Ransomware: Das consequências legais à necessidade de colaboração para lutar contra as ameaças

Os especialistas em cibersegurança têm vindo a alertar para a evolução dos ataques de ransomware, que se se estão a tornar mais frequentes, mais bem sucedidos e mais caros para as vítimas. Que questões é que este tipo de ataque traz de um ponto de vista jurídico e que consequências que podem surgir do ponto de vista legal? A temática estive em destaque na Conferência-debate “Cibersegurança: Capacidades de Defesa a Ataques Cibernéticos”, organizada pela Polícia Judiciária e pela 7Key Consulting.

Como explica Cláudia Pina, juíza de instrução criminal, em Portugal, o quadro legal "para enquadrar esta situação está um pouco disperso”, indicando que consta da Lei do Cibercrime, da Lei 58-2019, que adaptou o Regulamento Geral de Proteção de Dados à lei portuguesa, assim como do próprio RGPD.

Olhando para as tendências que marcam o panorama mais internacional, a Juíza realça que os cibercriminosos por trás deste tipo de ataques têm motivações e interesses, sobretudo financeiras, e trabalham de forma estruturada, tal como uma organização. "São estruturas orientadas para o lucro", realça. Por sua vez, estes grupos vendem os seus produtos e serviços a outros cibercriminosos, sob determinadas regras, num modelo de Ransomware-as-a-service.

A vasta maioria das vítimas só se apercebe que está a ser atacada quando já é tarde de mais. Na altura em que notam que foram alvo de um ataque, os cibercriminosos já estavam a navegar pelo sistema informático há meses, a recolher dados e a procurar fragilidades que possam ser aproveitadas em ataques subsequentes.

Neste contexto há também que considerar o elemento humano, visto como uma das grandes fragilidades das quais os cibercriminosos se aproveitam, através de esquemas de engenharia social, para se infiltrarem nos sistemas das organizações.

“Não podemos pensar num ataque [de ransomware] como um momento fixo no tempo, mas sim como um antes, que pode ter meses, e como um depois, que pode ter consequências, mesmo quando se conseguiu voltar a pôr o sistema online e eliminar a encriptação”, sublinha Cláudia Pina.

Que desafios trazem os ataques? 

A juíza de instrução criminal destaca três casos específicos de ataques que levantam um conjunto de questões relevantes, chamando a atenção para os outros tipos de consequências que podem surgir do ponto de vista legal.

Em setembro de 2020, uma mulher morreu no Hospital Universitário de Düsseldorf, na Alemanha, na sequência de um ataque de ransomware. "Será que não há mais do que cibercrime por trás disto?", questiona Cláudia Pina. Quando há este tipo de ataques, com danos sérios a pessoas ou infraestruturas, é necessário ponderar se os hackers podem ser só responsabilizados pelo cibercrime, ou por homicídio ou terrorismo.

“Há muitos desafios em lidar este tipo de ataques”, sobretudo no que toca a conciliar os interesses das investigações com os das vítimas. Cláudia Pina realça que a colaboração com as autoridades é uma “proteção futura” para as vítimas, para a sua comunidade e para indústria onde se inserem.

Criar um clima de confiança e saber gerir os interesses deve ser uma prioridade para as autoridades policiais e judiciais. Olhando para as organizações em específico, muitas sentem que é “vergonhoso” admitir que foram atacadas, porque pode ter consequências negativas na sua reputação.

Ransomware afetou 66% das organizações em 2021. Valor dos resgates continua a escalar

Ver artigo

Neste contexto, as plataformas de denúncia, a colaboração a nível transnacional e o diálogo com o setor privado são também essenciais, em particular em países como Portugal onde é muito difícil “identificar os autores dos crimes e obter a sua responsabilização criminal”, afirma a juíza de instrução criminal.

O NotPetya é outro dos casos emblemáticos no mundo do cibersegurança, em particular, pela sua dupla natureza, afirmando-se tanto como como um crime como ato de guerra cibernética. “É difícil discernir o que é o ataque de um Estado de um ataque de uma coletiva que simplesmente é patriota”.

A justiça penal tem, apesar de tudo, um papel nestes contextos, podendo agir contra os cidadãos individuais que praticaram cibercrimes, bem como no apoio às vítimas, na recuperação de ativos, no caso de eventuais resgates que foram pagos.

O caso do STUXNET, visto como a primeira arma digital capaz de infetar com malware um sistema isolado de uma central nuclear no irão, e do seu legado, assume também relevância atualmente. O STUXNET foi o primeiro do seu género, mas este tipo de malware evoluiu e outros com a mesma finalidade continuam ativos e ter como alvo infraestruturas críticas. "Há que pensar fora da caixa", defende Cláudia Pina e há todo um caminho a trilhar por entre “notórias dificuldades”.

“Há que pensar que o cibercrime pode ter uma conexão com danos físicos”, tanto em pessoas como em infraestruturas críticas. “Há que continuar este diálogo público-privado e criar regras para essa interligação”, enfatiza, relembrando ainda a importância da formação especializada.

As autoridades policiais e jurídicas precisam de ter um “conhecimento do quadro legal de como enquadrar determinados atos”. No entanto, a “justiça não pode resolver isto sozinha” e “há um papel para a educação, para a diplomacia e há um papel para a defesa”: todas áreas que precisam de colaborar entre si para lidar com as novas ameaças do mundo digital.