Preciso contratar um perito forense digital para um processo em andamento. O que preciso saber?

Como o perito digital atua e como é a prova pericial em processos judiciais ou administrativos? Contrate um perito digital particular para sua ação ou processo.

O perito técnico digital ou o perito em informática particular pode atuar como assistente técnico em processos e ações judiciais em andamento na Justiça Cível ou Federal ou em processos administrativos e de conselhos de classe.

O perito digital é o profissional de tecnologia da informação que também atua na coleta, produção e análise de provas informáticas para empresas e negócios, coletando evidências em sistemas, arquivos, bancos de dados, seguindo melhores práticas, realizando investigação e análise de dados e sistemas e produzindo um relatório e laudo técnico, que poderá ser utilizado por advogados em juízo, comprovando determinado fato técnico ou responsabilidade informática.

A perícia digital é a área destinada a identificação, coleta, preservação e análise de evidências com o objetivo de demonstrar determinado fato, situação, invasão, erros de softwares, contrafação, espionagem digital, vazamento de dados ou outras constatações, para empresas, instituições, pessoas físicas ou em processos do Tribunal de Justiça.

O perito digital deve ter experiência em produção e preservação de provas, conhecimento técnico e habilidades de argumentação, com o objetivo não só de redigir um laudo ou parecer técnico preciso, mas em formular quesitos e defender tecnicamente o cliente, inclusive em diligências oficiais dos processos.

Deste modo, diante de um processo administrativo ou judicial, em que o juiz de direito entenda que precisa de uma perícia técnica para decidir o caso, seja em arquivos, celulares, e-mails, sistemas, ou outros artefatos, nomeando um expert do juízo, as partes e advogados precisam de um perito digital particular, que irá atuar como assistente técnico, analisando os autos, identificando pontos fortes e fracos, formulando quesitos, acompanhando os exames do perito oficial nomeado e após o laudo, apresentando seu parecer, com objetivo de produzir a prova técnica mais favorável ao cliente.

O perito digital ou perito em informática pode atuar em diversos casos, incluindo, mas não se limitando a:

  1. Perícia em softwares;
  2. Perícia em serviços e apps de bancos;
  3. Perícia em exchanges;
  4. Perícia e e-mails;
  5. Perícia em dispositivos móveis e celulares;
  6. Perícia para recuperar dados;
  7. Perícia para identificar falhas de segurança ou vazamento de dados;
  8. Perícias de concorrência desleal em anúncios;
  9. Perícias para identificar invasões;
  10. Perícias em crimes cibernéticos;
  11. Perícia para detectar espionagem ou monitoramento.

Assim, seja para produzir uma prova independente interna que será usada na Justiça Cível, Criminal ou Trabalhista, ou para respaldar uma pessoa ou empresa, ou mesmo para apoiar tecnicamente a parte, Autor ou Réu, em um processo administrativo ou judicial, o perito forense em informática é fundamental. Uma empresa de perícias digitais e em informática pode fornecer amparo técnico para disputas e litígios envolvendo tecnologia da informação, auxiliando advogados e as partes.

Em uma era informatizada de softwares, apps, inteligência artificial, criptomoedas, telefonia móvel e serviços online e em constante inovação, compreender o que aconteceu com sistemas e quem deu causa à incidentes ou violações de direitos é um dos papéis do perito informático, que poderá contribuir com seu trabalho técnico, esclarecendo a autoria e materialidade em crimes cibernéticos, investigando e analisando sistemas operacionais, softwares, bancos de dados, logs, aplicativos e outros ambientes informáticos.

Mas cuidado! Desconfie de profissionais que não tem formação acadêmica na área, como tecnologia da informação, análise de sistemas, segurança da informação ou outras ou que não possuam experiência comprovada em perícia digital forense. Confiar sua causa ou processo a profissionais sem experiência pode significar um fracasso.

Prefira sempre profissionais com expertise e prática comprovada e que aliam conhecimentos de processos, legais e técnicos, no suporte ao cliente em processos cíveis, criminais, trabalhistas e administrativos. Peça para ver o prontuário, currículo do profissional e casos em que atuou, para só então, contratar o perito digital.

Como contratar um perito digital e em proteção de dados pessoais?

A CyberExperts é consultoria especializada em computação forense, inteligência cibernética, perícia e auditorias em informática e proteção de dados e peritos digitais. Atuamos preventivamente ou em processos administrativos ANPD/Procon ou judiciais, para empresas e órgãos públicos na coleta, preservação e análise de evidências digitais, por meio de um rol de peritos com notória experiência profissional e reconhecimento no Brasil. Temos centenas de perícias finalizadas e assistências técnicas de êxito, atuando para inúmeros escritórios de advocacia.

Realizamos auditorias independentes de maturidade de controles de segurança digital e de conformidade e também auditamos processos eleitorais digitais.  Profissionais com as principais certificações internacionais e anos de experiência forense. Fale conosco (11) 3254-7616 ou acesse www.cyberexperts.com.br. Expertise, lealdade e ética.

Coordenando o grupo de forense digital está Dr. José Antônio Milagre, PhD é perito forense digital, perito LGPD, perito e assistente técnico em informática, perito em proteção de dados, especialista em computação forense, analista de sistemas, técnico em processamento de dados, Pós-Graduado em Gestão de Tecnologia da Informação, Mestre e Doutor em Ciência da Informação pela UNESP. Contato: [email protected] e (11) 3513-7844. Instagram @dr.josemilagre

Em casos envolvendo tecnologia, a atuação técnica é essencial. Fale conosco.




Como contratar um perito em proteção de dados pessoais para auditorias e processos ligados à LGPD?

O que faz um perito especializado em proteção de dados e como atuar na área?

Contratar um perito digital particular: http://www.cyberexperts.com.br ou clique no botão do WhatsApp na página

No Brasil, a Lei Geral de Proteção de Dados (LGPD), estabelece deveres dos agentes de tratamento de dados pessoais e direitos dos titulares de dados. Incidentes e falhas em serviços de tecnologia, banco de dados e outros já demandam no Judiciário a análise por especialistas, peritos forenses digitais e peritos em privacidade e proteção de dados, com escopo de tecnicamente periciarem o contexto e responderem quesitos do juiz e das partes. O perito deve ser capaz de coletar evidências e identificar qual vulnerabilidade foi explorada, por quem, e qual a extensão dos danos, se possível, precisando como poderiam ser evitados.

Em tal ambiente de mudanças regulatórias, com advento da Lei 13.709/2018 (LGPD) e regulamentações da Autoridade Nacional de Proteção de Dados (ANPD), inúmeros processos estão surgindo, com o fundamento no tratamento irregular de dados, violações de segurança ou na ausência de segurança adequada em serviços online, fintechs, bancos, sistemas ou mesmo fundada na reparação por decisões equivocadas a partir da análise de dados imprecisos ou inferências, violação de princípios e direitos e incidentes com vazamentos de dados pessoais.

Deveres de segurança digital e resposta a incidentes

No que tange aos deveres de segurança da informação e notificação de incidentes, dispõe a LGPD em seus artigos 46 e 48:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I – a descrição da natureza dos dados pessoais afetados;

II – as informações sobre os titulares envolvidos;

III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV – os riscos relacionados ao incidente;

V – os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I – ampla divulgação do fato em meios de comunicação; e

II – medidas para reverter ou mitigar os efeitos do incidente.

3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

A importância do perito em proteção de dados

Considerando o disposto nos artigos, é evidente que o Data Protection Expert (DPE), perito ou auditor em proteção de dados se faz importante não apenas para comprovar maturidade de controles implementados em um agente de tratamento, mas é fundamental na fase de coleta e análise de evidências de um incidente de segurança da informação que possa ter comprometido dados pessoais.

Deste modo, até mesmo no contexto da dosimetria da pena, a adoção de medidas para mitigar o risco demonstra-se boa prática. O Data Protection Expert ou perito em proteção de dados, é profissional técnico, conhecedor de melhores práticas em computação forense e proteção de dados e preservação de provas informáticas e apto a auxiliar consumidores, advogados, DPOS e empresas, com o escopo de demonstrar tecnicamente o direito destes atores em processos administrativos e judiciais ligados a vazamento ou tratamento irregular de dados pessoais.

Assim, seja para comprovar um dano informático ou decorrente de violação de dados, ou mesmo quem deu causa a determinado incidente e qual o “modus operandi” do atacante, estar amparado por um perito em proteção de dados é fundamental. Ele será capaz de monitorar ambientes da rede para identificar a extensão do dano e repositórios com dados vazados, bem como, analisando os sistemas informáticos, logs e eventos, interpretar o ocorrido e comprovar por exemplo, a resposta aos seguintes quesitos do juiz, partes interessadas ou da Autoridade Nacional de Proteção de Dados, em processos administrativos ou judiciais:

Quesitos para o perito em proteção de dados pessoais

  1. Se ocorreu ou não o tratamento de dados pessoais?
  2. Qual vulnerabilidade explorada?
  3. Quem deu causa ao incidente informático?
  4. Os controles aplicados por aplicativos ou serviços eram adequados?
  5. A empresa adotou medidas para mitigar o risco?
  6. Qual a maturidade dos controles de proteção de dados da empresa?
  7. A empresa mantinha um sistema de gestão e conformidade com a LGPD?
  8. Em quais repositórios os dados vazados foram identificados?
  9. Qual a natureza e categoria dos dados violados e os possíveis riscos da exposição?
  10. Houve tratamento irregular de dados ou não?

Assim, a prova técnica pericial é indispensável e o comitê de proteção de dados e DPOs podem contar com engenheiros de privacidade, analistas de sistemas e técnicos, não só para que incorporem os requisitos de privacidade nos sistemas e tecnologias, mas também para condução de auditorias de controles, norteados por boas práticas de auditorias em proteção de dados, igualmente, para investigar causas de incidentes e atuar na defesa técnica de agentes de tratamento, controladores e operadores de dados pessoais, em apoio ao departamento jurídico em processos judiciais ou administrativos.

