A mistura de informações confidenciais e dispositivos móveis pode ser realmente explosiva caso não existam controles técnicos adequados. Há muito tempo, o noticiário internacional tem trazido notícias sobre incidentes envolvendo furtos e perda de dispositivos móveis. Os profissionais de segurança da informação estão bastante habituados a encontrar situações assim. Há casos célebres envolvendo perda de fitas com dados sobre empregados, notebooks contendo dados do seguro social etc. O FBI, por exemplo, sofreu 160 incidentes deste tipo em quatro anos.
No Brasil, recentemente, tivemos um caso envolvendo o furto de um notebook da Polícia Militar do RJ. Segundo a reportagem o comandante Geral da PM teve seu notebook furtado e as informações sigilosas foram parar nas mãos de criminosos da Favela da Rocinha.
Erros humanos quase sempre estão presentes em casos envolvendo perda de informações confidenciais. Uma pesquisa do IT Policy Compliance Group demonstrou uma estatística interessante sobre a perda de dados: 50% dos incidentes dessa natureza são causados por erros humanos enquanto que a violação das políticas é responsável por 25% dos incidentes.
Em face disso é que a preocupação com a Segurança da Informação não deve ser apenas da equipe de tecnologia. Além do mais, o foco de preocupação não deve ser apenas em cima de computadores, mas em cima do processo como um todo. Assim, a Segurança da Informação deve abranger não apenas a informação digitalizada. Como a própria norma ISO IEC NBR 17799 nos ensina, processos de segurança envolvem Segurança Física, Segurança em Recursos Humanos, análise de requisitos legais em contratos, etc.
Um dos principais motivos para que os profissionais do Direito da Tecnologia devam se preocupar com esses assuntos é o grande auxílio preventivo que atividade jurídica presta em situações dessa natureza. A elaboração de contratos de outsourcing prevendo os termos de responsabilização de cada parte incluindo multas é um ponto muito importante nessa atividade. A previsão, também nos contratos, da observância das normas internacionais de segurança pode ser interessante para nortear a conduta dos envolvidos. Também o auxílio da equipe de Segurança da Informação através da orientação jurídica é outro ponto importante. Ao mesmo tempo, uma análise do eventual risco jurídico envolvendo processos TI é uma atividade que se realizada com a devida atenção pode evitar perdas no futuro. Casos como esse podem gerar muitos processos judiciais além do dano à imagem, sem contar, é claro, os impactos econômicos.
Por outro lado, os especialistas em Segurança da Informação que trabalham com análise de risco sabem que são tomadas decisões sobre de quais os riscos serão suportados ou não pela organização. Uma empresa dificilmente irá controlar e evitar a concretização de todas as ameaças envolvendo a Segurança da Informação. Isso seria virtualmente impossível. Em algumas situações, a empresa pode aceitar suportar um risco advindo de determinada ameaça. Nesses casos, é realizada também uma análise em relação ao custo do controle do risco em questão: caso seja mais caro controlar o risco do que aceitá-lo, provavelmente a organização pode não realizar ações de controle. Ao mesmo tempo, há diversas variáveis envolvendo probabilidade, ativos atingidos, grau de importância do ativo que suportaria o risco, etc. Todas essas atividades podem ser previstas contratualmente. Não raro, prestadores de serviços passam a ter que aderir às políticas de segurança da informação das empresas para as quais trabalham, fato que é determinado nos contratos.
É importante notar que incidentes envolvendo a perda ou furto de dados confidenciais envolvem, entre outras coisas: as disposições contratuais que regem a relação entre as partes envolvidas (e avaliação das práticas de outsourcing); a reavaliação e observação das práticas de Segurança de Informação da organização; o dano à imagem da empresa bem como as repercussões que o fato pode causar no mercado (queda no valor de ações, relação com investidores etc). Além de tudo isso, há também repercussões criminais sobre tais incidentes.
Sabe-se que a manipulação e armazenamento de informações confidenciais em dispositivos móveis, na maioria dos casos, utiliza recursos de criptografia para a segurança. Criptografar informações em dispositivos móveis é um processo relativamente simples e que pode ser feito com baixo custo para uma organização. Existem ferramentas gratuitas e disponíveis na plataforma de software livre oferecendo recursos bastante avançados.
