Crimes eletrônicos se multiplicam a cada dia. Veja os desafios da TI para blindar legalmente a empresa contra ameaças virtuais
No Brasil, discute-se um marco civil para a internet e um projeto de lei de cibercrimes. Espinhoso, o tema está longe de gerar consenso entre especialistas em Direito Eletrônico. Há quem considere que a legislação para o mundo físico contempla praticamente todas as questões relativas ao mundo virtual, o que tornaria dispensável novas leis para a web. Outros alertam para lacunas na legislação, como a inexistência de leis específicas sobre proteção de dados. Enquanto isto, os CIOs se dão conta de que precisam estar antenados com as tendências do Legislativo, seja porque os crimes eletrônicos se multiplicam a cada dia, colocando a TI no centro do imbróglio, seja porque as futuras leis sobre crimes digitais poderão impactar significativamente o departamento de tecnologia nas corporações.
“A área de TI, que não foi pensada para ter conformidade legal, agora tem de garantir guarda, preservação e localização de provas para fins judiciais, seguindo requisitos conhecidos como cadeia de custódia, para que haja a certeza de que não houve adulteração. Isto requer conhecimento das leis e revisão de infraestrutura sob um olhar técnico-jurídico”, explica Patricia Peck Pinheiro, advogada especializada em direito digital e sócia de escritório homônimo. A atual legislação para o mundo real, de fato, cobre a maioria dos delitos virtuais, como crimes contra a honra, furtos, fraudes, vazamento de informações e concorrência desleal. No entanto, a advo gada ressalta que há muita dificuldade em provar autorias e punir criminosos, embora já se possa retirar rapidamente do ar uma página com ofensas.
As barreiras, de acordo com Patrícia, são variadas. Para começar, a internet brasileira favorece o anonimato e não há lei que exija que provedores de acesso, de e-mail ou de redes sociais guardem dados que facilitem a identificação de quem pratica ilícitos. Também não há punição prevista para quem cria códigos maliciosos ou invade domicílios eletrônicos ou redes corporativas — a menos que realize furtos, fraudes ou destruição de dados. “Mesmo o uso ilegal de rede sem fio não se consegue punir, embora se tente enquadrar como furto de sinal já previsto para as áreas de energia, TV a cabo e banda larga”, diz a especialista para quem a paralisação, na Câmara dos Deputados, da tramitação do projeto da lei de cibercrimes prejudica a sociedade. “Havia itens a ser melhorados, é verdade, mas outros resolviam bem a questão de crimes não previstos no código penal.”
No âmbito corporativo, um dos maiores problemas está na coleta de provas. “Nesta área, a TI das empresas precisa de treinamento em perícia digital e computação forense”, avalia Patrícia, informando que algumas corporações já foram além, montando time de resposta a incidentes com profissional especializado. A advogada ressalta que são cada vez mais frequentes incidentes em que a prova original requerida é eletrônica. “Uma companhia pode até ter a cópia impressa da prova, um e-mail, por exemplo, mas não irá ganhar ação na Justiça se não conseguir localizar o original eletrônico”, ressalta.
Para se “blindar” legalmente, as empresas precisam investir em novas metodologias e tecnologias, como softwares de monitoramento, de varredura de conteúdo e de data loss prevention (DLP). Elas mostram para onde vão as informações e proveem controle sobre pirataria, pedofilia e outros materiais que podem gerar risco para a empresa. As medidas de prevenção incluem ainda revisão da gestão de identidade e da forma como está sendo feito o backup ou a guarda dos logs da rede. “É importante a aquisição de servidores para logs de acesso às máquinas e à rede, que devem ser guardados de acordo com tabela de temporalidade para eventuais investigações. As normas de backup e de classificação de informação devem ser voltadas para guarda e localização de provas”, ensina a especialista.
Um dos riscos da falta de atenção para esses itens é a responsabilização por crimes cometidos por terceiros. “Se um crime virtual é realizado a partir de uma máquina de uma organização, causando danos a terceiros, a responsabilidade para fins civis de ressarcimento e indenização recairá sobre a empresa detentora do equipamento, mesmo que não haja a identificação da pessoa física que cometeu o crime, e sobre quem recairia a punição criminal”, diz Patrícia. Ela aproveita para alertar sobre danos decorrentes do “empréstimo” de senha entre colegas. “No caso de eventual desvio de dinheiro, por exemplo, a empresa pode até ter certeza sobre quem cometeu o delito e dispensar o funcionário, mas a ausência de provas impedirá uma punição adequada do ponto de vista legal.”
Forense digital
A busca pelo rigor científico que torne as evidências de crimes virtuais válidas em processos jurídicos tem como aliada a forense digital, ainda pouco difundida no Brasil. A prática se vale de hardware e software para analisar máquinas simultaneamente, recuperar informações apagadas de computadores e celulares, quebrar senhas e periciar arquivos de vários formatos, entre outros recursos. Outro aliado importante na preservação eletrônica do estado original de uma prova é a figura do perito forense, que pode ser da empresa ou terceirizado. “Em conjunto com o departamento jurídico, ele acompanha o trabalho de clonagem da evidência original, com uso de combinação alfanumérica (hash) para assegurar que a prova não será desconstituída posteriormente”, explica Rony Vainzof, sócio do Opice Blum Advogados Associados e professor de Direito Eletrônico.
