Perda e furto de dispositivos móveis - Notícia

Perda e furto de dispositivos móveis - Notícia

Complementando o último post acerca da perda de dispositivos móveis, trago mais uma notícia de um fato ocorrido no dia 20 de Fevereiro desse ano.
Foi roubado um notebook, na cidade de Nova York, contendo os registros de aproximadamente 171.000 doadores de sangue. A lista era composta apenas por Irlandeses. Como as informações estavam criptografadas, a reportagem salienta que há uma "remota" chance de que venham a ser acessados.
Como forma de mitigar as conseqüências jurídicas do incidente, o Irish Blood Transfusion Service já colocou um 0800 à disposição dos atingidos. No entanto tal incidente representaria um potencial risco jurídico, uma vez que o mau uso desses dados por terceiros, em tese, pode fazer com que órgão venha a ser responsabilizado pela falha na guarda das informações. Digo representaria, uma vez que o fato dos dados estarem criptografados anula praticamente a chance do acesso por terceiros.
Como foi dito no último artigo, os danos financeiros podem ser imensos. Vejam que nesse caso o órgão já começou a disponibilizar uma estrutura de atendimento aos interessados, o que representa custo.
A íntegra da notícia pode ser lida aqui. A fonte é o jornal The Irish Times.

Perda e furto de dispositivos móveis

Perda e furto de dispositivos móveis

Achei interessante fazer mais algumas considerações sobre este assunto, aproveitando ainda os recentes acontecimentos dessa natureza ocorridos com a Petrobras.

A dependência cada vez mais crescente que as organizações têm da informação digitalizada é inegável. Segredos industriais, planos de negócios, dados financeiros, folhas de pagamento, projetos estratégicos, e-mails corporativos, enfim: praticamente todas as informações necessárias para o funcionamento de uma organização estão armazenados digitalmente. A perda de tais informações pode acarretar perdas econômicas imensas para a empresa.

Não é raro, no entanto, os responsáveis pela TI negligenciarem os cuidados ao armazenamento e transporte de tais dados. E isso ocorre mesmo em face dessa dependência total da informação digitalizada. É muito comum funcionários transitarem portando notebooks recheados de informações estratégicas e confidenciais. As boas práticas de Segurança da Informação aconselham que dispositivos móveis (notebooks, pda's, drives móveis, etc) estejam com seus dados criptografados. Isso faz com que na eventualidade da perda ou roubo dos dispositivos, não haja a possibilidade de haver a leitura dos dados nele armazenados. Caso isso ocorra, a perda se dá apenas no valor do hardware perdido ou furtado. Estes, ao contrário das informações, em geral tem baixo valor para a organização e podem ser facilmente repostos. Uma informação estratégica perdida, como já se disse, pode representar uma perda monetária imensurável.

O que se disse até agora não é novidade para a maioria das empresas. Qualquer análise de risco identifica o potencial risco de carregar informações sensíveis em dispositivos móveis sem contar com procedimentos de criptografia. Com isso pergunta-se: Por que ainda ocorrem incidentes envolvendo perda de informações em dispositivos móveis? Por que as empresas insistem aceitar um risco que pode ser facilmente evitável?

A primeira resposta diz respeito à resistência dos donos da informação de seguirem as regras de proteção estabelecidas nas políticas (quando elas existem). Muitas empresas possuem, em suas políticas as determinações acerca de criptografia de dados mas, no entanto, os envolvidos não compreendem o alcance e importância da norma. Com isso o maior problema é realmente a falha e o erro humano.