Para a correta aplicação e gerenciamento dos recursos criptográficos o ideal é que isso seja previsto na Política de Segurança. Porém, o ambiente corporativo conhece há muito os problemas relativos a efetiva aplicação e cumprimento. Lembro-me de um excelente artigo publicado no blog do especialista em Segurança da Informação, Anderson Ramos. O nome do artigo é “Como não implementar medidas de segurança“. Lá, ele faz um apanhado de algumas situações e dificuldades na aplicação de controles de segurança da informação. A visão do autor elucida bastante as reais dificuldades encontradas na atividade.
Nos famosos casos americanos em que notebooks são perdidos ou furtados, é comum as imprensa relatar que apesar da política da empresa prever diretrizes acerca da criptografia de dados, os dados envolvidos não estavam criptografados. Essa é outra demonstração das dificuldades envolvendo a aplicação de controles de segurança da informação. Na presente situação, não tivemos conhecimento ainda dos termos da Política de Segurança da Informação da Petrobras. No entanto, é bastante provável que ela preveja o armazenamento criptografado em dispositivos móveis. Além do mais, a empresa não noticiou, mas é possível que tais equipamentos furtados estejam com seus dados criptografados o que faz com que esses dados estejam virtualmente inacessíveis.
Quanto aos aspectos criminais do ocorrido, em primeiro lugar, uma informação básica é que não se trata de roubo de informações. O roubo envolve violência ou grave ameaça à pessoa, o que, em princípio, não houve. Em segundo lugar, se houvesse o roubo, ele seria dos equipamentos e não das informações. Nesse caso, com as informações preliminares, houve (entre outros crimes) um furto qualificado pela destruição de obstáculo. A Polícia Federal trabalha com várias linhas de investigação. Uma delas é realmente a ocorrência de um furto sem que os envolvidos soubessem que se tratava de equipamentos contendo informações sigilosas. Mesmo assim, a linha principal é que realmente a ação tenha sido direcionada para a apropriação das informações.
É importante destacar que ações como essa podem ocorrer com muito mais freqüência do que imaginamos. Uma ação bem sucedida de apropriação de informações especificamente realizada no ambiente digital pode ser feita sem deixar praticamente nenhum vestígio. A interceptação de e-mails e de conversas de Instant Messengers pode ocorrer através da instalação de spywares ou vírus. Redes sem fio também são um vetor para esse tipo de interceptação. Os ataques tem se tornado cada vez mais direcionados. Em geral, ao contrário do que muitas políticas pregam, informações confidenciais transitam por e-mail não criptografado, o que, potencialmente, é um risco para a segurança dessas informações.
Até esse momento, consegui identificar que provavelmente o crime seja tipificado como crime contra a segurança nacional (Lei 7170/83) (além do crime de formação de quadrilha). Diz-se isso uma vez que, segundo comentários da imprensa, estariam em jogo informações atinentes à segurança nacional entregues a grupo estrangeiro. O art. 13 dessa lei dessa lei é claro em definir:
Art. 13 – Comunicar, entregar ou permitir a comunicação ou a entrega, a governo ou grupo estrangeiro, ou a organização ou grupo de existência ilegal, de dados, documentos ou cópias de documentos, planos, códigos, cifras ou assuntos que, no interesse do Estado brasileiro, são classificados como sigilosos.
Pena: reclusão, de 3 a 15 anos.
Parágrafo único – Incorre na mesma pena quem:
…
IV – obtém ou revela, para fim de espionagem, desenhos, projetos, fotografias, notícias ou informações a respeito de técnicas, de tecnologias, de componentes, de equipamentos, de instalações ou de sistemas de processamento automatizado de dados, em uso ou em desenvolvimento no País, que, reputados essenciais para a sua defesa, segurança ou economia, devem permanecer em segredo.
Caso não se trate de informações envolvendo a segurança nacional, entendo que o crime seria caracterizado na Lei de Propriedade Industrial (9279/96). Em geral, esta lei classifica tais crimes como concorrência desleal. Não há no Brasil uma lei definindo o crime de Espionagem Industrial. A tipificação que mais se adequa ao caso, conforme a lei de Propriedade Industrial está no art. 195. Vejamos:
Art. 195. Comete crime de concorrência desleal quem:
XI – divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato;
XII – divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude;
…
Pena – detenção, de 3 (três) meses a 1 (um) ano, ou multa.
Por fim, o presente caso deve servir como fonte de reflexão não só para os advogados que atuam no Direito da Tecnologia como também nos profissionais de Segurança da Informação. É a prova de que a má-gestão da Segurança da Informação pode trazer conseqüências muito maiores do que o comumente imaginado.