Governança Institucional e Cibersegurança


Grupo de Estudos em Direito e Tecnologia da Universidade Federal de Minas Gerais – DTEC - UFMG

Data: 03/05/2022

Relatores: Kamila Karolyne Andrade da Silveira



RANSOMWARE


A discussão foi iniciada com o artigo Wannacry, Ransomware and the Emerging Threat to Corporations, o qual trata dos ataques de ransomware e seus efeitos.


O ransomware pode ser conceituado como um tipo de malware instalado em um computador ou servidor que criptografa os arquivos, tornando-os inacessíveis até que um resgate especificado seja pago. Ele geralmente é instalado quando um usuário clica em um link malicioso, abre um arquivo em um e-mail que instala o malware ou por meio de downloads drive-by (que não exigem a iniciação do usuário) de um site comprometido.


O malware criptografa arquivos e pastas em unidades locais, quaisquer unidades anexadas, unidades de backup e potencialmente outros computadores na mesma rede à qual o computador da vítima está conectado. Usuários e organizações geralmente não sabem que foram infectados até que não possam mais acessar seus dados ou até que comecem a ver mensagens de computador informando-os sobre o ataque e exigindo pagamento de resgate em troca de uma chave de "descriptografia". Essas mensagens incluem instruções sobre como pagar o resgate, geralmente com bitcoins por causa do anonimato que esta moeda virtual proporciona.


Alguns dos efeitos nocivos do ransomware para os usuários e corporações são: a perda de informações confidenciais ou proprietárias, interrupção das operações regulares, perdas financeiras incorridas para restaurar sistemas e arquivos, e o dano potencial à reputação de uma organização.


O artigo lista algumas espécies de ransomware como:


  • AIDS ou PC Cyborg-Trojan: um dos primeiros exemplos de exploração de malware de ransomware remonta a 1989. Esse malware visava instituições e provedores de saúde e foi fornecido às vítimas em um disquete, disfarçado como informações sobre a crise de saúde da AIDS.


  • Police ransomware: tentou extorquir vítimas alegando estar associado à aplicação da lei. Ele bloqueava a tela com uma nota de resgate avisando ao usuário que havia cometido atividade ilegal online, o que poderia levá-lo à prisão.


  • Cryptolocker: e-mails não solicitados contendo um arquivo infectado que se apresenta como um correio de voz ou confirmação de envio são amplamente usados para distribuir o Cryptolocker. Quando abertos, esses anexos infectam os computadores das vítimas.


  • Nymain: criptografava os arquivos de computador das vítimas até que a vítima pagasse um resgate (normalmente em forma de moeda eletrônica) ao cibercriminoso


  • Kelihos Botnet: ameaça mundial que infectou com sucesso dezenas de milhares de computadores em 2017, agindo através da coleta de credenciais de login, distribuição de centenas de milhões de e-mails de spam e instalação de ransomware e outros softwares maliciosos. O malware Kelihos visava computadores que executavam o sistema operacional Microsoft Windows. Os computadores infectados passaram a fazer parte de uma rede de computadores comprometidos conhecida como botnet e eram controlados remotamente por meio de um sistema de comando e controle descentralizado.


  • Golpe de chantagem de adultério: golpista envia uma carta anônima alegando ter descoberto evidências de que o destinatário da carta cometeu atos de adultério. O golpista ameaça revelar as informações ao cônjuge, familiares e amigos do destinatário e exige pagamento em troca de sigilo.


O artigo discutido trata também dos principais alvos de ataques de ransomware. Os hospitais e as escolas são os mais visados. A devastação potencial que pode ser causada quando hospitais e sistemas de saúde perdem acesso a seus EHRs [Registros Eletrônicos de Saúde] e sistemas de computador é o que torna esses tipos de ataques tão atraentes para hackers em potencial.


Um ataque direcionado e generalizado a prestadores de serviços médicos pode colocar vidas em risco. Muitos tipos de máquinas críticas para o tratamento de emergência são computadores. Máquinas de ressonância magnética e ventiladores podem executar software e estar conectados a redes.


O artigo segue tratando da exploração de Locky, que é a forma mais notória de ransomware, sendo capaz de atualizá-lo com novas funcionalidades, incluindo a capacidade de fazer pedidos de resgate em vários idiomas, para que os criminosos possam atingir vítimas mais facilmente em todo o mundo.


