Métodos de Controle de Segurança
Para minimizar as possibilidades de prejuízo representadas pelas ameaças à segurança da informação já expostas, deve-se dispor de mecanismos de controle e de gerenciamento de acessibilidade, tanto de acordo com a relevância da informação que se procura proteger, quanto de acordo, como já foi exposto, com o direito que cada cidadão tem à privacidade e à intimidade.
Para isso, diversos podem ser os métodos que constituem-se em poderosos aliados no combate ao uso desautorizado da informação. Seguem algumas considerações sobre aqueles de utilização mais extensiva no atual estágio de desenvolvimento tecnológico.
Meios Eletrônicos de Identificação
A política de gerenciamento de senhas deve ser muito bem definida e os funcionários devidamente conscientizados e instruídos, de forma a entenderem a responsabilidade que se lhes imputa. Princípios como a troca periódica obrigatória, a impossibilidade de atribuição de seqüências óbvias, datas de nascimento, iniciais dos nomes, podem parecer elementares, mas importariam em grande redução no potencial de ameaça à segurança de um sistema ou banco de dados.
Hodiernamente, métodos biométricos de identificação (impressão digital, voz, retina) já vêm sendo utilizados, notadamente para indivíduos de funções estratégicas, com acesso a níveis de informação particularmente essenciais e confidenciais, como executivos de grandes instituições financeiras, organizações militares, setores de alta tecnologia, dentre outros.
Importando em custo obviamente maior, essas formas de autenticação de usuários oferecem risco bem menor de acesso indevido. Da mesma forma, é desnecessário lembrar que a responsabilidade pela manutenção e uso da senha de identificação e autenticação é inescusável e intransferível.
Seja qual for o meio de identificação utilizado, praticamente todos os bancos de dados e sistemas operacionais multiusuário disponíveis no mercado disponibilizam para o administrador a opção de manter um arquivo de log, a partir do qual é possível identificar acessos, tentados ou consumados, válidos ou forçados, de forma a exercer, então, o devido controle ostensivo. (31)
As assinaturas e os certificados digitais, pela confiabilidade que conferem às transações, e pela já larga utilização comercial e empresarial que alcançaram, tendem a assumir a condição de padrão mundial de autenticação de documentos e operações eletrônicas. (32)
É o que ocorre hoje, por exemplo no Brasil, nos Estados Unidos e na União Européia, onde já existem infra-estruturas legais para a utilização de sistemas baseados na criptografia assimétrica, que embasa a idéia do par de chaves pública/privada.
Alguma resistência ainda remanesce no meio jurídico nacional quanto à aceitabilidade do documento eletrônico, ainda que revestido das garantias que a tecnologia disponível nos oferece para assegurar-lhe a autenticidade.
O problema já foi enfrentado, com competência, pelo Professor Ivo Teixeira Gico Júnior, ao assinalar que a desconfiança parece muito mais um uma restrição de fôro íntimo dos doutrinadores e operadores do direito, do que um problema, um empecilho de fato.
Não existe nada mais material ou real que um arquivo eletrônico. Mesmo quando existe apenas na memória RAM (Random Access Memory) o documento ainda assim é uma coisa, o resultado de um processo físico-químico que, em uma operação lógica, traduzindo uma infinidade de zeros e uns, a linguagem binária, resulta no documento eletrônico. Não é a dependência do computador para existir que torna o documento eletrônico menos documento. (33)
A discussão atual concernente à assinatura digital no Brasil, a respeito de quais seriam os órgãos ou as instituições que deveriam possuir autorização e legitimidade para atestar a validade de certificados digitais é pertinente, uma vez que do reconhecimento público da respeitabilidade das autoridades certificadoras e reconhecedoras depende a segurança jurídica e a confiabilidade de todo o sistema nacional de chaves públicas.
Uma outra forma de estabelecer controle sobre o acesso a informação é por intermédio dos softwares supervisores de conteúdo, que, por intermédio de palavras-chave e de relatórios-padrão de acompanhamento, impedem ou restringem o acesso a determinado tipo de informação, condições previamente estipuladas pelos administradores de sistemas ou pelo security officer.
O e-mail, de há muito, já se transformou indispensável no mundo dos negócios. Por ser impossível e impensável às empresas visualizar o ambiente de trabalho sem esta ferramenta, elas buscam formas de se proteger do que consideram abusos. Uma delas é monitorar as mensagens eletrônicas, valendo-se de meios de controle de conteúdo. Mais uma vez, a dialética segurança versus privacidade vem à tona.
