CloudNordic era um provedor de serviços em nuvem dinamarquês que operava desde 2014, oferecendo infraestrutura como serviço (IaaS) para empresas europeias. Em agosto de 2023, a empresa foi vítima de um ataque ransomware que comprometeu completamente seus sistemas, incluindo backups. O incidente resultou na perda total de dados dos clientes e levou a CloudNordic a encerrar suas operações poucas semanas depois.
O ataque utilizou técnicas avançadas para criptografar não apenas os servidores principais, mas também as cópias de segurança, tornando impossível a restauração. A empresa informou que todos os dados foram perdidos e recomendou que os clientes contatassem as autoridades. O caso gerou comoção na comunidade de tecnologia e acendeu alertas sobre a dependência de backups conectados à mesma rede dos sistemas produtivos.
Para o Brasil, a história da CloudNordic é particularmente relevante no contexto da LGPD (Lei Geral de Proteção de Dados). A lei determina que controladores e operadores de dados pessoais adotem medidas de segurança adequadas. Um incidente como o da CloudNordic poderia resultar em multas significativas da ANPD, além de ações judiciais por danos morais e materiais. Empresas brasileiras que terceirizam armazenamento em nuvem devem exigir garantias contratuais de backup offline, replicação geográfica e planos de continuidade de negócios.
Principais ensinamentos do caso CloudNordic:
O caso também levanta questões sobre a responsabilidade civil dos provedores de nuvem. No Brasil, o Marco Civil da Internet e a LGPD preveem a responsabilização solidária em casos de vazamento ou perda de dados. Portanto, é fundamental que provedores invistam em segurança desde a concepção do serviço (security by design) e mantenham planos de resposta a incidentes bem definidos.
Em resumo, a queda da CloudNordic serve como um estudo de caso para profissionais de segurança da informação. A prevenção contra ransomware deve ser prioridade em qualquer organização que utilize infraestrutura em nuvem. Acompanhe no 13SEC NEWS as últimas notícias sobre segurança em nuvem, LGPD e proteção de dados.