Para nós, profissionais da área de segurança, a falta de legislação específica sempre foi um fator que impediu a punição dos responsáveis por atos considerados ilícitos. Atuamos bem no âmbito da tecnologia, mas quando finalmente conseguimos encontrar os culpados, parece que todo o trabalho foi em vão.
Tirando alguns casos de sucesso, o que reina no mundo digital é uma sensação de impunidade quanto ao “crime digital”. Quando esse “crime digital” evolui para um “crime no mundo real”, punir os agressores se torna menos complexo, entretanto, quando ele acontece apenas no âmbito digital a coisa muda de figura.
As provas de perícia passam a ser fundamentais nestes casos e, mesmo assim, em muitos aspectos, existem falhas nas tecnologias que usamos em nosso dia a dia. As mesmas podem ser utilizadas para propiciarem dúvidas às referidas provas.
As novas leis trazem um horizonte diferente para esta questão específica, tratando de forma objetiva muitos dos temas que discutimos. Os principais pontos que foram alterados com a nova legislação e que devem ser observados são:
a) Passa a ser crime o simples ato de interromper (os nossos conhecidos DDOS) os serviços de utilidade pública em mídias disponíveis na Internet. Mas atenção: se sua empresa for atacada, você deve provar que o serviço prestado é de utilidade pública;
b) Os cartões de crédito e débito passam a ser um documento particular. Ações como roubo, adulteração ou falsificação dos mesmos passam a ser regidas por lei já existente;
c) Indicada a criação de setores e equipes especializadas no combate à ação delituosa em rede de computadores, dispositivo de comunicação ou sistema informatizado nos órgãos da polícia judiciária, propiciando a médio e longo prazo o aprimoramento do tema dentro destas instituições;
d) Inclui também a possibilidade de bloqueio de transmissões ou publicações em qualquer meio no intuito de praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional;
e) O simples fato de invadir um dispositivo e obter informações privadas, com ou sem intenção de utilizá-las de forma ilícita, passa a ser crime também. Assim, senhas, documentos sigilosos, conversas particulares e correspondência, se forem encontrados de posse de terceiros, sem autorização, já são indicados como crime, independente de serem ou não utilizados para algo ilícito;
f) Desenvolver e distribuir softwares de grampo, escutas ou controle remoto para fins ilícitos também passam a ser considerados crime.
Em resumo, “crime digital”, que ocorre apenas no meio digital, já começa a ser considerado como “crime real” (Na verdade, eu nunca gostei desta diferenciação, pois para mim, o “virtual” ou “digital”, não diferem do “mundo real”, são apenas meios diferentes, regidos pelas mesmas regras humanas).
Estas modificações somadas trazem uma perspectiva nova para os profissionais de segurança de TI. Antes, nossos limites eram balizados única e exclusivamente pela ética, moral e caráter. Entretanto, isso esta mudando gradativamente.
Não só o Brasil, mas outros governos, começaram a fazer ações no intuito de apertar o cerco aos criminosos digitais, desde o grande ataque de DDOS orquestrado pelo grupo Anonymous.
Mudanças de legislação, criação de grupos de resposta e acordos internacionais teem se intensificado.
Os atos dos profissionais de TI tendem, cada vez mais, a serem regidos por normas rígidas e, nesse momento de transição, podem surgir algumas situações estranhas na aplicação da lei. Observemos algumas situações existentes atualmente:
a) Existem muitos softwares no mercado que fazem operações de armazenagem de senhas em áreas temporárias, seja em memória ou disco, para facilitar o uso de sistemas e velocidade - as mesmas senhas que deveriam ser secretas ou armazenadas em dispositivos seguros ou pessoais;
b) Softwares de controle remoto são utilizados por equipes de manutenção para agilizar atendimentos - os mesmos softwares que podem ser utilizados para fins ilícitos;
c) Softwares fazem armazenamento de paginas WWW e outros protocolos (aceleradores de WAN, por exemplo) para melhorar performance - dados que podem ser privados e que não poderiam ser armazenados em outros dispositivos;
d) Sistemas de registro (log) de operação são utilizados para armazenar históricos de operação para avaliação de sistemas – lista de ações que podem ser privadas e que não poderiam estar armazenadas em outros dispositivos;
e) Softwares de invasão e controle são desenvolvidos em universidades para testes de segurança - os mesmos utilizados por hackers para invadir sistemas;
f) Instituições financeiras, governos e instituições privadas que ainda tem bancos de dados de senhas em claro por causa dos sistemas legados - senhas utilizadas em conjunto com cartões que passaram a ser documentos privados;
g) E para variar, os sistemas em nuvem (cloud) que estão no exterior - onde a legislação pode não ser aplicada.
A lista é enorme! A distância entre o que a tecnologia oferece como segurança para uso comum e as necessidades informacionais da sociedade crescem a cada dia. A necessidade de comunicação ainda prevalece sobre a segurança.
No final das contas, tudo dependerá de como os juristas interpretem a aplicação da lei. Juristas que em primeiro momento, não tem conhecimento dos aspectos técnicos e dos limites da tecnologia. Vai ser, no mínimo, interessante e curioso observar este processo evolutivo.
Com certeza, ainda vamos avançar muito, mas já demos os primeiros passos. Afinal, já somos uma sociedade digital há algum tempo.
Clique nas leis abaixo e leia na integra.
Lei nº 12.737 - Lei Carolina Dieckmann
Lei nº 12.735 - Lei Azeredo
That's was really good points. Very clean post. I didn't know that but I liked very much.
ResponderExcluirCongratulations.
Keep going.