Na sequência, o artigo tratou do WannaCry e WannaCry 2.0. Conhecido como WannaCry, Wanna Decryptor ou WCry, o vírus, que foi originalmente desenvolvido pela Agência de Segurança Nacional dos EUA, explora uma vulnerabilidade do Microsoft Windows e opera criptografando os dados da vítima e exigindo o pagamento de um resgate em troca da sua recuperação. Ele bloqueia seu teclado ou computador para impedir que você acesse seus dados até que você pague um resgate, geralmente exigido na [criptomoeda digital anônima] Bitcoin”.


Especialistas em segurança concordam que a Coreia do Norte era responsável por usar o exploit ENTERNALBLUE da NSA para projetar o vírus WannaCry. As vítimas mundiais da exploração WannaCry incluíram: a americana FedEx, a espanhola Telefónica, a gigante russa de telecomunicações MegaFon; Ministério do Interior russo e montadora romena Dacia; e um efeito negativo desproporcional na China devido ao software pirata.


Em 2014 um grupo de hackers que se autodenomina Guardiões da Paz publicou uma parcela de e-mails pessoais e informações embaraçosas sobre os executivos da Sony Pictures. Eles ameaçaram causar mais danos se a Sony não cancelasse o lançamento de The Interview”. Depois de realizado, os norte-coreanos estavam nos sistemas da Sony Pictures há semanas, até meses. O ataque cibernético de 2014 da Sony Pictures Entertainment foi uma violação das comunicações corporativas, estratégia e ativos de entretenimento. O que diferencia o ataque da SONY dos outros é que este é um dos primeiros atribuídos a um ator do estado-nação que visa uma corporação dos EUA, a SONY Pictures Entertainment.


Em agosto de 2016, um grupo conhecido apenas como “Shadow Brokers” começou a liberar e leiloar um conjunto de armas cibernéticas pertencentes ao altamente secreto Escritório de Operações de Acesso Personalizado (“TAO”) da Agência de Segurança Nacional dos EUA (“NSA”).


Os Shadow Brokers divulgaram vários vazamentos ao longo do segundo semestre de 2016, incluindo ferramentas digitais para explorar firewalls e infraestrutura de rede projetadas por empresas como Cisco, Juniper, Fortinet e Huawei, uma empresa chinesa.


Então, em 14 de abril de 2017, o grupo lançou outro conjunto de ferramentas desenvolvidas pela NSA dos EUA. Entre esses caches de 14 de abril estava um exploit de dia zero do Microsoft Windows conhecido como ETERNALBLUE. Um exploit de dia zero é “vulnerabilidade de software para a qual nenhum patch ou correção foi lançado publicamente”.


Em maio de 2017, um ataque de ransomware conhecido como WannaCry 2.0 infectou centenas de milhares de computadores em todo o mundo, causando grandes danos, incluindo um impacto significativo no Serviço Nacional de Saúde do Reino Unido. O Conspiracy está ligado ao desenvolvimento do WannaCry 2.0, bem como a duas versões anteriores do ransomware, por meio de semelhanças na forma e função com outros malwares desenvolvidos pelos hackers, e pela disseminação de versões do ransomware pela mesma infraestrutura usada em outros cybers-ataques.


De acordo com as alegações contidas na denúncia criminal, que foi apresentada em 8 de junho de 2018 no tribunal federal de Los Angeles, e divulgada hoje: Park Jin Hyok, foi um programador de computador que trabalhou por mais de uma década para a Chosun Expo Joint Venture.


A Chosun Expo Joint Venture tinha escritórios na China e na RPDC e é afiliada ao Lab 110, um componente da inteligência militar da RPDC. Além da programação feita por Park e seu grupo, para pagamento clientes em todo o mundo, a Conspiração também se envolveu em atividades cibernéticas maliciosas. Pesquisadores de segurança que investigaram independentemente essas atividades se referiram a essa equipe de hackers como o “Grupo Lazarus”. Os métodos da conspiração incluíam campanhas de spear phishing, ataques destrutivos de malware, exfiltração de dados, roubo de fundos de contas bancárias, extorsão de ransomware e propagação de vírus “worm” para criar botnets.