Outra resposta, por mais simplória que possa parecer, é que em geral vige nas organizações a idéia de que incidentes ocorrem apenas com os outros. E isso ocorre em todo o mundo, não apenas aqui no Brasil. No dia 14 de Fevereiro, em um hospital da Inglaterra, foi roubado um notebook contendo dados médicos de mais de 5000 pacientes. A perda para o hospital é imensurável! Além do dano à imagem, que pode ser medido pela perda de clientes e de credibilidade, há o risco de processos envolvendo a divulgação indevida dos dados perdidos além é claro do risco de desrespeito à legislação local sobre segurança de dados. Em geral, em tais situações, a empresa afetada contrata consultorias para amenizar as perdas. Quando tal perda ocorre com bancos é comum os bancos contratarem consultorias financeiras especializadas para acompanhar as contas dos clientes tentando previnir eventuais desvios, numa demonstração de boa-fé.

Tal caso lembra uma outra situação ocorrida nos EUA em que um cracker conseguiu interceptar dados médicos de pacientes de um hospital através de uma rede sem fio. O que em um primeiro momento podia indicar um fato sem importância, acabou tornando-se um caso sério de extorsão. O criminoso selecionou os dados de pacientes que eram portadores do vírus da AIDS e, com isso, passou a chantageá-los para não divulgar publicamente tal informação. Importa lembrar que os EUA possuem uma norma federal regulando o controle de informações médicas dos pacientes: é o conhecido HIPPA (Health Insurance Portability and Accountability Act).

Do ponto de vista jurídico é importante citar que a negligência no que diz respeito à guarda de dados é jurídicamete relevante. Caso trate-se de relação negocial comum, irá se apurar a responsabilidade subjetiva dos responsáveis pela informação no caso de seu furto ou perda. Há um dever, mesmo que tácito e não disposto nos contratos, de zelar pelo armazenamento de informações confidenciais Tal dever pode ser entendido com um dever anexo ao dever geral de cuidado, dever este advindo da regra da boa-fé objetiva. Além do mais, a perda de informações pode consubstanciar a violação de algum eventual Acordo de Confidencialidade (também conhecido como NDA - Non-disclosure agreement).

Na seara consumeirista, vige o conceito de responsabilidade objetiva. Isso significa que não se discutirá a existência de culpa sobre a perda ou divulgação indevida dos dados em uma relação de consumo. Basta haver o dano e o nexo causal.

Em face disso nota-se que os responsáveis pelo setor de TI das organizações devem sempre observar as melhores práticas do setor acerca da proteção e segurança das informações armazenadas em dispositivos móveis.

---

Um dia após o fechamento desse post, precisamente 21 de Fevereiro de 2008, a Computerworld publicou uma notícia intitulada "A lição do roubo na Petrobras". A notícia versa sobre a gestão da segurança da informação e seu conteúdo complementa de certa forma o que foi aqui escrito.
A notícia pode ser vista clicando aqui.

Informações confidenciais, dispositivos móveis e o caso Petrobras

Informações confidenciais, dispositivos móveis e o caso Petrobras

A mistura de informações confidenciais e dispositivos móveis pode ser realmente explosiva caso não existam controles técnicos adequados. Há muito tempo o noticiário internacional tem trazido notícias sobre incidentes envolvendo furtos e perda de dispositivos móveis. Os profissionais de Segurança da Informação estão bastante habituados em encontrar situações assim. Há casos célebres envolvendo perda de fitas com dados sobre empregados, notebooks contendo dados do seguro social, etc. O FBI, por exemplo, sofreu 160 incidentes assim em quatro anos (http://idgnow.uol.com.br/seguranca/2007/03/12/idgnoticia.2007-03-12.8167257255/).

No Brasil recentemente tivemos um caso envolvendo o furto de um notebook da Polícia Militar do RJ. Segundo a reportagem o comandante Geral da PM teve seu notebook furtado e as informações sigilosas foram parar nas mãos de criminosos da Favela da Rocinha.

Erros humanos quase sempre estão presentes em casos envolvendo perda de informações confidenciais. Uma pesquisa do IT Policy Compliance Group demonstrou uma estatística interessante sobre a perda de dados: 50% dos incidentes dessa natureza são causados por erros humanos enquanto que a violação das políticas é responsável por 25% dos incidentes (http://idgnow.uol.com.br/seguranca/2007/03/12/idgnoticia.2007-03-12.8167257255/).