Atuação como assistente técnico

Importante destacar que a Autoridade Nacional de Proteção de Dados (ANPD), estabeleceu por meio Resolução CD/ANPD nº1/2021, o processo administrativo sancionador, e que prevê, nos processos administrativos a possibilidade de prova pericial, sendo importante a figura do perito em proteção de dados e informática, vejamos:

Art. 52. Caso seja deferida a produção de prova pericial, os peritos prestarão compromisso de bem e fielmente desempenhar o seu encargo, observando-se o seguinte:

   I – a Coordenação-Geral de Fiscalização definirá os requisitos relevantes para a instrução processual e os quesitos a serem respondidos pelo perito;

   II – o autuado poderá formular quesitos suplementares e requerer esclarecimentos ao perito; e

   III – a perícia poderá ser realizada por autoridade ou servidor da ANPD, especificamente designado para este fim pelo Conselho Diretor, ou de qualquer órgão público, ou por profissional objeto de Termo de Cooperação previamente celebrado, ou, ainda, por profissional especialmente contratado para tal fim, sendo possível ao interessado a indicação de assistente técnico.

Seja para comprovação técnica dos direitos dos titulares de dados, com analises de sistemas, repositórios, falhas, vulnerabilidades,  seja para assessorar empresas e agentes de tratamentos em processos de reporte e notificação de incidentes, ou mesmo em procedimentos investigativos, o perito em proteção de dados tem papel relevante, demonstrando, por exemplo, que a empresa não foi responsável pelo vazamento, o código/dados vazados não são tratados pela empresa, ocorreu fato de terceiro, ocorreu culpa exclusiva da vítima, ou mesmo demonstrando a robustez de seus códigos e sistemas, dentre outras constatações técnicas possíveis e de interesse das partes.

Assim, diante de um problema, incidente, ataque, litígio, ou vazamento de dados ou qualquer questão técnica ligada a proteção de dados pessoais, é imperioso preservar as evidências e buscar apoio de um perito em informática em proteção de dados, para procedimentos de coleta, preservação e análise técnica. A resposta a incidentes, que conte com um perito em informática em proteção de dados é, sem sombra de dúvidas, um procedimento que vai ao encontro das melhores práticas e pode ser decisiva para esclarecer o ocorrido, evitar penalidades e condenações.

Como contratar um perito em proteção de dados pessoais

A CyberExperts é consultoria especializada em computação forense, inteligência cibernética, perícia e auditorias em informática e proteção de dados e peritos digitais. Atuamos preventivamente ou em processos administrativos ANPD/Procon ou judiciais, para empresas e órgãos públicos na coleta, preservação e análise de evidências digitais, por meio de um rol de peritos com notória experiência profissional. Realizamos auditorias independentes de maturidade de controles de segurança digital e de conformidade. Profissionais com as principais certificações internacionais. Fale conosco (11) 3254-7616 ou acesso www.cyberexperts.com.br. Expertise, lealdade e ética. Conheça nosso curso de Perícia em Proteção de Dados Pessoais.

Contratar um perito digital particular: http://www.cyberexperts.com.br ou clique no botão do WhatsApp na página

José Antônio Milagre, perito forense digital, perito LGPD, perito e assistente técnico em informática, perito em proteção de dados, especialista em computação forense, analista de sistemas, técnico em processamento de dados, Pós Graduado em Gestão de Tecnologia da Informação, Mestre e Doutor em Ciência da Informação pela UNESP. Contato: [email protected] e (11) 3513-7844. Instagram @dr.josemilagre




Spyware ou Stalkerware. Como identificar se seu celular está rastreado ou espionado e o que fazer?

José Antonio Milagre

A notícia de quem uma jovem foi encontrada dentro do seu apartamento morta em Sorocaba e que o ex-padrasto, suspeito, tinha senha para monitorar a localização da vítima reacende a discussão sobre como funcionam os chamados “Stalkerwares”.

O uso de softwares e mecanismos de espionagem em dispositivos móveis é cada vez mais frequente no Brasil. Seja no âmbito familiar ou mesmo empresarial, a espionagem de dispositivos móveis pode ensejar profundos prejuízos à privacidade, honra de indivíduos e causar danos às empresas, considerando segredos de negócios, espionagem industrial, considerando ainda que muitos dispositivos móveis corporativos sem proteções de segurança são utilizados por colaboradores, contendo informações críticas e sensíveis, que podem ser expostas a qualquer momento.

Mas como funcionam estes aplicativos de espionagem? Trouxemos algumas importantes orientações. Infelizmente, a utilização de aplicativos de monitoramento e controle virtual cresceram, sobretudo nesta fase de intensificação do home office, onde os aparelhos representam verdadeiros repositórios de informações, senhas, ativos financeiros, dentre outros.

Como funciona um app espião?

Os aplicativos espiões podem ser Stalkerwares ou Spywares. Via de regra os Stalkerwares são instalados fisicamente, ou seja, por alguém que conseguiu acesso ao dispositivo, ainda que por pouco tempo, porém também pode infectar a partir de links maliciosos ou downloads. Eles costumam coletar localização, conversas, fotos e até histórico de navegação. A finalidade aqui é seguir a vítima, a partir das orientações e localização fornecida pelo espião. Os spywares podem ser baixados ou instalados e tem a finalidade de capturar dados pessoais, fotos, senhas, comunicação ambiente e demais informações. Todos eles, via de regra, trabalham em segundo plano, ou seja, somente a perícia técnica pode descobrir se eles estão atuando, pois para o usuário, nada aparece instalado.

O uso destes apps são regulamentados?

Conforme disposição da Lei 9.296/1996 é crime realizar interceptação telemática não autorizada judicialmente. Muitos destes aplicativos conseguem capturar conversações em tempo real, encaminhando o conteúdo para o criminoso. Neste sentido:

Art. 10.  Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, promover escuta ambiental ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei:     (Redação dada pela Lei nº 13.869. de 2019)      (Vigência)

Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.

Logicamente não existe Lei que vede a criação e desenvolvimento destes apps e tecnologias, que podem muitas vezes serem utilizados com finalidades não violadoras, como controle corporativo de dispositivos, dentre outras. O problema é quando ocorre o uso para finalidades perigosas, como nos casos de esposas, maridos ou namorados que usam para controlar e espionar, ou mesmo espionagem de pessoas de uma empresa por concorrentes. Assim, o problema é real e evolve subverter a finalidades destes aplicativos.

Em tese, a utilização destes aplicativos só poderia se dar com o consentimento da outra pessoa, e ainda assim sob certas restrições, ou ainda por autoridades que atuam com investigação ou perícia criminal, sempre com ordem judicial. Isto porque, conforme artigo 10, § 2º, do Marco Civil da Internet, o conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer. Ocorre que, no dia a dia, pessoas são espionadas e monitoradas sem que saibam o que está acontecendo e quando descobrem, já se passou muito tempo.

Instalar um app de espionagem é crime?

A utilização destes apps pode, dependendo do contexto, caracterizar crime de interceptação telemática não autorizada, como visto, com pena de até 4 (quatro) anos de reclusão. Além disso, pode caracterizar invasão de dispositivo informático, previsto no art. 154-A do Código Penal, cuja pena pode chegar a 5 anos de reclusão, se da invasão resultar a obtenção de conteúdo das comunicações, o controle remoto não autorizado do dispositivo invadido.

Mais que isso. De acordo com a Lei 14.132/2021, temos a inserção no Código Penal do crime de stalking, ou perseguição, no artigo 147-A, sendo punido com uma pena de até 2 anos de reclusão quem perseguir alguém, reiteradamente e por qualquer meio, ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a capacidade de locomoção ou, de qualquer forma, invadindo ou perturbando sua esfera de liberdade ou privacidade.  A pena é aumentada de metade se o crime é cometido contra criança, adolescente ou idoso, ou contra mulher por razões da condição do sexo feminino.

De acordo com o contexto, também, a conduta pode caracterizar fraude eletrônica, previsto no § 4º-B do artigo 155 do Código Penal, com pena de até 8(oito) anos de reclusão, nos casos, por exemplo, onde a partir da internet, o agente instalar spyware na vítima e coletar senhas bancárias, furtando ou tentando furtar os valores.

Como saber se está sendo monitorado?

Algumas orientações são essenciais. Revise os aplicativos instalados e veja quais não reconhece ou quais tem permissão para acessar microfone, fotos, serviço de localização e câmera. Fique atento ao aumento do consumo de energia do dispositivo ou consumo de dados. Avalie se mesmo desligando o GPS ele volta a ser ativado sozinho. Desconfie de comportamentos estranhos do dispositivo, como telas de erro e apps que abrem sozinho. Fique atento aos registros, alertas e logs de tentativas ou acesso às contas de e-mail, aplicativos ou redes sociais, a partir de localidades estranhas. Desconfie se seu celular está configurado para baixar aplicativos de repositórios externos que não os oficiais. Desconfie também de picos inesperados de consumo de dados móveis ou do envio e recebimento de mensagens desconhecidas, jamais confirmando qualquer dado ou código que receber.

Como se proteger da espionagem?

Use sempre uma senha complexa e trave seu dispositivo. Se for usar senha “desenho”, o famoso arrastar do dedo, limpe sempre a tela do dispositivo. Desative wi-fi e bluetooth sempre que estiver em local público. Utilize um aplicativo container para ocultar seu dados pessoais, fotos e vídeos no dispositivo. Existem apps que permitem uma foto frontal todas as vezes que uma senha errada for digitada, permitindo que o dono descubra quem está atuando na tentativa de acesso ao dispositivo. Ative sempre a senha do dispositivo. Cuidado com quem tem acesso direto ao seu dispositivo. Só baixe aplicativos dos repositórios oficiais e jamais de links estranhos. Desabilite o desbloqueio por impressão digital. Instale um antispyware e malware. Estes utilitários podem detectar aplicações em modo oculto e execução de chamadas remotas.

Acredito que sou espionado, o que fazer?

A primeira reação da pessoa que imagina que está sendo espionada é fazer um “hard reset”, zerando todos os dados e códigos maliciosos, formatando o celular. Ocorre que, quem garante que após a formatação o atacante não explore novamente a vulnerabilidade? Por isso, é importantíssimo que empresas, profissionais e pessoas que notem indícios de um possível software espião, antes de qualquer ação, preservem o equipamento, e procurem uma perícia técnica para realização da cópia forense do dispositivo e análise pericial para identificação da espionagem.

