Qual o desenho jurídico da nossa política de Segurança Digital? Ela pode evitar casos de espionagem?

Os recentes casos de espionagem de líderes mundiais, acendeu a luz amarela para a nossa política de segurança digital, afinal o Brasil tem regramento para construção de uma política de governança dos da sua segurança digita?

O fato é que espionar líderes mundiais definitivamente nunca saiu da moda. É é o que podemos concluir com o último escândalo envolvendo o uso do software Pegasus.

A descoberta de que o número do celular do presidente francês estava na lista de potenciais alvos do software Pegasus, e que a sua inclusão foi pedida pelo serviço secreto do Marrocos, foi o estopim para um novo escândalo mundial que coloca holofotes na segurança digital, pois além de Macron, e outros dois chefes de Estado, dez primeiros ministros e um rei podem ter sido infectados por um software espião capaz de rastrear quase todos seus movimentos, comunicações e relacionamentos pessoais.

A denúncia foi feita pela Forbiden Stories, com sede em Paris, e a Anistia Internacional que tiveram acesso a uma lista com mais de 50 mil números de telefone que teriam sido selecionados desde 2016 por clientes da empresa israelense NSO para serem espionados, segundo a reportagem do jornal Le Monde.

Desenvolvido pelo grupo israelense NSO, o Pegasus permite recuperar mensagens de texto, fotos, contatos e até ouvir ligações de celulares invadidos.

A Forbidden Stories e a Anistia Internacional compartilharam o material com um consórcio formado por 17 veículos de comunicação, entre eles o jornal francês Le Monde, o britânico The Guardian, o americano The Washington Post, e os repórteres desses veículos conseguiram identificar os proprietários de mais de mil números de telefones em mais de 50 países por meio de pesquisas e entrevistas em quatro continentes. Entre eles, estão vários membros da família real árabe, pelo menos 65 executivos, 85 ativistas de direitos humanos, 189 jornalistas e mais de 600 políticos e funcionários do governo, incluindo ministros de gabinete, diplomatas e oficiais militares e de segurança.

De nível militar, o spyware foi licenciado para rastrear terroristas e criminosos. Os números estão majoritariamente concentrados em países conhecidos por se envolverem na vigilância de seus cidadãos, muitos antigos clientes da NSO Group, líder mundial na indústria pouco regulamentada de spyware privado. A lista não identifica quem colocou os números nela, ou por quê, e não se sabe quantos telefones foram selecionados ou monitorados. O Laboratório de Segurança da Anistia Internacional examinou 67 smartphones onde havia suspeitas de ataques. Destes, 23 foram infectados com sucesso e 14 mostraram sinais de tentativa de invasão.

Segundo a reportagem publicada, a NSO chamou os resultados da investigação de exagerados e sem base. A empresa também disse que não opera o spyware licenciado para seus clientes e “não tem nenhuma percepção” de suas atividades de inteligência específicas. A NSO afirma que seus clientes são 60 agências de inteligência, militares e policiais distribuídas em 40 países, embora não confirme a identidade de nenhuma delas, citando contratos de confidencialidade.

A empresa disse que os alvos deveriam ser terroristas e criminosos, como pedófilos, traficantes de drogas e traficantes de seres humanos. A NSO ainda diz que proíbe especificamente visar cidadãos cumpridores da lei, incluindo funcionários do governo que realizam seus negócios normais.

As revelações sobre o programa de espionagem Pegasus mostram uma “crise mundial dos direitos humanos”, segundo a ONG Anistia Internacional (AI), que pediu uma moratória na venda e uso das tecnologias de vigilância até a criação de um marco regulatório. Logo, fica lançado o desafio de uma regulamentação por tratados, que fico pensando se os EUA, a Rússia e a China assinariam.

O nascimento do Pegasus é no mínimo curioso, segundo seus fundadores em entrevista para o The Washington Post: Os dois empreendedores israelenses de 20 e poucos anos que administravam uma pequena empresa iniciante de atendimento ao cliente para telefones celulares estavam em uma reunião com clientes na Europa em 2009, quando receberam a visita de agentes secretos. O primeiro instinto foi o medo. Talvez tinham feito algo errado que não sabiam, disseram Shalev Hulio e Omri Lavie os fundadores. Em vez disso, os agentes fizeram um pedido inesperado. Eles disseram que a tecnologia israelense, que ajudou as operadoras a solucionar os problemas dos smartphones de seus clientes, enviando-lhes um link de SMS que permitia à operadora acessar o telefone remotamente, poderia ser útil para salvar a vida das pessoas, pois os métodos tradicionais de escuta telefônica estavam se tornando obsoletos na era do smartphone, explicaram os agentes, pois os primeiros softwares de criptografia bloqueavam sua capacidade de ler e ouvir as conversas de terroristas, pedófilos e outros criminosos. Hulio e Lavie seriam capazes de ajudá-los, construindo uma versão de sua tecnologia que o serviço secreto pudesse usar? Bem, mais de uma década depois, a empresa de segurança cibernética que surgiu dessa conversa, o Grupo NSO, entrou no centro de um debate global sobre a transformação de uma tecnologia em arma de vigilância poderosa e ampla e com pouca ou quase nenhuma regulamentação. A história da NSO,  foi por muito reverenciada como uma versão israelense de uma história de sucesso do Vale do Silício. Uma empresa que começou em um galinheiro reformado em um kibutz e 11 anos depois a NSO tem 750 funcionários e é avaliada em mais de US$ 1,5 bilhão.

Ainda que seus sócios insistam que o software construído seja para o bem maior, fica difícil escapar de uma necessária regulamentação quando os usos de um software são desvirtuados, levantando uma questão jurídica interessante sobre aquisição e propósito na utilização de softwares.

