Resumo
Na sociedade em que o bem mais valioso é o conhecimento humano, a discussão acerca da segurança da informação, ganha contornos de extrema relevância. A influência, o impacto e as soluções que o direito, em conjunto com outros campos inter-relacionados da atuação humana, busca para disciplinar as relações daí oriundas constituem o tema deste trabalho, que procura a definição dos conceitos, a compreensão dos mecanismos técnicos integrantes, e a análise comparativa de resultados e números que demonstram o alcance e a importância jurídica da matéria em comento.
Aborda-se o estudo de aspectos como o direito à privacidade, experiências de ataques e invasões a sistemas de informação, bem como de acidentes e circunstâncias que implicam em perda de dados. A isso, alia-se a observação dos instrumentos legais hoje disponíveis, concernentes à normatização de relações jurídicas empresariais envolvendo a Tecnologia e a Segurança da Informação.
Por fim, faz-se referência aos aspectos da responsabilidade civil decorrente destas relações, com a finalidade de estreitar a compreensão do fenômeno e de municiar as empresas e os profissionais a elas relacionados com um instrumento de apoio à avaliação de riscos com respeito à segurança da informação, e suas implicações e conseqüências jurídico-legais.
George Orwell, 1984.
O desenvolvimento da sociedade contemporânea - a sociedade da informação -, na qual destaca-se como principal capital o conhecimento humano (1), traz consigo, tanto a necessidade de reavaliação de determinados conceitos e procedimentos técnicos, quanto de elaboração e definição de novos métodos e princípios que haverão de nortear e de buscar conferir equilíbrio às relações entre os indivíduos desta própria sociedade.
A informação, produto direito deste capital do conhecimento humano, é um dos bens de maior valia neste novo panorama mundial. Por esta razão, a sua guarda e a sua manutenção para uso eficiente e seguro deve ser objeto de preocupação de todos os segmentos da sociedade.
Com efeito, o tema já preocupa e ocupa diversas áreas da atuação humana, desde a Tecnologia da Informação, que procura desenvolver ferramentas, aplicativos e técnicas que venham a possibilitar o controle prático e efetivo desta segurança, passando pela Administração, que procura soluções para o gerenciamento das questões e dos recursos humanos envolvidos na manutenção da integridade de dados, chegando até o Direito, que, enquanto sistema normativo, tem como função precípua o estabelecimento de critérios que tornem a convivência social pacífica e equilibrada.
O impacto do problema no Direito é claro, à medida em que o uso indevido, inadequado e desautorizado da informação tende a causar significativos prejuízos, danos de naturezas e volumes os mais diversos, que, já começando a ser quantificados pelas empresas, reclamam reparação.
Dentro, ainda, do próprio Direito, é fácil constatar que o problema alcança vários de seus ramos. A segurança da informação suscita discussão em matéria de Direito Administrativo, vez que o Estado passa a valer-se de grandes bancos de dados públicos para tornar determinados serviços mais ágeis e acessíveis à população. O Direito Penal, por sua vez, não pode estar alheio à questão, dado que tem urgência em tipificar as condutas violadoras dos seus princípios, de forma a fazer com que aquelas que porventura mostrem-se mais danosas tenham punição mais gravosa. O escopo deste trabalho, porém, há de se restringir a uma análise do problema no plano cível, comercial, empresarial, sem descuidar de traçar, quando cabível, os devidos paralelos com os demais segmentos do direito.
Inobstante a escassa literatura técnico-científica acerca do tema, pesquisas e estatísticas têm sido feitas com surpreendente regularidade, o que demonstra a urgente necessidade da compreensão fática do fenômeno.
O sigilo, a privacidade e a certeza não são os únicos problemas trazidos pela necessidade de segurança da informação.
Recente pesquisa realizada pelo instituto Forrester Research dá conta de que em 62% das empresas americanas os funcionários acessam sites de sexo e de bate-papo durante o expediente. Pelas contas do instituto, isso representa uma perda anual de 470 milhões de dólares em produtividade. (2) Um outro estudo, desta vez do SurfWatch, revela que mais de 25% do tempo gasto pelos funcionários conectados à Internet não tem nenhuma relação com trabalho. (3) Perdas acidentais de dados, por sua vez, representam semelhante potencial de prejuízo, pelo que requerem igual tratamento de cautela.
São estas circunstâncias, que atentam diretamente contra a segurança da informação, e que, portanto, representam séria ameaça de dano e de prejuízo para as empresas, que serão objeto do estudo que segue, observadas sob a ótica da legislação, da doutrina jurídica e da tecnologia disponível.
A Necessidade da Informação Segura
Um dos pontos determinantes na aceleração do desenvolvimento das relações de comércio, prestação de serviços, e das demais relações empresariais é o aspecto da segurança da informação que se troca ou armazena para posterior utilização.
O domínio da informação sempre teve fundamental importância para as corporações, sendo indispensável arma, do ponto de vista estratégico e empresarial. Dispor da informação correta, na hora adequada, significa ter um suporte imbatível para a tomada ágil e eficiente de decisão.
