Escrito por Darlin Fernandes
O avanço acelerado da digitalização dos negócios trouxe consigo diversas facilidades, sem dúvida, mas também expõe as organizações a riscos cibernéticos cada vez mais refinados e graves, comprometendo dados sensíveis, sigilosos e acarretando em sanções que geram inúmeros prejuízos financeiros, danos à reputação corporativa e até a interrupção de operações.
No Brasil, o relatório Cost of a Data Breach 2024 (IBM) estima um custo médio de R$ 6,75 milhões por violação de dados, evidenciando como um incidente pode se converter rapidamente em perdas financeiras — além do impacto reputacional.
É especulado que as empresas brasileiras que operam com contingente de dados em ambiente online recebem, em média, pelo menos duas tentativas de ataques cibernéticos diariamente.
Para evitar sanções e manter uma reputação confiável e segura no mercado, é fundamental implementar soluções de segurança com nível máximo de proteção.
O que são as sanções cibernéticas?
Chamamos de sanções cibernéticas as medidas financeiras e econômicas impostas contra indivíduos e entidades (podendo ser até mesmo países ou estados de uma federação) que estejam comprovadamente envolvidos com atividades maliciosas ou intrusões em negócios de qualquer espécie.
O objetivo das sanções cibernéticas é impedir, punir e modificar o comportamento dos alvos, desincentivando futuras ações cibernéticas hostis.
Quais são os tipos de sanções cibernéticas?
Existem diversos tipos de sanções cibernéticas: as financeiras, as legais, as de reputação/diplomáticas, as de viagem, as sanções comerciais e outras. Os tipos de sanções cibernéticas são amplos e não raramente se sobrepõem, mas a caráter de interesse, diferenciamos abaixo as mais comuns.
Diferença entre sanções financeiras e legais
Sanções Financeiras
As sanções financeiras consistem em ações incisivas, como congelamento de ativos, o tipo mais comum e direto de sanção financeira.
Ela objetiva impedir que entidades, organizações e indivíduos acessem ou movimentem propriedades e fundos sob jurisdição do país que impõe a sanção, incluindo contas bancárias, imóveis, veículos e outros.
Ainda há a proibição de transações financeiras de qualquer cunho com indivíduos e entidades designadas e restrições ao acesso ao mercado financeiro, o que significa impedir que os sancionados obtenham financiamento de instituições globais ou utilizem sistemas de pagamentos internacionais.
Sanções legais
As sanções legais incluem ações baseadas em preceitos jurídicos resultantes de ataques cibernéticos.
Falamos, então, de:
- ações penais como processo criminal sob leis de crimes cibernéticos como roubo, espionagem, sabotagem, fraude e etc, que podem resultar em altas multas e até prisão;
- ações civis como processo a empresas e indivíduos responsáveis por danos financeiros, roubos de dados, interrupção de negócios e todo e qualquer dano causado à vítimas de ataques que tiveram seus dados vazados, roubados ou prejudicados de alguma maneira;
- multas regulatórias aplicadas com base na LGPD e diretrizes estabelecidas em legislações vigentes em empresas que descumpram as medidas obrigatórias de segurança e proteção aos dados e/ou falhem no cumprimento das mesmas;
- perda de licenças e autorizações, como em setores regulados (saúde, financeiro) por falhas na segurança, levando à suspensão ou revogação de licenças operacionais.
Como as sanções cibernéticas afetam a segurança corporativa?
Impactos financeiros: custos diretos e indiretos
Os impactos financeiros podem ser de custos diretos ou indiretos.
Como custos diretos, pode haver a perda de ativos congelados, multas por não conformidade e custos acerca de investigações e auditorias.
Os custos indiretos abrangem dano à reputação e perda de confiança que reflete em perda de negócios e valor de mercado, a interrupção de operações, aumento expressivo nos custos de seguros devido ao alto risco, despesas com compliance e restrições na cadeia de suprimentos forçando a busca por alternativas menos eficientes e/ou mais caras.