A NSO começou a pedir aos clientes que assinassem um compromisso de direitos humanos em 2020 e, no mês passado, publicou seu primeiro relatório de transparência, medidas de compliance mais do que necessárias.

O fato é que a indústria de segurança cibernética precisa ser regulamentada, e esse mais tantos outros escândalos só provam isso.

Dando dimensão ao assunto, no mês de julho o governo brasileiro publicou o decreto 10.748 que institui a Rede Federal de Gestão de Incidentes Cibernéticos, que será composta com a participação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional de forma obrigatória. Já para as empresas públicas e das sociedades de economia mista federais e das suas subsidiárias a participação será voluntária e ocorrerá por meio de adesão.

A finalidade da Rede é aprimorar e manter a coordenação entre órgãos e entidades da administração pública federal direta, autárquica e fundacional para prevenção, tratamento e resposta a incidentes cibernéticos, de modo a elevar o nível de resiliência em segurança cibernética de seus ativos de informação. Ficando por conta da Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia a condição de órgão central do Sistema de Administração dos Recursos de Tecnologia da Informação.

Nos termos do Art. 3º do decreto são objetivos da REDE:

I – divulgar medidas de prevenção, tratamento e resposta a incidentes cibernéticos;

II – compartilhar alertas sobre ameaças e vulnerabilidades cibernéticas;

III – divulgar informações sobre ataques cibernéticos;

IV – promover a cooperação entre os participantes da Rede; e

V – promover a celeridade na resposta a incidentes cibernéticos.

O decreto também conceitua Art. 4º:

I – equipe de prevenção, tratamento e resposta a incidentes cibernéticos – grupo de agentes públicos com a responsabilidade de prestar serviços relacionados à segurança cibernética para o órgão ou a entidade da administração pública federal, em observância à política de segurança da informação e aos processos de gestão de riscos de segurança da informação do órgão ou da entidade;

II – equipe de coordenação setorial – equipe de prevenção, tratamento e resposta a incidentes cibernéticos das agências reguladoras, do Banco Central do Brasil ou da Comissão Nacional de Energia Nuclear ou das suas entidades reguladas responsáveis por coordenar as atividades de segurança cibernética e de centralizar as notificações de incidentes das demais equipes do setor regulado;

III – equipes principais – equipes de prevenção, tratamento e resposta a incidentes cibernéticos de entidades, públicas ou privadas, responsáveis por ativos de informação, em especial aqueles relativos a serviços essenciais, cuja interrupção ou destruição, total ou parcial, provoque sério impacto social, ambiental, econômico, político, internacional ou à segurança do Estado e da sociedade, nos termos do disposto no inciso I do parágrafo único do art. 1º do Anexo ao Decreto nº 9.573, de 22 de novembro de 2018;

IV – áreas prioritárias – áreas definidas no Plano Nacional de Segurança de Infraestruturas Críticas para a aplicação da Política Nacional de Segurança de Infraestruturas Críticas, nos termos do disposto no inciso I do caput do art. 9º do Anexo ao Decreto nº 9.573, de 2018;

V – incidente cibernético – ocorrência que comprometa, real ou potencialmente, a disponibilidade, a integridade, a confidencialidade ou a autenticidade de sistema de informação ou das informações processadas, armazenadas ou transmitidas por esse sistema, que poderá também ser caracterizada pela tentativa de exploração de vulnerabilidade de sistema de informação que constitua violação de norma, política de segurança, procedimento de segurança ou política de uso;

VI – plano de gestão de incidentes cibernéticos para a administração pública federal – plano que orienta as equipes dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional, exceto das agências reguladoras, do Banco Central do Brasil e da Comissão Nacional de Energia Nuclear, sobre a coordenação de atividades referentes à prevenção, ao tratamento e à resposta a incidentes cibernéticos; e

VII- planos setoriais de gestão de incidentes cibernéticos – planos que orientam as equipes nas agências reguladoras, no Banco Central do Brasil, na Comissão Nacional de Energia Nuclear ou nas suas entidades reguladas sobre a coordenação de atividades referentes à prevenção, ao tratamento e à resposta a incidentes cibernéticos inerentes ao setor específico.

É um passo inicial, e mais do que uma regulamentação de partida é necessário uma sequência de testes para se saber como na prática a estrutura vai funcionar, porém ainda que atrasado, visto o tempo que já foi promulgada a Lei Geral de Proteção dos Dados das Pessoas.

Estabelecer uma estrutura de contingenciamento faz parte das previsões e medidas de governança previstas na LGPD, mas é preciso muitos exercícios, pois de nada vai adiantar a norma se as pessoas e as entidades não estiverem falando a mesma língua.


Autor

  • Charles M. Machado

    Charles M. Machado é advogado formado pela UFSC, Universidade Federal de Santa Catarina, consultor jurídico no Brasil e no Exterior, nas áreas de Direito Tributário e Mercado de Capitais. Foi professor nos Cursos de Pós Graduação e Extensão no IBET, nas disciplinas de Tributação Internacional e Imposto de Renda. Pós Graduado em Direito Tributário Internacional pela Universidade de Salamanca na Espanha. Membro da Academia Brasileira de Direito Tributário e Membro da Associação Paulista de Estudos Tributários, onde também é palestrante. Autor de Diversas Obras de Direito.

    Textos publicados pelo autor

    Fale com o autor


Informações sobre o texto

Este texto foi publicado diretamente pelo autor. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi.

Comentários

0

Autorizo divulgar minha mensagem juntamente com meus dados de identificação.
A divulgação será por tempo indeterminado, mas eu poderei solicitar a remoção no futuro.
Concordo com a Política de Privacidade e a Política de Tratamento de Dados do Jus.

Regras de uso