A perícia técnica e análise especializada no celular poderá apurar qual foi a vulnerabilidade explorada, qual metodologia o criminoso usou, quais dados acessou e desde quando, além de IPS e dados de que possam conduzir a localização do atacante ou seus serviços. Após, procure um advogado especialista em crimes cibernéticos, para medidas para apuração da autoria das invasões, a partir dos logs de acesso à contas e serviços instalados no dispositivo, identificados pela perícia técnica. Os aplicativos acessados pelo espião, durante sua permanência no dispositivo, guardam os dados de quem acessou por 6 (seis) meses, de acordo com a Lei 12.965/2014 e apresentam com ordem judicial.

Serviço

A CyberExperts é consultoria focada em perícias e auditorias de segurança da informação em computadores, celulares e dispositivos móveis. Analisamos seu equipamento e emitimos um parecer técnico, com valor forense, sobre as evidências identificadas e se está comprometido ou não. Analise seus dispositivos e da sua empresa e descubra possível atuação de códigos maliciosos que permitam espionagem. Implemente controles de privacidade e segurança em seus dispositivos. Fale conosco. http://www.cyberexperts.com.br

José Antonio Milagre

Advogado especialista em Direito Digital e Crimes Cibernéticos, Sócio do José Milagre & Associados. Presidente de Instituto de Defesa do Cidadão na Internet – IDCIBrasil, Analista de Sistemas, Mestre e Doutor pela UNESP, DPO Exin, PECB Lead Implementer, e Diretor do PrivacyOffice, grupo de privacidade e proteção de dados da CyberExperts. http://www.youtube.com/josemilagre




7 erros de quem começou a pensar em LGPD somente agora

A LGPD (13.709/2018) já é uma realidade e o anúncio do início da possibilidade de punições serem aplicadas por parte da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) fez com que muitas empresas passassem a pensar em um projeto de adequação somente agora. Outras, porém, iniciaram e desencadearam uma “série” de ações impensadas, que podem expor ainda mais a organização. Identificamos 7 erros comuns de quem começou a pensar em LGPD somente agora. Confira:

1) Tentar validar operações com dados pessoais apressadamente, tomando decisões equivocadas: É neste momento que a empresa, sem uma análise detalhada das bases legais para tratamento e maturidade mínima, tenta interagir com o titular buscando validar operações irregulares rapidamente, o que pode representar riscos ainda maiores. E-mails, sms, tentativas de “obtenção do consentimento forçado” podem ser fatais e complicar ainda mais a empresa.

2) Utilizar Política e avisos de Privacidade copiados ou genéricos: O não planejamento do programa de adequação leva agentes de tratamento a copiarem, ou publicarem políticas ou avisos de privacidade “paliativos”, genéricos, pouco claros, que de longe não refletem as operações e usos de dados da empresa. Risco iminente.

3) Divulgar internamente deveres aos colaboradores ou fazê-los assinar a Política de Proteção de Dados e outros documentos sem tê-los preparado para a adequação e para compreenderem o programa de proteção de dados: A Diretoria ou RH convoca os colaboradores e os fazem assinar diversos termos, documentos, políticas, sem qualquer ação prévia, conscientização, aculturamento, treinamento ou mesmo informações sobre o estabelecimento do programa de proteção de dados, o comitê constituído e quem é o encarregado de proteção de dados.

4) A organização tentar redigir documentos sem conhecer os processos e operações onde ocorre o tratamento de dados pessoais: A empresa começa a pensar em LGPD agora e inicia redação de documentos sem conhecer de fato as operações de tratamento que realiza, expondo-se ainda mais com a publicação de documentação que não reflete a sua realidade.

5) Criar o canal de contato para requerimentos dos titulares sem o processo claro ligado ao atendimento: É indispensável que o canal seja estabelecido, mas o que fazer quando um requerimento chega? Tempo de retorno? Como as áreas serão informadas? Quem é responsável pelo atendimento ligado a dados pessoais? Essa ausência de processos claros pode comprometer a empresa.

6) Assinar sem analisar os aditivos que chegam de fornecedores ou clientes: Os fornecedores ou clientes já podem estar avançados e no aspecto jurídico encaminhar aditivos com cláusulas ligadas à proteção de dados. As empresas que não analisam os contratos podem estar se expondo ainda mais ou se comprometendo de forma desproporcional

7) Fazer propaganda do que efetivamente não possui: Enviar inúmeros comunicados aos titulares de dados no escopo de tentar passar “conformidade”, sem que as estruturas internas estejam criadas e um sistema de gestão da proteção de dados esteja estabelecido. A empresa inicia uma série de “ações de comunicação para passar segurança ao cliente”, porém internamente sequer finalizou o mapeamento ou inventário de dados, identificou gaps ou tem um plano de ação definido, estando fragilizada em processos ligados a proteção de dados.

E o erro dos erros: “Achar que adequação à LGPD se faz em 30 dias”! Projetos sérios, que consideram todas as etapas de um Sistema de Gestão da Proteção de Dados, não se encerram da noite para o dia! Cuidado com quem escolhe para adequar seu negócio. Esta é apenas uma lista exemplificativa de erros que empresas cometem por pensarem apressadamente e somente agora na questão da LGPD. Conhece mais erros? Conte para nós?

Prepare seu negócio com o PrivacyOffice (www.privacyoffice.com.br) da CyberExperts® Implemente um programa de adequação, utilize os serviços de DPO como serviço, ou audite a conformidade e a maturidade dos seu sistema de gestão da privacidade da informação. Fale conosco.




O Especialista em Ciência da Informação, Dr José Milagre, desvenda os mistérios da recuperação dos prints no caso Henry

Entenda os detalhes da Apuração acessando https://noticias.r7.com/tecnologia-e-ciencia/conheca-a-ferramenta-usada-para-recuperar-os-prints-do-caso-henry-09042021 




A profissão do futuro: O que faz, quanto ganha e porque você deve se tornar um perito digital?

Como ser contratado para perícias técnicas em informática e proteção de dados

Como contratar um perito digital particular: http://www.cyberexperts.com.br

Atuo com perícia em informática há mais de 20 anos. Tive o prazer de aprender muito com grandes nomes na área, pessoas pioneiras que nunca se negaram em compartilhar conhecimento. Sinto-me no dever de contribuir com os jovens interessados na área de digital forensics ou em que desejam se tornar um perito digital.

Atualmente, coordeno Pós-graduações no tema e ministro cursos de extensão em ferramentas open source e proprietárias para computação forense.Além disso, atuo com perícias judiciais e administrativas em todo o Brasil e tenho um time de first responders e peritos para atuar em todos os casos que temos.

Novos e desafiadores casos são apresentados semanalmente. Não foi fácil iniciar na área, busquei certificações, fiz especialização, mestrado e sou doutorando na área de ciência da informação e tecnologia, mas, também, me especializei em Direito.

Hoje concluo que o perito digital não pode ser apenas um técnico, muito menos o jurista. É preciso ter conhecimentos de projetos, ter especialidade em conduzir o processo de perícia, avaliando os interesses e dados das partes, mediar e ser um profundo conhecedor da Ciência da Informação.

A área é incrível e apaixonante, mas o profissional que não sabe lidar com a rotina e falar a linguagem forense do destinatário do trabalho, que é o JUIZ (em perícias judiciais), não consegue atuar por muito tempo e acaba limitando seu campo às perícias internas ou corporativas e assistência técnica.

Ser perito forense é mais do que conhecer a técnica. É coordenar os fluxos de informação do caso, transformar artefatos em evidências e ser um expert witness, defendendo tecnicamente o cliente, com a persuasão necessária.

Vamos lidar com advogados e o sistema judiciário, sendo que conhecer estas relações é fundamental. E, principalmente, a nossa missão é auxiliar o juízo no entendimento da questão técnica controvertida ou mesmo ajudar as partes a lograrem êxito em suas ações e processos judiciais, que envolvam tecnologia.

QUAIS SÃO AS NORMAS E BOAS PRÁTICAS SOBRE COMPUTAÇÃO FORENSE

Quando comecei, havia apenas recomendações da SWGDE, IOCE, um manual muito importante da SANS (anote, é referência em computação forense). Hoje, temos o NIST, que testa ferramentas forenses e aborda melhores práticas há 14 (catorze) anos. Também, temos um guia interessante da União Europeia, chamado “Best Practice Manual fottheForensicExaminationof Digital Technology”,a RFC 2227, e interessantes artigos publicados, como este http://ieeexplore.ieee.org/document/6274340/?reload=true

Existe, atualmente, uma família de normas ISO relacionadas à computação forense, que devem ser observadas pelos profissionais, sendo elas:

  • ISO/IEC 27037 concerns the initial capturing of digital evidence.This standard offers guidance on the assurance aspects of digital forensics e.g. ensuring that the appropriate methods and tools are used properly.
  • ISO/IEC 27041 offers guidance on the assurance aspects of digital forensics e.g. ensuring that the appropriate methods and tools are used properly.
  • ISO/IEC 27042 covers what happens after digital evidence has been collected i.e. its analysis and interpretation.
  • ISO/IEC 27043 covers the broader incident investigation activities, within which forensics usually occur.
  • ISO/IEC 27050 (in 4 parts) concerns electronic discovery which is pretty much what the other standards cover.
  • British Standard BS 10008:2008 “Evidential weight and legal admissibility of electronic information.

Além disso, o profissional deverá conhecer as normas e regulamentos vigentes em sua localidade, bem como as normas processuais, sobretudo em relação a coleta e produção válida de provas, aplicada aos meios digitais. Um perito que desconhece os limites de sua atuação pode causar grandes danos às partes.

AUTORES, ARTIGOS E PESQUISADORES INTERNACIONAIS ESSENCIAIS

MARK REITH, também, tem um artigo essencial para quem pretende trabalhar na área, denominado “Anexamination of digital forensics models”, em que ela faz um comparativo sobre as disciplinas e metodologias de perícias na área: https://www.just.edu.jo/~Tawalbeh/nyit/incs712/digital_forensic.pdf.

GARFINKEL escreveu um artigo indispensável a todos os futuros peritos em informática, qual seja, Digital forensics research: The next 10 years.

MORIOKA publicou em 2016 um importante artigo sobre computação forense em nuvem, área da perícia digital que vem crescendo muito: https://ieeexplore.ieee.org/document/7568909.

MILAGRE e CAIADO, publicaram um importante artigo sobre Computação Forense na em “Cloud Computing” (Desafios e melhores práticas – ICoFS-2013): https://www.forensicfocus.com/articles/current-challenges-in-digital-forensics/.

SOTYANOVA et al, escreveram importante artigo sobre os desafios e abordagens da forense em Internet das Coisas: https://ieeexplore.ieee.org/document/8950109.