Em face disso é que a preocupação com a Segurança da Informação não deve ser apenas da equipe de tecnologia. Além do mais o foco de preocupação não deve ser apenas em cima de computadores, mas em cima do processo como um todo. Nesse passo a Segurança da Informação, deve abranger não apenas a informação digitalizada. Como a própria norma ISO IEC NBR 17799 nos ensina, processos de segurança envolvem Segurança Física, Segurança em Recuros Humanos, análise de requisitos legais em contratos, etc.

Um dos principais motivos para que os profissionais do Direito da Tecnologia devam se preocupar com esses assuntos é a grande auxílio preventivo que atividade jurídica presta em situações dessa natureza. A elaboração de contratos de outsourcing prevendo os termos de responsabilização de cada parte incluindo multas, é um ponto muito importante nessa atividade. A previsão, também nos contratos, da observância das normas internacionais de segurança pode ser interessante para nortear a conduta dos envolvidos. Também o auxílio da equipe de Segurança da Informação através da orientação jurídica é outro ponto importante. Ao mesmo tempo uma análise do eventual risco jurídico envolvendo processos TI é uma atividade que se realizada com a devida atenção pode evitar perdas no futuro. Casos como esse podem gerar muitos processos judiciais além do dano à imagem, sem contar é claro com os impactos econômicos.

Por outro lado, os especialistas em Segurança da Informação que trabalham com análise de risco sabem que são tomadas decisões sobre de quais os riscos serão suportados ou não pela organização. Uma empresa dificilmente irá controlar e evitar a concretização de todas as ameaças envolvendo a Segurança da Informação. Isso seria virtualmente impossível. Em algumas situações a empresa pode aceitar suportar um risco advindo de determinada ameaça. Nesses casos é realizada também uma análise em relação ao custo do controle do risco em questão: caso seja mais caro controlar o risco do que aceitá-lo provavelmente a organização pode não realizar ações de controle. Ao mesmo tempo há diversas variáveis envolvendo probabilidade, ativos atingidos, grau de importância do ativo que suportaria o risco, etc. Todas essas atividades podem ser previstas contratualmente. Não é raro prestadores de serviços terem que aderir às políticas de segurança da informação das empresas e isso é determinado nos contratos.

É importante notar que incidentes envolvendo a perda ou furto de dados confidenciais envolvem, entre outras coisas: as disposições contratuais que regem a relação entre as partes envolvidas (e avaliação das práticas de outsourcing); a reavaliação e observação das práticas de Segurança de Informação da organização; o dano à imagem da empresa bem como as repercussões que o ocorrido podem causar no mercado (queda no valor de ações, relação com investidores, etc). Além de tudo isso há também repercussões criminais sobre tais incidentes.

Sabe-se que a manipulação e armazenamento de informações confidenciais em dispositivos móveis na maioria dos casos utiliza recursos de criptografia para a segurança. Criptografar informações em dispositivos móveis é um processo relativamente simples e que pode ser feito com baixo custo para uma organização. Existem atualmente ferramentas gratuitas e disponíveis na plataforma de software livre, oferecendo inclusive recursos bastante avançados.

Para a correta aplicação e gerenciamento dos recursos criptográficos o ideal é que tal seja previsto na Política de Segurança. Porém ambiente corporativo conhece há muito os problemas relativos a sua efetiva aplicação e cumprimento. Lembro-me de um excelente artigo publicado no blog do especialista em Segurança da Informação, Anderson Ramos. O nome do artigo é "Como não implementar medidas de segurança". Lá ele faz um apanhado de algumas situações e dificuldades na aplicação de controles de segurança da informação. A visão do autor elucida bastante as reais dificuldades encontradas na atividade.

