No início de novembro de 2020, o Superior Tribunal de Justiça (STJ) ficou alguns dias com seu sistema fora do ar, em decorrência de um ataque cibernético que bloqueou processos e e-mails da corte.
Com isso, o site do tribunal passou a exibir em sua página apenas comunicados sobre o ataque. Segundo o próprio STJ, o ataque hacker criptografou os dados em comportamento compatível com ransomware, um software malicioso que “sequestra” o sistema invadido.
Como consequência, todas as sessões de julgamento e prazos processuais do Tribunal foram suspensos e o órgão passou a funcionar somente em regime de plantão por alguns dias.
O STJ, como órgão público, submete-se à LGPD, devendo cumprir (assim como qualquer outra empresa ou órgão público que realize o tratamento de dados pessoais) seus elementos normativos, prezando pela privacidade e segurança da informação.
O ocorrido já é tido como o principal e maior caso de ataque cibernético a uma instituição brasileira e, principalmente pela proximidade com a data da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), os desdobramentos do caso certamente ainda serão muito discutidos, uma vez que uma série de questões ainda carecem de respostas.
Mas já fica um primeiro alerta para os agentes de tratamento de dados (empresas que realizem o tratamento de dados, como controladoras e/ou operadoras), perceberem que o tema merece atenção. Até mesmo pois, se o Superior Tribunal de Justiça do país sofreu um ataque desta magnitude, atingindo processos e, consequentemente, dados de milhares de pessoas, será que as cautelas e medidas de segurança (bem como os atos de mitigação de danos) tomadas por parte do STJ eram as ideais?
E a sua empresa, está adequada à LGPD?
Para realizar uma avaliação e/ou consultoria completa, entre em contato conosco.