A principal recomendação é buscar assessoria jurídica se sua empresa sofreu um incidente cibernético de grande impacto, que envolva dados pessoais identificáveis ou se for classificada como infraestrutura crítica.
As equipes de cibersegurança são a linha de frente na defesa contra ataques cibernéticos e na proteção dos ativos corporativos. Ao mesmo tempo, elas também são responsáveis por lidar com os reguladores e evitar multas. No Reino Unido, por exemplo, pode ser necessário notificar um vazamento de segurança ao Escritório do Comissário de Informações (ICO), onde há diferentes opções para relatar um incidente:
- Infração de dados pessoais conforme o GDPR do Reino Unido (DPA 2018)
- Violação de um provedor de serviços de confiança (eIDAS)
- Violação da segurança dos serviços de comunicações (PECR)
- Notificação de incidentes por provedores de serviços digitais (NIS)
No caso de uma organização financeira, pode ser necessário também informar o incidente à Autoridade de Conduta Financeira (FCA). Para infraestruturas e serviços críticos, há outras obrigações: por exemplo, operadores de serviços essenciais de transporte devem notificar incidentes ao Departamento de Transportes. O próximo passo é entrar em contato com a seguradora contra riscos cibernéticos para reportar o incidente, sem esquecer a diretoria, os investidores, o banco, os parceiros comerciais, possivelmente os clientes e até sua família, para avisá-los de que provavelmente será um dia longo.
Todas essas normas de divulgação obrigatória devem ser seguidas desde o primeiro dia em que um incidente é identificado, mesmo enquanto ainda está em investigação e a recuperação é a prioridade da empresa. Os exemplos anteriores são de regulamentações do Reino Unido, mas os requisitos de divulgação obrigatória na maioria dos países são igualmente rigorosos. Em alguns países, pode até ser necessário revelar publicamente o incidente, como ao apresentar a notificação de um ciberincidente a uma bolsa de valores, que então publica os detalhes para informar os investidores.
Se você possui uma apólice de seguro contra riscos cibernéticos, os serviços oferecidos no âmbito da apólice podem incluir assessoria jurídica e suporte em apresentações regulatórias. Esse é um serviço que deve ser aproveitado, pois advogados especializados em realizar essas notificações obrigatórias saberão exatamente quais informações são necessárias e o processo correto para realizar a notificação.
Uma apresentação feita no prazo, com as informações corretas, pode ajudar a evitar sanções regulatórias. Caso não tenha uma apólice de seguro, recomendo ter à disposição um advogado especializado em incidentes cibernéticos.
Compreender as obrigações regulatórias deve ser uma parte vital do planejamento de ciberincidentes, que, por sua vez, está inserido em um plano mais amplo de ciberresiliência. Uma tarefa recomendada, e que considero obrigatória, é realizar um exercício de simulação de um ciberincidente. Isso ajuda a identificar quem deve participar e aprimora o processo para lidar com um incidente caso ele ocorra.
Essa preparação deve ser abrangente, indo além de uma simples tarefa dentro do marco de cibersegurança. A análise pós-incidente é fundamental para se preparar para um incidente cibernético. Ao contrário de outros profissionais da área, acredito que um incidente não é uma questão de "se", mas de "quando". Com uma postura sólida, processos bem definidos, soluções adequadas e uma equipe treinada, ainda é possível transformar essa probabilidade em uma questão de "se".
Outro aspecto importante sobre a notificação é a interação com as autoridades policiais. Embora não seja uma exigência, isso pode trazer benefícios significativos. As forças de segurança têm acesso a informações sobre grupos de cibercriminosos e podem oferecer expertise que ajuda na recuperação. Elas podem até saber se há um desencriptador disponível sem custo. Além disso, notificar os incidentes ajuda as autoridades a entender a magnitude do problema, permitindo a alocação adequada de recursos.
É importante lembrar que os adversários podem compreender os requisitos de notificação. No final de 2023, um grupo de ransomware denunciou uma empresa listada em bolsa por se recusar a pagar um resgate e não comunicar obrigatoriamente uma violação à SEC dos EUA. Essa utilização de uma revelação obrigatória representa mais uma pressão exercida pelos criminosos para forçar a empresa a pagar o resgate.
Em suma, a divulgação de qualquer ciberincidente é benéfica para a organização afetada, ajudando a evitar multas e sanções, além de garantir apoio de órgãos reguladores. As seguradoras cibernéticas são essenciais nesse processo, não apenas por sua contribuição financeira, mas também por assegurar que as notificações sejam feitas às partes corretas, facilitando a conformidade e minimizando os danos potenciais.