Park e seus co-conspiradores foram vinculados a esses ataques, invasões e outras atividades maliciosas habilitadas para cibernética por meio de uma investigação completa que identificou e rastreou: contas de e-mail e de mídia social que se conectam entre si e foram usadas para enviar mensagens de spear phishing; aliases, “contas de colecionador” de malware usadas para armazenar credenciais roubadas; bibliotecas de códigos de malware comuns; serviços de proxy usados para mascarar locais; e endereços IP norte-coreanos, chineses e outros. Parte dessa infraestrutura maliciosa foi usada em várias instâncias das atividades maliciosas descritas aqui. Tomadas em conjunto, essas conexões e assinaturas – reveladas em gráficos anexados à denúncia criminal – mostram que os ataques e intrusões foram perpetrados pelos mesmos atores.


Com relação ao WannaCry, Bitcoin e moedas digitais, embora não seja “irrastreável ou completamente anônimo”, o “[b]itcoin é atualmente a criptomoeda mais popular. Inúmeros estudiosos discutiram o papel fundamental que o bitcoin desempenha no sucesso de empresas criminosas e ransomware recente. Mas as novas moedas cibernéticas “afirmam fornecer total anonimato e não rastreabilidade, e provavelmente serão preferidas no futuro por gangues cibernéticas para tornar o trabalho de aplicação da lei no rastreamento do fluxo de dinheiro quase impossível.


Em se tratando dos ataques petya e notpetya, o artigo traz o conceito de petya como sendo um tipo de ransomware que se propaga usando um anexo de email. A primeira iteração apareceu em março de 2016 e chegou às caixas de entrada das vítimas como o currículo de um candidato a emprego com um arquivo executável anexado.


Se uma vítima baixasse o arquivo, a vítima seria solicitado pelo aviso do Controle de Acesso do Usuário do Windows de que o arquivo executável deseja fazer alterações no computador. Se uma vítima permitisse que o malware fizesse alterações, o computador seria reinicializado; ao reiniciar, os arquivos da vítima seriam criptografados e uma mensagem de resgate seria exibida.


O modo de criptografar os arquivos de uma vítima do Petya é mais sofisticado do que os tipos anteriores de malware, e uma iteração posterior do Petya incluiu um segundo mecanismo alternativo— NotPetya Malware.


Em junho de 2017, uma versão nova e muito mais perigosa do Petya causou estragos internacionais. Muitas pessoas inicialmente acreditavam que era apenas um passo evolutivo rotineiro no desenvolvimento do Petya – uma versão do Petya que usava o exploit ETERNALBLUE, em vez de depender de usuários concedendo permissões. NotPetya não é, tecnicamente, ransomware. Embora ele criptografe os arquivos do computador da vítima, ele o faz de forma irreversível. Assim como o WannaCry, o NotPetya se espalha usando o ETERNALBLUE zero-day. Os erros bastante fundamentais que impediram a proliferação do WannaCry – ou seja, ele omite o infame “kill switch” do WannaCry, o que significa que a única maneira de se proteger contra o NotPetya é instalar o patch do Windows. Malware ganha direitos de administrador, ele criptografa o registro mestre de inicialização (MBR), tornando os computadores Windows infectados inutilizáveis.


Não há evidências de uma relação entre a chave de criptografia e o ID da vítima, o que significa que pode não ser possível para o invasor descriptografar os arquivos da vítima, mesmo que o resgate seja pago. Ele se comporta mais como malware destrutivo do que como ransomware.


O mecanismo de entrega do NotPetya durante o evento de 27 de junho de 2017 foi determinado como sendo o software de contabilidade fiscal ucraniano, MEDoc. Os agentes de ameaças cibernéticas usaram um backdoor para comprometer o ambiente de desenvolvimento do MEDoc já em 14 de abril de 2017. Esse backdoor permitiu que o agente da ameaça executasse comandos arbitrários, filtrasse arquivos e baixasse e executasse explorações arbitrárias no sistema afetado. NotPetya também possui um mecanismo para infectar computadores que foram corrigidos. Esse segundo mecanismo é chamado de Mimikatz, e o Mimikatz é capaz de extrair a senha de um usuário do Windows da RAM de um computador.


