilização de sistemas que auxiliem na desanonimização da ação criminosa, não só por serem caros, mas mesmo os gratuitos, não são conhecidos da maioria dos investigadores.
Como melhores práticas, o delegado do RS acredita na prevenção e realização dos backups de maneira automatizada e segura. “A implantação de frameworks de Segurança Cibernética nas empresas auxilia nos processos de prevenção, detecção e reação adequada aos casos de ataques com ransomware. Então, investir em qualificação e estruturação da SI me parece o mais adequado na atualidade”.