No dia 08 de outubro de 2022, a rede televisiva “RecordTV” foi surpreendida com ataque hacker que tirou o programa ao vivo “Fala Brasil” do ar. Após algumas horas, foi constatado que os danos haviam sido muito maiores que o imaginado, tendo sido sequestrados todo o acervo de reportagens, memória, quadros da Record TV e informações internas da Record, sendo possível até mesmo que tenham sido atingidos as informações financeiras da emissora, relatórios, declarações bancárias e e-mails confidenciais.
Segundo informações publicadas pelo site Tecmundo, a Record TV teria sofrido um ataque do tipo ransomware, espécie de ataque virtual no qual um computador ou servidor tem seus dados criptografados, impossibilitando que os usuários acessem seu sistema e arquivos. Na segunda-feira (10), os hackers solicitaram resgate no valor de US$5 milhões para o restabelecimento dos sistemas afetados e para ajudar a emissora com a descriptografia dos arquivos e proteção da sua infraestrutura, resgate esse que deveria ser pago em criptomoedas até o dia 15 de outubro.
A ocorrência de tal ataque pode ter impacto financeiro de proporção considerável, visto que esses dados podem ser vendidos a terceiros, utilizados para práticas fraudulentas que podem afetar drasticamente a reputação da empresa.
Diante do potencial dano, as empresas vêm reforçando sua segurança digital, identificando e mensurando os riscos de segurança e privacidade, a fim de atuar na mitigação, com a utilização dos controles mais indicados. É importante que as organizações tenham suporte de especialistas para agir preventivamente e remediar eventuais incidentes, incluindo o suporte da assessoria jurídica especializada. A inadequada gestão de incidentes pode agravar os danos decorrentes do ataque e, consequentemente, aumentar o risco de sanções administrativas e ações judiciais individuais e coletivas.
Em caso de ocorrência de ataque, é necessário localizar a origem do cibercrime para identificar os impactos causados à empresa e, a depender do caso, acionar o Plano de Recuperação de Desastres. Também pode ser necessário notificar o mercado sobre fato relevante para empresas de capital aberto, além de autoridades regulatórias. Se o incidente afetar dados pessoais, é necessário informar a Autoridade Nacional de Proteção de Dados – ANPD e, se aplicável, também os titulares dos dados pessoais (conforme art. 48 da LGPD); estas medidas devem estar previstas no Plano de Resposta a Incidentes. Portanto, neste contexto, é fundamental que se tenha estabelecido medidas internas e procedimentos para potenciais questionamentos, utilizando como base a LGPD e normativos infralegais, como o Decreto 10.748/2021 (sobre a Rede Nacional de Resposta a Incidentes Cibernéticos).