O artigo aborda o BYOD (Bring Your Own Data), IoT e escalonamento de vulnerabilidades.

O uso de laptops pessoais, smartphones, iPads e qualquer um dos inúmeros outros dispositivos digitais pessoais interconectados com funcionários expõem os sistemas de dados corporativos às vulnerabilidades residentes nos dispositivos dos funcionários.


A Internet das Coisas (IoT) está chegando, e está chegando mais rápido do que você imagina. E à medida que esses dispositivos se conectam à Internet, tornam-se vulneráveis a ransomware e outras ameaças de computador. O artigo aborda também o tema da governança e aplicação do modelo de segurança ormerod-trautman.


Responsabilidades Legais e Deveres dos Diretores


Casos de crise corporativa, “[s]eja qual for a causa, espera-se que o Conselho atue de forma rápida e eficaz para mitigar os danos à empresa.” A base da governança corporativa é construída sobre os principais deveres de diretores corporativos: o dever de cuidado, o dever de lealdade e o dever de boa-fé.


Dever de Cuidado


O dever de cuidado especifica a maneira pela qual os diretores devem cumprir suas responsabilidades legais. O dever de diligência surge tanto no contexto da tomada de decisões discretas como nas áreas de supervisão e monitorização. Os diretores nesse cenário têm a obrigação de obter e agir com o devido cuidado em todas as informações materiais razoavelmente disponíveis.


De acordo com a decisão da Corte, no entanto, os líderes corporativos agora também devem adotar estratégias para gerenciar interrupções e crises generalizadas de infraestrutura resultantes de ataques terroristas anteriormente imprevisíveis ou falhas de infraestrutura não maliciosas.


Dever de Boa Fé


Um diretor deve ser capaz de demonstrar que agiu de “boa fé” para invocar efetivamente a regra de julgamento de negócios na defesa contra uma reclamação por violação do dever fiduciário.


Diretores podem ser responsabilizados pessoalmente por mau comportamento corporativo se sua conduta evidenciar motivação imprópria ou má vontade, um desrespeito imprudente de riscos conhecidos, uma falha sustentada em supervisionar a administração, ou é tão flagrante que é inexplicável por qualquer outro motivo que não seja má-fé, no gerenciamento de riscos corporativos cibernéticos.


Modelo Ormerod-Trautman de Maximização de Lucros de Segurança


Medidas de segurança zero resultam em zero usuários e, portanto, zero lucratividade (eficiência). Mas, à medida que a segurança corporativa melhora, um número crescente de usuários confia na empresa com suas PIIs (Informações de Identificação Pessoa), e o risco de violação de dados e perda de PII dos usuários diminui, o que contribui para aumentar a lucratividade (eficiência).


Em um ponto em que o número de usuários é maximizado, o aumento das medidas de segurança (gastos em segurança cibernética) resulta em limitar a usabilidade dos dados/site e, assim, diminuir a lucratividade (eficiência).


Para organizações sem fins lucrativos, o Modelo Ormerod-Trautman pode ser reformulado para ilustrar o nível de segurança de “minimização de custos”. Há relação entre segurança de dados e eficiência empresarial. Executivos e diretores corporativos devem buscar ativamente o nível de segurança de dados de sua empresa que maximiza o lucro.


Fontes de autoridade legal de segurança cibernética


As obrigações da organização para implementar sistemas de segurança de dados são “estabelecidas em uma colcha de retalhos cada vez maior de leis, regulamentos e fiscalização estaduais, federais e internacionais.


Existem muitos tipos diferentes de estatutos e regulamentos que possuem componentes de segurança digital; isso inclui leis de privacidade, leis de segurança de dados, leis de transações eletrônicas, leis de governança corporativa, práticas comerciais injustas e enganosas e leis de proteção ao consumidor e leis de notificação de violação.

A Necessidade de Implementar um Protocolo WISP


Das autoridades discutidas acima que impõem um dever de segurança de dados, a maioria simplesmente afirma que existe “uma obrigação de implementar medidas de segurança 'razoáveis' ou 'apropriadas'”, mas elas “fornecem pouca ou nenhuma orientação sobre o que é necessário para a conformidade legal.


É necessário que as empresas passem por um “processo” e determinem quais medidas de segurança são mais apropriadas para as necessidades de segurança da empresa.