Obviamente, da forma como hoje é manipulada e armazenada, quando se faz extensivo uso dos meios e equipamentos eletrônicos, a informação passou a ser objeto de preocupação dos profissionais de Tecnologia da Informação, responsáveis pelos métodos de tratamento e pela sistematização dos dados, de modo a formar a referida base confiável para processos decisórios.
Contudo, dado o volume mundial de transações, sua expressividade no mundo de hoje, e o seu valor - patrimonial, inclusive –, o problema não pode deixar de importar ao Direito, mais uma vez chamado a intervir em nova manifestação de um fenômeno social, para regulamentá-lo.
A informação segura pressupõe requisitos (4) básicos,a saber:
- autenticação - a identidade de quem acessa os dados deve ser expressamente determinada;
- confidencialidade – proteção dos dados ou comunicações, através de técnicas específicas de segurança, contra acesso não autorizado;
- autorização - limitação ao uso dos dados disponíveis, a depender das permissões e dos poderes que deve ter cada usuário;
- privacidade na localização - consistente na vedação de acesso indevido às áreas de localização (física) da informação.
Todos os requisitos acima, que são aplicáveis tanto à informação disponível na Internet quanto àquela restrita a uma máquina standalone ou a uma rede local, levam em consideração números, pesquisas e estatísticas obtidas por empresas especializadas em segurança, números estes que ajudam na adoção das contra-medidas cabíveis.
Recente pesquisa do Computer Security Institute garante que 75% dos servidores Web são vulneráveis à invasões. De acordo com Leonardo Scudere, com toda esta mudança, muitos dos sistemas de segurança utilizados atualmente pelas empresas são pobres, trabalham de forma centralizada, estando preparados apenas para deter ameaças menores. Na Nova Economia, a segurança deve ser boa o suficiente para permitir o acesso de diferentes pontos, gerenciar todos os usuários cadastrados e usar software de detecção de intrusos. (5)
E esse é, exatamente, um dos grandes desafios dos profissionais envolvidos com os problemas técnicos relativos à segurança da informação. É preciso buscá-la, mas sem ir de encontro à enorme tendência de flexibilização e de agilidade que vivem os mercados, de forma que as transações sejam realizadas da maneira mais conveniente – e segura – possível.
O Consultor Sidney Fabiani, diretor de Marketing da Internet Security Systems - ISS, lembra que apenas 5% das empresas utilizam softwares de detecção de intrusos. Este tipo de software é o mínimo que uma empresa deve ter para evitar problemas de segurança. (6)
Realmente, a grande causa dos problemas de segurança que hoje afligem as empresas é relativa ao acesso não autorizado da informação. No entanto, entre as ameaças mais freqüentes de falhas de segurança, estão aquelas que ocorrem pela porta da frente, isto é, o acesso ou o uso indevido por um funcionário da própria empresa, esteja ele insatisfeito ou mal-intencionado.
A 7ª Pesquisa Nacional sobre Segurança da Informação, realizada pela Módulo Security Solutions, divulgada no dia 30 de julho do corrente ano de 2001, após entrevistar 165 executivos de grandes empresas, tanto do setor público quanto do privado, nas mais variadas áreas de atuação, apontou o usuário interno como o mais propenso a causar problemas de segurança na empresa, seja em virtude de insatisfação, de vazamento de informação, de fraude, de espionagem ou até mesmo de sabotagem.
O mundo com Internet, ainda segundo Scudere, acaba por aumentar a insegurança das empresas. Os sistemas de hoje não são acessados somente pelos funcionários de uma empresa, mas também pelos fornecedores, clientes e parceiros. Os dados e aplicações não são mais centralizados. E o controle do sistema passa das mãos do gerente de informática (que até então decidia quem teria acesso a que) para a do homem de negócios (gerente de produto, comercial), que acaba por se preocupar mais com o faturamento do que com a segurança em si.
Até o fim do ano o crime eletrônico deverá causar um prejuízo de 10 bilhões de dólares aos Estados Unidos contra os 266 milhões de dólares de 1999, revela a já mencionada pesquisa do Computer Security Institute. As perdas ocasionadas pela falta de segurança nos sistemas das empresas envolvidas com o B2C (business to consumer) e o B2B (business to business) crescem na mesma proporção que a explosão da Internet.
Números da Pesquisa de Segurança da Revista Information Week também revelam somas alarmantes referentes às perdas financeiras decorrentes de falhas na segurança de informação nas empresas. (7)
Por esta razão, estudo da McKinsey (8), indica que os e-business ligados a empresas de tijolo e cimento têm duas vezes mais chance de serem lucrativos do que as start-ups puras, pois se beneficiam da marca e do marketing de suas congêneres, o que acaba por associá-las a uma idéia de maior confiabilidade, cativando clientes mais conservadores.
