Projeto de Lei Dieckmann, Marco Civil e Impactos na Segurança da Informação

Aspectos Legais da Tecnologia e
Segurança da Informação
José Antonio Milagre
Senior Expert Witness

segunda-feira, 26 de novembro de 2012

Programa

Introdução
Cenário atual da conformidade em segurança
Projetos de leis de crimes cibernéticos
Marco Civil da Internet Brasileira
Perspectivas ﬁnais


Cenário Atual

Em geral, deﬁnimos segurança com um estado no qual
estamos livres de perigos e incertezas. Dentro de uma
organização, esta segurança constuma se aplicar a tudo
aquilo que possui valor, e consequentemente, demanda
proteção. São os chamados ativos. (Security Ofﬁcer,
Modulo 1, Módulo Education Center, pág. 16)

ativos
proteção lógicos
intangíveis


Cenário Atual

Preventiva
Desencorajadora
Limitadora
proteção Detectora
Reativa
Corretiva
Recuperadora


Cenário Atual

De forma a obrigar as organizações a dar o devido cuidado
para os problemas de SI, muitas leis e regulamentos tem
surgido. Número excessivo de regulamentação, criando
uma sobrecarga de trabalho desnecessária e custosa para
as organizações.

Precedente: As leis são efetivas? Elas conseguirão
melhorar a segurança das organizações? Elas podem
evitar os crimes digitais? Precisamos de novas leis?


Projetos de Leis de cibercrimes

“Regras (leis) são como salsichas. É melhor não ver como
elas são feitas” (Otto Von Bismarck)

Política de Segurança resumirá os princípios de SI que a
organização reconhece como sendo importantes e que
devem estar presentes no dia-a-dia de suas atividades.
(Redução de Riscos ou por Conformidade)

Requisitos Legais

Requisitos do Negócio

Análise de Risco



Leis vão influenciar na “Classificação da Informação” -
Identificação sobre quais os níveis de proteção que as
informações demandam, bem como os controles de
proteção necessários. (Ex. Anteprojeto de proteção de
dados pessoais)



“Foi sugerido que não necessitamos de legislação sobre a
Internet, pois até hoje não temos legislação e ela não teria
feito falta” “...é bobagem, porque tinhamos liberdade no
passado, mas as ameaças explícitas e reais a esta liberdade
surgiram apenas recentemente” Tim Berners-Lee (junho
2006)



INVASÃO É CRIME NO
BRASIL?


Cenário Atual

Código Penal

Art. 153 - Divulgar alguém, sem justa causa, conteúdo de documento
particular ou de correspondência conﬁdencial, de que é destinatário
ou detentor, e cuja divulgação possa produzir dano a outrem: Pena -
detenção, de um a seis meses, ou multa.

Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel:
Pena - reclusão, de um a quatro anos, e multa.
§ 4º - A pena é de reclusão de dois a oito anos, e multa, se o crime é
cometido:
I - com destruição ou rompimento de obstáculo à subtração da coisa;
II - com abuso de conﬁança, ou mediante fraude, escalada ou
destreza;



PRINCÍPIO DA LEGALIDADE


Cenário Atual

Leis aplicáveis atualmente:

* CLT
* Código Civil
* Código Penal (crimes mistos x puros)
* Lei 9983/2000
* Lei 9296/1996
* Lei 9279/1998



PL 2126/2011 (Marco Civil da Internet) - Art. 7o.


PL 2126/2011 (Marco Civil da Internet) - Art. 9o. e p 1o.
(Neutralidade da Rede - Mikrotik)


PL 2126/2011 (Marco Civil da Internet) - Art. 9o. e p 3o.
(Proibição de Monitoramento de tráfego)


PL 2126/2011 (Marco Civil da Internet) - Art. 10. e p 1o.
(Segurança na guarda de logs por provedores )



PL 2126/2011 (Marco Civil da Internet) - Art. 11
(Prazo para a custódia dos logs)


PL 2126/2011 (Marco Civil da Internet) - Art. 12 e13
(Provedores de serviços não tem obrigação de logging
P ro v e d o re s d e c o n e x ã o n ã o p o d e m re g i s t r a r
navegação)


PL 2126/2011 (Marco Civil da Internet) - Art. 13
(Ordem judicial e policial para guarda de logs -
investigação?)



PL 2126/2011 (Marco Civil da Internet) - Art. 15.
(Notice and Take Down)



PL 2126/2011 (Marco Civil da Internet) - Art. 17.
(Direito de Requerer logs)



PL 84/1999 (Lei Azeredo)
Era muito rígido



PL 2793/2011 (Lei Carolina Dieckmann)

Nasce para corrigir os erros do PL 84/1999?



PL 2793/2011 (Lei Carolina Dieckmann)


Projetos de lei de cibercrimes

Devassar é invadir?



Devassar?

Devassar = Acessar indevidamente
Dispositivo informático = Necessariamente alheio
Condição do dispositivo = Protegido e sem autorização
(Controle A.11.1.1 - Política de controle de acesso)
Intenção = Causar dano? Mera conduta!



Instalar vulnerabilidade?

A ausência de um mecanismo de proteção ou falhas em um
mecanismo de proteção existente. São as vulnerabilidades
que permitem que as ameaças se concretizem... (Security
Ofﬁcer, Modulo 1, Módulo Education Center, pág. 24)

A existência de uma vulnerabilidade por si só não causa
prejuízos. O que causa prejuízo é sua exploração por uma
ameaça.


Vamos reﬂetir...

