Projeto de Lei Dieckmann, Marco Civil e Impactos na Segurança da Informação. Palestra professor José Milagre - Security Day Natal -RN - 24-11-2012 - Site: www.josemilagre.com.br - www.direitodigital.adv.br - Twitter: @periciadigital
Projeto de Lei Dieckmann, Marco Civil e Impactos na Segurança da Informação
1. Aspectos Legais da Tecnologia e
Segurança da Informação
José Antonio Milagre
Senior Expert Witness
segunda-feira, 26 de novembro de 2012
2. Programa
Introdução
Cenário atual da conformidade em segurança
Projetos de leis de crimes cibernéticos
Marco Civil da Internet Brasileira
Perspectivas finais
segunda-feira, 26 de novembro de 2012
3. Cenário Atual
Em geral, definimos segurança com um estado no qual
estamos livres de perigos e incertezas. Dentro de uma
organização, esta segurança constuma se aplicar a tudo
aquilo que possui valor, e consequentemente, demanda
proteção. São os chamados ativos. (Security Officer,
Modulo 1, Módulo Education Center, pág. 16)
ativos
proteção lógicos
intangíveis
segunda-feira, 26 de novembro de 2012
4. Cenário Atual
Preventiva
Desencorajadora
Limitadora
proteção Detectora
Reativa
Corretiva
Recuperadora
segunda-feira, 26 de novembro de 2012
5. Cenário Atual
De forma a obrigar as organizações a dar o devido cuidado
para os problemas de SI, muitas leis e regulamentos tem
surgido. Número excessivo de regulamentação, criando
uma sobrecarga de trabalho desnecessária e custosa para
as organizações.
Precedente: As leis são efetivas? Elas conseguirão
melhorar a segurança das organizações? Elas podem
evitar os crimes digitais? Precisamos de novas leis?
segunda-feira, 26 de novembro de 2012
6. Projetos de Leis de cibercrimes
“Regras (leis) são como salsichas. É melhor não ver como
elas são feitas” (Otto Von Bismarck)
Política de Segurança resumirá os princípios de SI que a
organização reconhece como sendo importantes e que
devem estar presentes no dia-a-dia de suas atividades.
(Redução de Riscos ou por Conformidade)
Requisitos Legais
Requisitos do Negócio
Análise de Risco
segunda-feira, 26 de novembro de 2012
7. Projetos de Leis de cibercrimes
Leis vão influenciar na “Classificação da Informação” -
Identificação sobre quais os níveis de proteção que as
informações demandam, bem como os controles de
proteção necessários. (Ex. Anteprojeto de proteção de
dados pessoais)
segunda-feira, 26 de novembro de 2012
8. Projetos de Leis de cibercrimes
“Foi sugerido que não necessitamos de legislação sobre a
Internet, pois até hoje não temos legislação e ela não teria
feito falta” “...é bobagem, porque tinhamos liberdade no
passado, mas as ameaças explícitas e reais a esta liberdade
surgiram apenas recentemente” Tim Berners-Lee (junho
2006)
segunda-feira, 26 de novembro de 2012
9. Projetos de Leis de cibercrimes
segunda-feira, 26 de novembro de 2012
10. Projetos de Leis de cibercrimes
INVASÃO É CRIME NO
BRASIL?
segunda-feira, 26 de novembro de 2012
11. Cenário Atual
Código Penal
Art. 153 - Divulgar alguém, sem justa causa, conteúdo de documento
particular ou de correspondência confidencial, de que é destinatário
ou detentor, e cuja divulgação possa produzir dano a outrem: Pena -
detenção, de um a seis meses, ou multa.
Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel:
Pena - reclusão, de um a quatro anos, e multa.
§ 4º - A pena é de reclusão de dois a oito anos, e multa, se o crime é
cometido:
I - com destruição ou rompimento de obstáculo à subtração da coisa;
II - com abuso de confiança, ou mediante fraude, escalada ou
destreza;
segunda-feira, 26 de novembro de 2012
12. Projetos de Leis de cibercrimes
PRINCÍPIO DA LEGALIDADE
segunda-feira, 26 de novembro de 2012
13. Cenário Atual
Leis aplicáveis atualmente:
* CLT
* Código Civil
* Código Penal (crimes mistos x puros)
* Lei 9983/2000
* Lei 9296/1996
* Lei 9279/1998
segunda-feira, 26 de novembro de 2012
14. Projetos de Leis de cibercrimes
PL 2126/2011 (Marco Civil da Internet) - Art. 7o.
segunda-feira, 26 de novembro de 2012
15. Projetos de Leis de cibercrimes
PL 2126/2011 (Marco Civil da Internet) - Art. 9o. e p 1o.