Para satisfazer um padrão de atendimento “razoável” ou “apropriado” para o dever de fornecer segurança deve seguir as seguintes premissas:


  • “Atribuir Responsabilidade”: designar funcionários responsáveis pela manutenção do programa de segurança de dados.


  • “Identificar ativos de informação”: ativos de informação que requerem proteção(dados e distemas).


  • “Realizar avaliação de risco”: riscos internos e externos + avaliar a eficácia das práticas atuais da empresa para proteger e minimizar os riscos.


  • “Selecionar e implementar controles de segurança responsivos”: controles de segurança físicos, administrativos e técnicos.


  • “Monitorar Eficácia”: monitorar, testar e reavaliar os controles de segurança


  • “Revisar regularmente o programa de segurança”:revisar e ajustar seu programa de segurança de dados pelo menos uma vez por ano.


  • “Resolver problemas de terceiros”: verificar se todos os provedores de serviços terceirizados que têm acesso aos ativos de dados têm a capacidade de proteger.


O Centro Nacional de Integração de Comunicações e Cibersegurança do Departamento de Segurança Interna dos EUA (NCCIC) recomenda a seguinte higiene básica para se defender contra ransomware:


  • Certifique-se de que o software antivírus esteja atualizado.


  • Implemente um plano de backup e recuperação de dados para manter cópias de dados confidenciais ou proprietários em um local separado e seguro.


  • Examine os links contidos em e-mails e não abra anexos incluídos em e-mails não solicitados.


  • Faça download apenas de software — especialmente software gratuito — de sites que você conhece e confia.


  • Habilite patches automatizados para seu sistema operacional e navegador da Web.


DISCUSSÃO RANSOMWARE


No curso das discussões acerca do tema foi tratada a questão dos mecanismos de recuperação de dados. Com o crescimento e difusão no mercado da computação em nuvem, o backup de dados usando esse sistema é cada vez mais comum, e o questionamento que surge é com relação à responsabilidade no caso de ciberataques (o que inclui os ataques ransomware). A discussão se pautou na cadeia de responsabilidade, ou seja, se nesses casos haveria responsabilidade compartilhada entre o provedor de nuvem e o proprietário do dado armazenado.


Outro ponto de discussão entre os membros foi a questão da forma como as micro, pequenas, e até médias empresas nacionais se protegeriam dessas novas ameaças de ataque cibernético, considerando o custo e as práticas envolvidas para proteção nesses casos. Argumentou-se que das boas práticas de proteção a ciberataques indicadas pelo artigo, as empresas nacionais não estariam aderindo, seja por questões de custo, e até culturais (como não sofreram ataque direto, acreditam que a ameaça está distante), o que representa grande risco para suas atividades, uma vez que a ameaça existe e está cada vez mais próxima.


Por fim foi discutida a forma como os malwares do tipo NotPetya atuariam e os motivos técnicos que justificariam a impossibilidade de reversão do bloqueio ao acesso dos dados que é gerado pelo ataque dessa espécie (impossibilidade de gerar uma chave de descriptografia).


HACK BACK


A discussão se seguiu com o artigo Proactive Cybersecurity: Comparative Industry and Regulatory Analysis, o qual trata da cibersegurança proativa ou “defesa ativa”.


As organizações devem adotar uma abordagem enxuta que caça ativamente ameaças novas e invisíveis (abordagem lean-forward), no lugar de esperar passivamente por ataques, o que inclui as melhores práticas tecnológicas que vão desde análises em tempo real até auditorias de segurança cibernética que promovem a resiliência integrada.


Permanece a ambiguidade em relação à legalidade de algumas defesas ativas, incluindo não apenas “hack back”, mas também “honeypots” e compartilhamento de informações.

Empresas proativas de segurança cibernética prosperaram em parte por causa da confluência de três forças:


  • a tendência geral para a segurança privada e a crescente conscientização de insegurança cibernética;


  • a natureza única da segurança cibernética;


  • e o movimento em direção estruturas regulatórias de baixo para cima;


A lei está irremediavelmente desatualizada e os formuladores de políticas estão atrasados em relação a esses desenvolvimentos (setor privado assumiu a liderança no desenvolvimento de normas da indústria).