NHIEN-NA LE-KHAC et al, tratam dos desafios da computação forense em veículos inteligentes: https://www.sciencedirect.com/science/article/abs/pii/S0167739X17322422.

Estes são alguns artigos estruturais, mas o profissional deve estar sempre atento à produção científica na área.

Não tenho dúvida que o profissional e auditor em informática forense de sucesso será aquele que não seja um mero “Operador de Ferramentas”. Mas será aquele que conheça as técnicas aplicadas pelas ferramentas e, principalmente, as teorias da informação por trás de um objeto de análise. Por isso, publiquei um artigo, com meu orientador denominado: “As contribuições da Ciência da Informação na perícia em Informática no desafio envolvendo a análise de grandes volumes de dados – Big Data”, publicado na UFPB (https://periodicos.ufpb.br/index.php/itec/article/view/22846). É leitura basilar.

Estes são importantes aportes teóricos e basilares para iniciar uma consultoria em perícia digital, que, com certeza, trarão a base para outras leituras mais específicas.

CADEIA DE CUSTÓDIA

Recentemente, o Código de Processo Penal, aplicado quando da realização de perícias na área criminal, sofreu profundas alterações em razão do advento da Lei nº 13.721, de 2018, conhecida como Pacote Anticrime.

Agora, há a descrição da cadeia de custódia, isto é, o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio coletado em locais ou em vítimas de crimes, para rastrear sua posse e manuseio a partir de seu reconhecimento até o descarte (art. 158-A). Os artigos 158-B e seguintes do Código de Processo Penal disciplinam a cadeia de custódia e deverá ser também observado pelo perito digital.

O QUE FAZ O PERITO DIGITAL?

A função da perícia digital ou forense digital, carreira que mescla a formação jurídica com a tecnologia da informação é reconstruir o passado, constatar a materialidade e apurar a autoria de conflitos, fraudes, furtos e agressões que são cometidas por intermédio de dispositivos informáticos e telemáticos, como computadores, notebooks e dispositivos móvel celular.

A ciência que possui, aproximadamente, dezenove anos no país, antes era destinada apenas a auxiliar a criminalística na atuação de crimes eletrônicos, agora passa a ser considerada uma área corporativa, ligada a segurança da informação, governança, risco e conformidade, em razão do crescente número de fraudes informática cometidas no âmbito corporativo.

Cumpre destacar que são crescentes as infrações cometidas sob o suposto anonimato virtual. Contudo, as pessoas ainda insistem em classificar a perícia digital ou forense computacional como mero resgate científico de dados ou clonagem de discos, o que é uma premissa incorreta.

QUAL É O CAMPO DE ATUAÇÃO?

No que se refere às áreas de atuação, o perito digital pode atuar na área pública ou privada.

Para atuar na área pública, o profissional pode peticionar em juízo sua habilitação que será ou não deferida pelo juiz. Em São Paulo, a norma que regulamenta a perícia é o Provimento nº 2306/2015. Lembrando que o peticionamento dos peritos já é realizado pela via eletrônica, razão pela qual o perito precisa conhecer sobre PROCESSO ELETRÔNICO.

Em algumas comarcas, pode auxiliar o Ministério Público e Delegacias não especializadas, necessitando apresentar, em petição escrita instruída de curriculum, os antecedentes criminais e casos que atuou.

Além disso, o perito digital pode atuar como assistente técnico das partes em juízo.

Ainda, há a possibilidade de ser um perito policial, integrante do Instituto de Criminalística dos Estados ou da Polícia Federal, sendo que o ingresso é somente mediante concurso.

Por sua vez, na área privada, os profissionais de forense corporativa normalmente integram uma equipe multidisciplinar composta por profissionais da área jurídica e técnica, de nível estratégico e gerencial, e que estão inter-relacionados com o Time de Resposta a Incidentes da Empresa, previsto na norma ISO 27001.

Importante destacar, ainda, que a recém publicada norma ISO 27701, que estabelece o Sistema de Gestão da Privacidade da Informação, ratifica em seu item 6.13.1.17 as diretrizes da ISO 27002, no que diz respeito a manutenção de processos claros de coleta de evidências:

“Convém que procedimentos internos sejam desenvolvidos e seguidos quando tratando de obter evidências para os propósitos de ações legais ou disciplinares.

Geralmente os procedimentos para evidência fornecem processos de identificação, coleta, aquisição e preservação de evidências, de acordo com diferentes tipos de mídia, dispositivos e situação dos dispositivos, por exemplo, se estão ligados ou desligados. Convém que os procedimentos levem em conta:

a) a cadeia de custodia;

b) a segurança da evidência;

c ) a segurança das pessoas;

d ) papéis e responsabilidades das pessoas envolvidas;

e ) competência do pessoal;

f) documentação;

g) resumo do incidente.

Quando disponível, certificações ou outros meios de qualificação de pessoal e ferramentas são buscados, para aumentar o valor da evidência preservada.

Evidência forense pode ir além dos limites da organização ou da jurisdição. Em tais casos, convém que seja assegurado que a organização tem direito de coletar as informações requeridas como evidência forense. Os requisitos de diferentes jurisdições podem ser considerados para maximizar as chances de admissão ao longo das jurisdições relevantes.”

Assim, o perito forense computacional também pode atuar nas áreas relacionadas à proteção de dados pessoais e segurança da informação, buscando solucionar problemas relacionados a incidentes, como vazamento da dados, na identificação do motivo e da autoria.

Vale ressaltar que nem tudo na perícia são crimes informáticos. Hoje o perito pode atuar com:

a) Valoração de ativos digitais;

b) Apuração de autoria de fraudes;

c) Análise de contrafações de sistemas e softwares;

d) Comparação de softwares;

e) Análise de controvérsias em implementações de sistemas;

f) Perícias envolvendo concorrência desleal;

g) Perícias envolvendo uso indevido dos ativos de TI;

h) Fraudes em meios de pagamentos;

i) Atuação em processos trabalhistas;

j) Controvérsias em relações de consumo na web;

k) Análise de sanitização de bases de dados;

l) Controvérsias envolvendo proteção de dados pessoais e LGPD.

FORMAÇÃO EM PERÍCIA DIGITAL

Em relação à formação do perito digital, a legislação nacional não exige formação específica em tecnologia, sendo que no novo Código de Processo Civil até a expressão “nível universitário” fora reprimida. Agora, conforme o art. 156 do novo Código de Processo Civil, os peritos serão nomeados entre os profissionais legalmente habilitados.

No entanto, isso não significa “carta” branca para aventureiros, pois os tribunais avaliarão, periodicamente, três fatores:

a) formação profissional: conjunto de formações do perito para atuação na área, sendo que aqui contam graduações, pós-graduações e certificações;

b) atualização do conhecimento: o quão atualizado o profissional se encontra, o que pode ser demonstrado com cursos e certificações recentes;

c) experiência: o que pode ser quantificado pelo número de trabalhos técnicos já realizado.

A despeito do que está previsto em lei, é imprescindível um conhecimento multidisciplinar, a fim de evitar que erros sejam homologados pelos juízes e cortes brasileiras, bem como a produção de laudos superficiais, que geram quesitos a serem explorados por bons advogados em Direito Digital, que irão destituir as provas e, principalmente, cooperar com a impunidade. Precisamos, realmente, de pessoas qualificadas.

Além do perito digital ter uma formação aprofundada em tecnologia, deve demonstrar experiências em frameworks, compliance e melhores práticas previstas na tecnologia da informação como SOX, COBIT, ITIL, PCI, ISO 27001, bem como da legislação básica brasileira, Código Civil, Código Penal, Consolidação das Leis do Trabalho, e principalmente, normas processuais e procedimentais que regulamentam a produção da prova pericial no Brasil.

Dessa forma, a formação ideal do perito digital deve ser a técnica, com aportes de conhecimento processual/jurídico (caso atue na área forense), já que, mais do que saber agir tecnicamente ou conhecer a intimidade das falhas dos sistemas, o profissional precisa atuar na linha tênue que separa uma perícia homologada de uma produção probatória nula, ilícita ou ilegítima.

Nos treinamentos que ministramos, constatamos profissionais altamente treinados para coleta de evidências, mas que possuem dificuldades em preservá-las, classificá-las, analisá-las em uma escala de prioridade e, principalmente, não conseguem elaborar um laudo técnico pericial.

Vale ressaltar que a profissão do perito digital compreende a habilidade de escrever e dar significado a zeros e uns para um juiz ou sponsor. Além disso, há peritos com formação jurídica tendem a fazer laudos repletos de fundamentação legal, e esquecem de analisar os pontos técnicos solicitados pelas partes.

Assim, a perícia digital não pode ser mais vista como um “box” separado da segurança da informação e das normas de governança em TI.

Não recomendaria uma Pós em computação forense que só trate de Direito ou apenas teorias. O aluno precisa ter contato com threats e casos simulados, de modo a se tornar um projetista quando tiver que lidar com casos reais, rapidamente, estruturando em sua mente suas técnicas e ferramentas a utilizar, considerando todos os princípios da disciplina e, principalmente, ciente de que tempo é sim fundamental.

Quanto aos conhecimentos que reputo indispensáveis para um perito digital listo: redes e arquitetura TCP/IP, sistemas de arquivos, sistemas operacionais baseados em Unix, conhecimentos de fundamentos de algoritmos e linguagem de programação. Muitas ferramentas opensource já homologadas pela comunidade estão em plataforma Unix, logo, um perito que opere somente e plataforma Windows, pode em determinados casos, preterir ferramentas e técnicas que seriam essenciais para o caso.

ONDE CURSAR COMPUTAÇÃO FORENSE

Não se tem a disciplina de computação forense ou perícia digital nos cursos de graduação em tecnologia da informação (alguns já contam com a disciplina de segurança da informação). Igualmente, algumas pós-graduações em Segurança da Informação adotam a computação forense como disciplina. Não recomendo cursar uma pós apenas pela disciplina, embora o conhecimento de Segurança da Informação seja muito relevante para aqueles que desejam se especializar em computação forense.

De início, eu preciso deixar claro que você não necessita de uma pós-graduação em computação forense para atuar. Existem importantes certificações que passo no meu curso EAD de PERÍCIA E INVESTIGAÇÃO FORENSE DIGITAL (https://cyberexperts.com.br/curso-pericia-digital/), que podem contribuir muito para a formação profissional. O Curso é feito pela CYBEREXPERTS, referência e uma das primeiras empresas no Brasil focada em Reputação Online e Computação Forense. Mais informações, entre em contato comigo, pois as turmas são extremamente limitadas.