Nos famosos casos americanos em que notebooks são perdidos ou furtados é comum as imprensa relatar que apesar da Política da Empresa prever diretrizes acerca da criptografia de dados, os dados envolvidos não estavam criptografados. Essa é outra demonstração das dificuldades envolvendo a aplicação de controles de segurança da informação. Na presente situação, não tivemos conhecimento ainda dos termos da Política de Segurança da Informação da Petrobras. No entanto, é bastante provável que ela preveja o armazenamento criptografado em dispositivos móveis. Em geral as Políticas de Segurança são baseadas na norma ISO IEC NBR 17799 que trata sobre esse assunto. Além do mais a impresa não noticiou mas é possível que tais equipamentos furtados estejam com seus dados criptografados o que faz com que esses dados estejam virtualmente inacessíveis.

Quanto aos aspectos criminais do ocorrido, em primeiro lugar, uma informação básica é que não se trata de roubo de informações. O roubo envolve violência ou grave ameaça à pessoa, o que, em princípio, não houve. Em segundo lugar, se houvesse o roubo, ele seria dos equipamentos e não das informações. Nesse caso, com as informações preliminares, houve (entre outros crimes) um furto qualificado pela destruição de obstáculo. A Polícia Federal, trabalha com várias linhas de investigação. Uma delas é realmente a ocorrência de um furto sem que os envolvidos soubessem que se tratava de equipamentos contendo informações sigilosas. Mesmo assim, a linha principal é que realmente a ação tenha sido direcionada para a apropriação das informações.

É importante destacar também que ações como essa podem ocorrer com muito mais freqüência do que imaginamos. Uma ação bem sucedida de apropriação de informações especificamente realizada no ambiente digital pode ser feita sem deixar praticamente nenhum vestígio. A interceptação de e-mails e de conversas de Instant Messengers, pode ocorrer através da instalação de spywares ou vírus. Redes sem fio também são um vetor para esse tipo de interceptação. Os ataques tem se tornado cada vez mais direcionados. E em geral, ao contrário do que muitas políticas pregam, informações confidenciais transitam por e-mail não criptografados o que, potencialmente, é um risco para a segurança dessas informações.

Até esse momento consegui identificar que provavelmente o crime seja tipificado como crime contra a segurança nacional (Lei 7170/83) (além do crime de formação de quadrilha). Diz-se isso uma vez que segundo a imprensa comenta, estariam em jogo informações atinentes à segurança nacional entregues à grupo estrangeiro. O art. 13 dessa lei dessa lei é claro em definir:

Art. 13 - Comunicar, entregar ou permitir a comunicação ou a entrega, a governo ou grupo estrangeiro, ou a organização ou grupo de existência ilegal, de dados, documentos ou cópias de documentos, planos, códigos, cifras ou assuntos que, no interesse do Estado brasileiro, são classificados como sigilosos.
Pena: reclusão, de 3 a 15 anos.
Parágrafo único - Incorre na mesma pena quem:
...
IV - obtém ou revela, para fim de espionagem, desenhos, projetos, fotografias, notícias ou informações a respeito de técnicas, de tecnologias, de componentes, de equipamentos, de instalações ou de sistemas de processamento automatizado de dados, em uso ou em desenvolvimento no País, que, reputados essenciais para a sua defesa, segurança ou economia, devem permanecer em segredo.

Caso não se trate de informações envolvendo a segurança nacional entendo que o crime seria caracterizado na Lei de Propriedade Industrial (9279/96). Em geral esta última lei classifica tais crimes como concorrência desleal. Não há, portanto, no Brasil uma lei definindo o crime de Espionagem Industrial. A tipificação que mais se adequa ao caso, conforme a lei de Propriedade Industrial está no art. 195. Vejamos:

Art. 195. Comete crime de concorrência desleal quem:
XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato;
XII - divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude;
...
Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa.

Por fim o presente caso deve servir como fonte de reflexão não só para os advogados que atuam no Direito da Tecnologia como também nos profissionais de Segurança da Informação. É a prova de que a má-gestão da Segurança da Informação pode trazer conseqüências muito maiores do que o comumente imaginado.