Tanto os conceitos quanto o jargão de “defesa ativa” e “segurança cibernética proativa” estão enraizados em tradições militares, mas, este termo "se infiltrou no setor privado".


A evolução da defesa cibernética ativa


Consciência das empresas no final dos anos 1990 e início dos anos 2000.

Explorar o papel de ferramentas como honeypots, que são servidores ou sistemas chamariz configurados para coletar informações sobre intrusos.


Defesa passiva era inadequada em ciberespaço porque permitiu que os riscos percebidos pelos invasores permanecessem “quase nulos”, criando um desequilíbrio de custo-benefício que favorecia significativamente os invasores.


No início e meados dos anos 2000, a adoção de tecnologias proativas de segurança cibernética foi limitada; primeiros exemplos incluem empresas de combate à pirataria e empresas (ou indivíduos) tentando reduzir os efeitos de spam ou worms.


Muitas empresas adotaram uma abordagem à cibersegurança, optando por responder às crises à medida que se materializavam devido à difícil análise de custo-benefício em torno de seus esforços.


Incerteza Legal e Computer Fraud and Abuse Act


Chamado “internet hack back” representa autodefesa ou vigilantismo – um debate que persiste hoje, Os pesquisadores perguntam se defensores ativos ou terceiros não maliciosos, cujos computadores contribuem para uma botnet, devem ser responsabilizado por qualquer dano de contra-ataque, mesmo que se reconheça tal contra-ataques como autodefesa.


Questões legais adicionais podem ser levantadas se os defensores acessarem informações protegido por outras leis. A forma como as informações são tratadas quando coletadas em honeypots pode ser legalmente obscura. Embora o compartilhamento de informações sobre ameaças seja a melhor prática proativa que muitas organizações utilizam, tal compartilhamento também pode às vezes ser limitado por ambiguidades legais.


Análise comparativa do regulamento proativo de segurança cibernética


A regulamentação proativa de segurança cibernética em um contexto global mais amplo: nações do G8.


Estudo de caso comparativo aprofundado: comparando as experiências dos EUA e do Reino Unido com a cibersegurança proativa.


1. Computer Fraud and Abuse Act (“CFAA”):


  • criminaliza “acesso não autorizado” a um computador ou “transmissão não autorizada” de coisas como malware, bem como danificar um computador ou rede protegido, obter e traficar informações privadas e afetar o uso de um computador.


  • Traços gerais da CFAA proíbem as empresas de infiltrar ou manipular redes de ataque, mas se as supostas vítimas de um contra-ataque são menos simpáticas, então os tribunais também podem interpretar favoravelmente as ações de defesa ativa.


  • Defensores que recuperam seus dados roubados não podem violar a CFAA acessando - sem "autorização" - o computador de um invasor porque os defensores são autorizados pela propriedade de dados apreendidos ilegalmente, como segredos comerciais, no computador desse invasor.


  • A CFAA protege o direito dos proprietários do computador e não dos proprietários dos dados, portanto, a Baker não pode burlar a autorização de requisitos, fazendo valer os direitos dos defensores aos seus próprios dados.


2. Computer Misuse Act (“CMA”)


  • não fornece uma definição explícita de “computador”, “programa” ou “dados”, permitindo que essa ambiguidade de definição seja resolvida por os tribunais; baseia-se no conceito de “autorização” para fazer a maior parte de sua trabalho interpretativo;


  • uso de negação de serviço (“DoS”) - CMA não cobriu o ato, pois um servidor autoriza implicitamente o recebimento de e-mail;


  • “medidas ativas” como a verificação proativa de clientes para identificar possíveis falhas de segurança, que eles discutiram não se estenderam explicitamente a atividades criminosas.


CMA e CFAA, o sistema de alívio do Reino Unido também é diferente do modelo dos EUA, pois permite processos privados como um remédio adicional para as partes lesadas. No CMA utiliza o termo protetor em vez de protetor do computador, o que significa que pode ser mais passível de defesa ativa do que o CFAA. Assim, engajar-se em defesa ativa é implicitamente autorizada quando criminosos roubam ou subvertem os dados de uma empresa. Tribunais britânicos podem, portanto, ver a defesa ativa de forma mais favorável do que alguns tribunais dos EUA. Ambos estão desatualizados.