Pesquisa realizada pela revista Info Exame mostra que 34,5% das empresas já monitoram o tráfego das mensagens e 25% pretendem fazê-lo ainda este ano. Responderam à pesquisa, empresas como a Embraer, Pão de Açúcar, Basf, Antarctica, Banco do Brasil, BCP e Usiminas. Uma espiada nas estatísticas do instituto de pesquisas americano Worldtalk Corp. dá uma idéia do tamanho do problema. Baseado nos dados de 100 empresas, o levantamento mostra que 31% das mensagens corporativas têm conteúdo inadequado (de paquera e correntes a informações sigilosas); 10% são spam; 9% contêm arquivos pesados, que congestionam a rede; e 8% carregam vírus, pornografia ou piadas. "No Brasil, mais de 50% das mensagens que trafegam todos os dias nas redes corporativas são lixo", afirma Mauricio Strasburg, diretor da GS Sistemas, empresa especializada em segurança. (35)
Claro está que o funcionário não pode simplesmente ser devassado porque a empresa acredita que assim estará assegurando a integridade de suas informações confidenciais. No mesmo diapasão, o uso indevido de informação e de recursos computacionais da empresa deve ser, na medida do razoável, evitado, e, se preciso, coibido.
Uma solução coerente seria obter, já no momento da admissão do novo funcionário, a assinatura do mesmo no documento individual de adesão à política de uso de redes de dados, o que pode vir no bojo de outras regras, como diretrizes de ética corporativa e acordo sobre propriedade de obras e invenções. Os funcionários que já estiverem no curso de seu contrato de trabalho também devem ser comunicados e conscientizados de tais políticas, e, ao final, devem aderir formalmente, por meio de assinatura de termo próprio. (36)
Ainda segundo o autor acima citado, as razões da empresa para a adoção da política em questão, bem como as possíveis repercussões (sanções civis, trabalhistas e criminais) decorrentes de condutas e que forem identificadas através da monitoração também devem ser expressamente divulgadas.
As iniciativas legais de disciplinar o tratamento e a segurança da informação já passam a fazer parte do ordenamento jurídico dos estados e das organizações internacionais.
O Parlamento Sueco, em 1973, foi o responsável pela elaboração do Datalagen, a primeira Lei orgânica da Europa visando à proteção da privacidade e dos bancos de dados, tanto públicos quanto privados.
Hoje, segundo boletim informativo do escritório de advocacia americano McBride, Baker & Coles, que acompanha a evolução da legislação relativa à Tecnologia da Informação, à privacidade e ao Comércio Eletrônico por todo o mundo, a Comunidade Européia (CE), estipulou cláusulas contratuais de proteção à informação e aos dados pessoais de forma a atender à Diretiva aprovada pela própria CE, que exige proteção adequada para qualquer transferência de informação privada para países não-membros. Seguindo tal determinação, os Estados integrantes da União são obrigados a reconhecer os países ou organizações internacionais que respeitem tais cláusulas como sendo instituições que oferecem a assim referida proteção adequada. (37)
Ainda na Europa, a Alemanha destacou-se desde muito cedo, demonstrando grande agilidade na elaboração de diplomas legais que buscassem a defesa jurídica dos interesses envolvidos com a segurança da informação. Como exemplo, há legislação alemã, inclusive em matéria penal, responsabilizando provedores inclusive pelo conteúdo dos links incluídos nos limites de suas páginas. Em vigor desde 1997, o Germany Information and Communication Services Act é uma iniciativa legal de estabelecer padrões e políticas econômicas uniformes e seguras para a transmissão de informação e dados eletrônicos.
Na América Latina, a Colômbia, segundo o mesmo boletim, já elaborou texto legal definindo a assinatura digital, bem como regulamentando a atuação das autoridades certificadoras. A segurança jurídica do certificado digital, à luz da lei colombiana, dependerá da exclusividade pessoal do seu uso, da capacidade de verificação, do controle individual, da invariabilidade técnica, de modo que uma alteração impeça a verificação, e da obediência às formalidade normativas do governo colombiano, requisitos que, uma vez atendidos, conferem ao documento eficácia legal.
No Brasil, o projeto de lei PLS 672/99, cuja redação final segue à Câmara dos Deputados, pretende disciplinar o reconhecimento legal do documento eletrônico, bem como as relações jurídicas relativas ao e-commerce e ao intercâmbio eletrônico de dados (IED). Entrementes, as situações jurídicas de fato, que não esperam pela produção legislativa, vão sendo resolvidas e conciliadas com base na analogia, no que assim couber.
A respeito, especificamente, da infra-estrutura para chaves públicas – assinatura digital com base em criptografia assimétrica –, o decreto n.º 3.587, de 5 de setembro de 2000, já a define, com respeito ao Governo Federal, complementado pelo decreto n.º 3.865, que estabelece requisitos necessários para a contratação destes serviços pelos órgãos públicos federais.