Ainda de acordo com a pesquisa da Módulo, a contaminação por vírus e os ataques de hackers representam parcela significativa das ameaças à segurança nas corporações. O Brasil deve tomar especial cuidado com os números. Dos dez grupos de hackers mais ativos no mundo, cinco são brasileiros. Até o dia 22 de agosto de 2001, eles haviam invadido cerca de 3.000 sites. (9)
O estado-da-arte da tecnologia permite que se estabeleçam estágios de proteção diferentes para categorias de informação que requeiram maior ou menor nível de segurança. Com efeito, nem toda a sorte de informação é crucial ou essencial a ponto de merecer cuidados manifestamente especiais. Por outro lado, determinada informação pode ser tão vital que o custo de sua integridade, qualquer que seja, ainda será menor que o custo de não dispor dela adequadamente.
Dmitri Abreu (10), e Sean Boran (11) expõem, de forma bastante clara, a necessidade de classificação da informação em níveis de prioridade, obviamente, conforme a necessidade de cada empresa, bem como conforme a vitalidade daquela classe de informação para a manutenção das atividades da empresa:
- pública – informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da empresa, e cuja integridade não é vital;
- interna – o acesso a esse tipo de informação deve ser evitado, embora as conseqüências do uso desautorizado não sejam por demais sérias. Sua integridade é importante, porquanto não seja vital;
- confidencial – informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente;
- secreta – informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas. A manipulação desse tipo de informação é vital para a companhia.
De forma que, tanto os cuidados, quanto a responsabilidade e o grau de envolvimento do pessoal eventualmente envolvido com a produção, guarda, manutenção e manipulação da informação devem obedecer a determinados critérios de classificação da importância e do nível de dependência da empresa com relação à referida informação.
Privacidade - The right to be left alone
The right to be left alone – the most comprehensive of rights and the right most valued by a free people.
Juiz Louis Brandeis, Olmstead v. U.S. (1928)
Obviamente, sempre que se fala em acesso à informação, deve-se lembrar que, em um estado democrático de direito, a intimidade e a vida privada são garantias constitucionais, e a mera ameaça a qualquer desses direitos é causa de grande comoção e movimentação social. A Constituição Federal, em seu art. 5º, incisos X e XII, dispõe, verbis:
X -... são invioláveis a intimidade, a vida privada, a honra e a intimidade das pessoas, assegurado o direito à indenização pelo dano material ou moral decorrente de sua utilização.
XII -... é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investiga;cão criminal ou instrução processual penal.
Assim sendo, é de se esperar que o respeito à privacidade seja uma das grandes preocupações no tratamento seguro da informação. Por outro lado, a discussão a esse respeito é delicadíssima, visto que a autenticação, a identificação, conforme já exposto, são requisitos essenciais para que o acesso adequado à informação armazenada em meios eletrônicos possa ser devidamente controlado.
A questão é complexa, e de sua discussão se ocupam renomados autores, evidentemente preocupados com o inegável direito do cidadão à preservação de seus direitos, mas igualmente cônscios de que a proteção à integridade dos dados constitui uma garantia para este mesmo cidadão. Neste sentido, o eminente constitucionalista José Afonso da Silva comenta, com propriedade:
O perigo é tão maior quanto mais a utilização da informática facilita a interconexão de fichários com a possibilidade de formar grandes bancos de dados que desvendem a vida dos indivíduos, sem sua autorização e até sem seu conhecimento (12)
Ora, é virtualmente impossível ao cidadão comum, ainda que lhe seja dado o direito de controlar a disponibilidade de suas informações pessoais nesses gigantescos e infindáveis bancos de dados, exercer, de fato, este direito. Se a parcela da vida humana que é monitorada, observada pelos outros no contexto dia-a-dia, ainda que volátil e temporária, já é suficientemente exposta a público, o que dizer da parcela de vida que é pesquisável, infinitamente menos transitória, que deixa rastros e registros escritos, visíveis e indeléveis? (13)
Cada dia mais os serviços de e-government ganham espaço, deixando as funções do estado mais acessíveis e as suas atitudes e políticas mais transparentes, o que parece ser muito positivo. Contudo, para que isso possa ser operacionalizado, enormes bases de dados públicas têm que ser criadas e disponibilizadas para acesso remoto. Sem uma política consistente de segurança, será informação privada – toneladas dela – exposta a quem quer que tenha acesso a um computador e um canal de acesso à rede, o que, admita-se, pode vir a ter conseqüências desastrosas. (14)
Caminhando na busca de uma solução compatível com os princípios de democracia e, ao mesmo tempo, que permita o necessário controle da informação, diversos estados e organismos internacionais já iniciaram o indispensável trabalho legislativo exigido.
França e Alemanha, esta última tendo sido uma das primeiras nações a regulamentar a matéria, têm codificações legais explícitas dispondo sobre a proteção da privacidade. A União Européia também dispõe de dispositivos normativos disciplinando o acesso, a coleta e o uso de informações privadas.
No Brasil, embora as implicações civis do uso indevido de dados privados já possam obedecer à legislação vigente, no que assim couber, com base no princípio da aplicação analógica da lei, o projeto de Lei n.º 234 tramita no Congresso Nacional, dispondo, especificamente, sobre os crimes contra a inviolabilidade de dados e de comunicações através de computadores, o que poderá contribuir para uma punição mais adequada pra aqueles que violam os princípios da privacidade em bases de dados.