*Por Jéderson Freitas, Gestor de Segurança da Informação da Service IT
Imagine a seguinte cena: o principal responsável pela blindagem digital de uma organização está sentado no banco dos réus, acusado criminalmente por falhas de segurança. Pode parecer parte do enredo de um filme de ficção, mas não é. Nos últimos anos, o papel do Chief Information Security Officer (CISO) tem passado por mudanças e enfrentado alguns desafios. Agora, ele pode vir acompanhado de risco pessoal, inclusive criminal. O que antes parecia uma realidade distante, atualmente bate à porta dos conselhos de administração e departamentos jurídicos.
A responsabilização criminal de CISOs por incidentes de segurança é um tema relativamente novo e com poucos casos de grande repercussão. Porém, se pegarmos um recorte dos últimos três anos, podemos perceber que, além de ser uma nova tendência, alguns casos trazem aprendizados importantes. Em 2023, a Securities and Exchange Commission (SEC) dos EUA acusou a SolarWinds e seu CISO, Timothy Brown, de fraude e falhas de controles internos relacionadas à riscos e vulnerabilidades cibernéticas conhecidas, que levaram ao notório ataque à cadeia de suprimentos em 2020. A SEC alegou que Brown estava ciente dos riscos, mas não os resolveu ou os escalou adequadamente dentro da empresa, além de fazer declarações enganosas aos investidores.
Embora o caso seja de natureza civil (da SEC) e não criminal, ele levanta sérias questões sobre a responsabilidade dos CISOs perante aos investidores e reguladores em relação à segurança cibernética. Em novembro de 2024, um juiz federal rejeitou as acusações da SEC contra Brown, mas o caso ainda ressalta o crescente escrutínio sobre a conduta dos executivos de segurança.
Outro caso muito conhecido e com implicações criminais diretas foi o do Joseph Sullivan, ex-CISO da Uber. Em 2022, Sullivan foi condenado por obstrução da justiça e ocultação de um crime grave por seu papel em encobrir uma violação de dados massiva que ocorreu em 2016. Ele não reportou o incidente às autoridades regulatórias e tentou pagar a hackers para que o caso permanecesse em sigilo. Em 2023, ele foi sentenciado a três anos de liberdade condicional e multa. O caso estabeleceu um precedente significativo sobre a responsabilidade pessoal de CISOs em lidar com incidentes de segurança. Prova disso foi a Diretiva NIS2 (Network and Information Security Directive) da UE de 2022, que aumentou a responsabilização da alta gestão por não conformidade com regulamentações de segurança cibernética, permitindo sanções pessoais contra executivos considerados incapazes de cumprir suas responsabilidades de segurança. Isso sinaliza uma tendência global de maior responsabilização dos executivos.
Os casos de Sullivan e de Brown geraram um debate significativo e preocupação entre os CISOs sobre a crescente possibilidade de responsabilização pessoal por incidentes de segurança, mesmo quando não há intenção maliciosa direta. No entanto, é importante notar que muitos casos de incidentes de segurança não chegam a um nível de responsabilização criminal individual do CISO, muitas vezes resolvendo-se em multas para a empresa ou outras sanções.
No Brasil, a Lei Geral de Proteção de Dados (LGPD), em seus artigos 42 a 45, prevê a responsabilidade civil do controlador e do operador por danos patrimoniais, morais, individuais ou coletivos causados em violação à lei. O artigo 46 estabelece a obrigação de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O CISO, como principal responsável pela implementação e supervisão dessas medidas, pode ser considerado corresponsável dentro da estrutura da organização, caso a negligência ou a omissão no cumprimento dessas obrigações leve a incidentes de segurança e danos aos titulares dos dados.
CISOs podem estruturar controles de forma a trazer esse risco a patamares mais aceitáveis
Existem aspectos importantes para os executivos de segurança se protegerem de potenciais responsabilizações. O primeiro é estabelecer e manter um programa robusto de segurança cibernética, com políticas e procedimentos de segurança claros e abrangentes, alinhados com as melhores práticas e regulamentações relevantes. Realizar avaliações de risco regulares e priorizar a correção de vulnerabilidades, demonstrando adequado treinamento de segurança e implementando controles técnicos e organizacionais, podem garantir a atualização e manutenção contínua dos sistemas e softwares de segurança, cumprindo o primeiro ponto. O segundo é fomentar uma cultura de segurança organizacional, promovendo a conscientização e o treinamento em segurança para todos os colaboradores. Garantir recursos e autoridade adequados também é crucial. Para isso, é preciso comunicar claramente as necessidades de recursos (financeiros, humanos, tecnológicos), para implementar e manter um programa de segurança eficaz, além de obter autoridade necessária para tomar decisões e implementar controles de proteção.
Outros pontos fundamentais são: manter uma comunicação transparente e eficaz - com um plano de comunicação de incidentes claro, em caso de violação - e buscar aconselhamento jurídico, ou seja, consultar regularmente profissionais especializados em segurança cibernética e privacidade, para entender as obrigações legais e os riscos potenciais.
Para uma condenação criminal, geralmente é necessário provar uma intenção maliciosa ou uma negligência que tenha contribuído para o incidente. Se o CISO agiu de boa-fé, dentro dos limites de seus recursos e autoridade, a responsabilização criminal pode ser mais difícil de sustentar. Embora não impeça uma investigação, um seguro de responsabilidade civil para diretores e executivos (D&O) pode ajudar a cobrir custos legais e potenciais indenizações em casos de alegações de má conduta. Além disso, em casos de ataques cibernéticos altamente sofisticados e sem precedentes, pode ser difícil responsabilizar um CISO, se as defesas implementadas eram consideradas padrão da indústria e o ataque explorou vulnerabilidades desconhecidas ou técnicas avançadas.
A defesa para um CISO é demonstrar proatividade, comunicação transparente e adesão às melhores práticas de segurança, além de garantir que a alta administração esteja ciente dos riscos e apoie as iniciativas de segurança com os recursos necessários. Em um cenário em que falhas cibernéticas já não afetam apenas sistemas, mas reputações e carreiras, é imperativo que CISOs atuem com diligência, governança e documentação robusta. O tempo da “blindagem” não é só digital, é também jurídica e estratégica.