Hoje, é interessante que você desenvolva cursos de extensão ou mesmo certificações na área, sendo as da SANS e da e-COUNCIL (https://www.eccouncil.org/programs/computer-hacking-forensic-investigator-chfi/) as mais conhecidas, além das certificações focadas em ferramentas. Participe, também, de eventos sobre o tema, sendo que hoje existem inúmeros eventos online e, provavelmente, alguns na sua região.

CURSO PERÍCIA E INVESTIGAÇÃO FORENSE DIGITAL

O meu treinamento -“PERÍCIA E INVESTIGAÇÃO FORENSE DIGITAL”- tem como objetivo fornecer ferramentas para que os profissionais atuantes na área – ou que nela pretendam ingressar – possam se capacitar neste ramo, atendendo com excelência as exigências do mercado. Estas ferramentas proporcionarão os conhecimentos necessários para a análise de mídias, recuperação de evidências e elaboração e análise de Laudos Periciais.

Além disso, é um curso que atua não só com forense open source, mas com ferramentas proprietárias muito utilizadas no mercado. Se você for trabalhar como terceirizado para grandes consultorias ou mesmo busque um emprego como analista o perito forense digital, certamente deverá comprovar conhecimento nestas ferramentas.

Caso opte por uma pós graduação, antes de ingressar, pesquise sobre os docentes. Uma Pós que atua só com agentes públicos passará ao aluno uma visão limitada do mercado e dos casos envolvendo computação forense e perícia digital.

Portanto, escolha um curso que possa conhecer como é a perícia em informática no setor público (Polícia, Receita Federal, Fazenda, Exército, Ministério Público), mas também, que possa ter contato com docentes que estão no mercado corporativo de perícia digital, a fim de ter um contato não só sobre as áreas, mas como são conduzidos processos de investigação forense (fase de preparo, coleta, preservação, análise e reporte).

Não preciso dizer que o networking também é essencial, pois profissionais do mercado poderão demandar seus serviços. Já na área pública, só existe o ingresso mediante concurso público.

QUANTO GANHA UM PERITO FORENSE COMPUTACIONAL?

Na área pública, as perícias judiciais são pagas através de honorários. Ou seja, o juiz, a partir do momento em que entenda que é caso de perícia, oferece oportunidade para o perito estimar. Considere neste caso dividir o trabalho em fases e estime horas para cada fase, totalizando ao final. Mas o profissional que pretenda atuar como perito judicial deve saber, que comumente os honorários são menores que as perícias privadas e o recebimento burocrático (mediante guias de levantamento).

Em relação aos peritos policiais, a remuneração inicial de um perito da Polícia Federal é R$ 23.692,74 (https://www.estrategiaconcursos.com.br/blog/concurso-policia-federal/) e do Instituto de Criminalística do Estado de São Paulo é R$ 8.699,94 (http://www.recursoshumanos.sp.gov.br/retribuicao.asp?página=policial4), ambos mensais.

Em média, a remuneração por hora de um perito em informática está em torno de 480,00 (quatrocentos e oitenta reais). Essa hora pode aumentar ou diminuir de acordo coma a especialidade do perito, volume de dados a coletar e analisar, a exemplo, perícias em dispositivos móveis, bancos de dados, redes, cloud computing costumam ter honorários mais elevados. Além disso a quantificação de horas deve levar em consideração quantidade e diferenças de dispositivos, equipe necessária para o trabalho e demais considerações, valor da causa, etc.Também é possível estimar o trabalho por empreitada.

Aos pretendentes da área, a profissão é rentável, mas exige muito de nós. Podemos ter muitas perícias positivas, mas basta um deslize ou uma evidência clara que não encontramos para que todo o histórico seja destruído. Avisamos que qualquer conduta impensada, como um simples comando para listar o diretório de um sistema operacional, pode significar a perda de dados importantes para o draft final e, consequentemente, milhões para as empresas envolvidas. Por isso, simulações de coleta de dados são sempre estimuladas e bem-vindas, pois, em campo, o profissional estará mais preparado.

PERSPECTIVAS NO MERCADO

No que diz respeito à perspectiva de crescimento da área, o mercado vem crescendo assim como cresceu no mundo. Sobre o tema, fiz o seguinte vídeo: https://www.youtube.com/watch?v=Ik5JyWVOzKM&t=248s.

No mundo, é um mercado que movimentará mais de 9 bilhões de dólares até 2022. E, até 2026, o mercado forense digital está projetado para atingir 11,45 bilhões de dólares. Os principais fatores que impulsionam o mercado forense digital global são: a crescente demanda pela implementação da Internet das coisas, visto que, de acordo com o Relatório de Mobilidade da Ericsson e a Previsão da Internet das Coisas, haverá 18 bilhões de dispositivos conectados até 2022, bem como o aumento de crimes cibernéticos, ataques cibernéticos e outras práticas ilícitas (MARKETS AND MARTEKTS).

As tendências do mercado forense digital, por componente são:

  • Hardware
  • Sistemas Forenses
  • Dispositivos Forenses
  • Bloqueadores de escrita forenses
  • Outros (inclui cabos, adaptadores, compartimentos de disco rígido, baterias e dispositivos de armazenamento)
  • Programas
  • Serviços
  • Serviços profissionais
  • Investigação e consultoria digital
  • Resposta ao Incidente
  • Integração do Sistema
  • Treino e educação
  • Suporte e Manutenção
  • Serviços gerenciados

No Brasil, o Marco Civil da Internet (Lei nº 12.965/2014) e as Leis que estabeleçam condutas criminosas na Internet tendem a fomentar o perito digital corporativo, apto a atuar em sintonia com o Sistema de Gerenciamento de Segurança da Informação da empresa, avaliando casos e propondo melhorias. Além disso, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) traz uma série de oportunidade para peritos digitais que se especializem em incidentes e controvérsias evolvendo dados pessoais.

O perito policial e judicial, o primeiro, atuando em investigações e inquéritos que se relacionem com Internet e tecnologia, e o segundo, auxiliando juízes no entendimento técnico de discussões judiciais cíveis, criminais e trabalhistas, possuirão cada vez mais trabalho. O Perito digital será função indispensável à justiça, tal como o advogado, pois através dele inocentes não serão condenados e culpados não serão absolvidos por ausência de provas, que na sua maioria das vezes são digitais.

A perícia digital vem amadurecendo no Brasil, mas ainda muito precisa ser feito para que autoridades de aplicação de leis se aproximem do cibercrime. O Estado precisa preocupar-se mais em capacitar seus profissionais do que comprar ferramentas.

Os casos enfrentados por um perito digital são variados, podendo ser uma mera constatação de contrafação de código fonte ou violação de software, ou a análise de escuta clandestina do tráfego de telefonia celular ou internet wireless, passando por análise de memórias de dispositivos, arquivos de paginação e recuperação de dados apagados ou sobrescritos.

Como a maior parte dos incidentes de segurança decorre de vulnerabilidades, cada vez mais é necessário um profissional de computação forense com profunda bagagem em resposta a incidentes, a fim de auditar logs, profiles e compreender o passado, em busca do entendimento sobre o que, como e quem foi o responsável pelo o ocorrido.

COMO COMEÇAR A TRABALHAR COM PERÍCIA DIGITAL E SE HABILITAR?

Primeiro passo é buscar conhecimento, formação profissional. A profissão deve crescer muito nos próximos anos e a concorrência já é bem maior que há 10 anos atrás.

Importante dizer que perícia em informática não é perícia em engenharia, portanto, não está sujeita a conselhos ou associações de engenharia, sobretudo no que tange à estimativa de honorários. Embora alguns peritos usem tabelas da engenharia para estimar honorários, os salários hoje podem ir de 8 a 35 mil reais por mês, de acordo com a complexidade do trabalho, experiência e tarefas do analista, além de outros fatores.

Os passos básicos para iniciar são:

1) Defina seu foco de atuação e busque cursos de extensão e especialização, se possível uma certificação;

2) Faça seu curriculum técnico e crie igualmente um perfil no Linkedin, buscando contato com empresas e consultorias de perícia;

3) Apresente-se para empresas e escritórios jurídicos para atuar como assistente técnico;

4) Converse com peritos experientes e conheça as normas processuais, de habilitação em tribunais e, principalmente, os principais documentos que um perito faz, como manifestações, resposta a quesitos e laudos.

Em meus treinamentos, também, trago importantes modelos para peritos e profissionais de TI que atuam com crimes virtuais e cibernéticos.

5) Pratique. Associe-se a entidades e associações da área, ou seja, um correspondente de perícia ou acompanhe diligências e perícias digitais, mesmo sem honorários periciais. O que vale é a experiência para conhecer a prática do dia a dia.

6) Software. Monte uma estação forense para análises, com suas ferramentas, lembrando que hoje temos ótimos softwares gratuitos para análises, como KALI LINUX, PTK, volatility, disk digger, AUTOPSY, dentre outros. Aqui temos 22 ferramentas essenciais para o perito em informática: https://resources.infosecinstitute.com/topic/computer-forensics-tools/#gref.

CRITÉRIOS PARA CONTRATAR

O fator humano é fundamental para o sucesso de uma empresa perícia digital e computação forense, visto que se trata da prestação de serviço extremamente especializado. Os profissionais contratados devem ter formação tecnológica, jurídica e vivência nas áreas pública e privada. Algumas faculdades oferecem cursos de pós-graduação em perícia digital.

O perito digital precisa conhecer a legislação brasileira e o direito internacional já que tudo que está ligado à internet é de escopo global. Com o crescimento do uso de recursos multimídia, o domínio sobre tecnologias de imagem e voz também é requerido, além de habilidades específicas como a capacidade de análise e síntese de soluções e integridade profissional.

Compreender outras línguas, principalmente o inglês, é outro requisito básico, visto que o perito pode lidar com questões internacionais. Também precisará buscar informações disponíveis em outros idiomas e cooperar com profissionais estrangeiros ou operar tools.