Regulamentando o “Acesso Não Autorizado” no G8


Ataques cibernéticos impactam as operações de empresas multinacionais todos os dias e muitas vezes passam por uma miríade de jurisdições em seu caminho de e para sistemas direcionados, abrindo a porta para cenários confusos de conflito de leis.


Cada nação do G8 tem uma lei nos livros que regula o “acesso não autorizado” em maior ou menor grau, focado em criminalizar o hacking (em vez de “hack back”). Imposição de multas e prisão, embora a quantidade de cada um varie muito. Muitas das leis também são escritas de forma bastante ampla. Uma área de divergência entre o G8 é o grau de proteção necessário para uma violação ocorrer (necessidade, ou não, de existir sistema de segurança ou proteção para o sistema de computador ou dados violados). Divergência política também pode estar ocorrendo (Rússia).


Entendendo a Nova Abordagem de Cingapura


Cingapura, um importante centro financeiro mundial, foi vítima de uma série de perfis de ataques e violações nos últimos anos. Existem estratégias nacionais multifacetadas para promover a segurança cibernética em nível sistêmico.


O Computer Misuse and Cybersecurity Act (CMCA), de 2014, é significativo na medida em que cria um meio-termo no domínio da defesa ativa: embora não legalize totalmente a defesa ativa privada, cria um mecanismo de defesa ativa sancionada pelo Estado para proteger a infraestrutura nacional crítica permitindo a emissão governamental de certificados direcionado a “pessoas especificadas” para prevenir, detectar ou combater ameaças específicas a infraestrutura.


Autoriza a pessoa especificada a realizar ataques preventivos contra ameaças cibernéticas percebidas. No que diz respeito a atividades de defesa ativa mais agressivas, como “hack back”, as principais preocupações há muito tempo são que o uso dessas tecnologias por atores privados pode aumentar os conflitos cibernéticos ou ser dirigido contra as entidades erradas, especialmente devido às dificuldades técnicas e legais.


Os benefícios de se usar atores privados como respondentes primários a ameaças cibernéticas são manter a responsabilidade e limitar a extensão em que as “pessoas” privadas podem agir. Porém, um sistema excessivamente burocrático pode simplesmente ser muito lento para permitir uma resposta significativa. A ênfase tem sido em moldar o ambiente legal para “acesso não autorizado”.


DISCUSSÃO HACK BACK


No curso das discussões acerca do tema foram abordadas:


  • a questão da legítima defesa digital, ou seja, se a teoria poderia ser aplicada ao hack back e qual seria o conceito de proporcionalidade para esses casos;


  • a questão da extraterritorialidade dos servidores de dados, sendo que os servidores muitas vezes estão distribuídos em vários países e é difícil saber onde dos dados estão armazenados;


  • a existência de LGPD penal e o projeto de lei nacional;


  • a questão da transferência internacional de dados e o artigo 33 da LGPD (aplicável a computação em nuvem);


  • a utilização de cláusulas genéricas nos termos de uso disponibilizados pelas mais diversas plataformas e ferramentas web (Termos de Serviço da AWS e o Apocalipse Zumbi);


  • a aplicabilidade da teoria da culpa in eligendo nos casos de ciberataque (analise do artigo 42 da LGPD);


  • os impactos da boa governança de dados na responsabilidade civil (hipóteses de mitigar os efeitos) e suas funções para além daquela reparatória (p. ex. educação digital);


  • responsabilidade civil objetiva e subjetiva na LGPD (discussão em aberto);


  • a existência de mecanismos de rastreabilidade das criptomoedas e a evasão de divisas com o uso de carteiras não rastreáveis.


Bibliografia Base


-TRAUTMAN, Lawrence. ORMEROD, Peter C. Wannacry, Ransomware and the Emerging Threat to Corporations.


-CRAIG, Amanda. SCHACKELFORD, Scott, HILLER, Janine. Proactive Cybersecurity: Comparative Industry and Regulatory Analysis.


Bibliografia Complementar


https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/333515/protecao-de-dados-pessoais-e-aspectos-criminais--breves-reflexoes


https://www.livrariart.com.br/compliance-e-politicas-de-protecao-de-dados-9786559915408/p