(Neutralidade da Rede - Mikrotik)
segunda-feira, 26 de novembro de 2012
16. Projetos de Leis de cibercrimes
PL 2126/2011 (Marco Civil da Internet) - Art. 9o. e p 3o.
(Proibição de Monitoramento de tráfego)
segunda-feira, 26 de novembro de 2012
17. Projetos de Leis de cibercrimes
PL 2126/2011 (Marco Civil da Internet) - Art. 10. e p 1o.
(Segurança na guarda de logs por provedores )
segunda-feira, 26 de novembro de 2012
18. Projetos de Leis de cibercrimes
PL 2126/2011 (Marco Civil da Internet) - Art. 11
(Prazo para a custódia dos logs)
segunda-feira, 26 de novembro de 2012
19. Projetos de Leis de cibercrimes
PL 2126/2011 (Marco Civil da Internet) - Art. 12 e13
(Provedores de serviços não tem obrigação de logging
P ro v e d o re s d e c o n e x ã o n ã o p o d e m re g i s t r a r
navegação)
segunda-feira, 26 de novembro de 2012
20. Projetos de Leis de cibercrimes
PL 2126/2011 (Marco Civil da Internet) - Art. 13
(Ordem judicial e policial para guarda de logs -
investigação?)
segunda-feira, 26 de novembro de 2012
21. Projetos de Leis de cibercrimes
PL 2126/2011 (Marco Civil da Internet) - Art. 15.
(Notice and Take Down)
segunda-feira, 26 de novembro de 2012
22. Projetos de Leis de cibercrimes
PL 2126/2011 (Marco Civil da Internet) - Art. 17.
(Direito de Requerer logs)
segunda-feira, 26 de novembro de 2012
23. Projetos de Leis de cibercrimes
PL 84/1999 (Lei Azeredo)
Era muito rígido
segunda-feira, 26 de novembro de 2012
24. Projetos de Leis de cibercrimes
PL 2793/2011 (Lei Carolina Dieckmann)
Nasce para corrigir os erros do PL 84/1999?
segunda-feira, 26 de novembro de 2012
25. Projetos de Leis de cibercrimes
PL 2793/2011 (Lei Carolina Dieckmann)
segunda-feira, 26 de novembro de 2012
26. Projetos de Leis de cibercrimes
PL 2793/2011 (Lei Carolina Dieckmann)
segunda-feira, 26 de novembro de 2012
27. Projetos de Leis de cibercrimes
PL 2793/2011 (Lei Carolina Dieckmann)
segunda-feira, 26 de novembro de 2012
28. Projetos de lei de cibercrimes
Devassar é invadir?
segunda-feira, 26 de novembro de 2012
29. Projetos de lei de cibercrimes
Devassar?
Devassar = Acessar indevidamente
Dispositivo informático = Necessariamente alheio
Condição do dispositivo = Protegido e sem autorização
(Controle A.11.1.1 - Política de controle de acesso)
Intenção = Causar dano? Mera conduta!
segunda-feira, 26 de novembro de 2012
30. Projetos de lei de cibercrimes
Instalar vulnerabilidade?
A ausência de um mecanismo de proteção ou falhas em um
mecanismo de proteção existente. São as vulnerabilidades
que permitem que as ameaças se concretizem... (Security
Officer, Modulo 1, Módulo Education Center, pág. 24)
A existência de uma vulnerabilidade por si só não causa
prejuízos. O que causa prejuízo é sua exploração por uma
ameaça.
segunda-feira, 26 de novembro de 2012
31. Projetos de Leis de cibercrimes
Vamos refletir...
* Sistema informatizado? Rede de computadores?
* Gerenciamento de acesso/privilégios - A.11.2
* Porta retrato digital? GPS? Roteador Wireless?
* Como saber se uma autorização de acesso a um ativo
comprometido? Cite exemplo de autorização tácita?
* Um “Select” pode ser considerado “obter dados ou
informações”? Obter é acessar?