Além da formação acadêmica básica, o profissional poderá (não deverá) obter algumas certificações válidas no mercado mundial de software. As principais são:

– EnCE (EnCaseCertifiedExaminer), do fabricante Guidance;

– ACE (AccessData Certified Examiner), do fabricanteAccessDat;

– CCFT (Certified Computer Forensic Technical);

– GIAC (Global Information Assurance Certification), da SANS;

– CEH (Certified Ethical Hacker);

– CHFI (Certified Hacker Forensic Investigator);

– ACFEI (American College of Forensic Examiners Institute).

– iSC2.

A qualificação de profissionais aumenta o comprometimento com a empresa, eleva o nível de retenção de funcionários e melhora a performance do negócio. O treinamento dos colaboradores deve desenvolver as seguintes competências:

– Capacidade de percepção para entender e atender as expectativas dos clientes;

– Agilidade e presteza no atendimento;

– Motivação para crescer juntamente com o negócio.

Portanto, é evidente que a perícia irá crescer muito e o profissional que se tornar um perito digital terá um campo de trabalho imenso, desafiador e bem lucrativo, desde que, se prepare a altura.

DESAFIOS FUTUROS

Dados encriptados, cloud forensics, Internet das Coisas e o alto volume de dados são indicados como os principais desafios. O alto volume de dados é uma frustração que o perito terá que aprender trabalhar. Costumo dizer que perícia profunda e tempo são intimamente ligados e a qualidade do trabalho cresce na mesma proporção do tempo existente. Infelizmente, grande parte dos trabalhos serão feitos e um curto período de tempo e nem todas as análises possíveis poderão ser realizadas, quer por falta de tempo, quer por falta de orçamento, razão pela qual o perito deverá escolher as análises mais significativas ou que mais contribuem para o caso.

Durante o ano de 2020, vivenciamos uma pandemia causada pelo Covid-19, o que potencializou as relações no ambiente digital. Diversos golpes e fraudes foram aplicados, aparelhos invadidos. Além disso, muitas empresas precisaram fazer o home office, o que fez com que a vulnerabilidade de muitos aumentassem. Assim, a perícia digital estará em alta, considerando a inovação forçada de muitos setores, sem os cuidados básicos com segurança, o que dará margem a atuação de fraudadores e criminosos.

A computação forense e perícia digital é muito dinâmica e a cada ano surgem novos desafios e tecnologias, sendo que os peritos devem se enquadrar nesta dinâmica de atualização constante. Internet das coisas, Drones, GPS, ataques de ransonware, Big Data, Inteligência Artificial e Deep Web já são realidades. A criptografia e as novas transações na Blockchain são desafios. Pontos que valem um maior estudo pois profissionais com “respostas” nestas áreas serão extremamente procurados.

O perito que tiver soluções para estes problemas certamente terá muito sucesso em sua atividade. Vale ficar atento em novas tecnologias utilizadas em massa, e quais evidências podem ser coletadas diante de fraudes, golpes e crimes na internet cometidos nestes ambientes.

Contratar um perito digital particular: http://www.cyberexperts.com.br

REFERÊNCIAS

INDICAÇÃO DE LIVROS

Muitos livros foram lançados sobre computação forense. Vou indicar os que eu li e gostei, basilares, e que podem lhe dar o alicerce para outros livros mais específicos:

– Perícia Forense Computacional. Teoria e Prática Aplicada (Dan Farmer)

https://www.amazon.com.br/Per%C3%ADcia-Forense-Computacional-Pr%C3%A1tica-Aplicada/dp/8576051281

– Introdução à Análise Forense em Redes de Computadores (Ricardo Kleber)

https://www.novatec.com.br/livros/analise-forense/

– File system Forensic Analysis (Brian Carrier)

https://www.goodreads.com/book/show/692554.File_System_Forensic_Analysis

– A Forensic Focus (que aliás é item indispensável de leitura do perito em informática) tem uma lista bem interessante de livros na área: http://www.forensicfocus.com/computer-forensics-books-us

– Perícia digital: da investigação à análise forense (Evandro Della Vechia). É um livro fundamental que indico, de um grande perito digital, e tenho prazer de ter escrito meu depoimento no livro.

https://www.editorajuspodivm.com.br/pericia-digital-da-investigacaoaanalise-forense-2019?utm_camp=gshop&idgrade=163024&gclid=Cj0KCQiAjKqABhDLARIsABbJrGm3DHs7p1tt1G91ZyCwlYEsvvmcgk_0hReCORYoTTKYtMvyl4JWRMMaAg5cEALw_wcB

AINDA TEM DÚVIDAS? FALE COMIGO

Minha missão é ajudar ao máximo pessoas que pretendam atuar na área de computação forense, resumindo informações que levei anos para descobrir. Espero que este conteúdo possa agregar a muitos profissionais e estudantes que pretendam e sonham em trabalhar com perícia digital ou em informática. Atualizarei esta página continuamente e peço que reverbere este conteúdo compartilhando aos que tem interesse. Bom trabalho a todos e fico à disposição para dúvidas pelo e-mail [email protected]. No meu canal no Youtube também público vídeos semanais sobre computação forense (www.youtube.com/josemilagre).

CYBEREXPERTS

A CyberExperts é consultoria especializada em computação forense, inteligência cibernética, perícia e auditorias em informática e peritos digitais. Atuamos para empresas e órgãos públicos na coleta, preservação e análise de evidências digitais, por meio de um rol de peritos com notória experiência profissional. Fale conosco (11) 3254-7616 ou acesso www.cyberexperts.com.br

Contratar um perito digital particular: http://www.cyberexperts.com.br

José Antônio Milagre, perito forense digital, perito e assistente técnico em informática, perito em proteção de dados,  especialista em computação forense, analista de sistemas, técnico em processamento de dados, Pós Graduado em Gestão de Tecnologia da Informação, Mestre e Doutorando em Ciência da Informação pela UNESP. Contato: [email protected] e (11) 3513-7844. Instagram @dr.josemilagre




A LGPD e o vazamento de dados pessoais na empresa: o que fazer e como agir para minimizar danos?

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), em vigor desde setembro de 2020, impõe importantes direitos aos titulares de dados pessoais, bem como deveres aos agentes de tratamento que, nas suas atividades, manipulem dados pessoais.

Segundo o relatório “Prejuízo de um vazamento de dados”, realizado pelo Ponemon Institute em parceria com IBM Security, o prejuízo total médio de um vazamento de dados aumentou 10% desde 2014, sendo o tempo médio para detectar e conter um vazamento de dados é de 280 dias e 315 dias quando for por um ataque mal-intencionado.

Nesse cenário, a responsabilidade para com a segurança da informação, já prevista em guidelines, normas e melhores práticas antes da LGPD, foi reforçada com os regulamentos que protegem dados pessoais, merecendo cada vez mais atenção.

São exemplos de importantes normas relacionadas à segurança da informação:

– a norma ABNT ISO/IEC NBR 27001:2013 que estabelece requisitos para o sistema de gestão da segurança da informação (SGSI);

– a norma ABNT ISO/IEC NBR 27002:2013, que prevê controles de segurança da informação e, recentemente, receberam a extensão dos requisitos e diretrizes específicos para controladores e operadores, trazidos pela norma ABNT ISO/IEC NBR 27701:2020, que dispõe acerca do Sistema de Gestão da Privacidade da Informação (SGPI).

Deste modo, a segurança da informação, destinada à proteção das dimensões envolvendo confidencialidade, integridade, disponibilidade e demais atributos da informação, também considera as especificidades envolvendo dados pessoais, razão pela qual a proteção da informação abrange não apenas dados corporativos ou classificados com críticos e confidenciais, mas também, dados ligados à pessoas naturais.

A segurança da informação é elevada ao status de um princípio na LGPD, envolvendo a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, relacionadas à destruição, perda, alteração, comunicação ou difusão.

Do mesmo modo, estabelece a LGPD que um tratamento de dados irregular não é somente aquele que não observa a legislação, mas, principalmente, aquele que não fornece a segurança que dele se pode esperar, considerando padrões e práticas aplicáveis à época do tratamento.

Nesta linha, agentes de tratamento responderão por danos decorrentes da violação de segurança quando não adotarem medidas físicas, técnicas e organizativas aptas a proteger dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Assim, se antes, controladores e operadores poderiam assumir o risco de omitir uma vulnerabilidade explorada ou um incidente que envolvesse dados pessoais, em um cenário de normas de proteção de dados e maior conscientização, a omissão ou a descoberta por outras fontes pode ser catastrófica ao negócio.

Se o incidente envolve riscos aos titulares de dados, procedimentos ágeis devem ser executados em um processo claro, definido e testado previamente, com colaboradores responsáveis, conscientes de seu papel para a estrutura de governança de dados da organização e capacitados tecnicamente para conter um incidente de segurança.

Se minha empresa teve dados pessoais vazados, o que é preciso fazer?

De início, cumpre esclarecer que, após a confirmação, conforme o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Em tese, se não envolve risco ou dano relevante aos titulares, a comunicação não seria necessária. Recomenda-se que esta avaliação seja feita por consultoria e perícia forense digital independente em conjunto com o time interno, capaz de compreender a dimensão do ataque, vulnerabilidade explorada, medidas preventivas ou reativas acionadas e, então, ponderar pelo risco ou não aos titulares.

Nesse cenário, o DPO (Data Protection Officer) assume papel consultivo, pois a autonomia e independência são inerentes a sua função, zelando pelo melhor interesse do titular de dados e, como canal de comunicação, ser o elo entre a empresa, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Por sua vez, caso o ataque ou vazamento de dados proporcione risco ou dano relevante aos titulares, a comunicação à ANPD e aos titulares de dados ou clientes deverá conter, no mínimo:

Resta evidente que, se a empresa não estabelecer um processo claro para resposta a incidentes, terá dificuldades de tomar a decisão sobre incidentes com dados pessoais, sobre comunicar ou não, bem como em levantar as informações detalhadas do ocorrido, sobretudo se a exploração se deu em ambiente de um operador ou controlador conjunto.

Nessas situações, poderá ocorrer a aplicação de penalidades, inclusive multas, lembrando que, no juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, com o intuito de terceiros não autorizados acessá-los.

Nesse contexto, vale destacar que a perícia digital em questões envolvendo dados pessoais pode contribuir no processo de resposta a incidentes, não só para coleta de evidências e manutenção da cadeia de custódia, mas para identificar a extensão dos danos e se envolvem dados pessoais, apurando o possível modus operandi e a autoria.