Consequências legais: multas e responsabilidades civis
As sanções cibernéticas trazem implicações legais como multas regulatórias que podem chegar a altos valores, responsabilidade criminal, ações civis, impacto na elegibilidade para contratos governamentais e implicações da LGPD conforme a gravidade do descumprimento das diretrizes estabelecidas.
No contexto brasileiro, a LGPD prevê sanções administrativas que incluem multa simples de até 2% do faturamento no Brasil (excluídos tributos), limitada a R$ 50 milhões por infração, o que torna o risco regulatório material para empresas expostas a incidentes.
Setores mais afetados por sanções cibernéticas
Setores de alta exposição
Os setores mais suscetíveis a serem impactados por sanções cibernéticas são aqueles que trabalham com alto risco, como o setor financeiro, com sua grande exposição devido ao fluxo de informações e dinheiro em trânsito, o setor de tecnologia e telecomunicações, por fornecerem infraestrutura e ferramentas que sustentam o ciberespaço podendo causar um efeito cascata, os setores de infraestrutura (água, luz, transporte, saúde) são alvos prioritários em espionagem e sabotagem e diversos outros setores que possuam alta exposição e possam oferecer benefícios com seu prejuízo a cibercriminosos.
Exemplos de empresas que enfrentaram sanções
Diversos grupos de ransomware como o DaskSide, REvil, LockBit e outros foram sancionados por governos como os EUA. Isso significa que é ilegal para empresas e indivíduos pagarem resgates a esses grupos, e as instituições financeiras são proibidas de processar essas transações.
Como exemplo, podem citar que, após o ataque ao Colonial Pipeline (infraestrutura crítica de combustível dos EUA) pelo grupo DarkSide em 2021, o governo dos EUA emitiu sanções e recuperou parte do resgate. O DarkSide e o REvil foram subsequentemente alvo de sanções e operações policiais.
Diversos indivíduos e entidades ligadas à Rússia, Irã e Coreia do Norte foram sancionados por atividades cibernéticas, incluindo ataques a eleições, infraestrutura crítica e roubo de propriedade intelectual. Empresas que fazem negócios com essas entidades ou que as empregam, mesmo que sem conhecimento, podem enfrentar as consequências das sanções.
Estratégias de mitigação para evitar sanções cibernéticas
Implementação de políticas de segurança robustas
É de suma importância implementar políticas de segurança fortes com alto nível em gestão de riscos cibernéticos.
Contar com avaliação contínua de riscos através de auditorias e testes de penetração regulares para identificar vulnerabilidades, investir pesado em inteligência de ameaças e desenvolver IRP (Plano de Resposta a Incidentes) eficaz para minimizar o impacto de ataque são estratégias inteligentes e que seguem as diretrizes estabelecidas para proteção de dados.
Um contingente de defesas técnicas fortalecidas que conte com proteção de Endpoint e rede, segurança de dados, controle rígido de acesso e gerenciamento de vulnerabilidades também faz parte de políticas de mitigação que impedem sanções cibernéticas.
Ainda, é inegociável a conscientização e treinamento de funcionários para que não haja erro humano durante os processos, podendo comprometer as políticas adotadas.
Conformidade com regulamentações como LGPD
A conformidade com a LGPD não é apenas sobre evitar multas regulatórias por vazamento de dados, mas também sobre demonstrar um compromisso sério com a segurança que pode ser um atenuante em caso de incidentes envolvendo grupos sancionados.
Seguindo as diretrizes estabelecidas e integrando políticas de segurança robustas com um forte programa de conformidade legal e regulatória, as empresas não apenas se tornam mais resilientes a ataques cibernéticos, mas também minimizam significativamente o risco de serem afetadas por sanções cibernéticas, protegendo sua reputação, finanças e operações.
Tudo que você precisa quando o assunto é segurança cibernética, a Clavis tem.
