João Azeredo e Flávia Mortari *
O recente ataque cibernético ao Superior Tribunal de Justiça (STJ) foi destaque na mídia nacional e dominou os debates do mundo jurídico. Temia-se que todo o acervo eletrônico do tribunal, inclusive as cópias de segurança, teria sido encriptado e estaria inacessível. Após mais de uma semana o acesso aos sistemas, até mesmo à plataforma de processo eletrônico, foi restabelecido e até o momento não há notícias de que houve perda de dados dos processos, o que já é um grande alívio diante de um cenário inicial muito preocupante de possível necessidade de reconstituição de milhares de autos eletrônicos.
No entanto, ainda há muito o que ser esclarecido para que se evite que novos ataques afetem tão profundamente a atividade de entidades públicas. Além disso, é preciso apurar se o ataque se limitou à encriptação do acervo ou se essa foi apenas uma distração para ocultar o verdadeiro objetivo: a captura de dados sigilosos.
É evidente que uma investigação dessa natureza demanda algum nível de sigilo e, além disso, todos os esforços iniciais estavam concentrados no restabelecimento do funcionamento do sistema. No entanto, agora que a fase mais crítica foi superada, espera-se que o STJ inicie o processo de divulgação de detalhes concretos do que ocorreu, porque a transparência está muito aquém do desejável, o que dificulta tanto a reação no caso de eventual contato do hacker diretamente com pessoa cujos dados possam ter sido obtidos por meio do acesso ilegal quanto o combate a novos ataques.
Apesar da ausência de detalhes nesse momento, baseado apenas no fato de que o funcionamento do sistema de um tribunal que é vital para a ordem pública do país só foi restabelecido mais de uma semana após o ataque, parece seguro afirmar que houve erros graves no âmbito do STJ que precisam ser revelados para se evitar que outras organizações não os repitam.
Se confirmadas as notícias disponíveis até o momento, o ataque sofrido pelo Superior Tribunal de Justiça, conhecido como crypto ramsonware – vírus que se espalha na rede e encripta o acervo eletrônico para subsequente cobrança de resgate -, não é sofisticado nem novo.
Esses ataques são um fenômeno mundial muito grave, decorrentes da própria evolução tecnológica, e causam crescentes e enormes danos todos os anos a todos os tipos de organizações e pessoas. Como ocorre com a maioria dos problemas complexos, não há solução simples e nos parece que essas situações devem ser enfrentadas em diferentes frentes de atuação.
Primeiramente, é preciso garantir que a estrutura e processos de segurança internos estejam adequados. Todas organizações estão sujeitas a ataques, mas com estrutura e processos de segurança efetivos, mesmo nos casos em que o sistema é infectado, é possível limitar os efeitos, restabelecer o funcionamento rapidamente e mitigar os danos.
A outra frente de atuação é a repressão aos ataques e aqui discordamos em parte de algumas opiniões veiculadas recentemente sobre a necessidade de atualização da legislação penal que trata desse tema. Não nos parece que o problema é a falta de lei, mas sim a aplicação efetiva da norma. É verdade que a lei brasileira não é das mais sofisticadas quando o assunto são crimes cibernéticos, mas não é esse o motivo pelo qual esse tipo de ataque se prolifera, nem seria um impeditivo para se responsabilizar os responsáveis pela invasão do sistema do STJ, caso sejam eles identificados.
Os tipos penais de invasão de dispositivo informático (artigo 154-A, do Código Penal) e de interrupção ou perturbação de serviço informático/telemático (artigo 266, do Código Penal) são exemplos de condutas que se amoldam aos fatos do caso divulgados até o momento. Não nos parece razoável, também, que uma pessoa tenha orquestrado e efetuado sozinha esse ataque, e nem mesmo que a obtenção dos dados não será utilizada, posteriormente, para fins diversos e ilícitos. Acrescentaríamos à situação com facilidade, portanto, os delitos de associação criminosa e extorsão (artigos 288 e 158, do Código Penal) – para além de muitos outros que os dados obtidos podem dar vazão.
O problema aqui não é de falta de lei adequada – no Brasil raramente o problema é falta de leis -, o desafio é identificar os autores desses ilícitos, o que depende de força policial e Ministério Público preparados para esse tipo de desafio.
Mais do que investir recursos na criação de novas leis ou criticar as existentes, é preciso apostar no treinamento e aperfeiçoamento de equipes dedicadas ao enfrentamento de crimes cibernéticos. Infelizmente, a realidade atual dessas equipes nas diferentes instituições é de grupos esforçados, mas em evidente desvantagem. Insiste-se em técnicas de investigação que se focam no requerimento de informações e confrontos com provedores de serviço de internet, em prejuízo de abordagem mais ampla, com uso de diferentes instrumentos de investigação, tal qual a cooperação internacional, imprescindível para combate desse tipo de delito.
É comum ouvir-se críticas de integrantes desses grupos que os provedores de serviços de internet não cooperam com as investigações, mas causa muita preocupação que as forças de prevenção e repressão sejam tão dependentes da ajuda de empresas para desenvolver aquilo que deveriam ser suas próprias atividades. É importante que essa crise não seja em vão e que as lições aplicáveis sejam aprendidas para se evitar um desastre ainda mais grave no futuro.
É preciso melhorar a governança de segurança, dar mais transparência na comunicação ao público nos casos em que houver eventos como o que presenciamos recentemente e melhorar a qualidade e eficiência na investigação para identificação e responsabilização dos autores desses atos. A falta de preparo para lidar com a situação e a impunidade, afinal, são convites ao crime.
- João Azeredo e Flávia Mortari, do Moraes Pitombo Advogados, o maior escritório de Direito Penal do Brasil.
Discussion about this post