Assim, é preciso compreender que um Sistema de Gestão de Proteção de Dados compõe-se de uma série de processos, práticas e ações para que a empresa demonstre conformidade com normas e práticas de proteção de dados, inclusive no atendimento do princípio da responsabilização e prestação de contas (art. 6º, X).

A gestão de incidentes de segurança da informação é diretriz prevista na ABNT ISO/IEC NBR 27002 e que agora é atualizada com diretrizes adicionais na seção 6.13 da ABNT ISO/IEC NBR 27701. Além disso, há a norma ABNT ISO/IEC NBR 27.035 que é específica para resposta a incidentes e a norma ABNT ISO/IEC NBR 29.151 que estabelece objetivos de controle, controles e diretrizes para a implementação de controles, a fim de atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de informações pessoalmente identificáveis.

“Como parte do processo de gestão de incidentes de segurança da informação global, convém que a organização estabeleça responsabilidades e procedimentos para identificação e registros de violações de DP. Adicionalmente, convém que a organização estabeleça responsabilidades e procedimentos relativos à notificação para as partes envolvidas nas violações de DP (incluindo o tempo de tais notificações e à divulgação para as autoridades, levando em conta a regulamentação e/ou legislação aplicadas” (ABNT, 2019, p.28)”. 

Vale notar que, como parte dos processos de gestão de incidentes, é muito importante que a empresa defina papéis e responsabilidades, além de procedimentos para identificação e registro de violações de dados pessoais, mantendo inclusive procedimentos para notificação das partes envolvidas e divulgação às autoridades, além do desenvolvimento de uma análise crítica dos sistemas de Tecnologia da Informação e Comunicação (TIC).

A violação a dados poderá ter ocorrido em um operador de dados pessoais, um contratado, terceirizado, prestador de TI etc. Nestes casos, é fundamental que o controlador estabeleça, também, de forma preventiva, cláusulas contratuais que disciplinam como o operador irá fornecer informações necessárias ao controlador para que este possa cumprir com suas obrigações e prazos diante de um incidente constatado.

Em todos os casos, a resposta adequada ao incidente, coleta de  evidências e a perícia digital são essenciais, sobretudo para se evitar responsabilizações, considerando que, conforme disposto na LGPD, os agentes de tratamento não serão responsabilizados quando provarem, por exemplo, que os dados vazados não pertencem à empresa, não houve violação à legislação, ou quando provarem que os danos decorreram de culpa exclusiva do titular, como nos casos em que o titular é enganado por fraudador, que captura seus dados pessoais e credenciais de acesso ou mesmo senhas bancárias e dados de cartão de crédito. São questões que a perícia técnica, interna ou externa, poderá identificar e detalhar nas apurações.

Respostas a incidentes: orientações basilares

Em síntese, ao tratarmos de respostas a incidentes que exponham dados pessoais de clientes, temos que ter em mente as seguintes orientações:

  1. Mantenha um processo/plano claro para lidar com incidentes, considerando a LGPD e regulamentos de privacidade em vigor, definindo papéis e responsabilidades dos atores envolvidos;
  2. Certifique-se que os agentes de tratamento assinaram cláusulas contratuais específicas se comprometendo com a segurança dos dados e a colaboração quando da ocorrência de incidentes;
  3. Realize a simulação de incidentes de segurança, ao menos uma vez ao ano, para verificar a maturidade do processo, a velocidade da resposta, gestores envolvidos, preservação das evidências e se demais tarefas são corretamente executadas. Com o teste do seu plano de resposta a incidentes será possível otimizar a capacidade de conter, mitigar e restabelecer os sistemas de forma ágil e eficaz;
  4. Invista em programas de governança, gerenciamento de riscos e conformidade;
  5. Incentive terceiros, colaboradores e usuários a notificarem qualquer suspeita pelos canais apropriados. Divulgue, ostensivamente, os canais apropriados;
  6. Nesta linha, mantenha um ponto de contato online para que as pessoas possam notificar a suspeita de incidentes de segurança da informação ou com dados pessoais. Um exemplo interessante é o site da Apple, que disponibiliza uma página para que pessoas possam denunciar possíveis vulnerabilidades “Se você acredita que tenha descoberto uma vulnerabilidade de segurança ou privacidade em um produto Apple, relate-o para nós.” (https://support.apple.com/pt-br/HT201220). Na página existe um procedimento claro para relato das vulnerabilidades e como a Apple trata a questão internamente. Desenvolva algo neste sentido. Muitas empresas não possuem canais, o que encoraja pessoas a encaminharem a descoberta de uma vulnerabilidade para outras empresas, como imprensa, associações de defesa de titulares de dados e terceiros. Tenha em mente que é sempre bom que você saiba primeiro de um problema com seus sistemas.
  7. Realize testes de intrusão (pentests) constantemente, teste também a eficácia de mecanismos de pseudonimização e anonimização, e mantenha abertos contatos e canais para notificações de vulnerabilidades por pesquisadores e profissionais;
  8. Em casos de incidentes, realize uma perícia ou auditoria digital nos ambientes para identificar a extensão do dano e o comprometimento a dados pessoais, bem como se é o caso de comunicação a titulares e ANPD ou não. DPOs e Comitês de Proteção de Dados podem se embasar nestes documentos para a correta tomada de decisões. Se os datasets foram publicados na Internet, realize uma perícia comparativa, para apurar se efetivamente vieram de seus sistemas ou não e a possível autoria.
  9. Se a violação se deu em terceiros ou operadores, faça valer o contrato ou acordo de processamento de dados, e requeira todas as informações e evidências (caso já não tenha sido informado), para que possa notificar as autoridades e os titulares de dados (se for o caso). Requeira informações sobre a investigação e elementos já identificados pelo operador, em detalhes;
  10. Em todos os casos, preserve as evidências adequadamente, considerando melhores práticas, incluindo ABNT ISO/IEC NBR 27037. Lembre-se que medidas de resposta adequadas podem significar a demonstração do comprometimento da organização e evitar mais danos e responsabilizações.

O que deve conter em um processo de resposta a incidentes de segurança da informação?

Como visto até aqui, sem um processo de resposta a incidentes prévio e definido empresas terão problemas com incidentes envolvendo dados. Um processo de resposta a incidentes de segurança da informação  visa documentar os passos a serem seguidos quando do incidente e precisa conter, no mínimo:

– A equipe de resposta a incidentes: a declaração das pessoas responsáveis pela área na empresa que irá avaliar a situação, discutir as medidas a serem adotadas e produzir os relatórios necessários;

– Quem será a primeira pessoa a ser comunicada quando do incidente de segurança;

– Procedimentos a serem adotados antes, durante e após o incidente de segurança;

– Medidas adotadas pelo DPO para comunicar os titulares e a ANPD, além dos requisitos da comunicação;

– Elaboração de relatórios e documentos que demonstrem a adoção de medidas para evitar o incidente de segurança e, se houver, o que foi feito;

– Procedimentos de simulação de incidentes de segurança para verificar os riscos e mitigá-los.

– Aprendizado com o incidente de segurança da informação.

Considere, para estruturação de um processo de resposta a incidentes, as disposições da diretriz 6.13.1.5 da norma ISO 27701.

E caso tenha encontrado falhas ou vulnerabilidades em sistemas de empresas e que expõem dados pessoais?

Pode ser (aliás, quase sempre acontece), no entanto, que quem descobriu a vulnerabilidade não foi o controlador, mas um terceiro, pesquisador, analista, hacker, pessoa física, outra empresa etc. Muitas dúvidas surgem neste caso, sobretudo no que diz respeito a qual metodologia seguir.

Infelizmente, muitas empresas, informadas por terceiros de que são vulneráveis, acabam por processar criminalmente o notificante, o que incentiva que estes não a notifiquem e acabem dando destinação diversa ao encontrado, até mesmo encaminhando para a mídia.

Em tempos de LGPD, não serão incomuns as notificações à imprensa de vazamento de dados, sobretudo quando controladores não possuem canal de notificação ou ignoram avisos e mensagens de pessoas (quando as trata como criminosas). Os danos para as empresas serão imensos, pois como esta será vista quando uma vulnerabilidade, que expõe dados pessoais, é descoberta antes pela mídia ou terceiros?

Para pessoas e pesquisadores que encontram vulnerabilidades e exposição de dados pessoais em plataformas, algumas recomendações:

  1. Registre a vulnerabilidade com metadados, documentando como é explorada, e quais os riscos. Se for algo exposto (sem necessidade de exploração, disponível ou facilmente acessível), também documente e sendo o caso registre uma ata notarial.  Demonstre sempre a finalidade de contribuir e não de explorar a falha e que não avançou na cópia dos dados, adulteração ou exclusão de dados pessoais;
  2. Evite fazer dump, copiar ou disponibilizar os dados pessoais e demonstre isso claramente em sua notificação. Avalie como demonstrar a vulnerabilidade de modo menos invasivo possível.
  3. Não é recomendável condicionar o fornecimento de “maiores detalhes da vulnerabilidade” à contratação de serviços de correção da mesma. Este fato pode ser mal interpretado pela empresa/controlador, que poderá iniciar um processo judicial ou criminal.
  4. Busque os canais oficiais de notificação, e sempre dê ciência a uma testemunha sobre a descoberta da vulnerabilidade e sua finalidade na pesquisa.
  5. Caso seja ignorado, pode ser que a empresa queira “acobertar” o vazamento, prejudicando cidadãos e titulares. Neste caso, considere encaminhar a questão à ANPD e às autoridades de aplicação de Lei.
  6. Caso não tenha sido ignorado e a empresa esteja tratando a notificação, é importante observar como lidará com o incidente e se efetivamente irá fazer os comunicados aos titulares e autoridade. Acompanhe de perto e diante de omissões, considere comunicar a ANPD ou autoridades competentes.

Infelizmente, apesar de todas as medidas de proteção dos pesquisadores, nunca saberemos como o controlador poderá reagir a um comunicado de vulnerabilidade e vazamento de dados pessoais que trata..

Inúmeros casos ocorrem onde pesquisadores foram considerados infratores, pelo fato de dar-lhes ciência de uma vulnerabilidade, com uma simples prova, mesmo sem terem comercializado ou disponibilizado dados, mesmo sem pedirem nada em troca. Alguns pesquisadores, inclusive, registram Boletim de Ocorrência ou iniciam o processo de notificação assistidos por advogados especialistas em direito digital, antes de informarem e notificarem a falha, como uma tentativa de se protegerem de processos reflexos e interpretações errôneas.