* Sistema informatizado? Rede de computadores?
* Gerenciamento de acesso/privilégios - A.11.2
* Porta retrato digital? GPS? Roteador Wireless?
* Como saber se uma autorização de acesso a um ativo
comprometido? Cite exemplo de autorização tácita?
* Um “Select” pode ser considerado “obter dados ou
informações”? Obter é acessar?
* Um “paper em um Congresso”, seria uma vantagem
ilícita?
* Parameter tampering, code injection, remote ﬁle include,
sql injection. Posso considerer como rompimento de
segurança? Não são programas que permitem invasão.
* App de Facebook?


Crime?


O que as leis não alcançarão (nem os legisladores):
* Segurança por obscuridade; (Se a empresa dizia que o
ativo não existia, como existe expressa proibição e acesso)
* Fail-safe; (Se falta energia em uma catacra de um prédio,
é preferível que ninguém entre. Mas e quem entrar?)
*Ameaças passivas (Footprinting - Não interagem
diretamente com o alvo)
* Interceptação (Atacante redireciona o tráfego)
* Modiﬁcação (Captura o tráfego e os reenvia)
* Interrupção (Tráfego não atingirá o destino)
* Fabricação (Mac Flooding - Atacante se passa por outro
componente)
(Enumeração, Acesso, Aumento de privilégios, Pilfering,
Cobertura, NAT)


Só se pune a modalidade dolosa. Mesmo?

Refletindo sobre algumas condutas:
* Obteve dados para alertar a comunidade?
* Tentou notificar a empresa que não tinha
canal de reporte definido?
* Publicou uma prova de conceito?



Conformidade - ISO 27001
8,#2&(9")".( !"$2=:,1( ;?$#$-&( !,-&'(3$''&,"'(

!"#$"%&'($(!$)$#$'( 9#":$'(-"/"%,"'( 9#":$'(-"/"%,"'( @$'3&1',A"."-,-$(2")".(
*+,#-,(-$(.&/'( ;2$''&(01-$)"-&( 9.&1,/$:(-$(2,#%>$'( B#,%,:$1%&(-$(-,-&'(
01%$#2$3%,45&( 01%$##+345&( 6,-#>$'(-$('$/+#,14,(
6#"),2"-,-$(-,-&'( %$.$:<72,( 9&:+1"2,#("12"-$1%$'(
(
01)$'7/,45&(-"/"%,.(
( ( (
@$)"'5&(-$( 6#"),2I(JK2$(
C'%#+%+#,(-$(
2&.$%,D(
2&1%#,%&'(-$( @$)"'5&(-$(
3&.G72,'D(
(
@$'3&1',A"."-,-$(
3$'E+"',($( -&'(
@$.,2"&1,:$1%&( 3$1%$'%D( (0:3,2%&(1,'( '+A2&1%#,%,-&'(
2&:(,+%&#"-,-$'(( !"'2.,":$#'(1,'( :$.H&#$'(3#<72,'( L+'%,(2,+',(3,#,(&(
F$##,:$1%,'D( MF+..(-"'2.&'+#$N(((

A.13.2.3 A.15.1.5 A.10.8.1 A.15.1.4
Forense Dissuadir Troca informações Privacidade
Fonte: Blog José Milagre


Humanização: Pessoas não são ativos que podem ser
conﬁgurados ou programados. Pessoas são ativos que tem
sentimentos, emoções, vontades. São ativos que são
educados(Security Ofﬁcer, Modulo 1, Módulo Education
Center, pág. 224)



Prevenção: De modo a evitar que o proﬁssional de
segurança seja responsabilizado por um eventual ato ilícito,
é importante que o mesmo tenha documentação que
delimite claramente quais são suas funções, atribuições e
responsabilidades na empresa.



Ética: Conjunto de valores atribuidos à conduta humana
sob o prisma do que é certo ou errado dentro de uma
sociedade. A ciência da Moral, estando esta relacionada às
regras de comportamento ou valores que são aceitos por
determinado grupo especíﬁco, que determina o que é
considerado honesto ou virtuoso.



Leis foram Aprovadas. Só nos resta: Educacão: Diante
de casos concretos, novas tecnologias (BYOD, Cloud, Big
Data) e inafastabilidade do Judiciário será necessário
proﬁssionais de segurança articulados, peritos, que possam
contribuir para informação real de autoridades, gerando
consciência, maturidade e evitando que inocentes sejam
injustamente condenados.


Reﬂexão

“Se ao caminhar pelas ruas, uma pessoa avistar que os cordões de seus
sapatos estão desamarrados, ser-lhe-á devido um agradecimento ou uma
censura por se intrometer em sua vida, em sua privacidade? Caso lhe
comuniquem que um certo restaurante já provocou intoxicações sérias em
diversos incautos que experimentaram suas especialidades, julgaria
prudente ir lá e fazer uma refeição e se arriscar a uma desagradável e
involuntária ginástica para seus intestinos. Pois bem, no ciberespaço,
assim como no Mundo Físico, também existem boas almas que nos
alertam sobre os perigos que enfrentamos neste recanto não espacial:
são os hackers (e, em algumas vezes, até mesmo os crackers). São eles
que nos sinalizam quanto a similares riscos neste Mundo que não
podemos pegar, porque verificaram as debilidades e fragilidades do
sistema que os suporta” (Amaro Moraes e Silva Neto, Privacidade na
Internet, EDIPRO, 2001)


Obrigado!
http://www.facebook.com/LegaltechBrasil
jose.milagre@legaltech.com.br
Twitter: @periciadigital


Projeto de Lei Dieckmann, Marco Civil e Impactos na Segurança da Informação

Recomendados

Recomendados

Mais conteúdo relacionado

Destaque

Destaque (20)

Último

Último (6)

Projeto de Lei Dieckmann, Marco Civil e Impactos na Segurança da Informação