Ele destaca a importância de que esse ato seja acompanhado por um tabelião, para dar fé pública. “O tabelião irá anotar a combinação alfanumérica em uma ata notarial, que será lacrada. Todos elementos serão usados no caso de a prova ser discutida judicialmente”, explica. Afora isso, o advogado destaca a importância de que as medidas de quebra de sigilo contra os provedores utilizados para identificar autoria sejam tomadas rapidamente. “Normalmente, as quebras de sigilo são deferidas em até 48 horas, ou seja, em uma semana já se pode fazer medida de busca e apreensão contra o autor do ilícito”, informa.
Para Vainzof, as empresas brasileiras carecem, em todos os níveis hierárquicos, de conscientização e educação quanto às vulnerabilidades e atos ilícitos no ambiente virtual. Os crimes podem ser cometidos intencionalmente por funcionários (dolosos) ou por negligência, imprudência ou imperícia (culposos). Ele considera essencial que a TI elabore, em conjunto com o departamento jurídico e o RH, um regulamento de segurança da informação que aborde genericamente condutas éticas e defina questões como o que é lícito ou não, e o que cada profissional pode acessar, entre outras. A atualização do regulamento será feita por meio de aditivos relativos a cada nova tecnologia. Por exemplo: regras específicas para uso de pendrives, para smartphones, para redes sociais etc. “Assim, elimina-se a necessidade de mudar o regulamento inteiro a cada nova tecnologia”, diz.
No entanto, uma vez que o regulamento não pode ser assinado por profissionais terceirizados, o especialista recomenda que contratos de outsourcing tenham cláusulas rígidas de demissão por justa causa, com multas elevadas para casos de vulnerabilidades de SI.
Lei antiga e erros judiciais
José Antonio Milagre, advogado especializado em Direito Eletrônico e CEO da LegalTECH, lembra que, além das lacunas legislativas para crimes informáticos, o Brasil utiliza código penal de 1940, ou seja da “era do rádio”. Não é por acaso que o judiciário tem dificuldade de enquadrar criminalmente crackers, levando a erros em processos de tecnologia. O especialista relata um caso em que um ex-funcionário apresentou e-mails enviados de sua caixa postal corporativa em horários noturnos para provar a falsa alegação de horas extras. “O juiz aceitou as provas, embora tenha sido explicado que os acessos foram feitos a partir da residência do funcionário”, conta.
Em outro caso, um cracker que acessou o servidor corporativo e analisou informações, mas não copiou nem destruiu dados, deixou de ser punido por ausência de lei anterior. Ele lembra também que o CSO de uma empresa enviou a uma delegacia relatório com IPs de envolvidos em tentativas de fraude (phishing) contra a empresa. “Ouviu do delegado que tal tentativa de fraude não era punível segundo a lei e que o CSO ‘instalasse um antivírus.”
Por outro lado, Milagre reconhece que o avanço da internet promoveu alguns avanços nas leis, como a alteração do estatuto da criança e do adolescente, por meio da Lei 11.829/2008, para inserir a rede mundial como meio de armazenamento e transmissão de imagens pornográficas relativas a menores e adolescentes. Já em 2000, a Lei 9983/2000 alterou o código penal para prever como crimes praticados por funcionários públicos ou pessoas não-autorizadas, o acesso, a alteração e a exclusão indevida de informações em bancos de dados da administração pública. E, em 2001, por meio da Medida Provisória 2200, documentos eletrônicos com certificado digital homologado pela ICP-Brasil passaram a ser considerados válidos para atos e negócios jurídicos. “Hoje, há cerca de 20 mil processos sobre direito digital no Brasil, a maioria contando com provas informáticas como e-mails, logs de atividades, imagens, arquivos e outros documentos eletrônicos que podem ser aceitos pelo Judiciário”, informa.
Do lado das corporações, as dificuldades na coleta destas provas são agravadas pela carência de profissional habilitado. “Muitos profissionais de TI, em casos de incidentes, acabam monitorando o tráfego de colaboradores e investigados sem saber que a interceptação telemática não autorizada é crime no País, segundo a Lei 9296/1996”, alerta. Quem monitora e-mails e outros meios eletrônicos usados por funcionários, sem uma política transparente para uso desses recursos, corre risco de sofrer processos trabalhistas e de danos morais em decorrência de suposta violação de privacidade.
Wanderson Castilho, diretor da E-Net Security, afirma que são poucas as empresas brasileiras aptas a levar fraudadores à justiça com sucesso. “Na nossa base de quase 700 empresas, eu diria que apenas 3% reúnem estas condições, que incluem tecnologia, políticas de monitoramento, conhecimento dos requisitos legais e profissional capacitado”, diz. Para Castilho, todo CIO deveria contar com budget específico para a análise forense e o monitoramento de vazamento de informação. “A maioria deles não tem a mínima ideia se está havendo vazamento ou não”, afirma.
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