* Um “paper em um Congresso”, seria uma vantagem
ilícita?
* Parameter tampering, code injection, remote file include,
sql injection. Posso considerer como rompimento de
segurança? Não são programas que permitem invasão.
* App de Facebook?
segunda-feira, 26 de novembro de 2012
32. Projetos de Leis de cibercrimes
Crime?
segunda-feira, 26 de novembro de 2012
33. Projetos de Leis de cibercrimes
Crime?
segunda-feira, 26 de novembro de 2012
34. Projetos de Leis de cibercrimes
O que as leis não alcançarão (nem os legisladores):
* Segurança por obscuridade; (Se a empresa dizia que o
ativo não existia, como existe expressa proibição e acesso)
* Fail-safe; (Se falta energia em uma catacra de um prédio,
é preferível que ninguém entre. Mas e quem entrar?)
*Ameaças passivas (Footprinting - Não interagem
diretamente com o alvo)
* Interceptação (Atacante redireciona o tráfego)
* Modificação (Captura o tráfego e os reenvia)
* Interrupção (Tráfego não atingirá o destino)
* Fabricação (Mac Flooding - Atacante se passa por outro
componente)
(Enumeração, Acesso, Aumento de privilégios, Pilfering,
Cobertura, NAT)
segunda-feira, 26 de novembro de 2012
35. Projetos de Leis de cibercrimes
Só se pune a modalidade dolosa. Mesmo?
Refletindo sobre algumas condutas:
* Obteve dados para alertar a comunidade?
* Tentou notificar a empresa que não tinha
canal de reporte definido?
* Publicou uma prova de conceito?
segunda-feira, 26 de novembro de 2012
37. Perspectivas finais
Humanização: Pessoas não são ativos que podem ser
configurados ou programados. Pessoas são ativos que tem
sentimentos, emoções, vontades. São ativos que são
educados(Security Officer, Modulo 1, Módulo Education
Center, pág. 224)
segunda-feira, 26 de novembro de 2012
38. Perspectivas finais
Prevenção: De modo a evitar que o profissional de
segurança seja responsabilizado por um eventual ato ilícito,
é importante que o mesmo tenha documentação que
delimite claramente quais são suas funções, atribuições e
responsabilidades na empresa.
segunda-feira, 26 de novembro de 2012
39. Perspectivas finais
Ética: Conjunto de valores atribuidos à conduta humana
sob o prisma do que é certo ou errado dentro de uma
sociedade. A ciência da Moral, estando esta relacionada às
regras de comportamento ou valores que são aceitos por
determinado grupo específico, que determina o que é
considerado honesto ou virtuoso.
segunda-feira, 26 de novembro de 2012
40. Perspectivas finais
Leis foram Aprovadas. Só nos resta: Educacão: Diante
de casos concretos, novas tecnologias (BYOD, Cloud, Big
Data) e inafastabilidade do Judiciário será necessário
profissionais de segurança articulados, peritos, que possam
contribuir para informação real de autoridades, gerando
consciência, maturidade e evitando que inocentes sejam
injustamente condenados.
segunda-feira, 26 de novembro de 2012
41. Reflexão
“Se ao caminhar pelas ruas, uma pessoa avistar que os cordões de seus
sapatos estão desamarrados, ser-lhe-á devido um agradecimento ou uma
censura por se intrometer em sua vida, em sua privacidade? Caso lhe
comuniquem que um certo restaurante já provocou intoxicações sérias em
diversos incautos que experimentaram suas especialidades, julgaria
prudente ir lá e fazer uma refeição e se arriscar a uma desagradável e
involuntária ginástica para seus intestinos. Pois bem, no ciberespaço,
assim como no Mundo Físico, também existem boas almas que nos
alertam sobre os perigos que enfrentamos neste recanto não espacial:
são os hackers (e, em algumas vezes, até mesmo os crackers). São eles
que nos sinalizam quanto a similares riscos neste Mundo que não
podemos pegar, porque verificaram as debilidades e fragilidades do
sistema que os suporta” (Amaro Moraes e Silva Neto, Privacidade na
Internet, EDIPRO, 2001)
segunda-feira, 26 de novembro de 2012
42. Obrigado!
http://www.facebook.com/LegaltechBrasil
jose.milagre@legaltech.com.br
Twitter: @periciadigital
segunda-feira, 26 de novembro de 2012