Alegando as evidentes relevância e urgência da matéria, na Medida Provisória n.º 2.200, reeditada pela segunda vez em 24 de agosto de 2001, o Governo Federal responde à clara pressão do setor privado para a regulamentação de matéria cuja velocidade de desenvolvimento e intenso ritmo de transformação urgem medidas céleres.
A referida MP, portanto, define, em caráter provisório, a infra-estrutura genérica de chaves públicas brasileira, atribuindo competências para a regulamentação, expedição, distribuição e validação de certificados, bem como definindo os requisitos para que a assinatura digital produza efeitos em todas as esferas jurídicas.
Diversas discussões hão de surgir a respeito dos efeitos jurídicos e da adequação das normas propostas à realidade, sendo absolutamente natural o aprimoramento e a atualização periódica dos comandos legais promulgados, instrumentos sem os quais a proteção à esfera de privacidade e à segurança dos dados e da informação corporativa será tarefa inglória e improdutiva.
A discussão relativa ao confronto entre o direito à privacidade e o interesse público, entre a preservação da intimidade e o direito coletivo à segurança jurídica da informação, está longe de chegar a termo. Ao contrário, pelos indicadores disponíveis, este será um tema recorrente daqui por diante, à medida em que os sistemas de informação forem se tornando parte ainda mais presente, indissociável e indispensável na vida das pessoas.
Esta nova fronteira da era digital, já atingida pelo escopo de atuação do direito, viverá sempre a reclamar constante atenção e periódica reavaliação, de modo que a tecnologia e os métodos não venham a estabelecer um descompasso social, desarmonizando-se com relação aos princípios e aos valores que devem resguardar.
Há, com efeito, pairando no ar, um sem-número de ameaças à esfera de privacidade do indivíduo, ao intercâmbio eletrônico seguro e confiável de dados, e, por conseguinte, ao desenvolvimento eficiente das relações comerciais e empresariais.
As questões que tratam de segurança e da proteção jurídica da informação corporativa vêm introduzir alterações profundas, significativas, cruciais que, em sede jurídica, tendem a ocorrer inclusive na órbita processual. São procedimentos que irão impactar na maneira como o próprio processo é conduzido. Frise-se, portanto, que não é conveniente que o controle destes atos não esteja ao alcance da compreensão clara de quem, por lei, deve conduzi-los.
É necessário notar, que a esmagadora maioria dos especialistas em atividade no país é de brilhantes e geniais profissionais, que, a despeito da falta de bibliografia disponível, da carência de encontros que propiciem um maior intercâmbio profissional, da ausência de debates públicos e mais criteriosos a respeito dos grandes temas da área, estudam, especializam-se, produzem, resolvem problemas e são muito, muito bons no que fazem.
Autodidatas, no entanto, apesar do inegável romantismo que suas histórias trazem, serão, dentro em pouco, exceções à regra. É preciso deixar de lado o corporativismo que, com freqüência, dispara ondas de protecionismo profissional para entender a dimensão que o movimento toma. De posse desse entendimento, será patente a necessidade de formar pessoal especializado, tanto para a solução prática e técnica dos problemas e limites que surjam, quanto para a teorização e a análise lógica e jurídica dos litígios que nascerem à sombra deste novo paradigma de mundo.
Quanto aos procedimentos e técnicas aqui expostos, apresentam, inegavelmente, limitações à solução satisfatória do problema da segurança apresentado. Limitações técnicas, contudo, são superáveis. As máquinas ficam mais rápidas, o tempo de processamento diminui, a capacidade de armazenamento aumenta. É por isso que, no momento, parece ser muito mais relevante discutir o fundamento, o objeto ou interesse jurídico que pretendemos proteger ao tratar da necessidade de segurança da informação corporativa, de quem queremos protegê-la, para que, a que custo social e econômico e até que ponto, decisões – essas sim – perenes, e que determinarão políticas e rumos.
Curioso é notar, conforme lembra PAESANI (2001), que não há governos autoritários ou regimes totalitaristas fundamentando as ameaças a que o trabalho se refere. Elas decorrem do próprio progresso, que, por sua vez, somente foi permitido pela liberdade de criação e de pensamento e do incentivo à livre iniciativa, características típicas dos regimes democráticos, liberais.
Isto tomado no âmbito das relações internacionais, e posto que nem todas as nações terão a oportunidade de debate com a mesma profundidade, ou acesso, em igualdade de condições, aos mecanismos e às tecnologias de controle, é fácil constatar que este domínio da segurança da informação fatalmente há de se constituir em instrumento de imensa vantagem política e econômica, cabendo certamente ao direito, papel fundamental no sentido de disciplinar e estabelecer limites a esta desmedida vantagem, de impedir desequilíbrios flagrantes e injustos e de dar contornos menos sombrios ao lema que acompanha a sociedade da informação, desde o seu nascedouro.
Who controls the past,
controls the future.
Who controls the present,
controls the past.
George Orwell, 1984.