Conclusões

Não negligencie. Todas as empresas estão sujeitas a ataques e incidentes que exponham dados pessoais. Por isso, um Sistema de Gestão da Privacidade da Informação implantado e mantido atualizado e efetivo pode cooperar para que a empresa reduza ou mitigue os riscos de eventual incidente de segurança, adotando controles e medidas técnicas e administrativas preventivas.

Do mesmo modo, um processo claro de resposta a incidentes envolvendo dados pessoais, como visto, não só demonstra compliance, mas, poderá, em casos concretos, minimizar os riscos de danos aos controladores e, principalmente, aos titulares de dados.

Foram vazados dados da sua empresa? Aja corretamente e evite multas e responsabilidades:

A CyberExperts atua na adequação de negócios e empresas à LGPD, bem como na perícia em dados e resposta a incidentes envolvendo vazamento de dados pessoais e auditorias de conformidade, atuando desde a investigação do incidente ao relacionamento com titulares de dados e Autoridades. Fale conosco. Acesse: www.cyberexperts.com.br.

Sobre o autor:

José Antonio Milagre (https://app.exeed.pro/holder/badge/55319) Data Protection Officer (DPO) EXIN. Pesquisador em direito e dados do Núcleo de Estudos em Web Semântica e Análise de Dados da USP (Universidade de São Paulo). Mestre e Doutorando em Ciência da Informação pela UNESP. Pós Graduado em Gestão de Tecnologia da Informação. Advogado com atuação em Direito Digital. Perito Judicial em Informática e Proteção de Dados. Presidente da Comissão de Direito Digital da Regional da Vila Prudente da OAB/SP. Autor de dois livros pela Editora Saraiva (Marco Civil da Internet: Comentários a Lei 12.975/2014 e Manual de Crimes Informáticos).

Colaboradora: Laura Secfém Rodrigues. Pós-graduanda em Direito, Tecnologia e Inovação com ênfase em proteção de dados, no Instituto New Law. Graduada em Direito pela Instituição Toledo de Ensino (ITE).

© 2021. Proibida cópia ou reprodução sem autorização prévia e expressa do autor: [email protected]




Crimes Digitais, a Omissão das Operadoras de Telefonia Móvel e a Impunidade

Conforme o disposto no Marco Civil da Internet (Lei nº 12.965/14), qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet, em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.

Do mesmo modo, os provedores de telefonia móvel são responsáveis pela guarda dos chamados registros de conexão, sendo eles o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados.

Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e com segurança, pelo prazo de 1 (um) ano, nos termos do Marco Civil da Internet. De outra ordem, não se impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.

Como previsto no Marco Civil da Internet:

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.

1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.

A prática de inúmeros crimes cibernéticos vem sendo estimulada por condutas negligentes das operadoras de telefonia móvel. O golpe da clonagem de Chip, o “sim swap” figurou como um dos principais golpes de 2018 a 2020 e, nitidamente, reflete a falha das operadoras de telefonia em checar a autenticidade de pessoas que solicitam trocas de chips, a partir de dados coletados de clientes. 

O resultado são inúmeros processos movimentando o Poder Judiciário, sendo que muitos responsabilizam as operadoras por não adotarem os critérios de segurança para avaliar a integridade de uma solicitação. 

Mas não é só neste fato que as operadoras vêm protagonizando condutas impensadas e que prejudicam cidadãos e vítimas de crimes digitais. Como se sabe, o cadastramento de chips pré-pagos é obrigatório no Brasil, considerando que, do contrário, seriam usados (como foram) por pessoas má intencionadas para acesso à rede e prática de crimes, sem que fossem identificadas.

O Judiciário já entende que a não adoção de procedimentos para verificação do cadastro de quem solicita um plano ou chip pode responsabilizar o provedor de telefonia. 

Igualmente, encontramos decisões que condenam as operadoras por não apresentarem dados cadastrais, ligados a um número telefônico, permitindo que um criminoso cibernético jamais seja identificado.

     Sobre o tema, cumpre colacionar as seguintes decisões:

EMENTA: JUIZADO ESPECIAL. CONSUMIDOR. TELEFONIA. PRELIMINARES. LEGITIMITADE PASSIVA DO WHATSAPP. ILEGITIMIDADE PASSIVA DA OPERADORA DE TELEFONIA. PRELIMINARES REJEITADAS. CLONAGEM DE LINHA TELEFÔNICA. FALHA NA PRESTAÇÃO DOS SERVIÇOS. DANO MORAL CONFIGURADOS. […] 3. Por outro lado, a empresa de telefonia recorrente se mostra parte legítima para figurar no polo passivo da ação, tendo em vista ser a responsável direta pela disponibilização e manutenção da linha telefônica do recorrido, que foi alvo de clonagem. […] 4. Verifica-se dos documentos juntados aos autos que o autor/recorrido foi vítima de ações de estelionatários, por meio de técnica conhecida como SIM SWAP, que consiste no repasse pela operadora do número de telefone do usuário para um novo chip, que está em posse de criminosos, possibilitando a invasão de aplicativos de trocas de mensagens, internet banking e também acesso a informações privativas. Esta técnica pode ser empregada a partir do fornecimento de dados pessoais do usuário pelo estelionatário para o atendente da operadora, convencendo-o a operar a troca do chip do celular, ou ainda, com a participação de criminosos dentro da própria operadora, com a troca da linha telefônica diretamente nos sistemas da empresa de telecomunicações. 5. Em ambas as hipóteses, está configurada a falha na prestação dos serviços de telefonia celular, uma vez que a fragilidade da segurança da empresa, no caso, possibilitou a ação de criminosos que utilizaram a linha telefônica do autor para enviar mensagens falsas para seus contatos, conforme noticiado em ocorrência policial (ID15838538), gerando danos ao consumidor, o que faz incidir o enunciado no art. 14, § 1º, inciso II, do CDC. 6. A fraude operada gerou aborrecimentos, indignação e angústia que refogem aos meros aborrecimentos do cotidiano, sobretudo diante do descuido com os dados do autor, cujo sigilo violado causou-lhe também prejuízos à sua imagem e honra, já que possibilitou que estelionatário, passando-se pelo autor, enviasse mensagens aos seus familiares, amigos e colegas de trabalho pedindo contribuições financeiras, sob a alegação de estar em dificuldades, fatores esses que caracterizam o dano moral e, consequentemente, o dever de indenizar […]
(TJDFT, Acórdão 1276175, Processo  07292427920198070016, Relatora: SONÍRIA ROCHA CAMPOS D’ASSUNÇÃO, j. 14/8/2020). (g.n.)

EMENTA: RECURSO INOMINADO. AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS E MATERIAIS.  PRELIMINARES DE INCOMPETÊNCIA E DE ILEGITIMIDADE PASSIVA AFASTADAS. SERVIÇOS DE TELECOMUNICAÇÃO. GOLPE DE CLONAGEM DE CHIP. SIM SWAP. ILÍCITO CARACTERIZADO PELA AUSÊNCIA DE SEGURANÇA NO SISTEMA DA OPERADORA. CULPA EXCLUSIVA DE TERCEIRO NÃO VERIFICADA. DANOS MORAIS CONFIGURADOS EM DECORRÊNCIA DA INEFICIÊNCIA DOS SERVIÇOS PRESTADOS PELA TIM. QUANTUM INDENIZATÓRIO ARBITRADO EM R$ 4.000,00 QUE COMPORTA MAJORAÇÃO PARA R$ 8.000,00. RECURSO RECLAMADA CONHECIDO E DESPROVIDO. RECURSO RECLAMANTE CONHECIDO E PROVIDO. (TJPR, Processo 0085357-55.2018.8.16.0014, Relatora: Juíza Manuela Tallão Benke, j. 19/06/2020). (g.n)

EMENTA: APELAÇÃO CÍVEL. AÇÃO INDENIZATÓRIA POR DANOS MATERIAIS E MORAIS, COM PEDIDO DE ANTECIPAÇÃO DE TUTELA. SERVIÇO DE TELEFONIA MÓVEL. FRAUDE. CLONAGEM DE CHIP DO CELULAR DO PRIMEIRO AUTOR, ORA APELADO, QUE PERMITIU O ENVIO DE MENSAGENS PELO FALSÁRIO A AMIGOS E PARENTES DO PROPRIETÁRIO DA LINHA, OPORTUNIDADE EM QUE A SEGUNDA AUTORA FOI LEVADA A DEPOSITAR QUANTIA EM DINHEIRO NA CONTA CORRENTE DO GOLPISTA PENSANDO ESTAR AJUDANDO SEU PRIMO. SENTENÇA DE PROCEDÊNCIA DO PEDIDO EXORDIAL ATACADA POR RECURSO DE APELAÇÃO DA RÉ.

EXTORSÕES FEITAS VIA WHATSAPP QUE SEGUEM UM MÉTODO DENOMINADO SIM SWAP, TÉCNICA QUE CONSISTE EM TRANSFERIR A LINHA DO CHIP DE UM USUÁRIO PARA UM CHIP EM BRANCO. GOLPE QUE FREQUENTEMENTE ENVOLVE UM FUNCIONÁRIO DA OPERADORA QUE TENHA ACESSO AOS SISTEMAS QUE, EM CONLUIO COM O FRAUDADOR, PERMITE A TROCA DA LINHA NO CHIP OU DECORRE DA UTILIZAÇÃO DE DOCUMENTOS FALSOS, QUANDO O FALSÁRIO SE FAZ PASSAR PELO PROPRIETÁRIO DA LINHA E SOLICITA JUNTO À OPERADORA A HABILITAÇÃO DA LINHA DO CONSUMIDOR NO CHIP EM BRANCO. PATENTE A OCORRÊNCIA DE FRAUDE NA HIPÓTESE EM TELA A ENSEJAR A FALHA DA EMPRESA QUE NÃO SE CERCOU DE CUIDADOS PARA EVITAR QUE SITUAÇÕES COMO A NARRADA NOS PRESENTES AUTOS ACONTEÇAM. CLONAGEM DO TELEFONE CELULAR QUE DEMONSTRA A VULNERABILIDADE DO SERVIÇO PRESTADO PELA CONCESSIONÁRIA, SENDO CERTO QUE SEUS RISCOS NÃO PODEM SER TRANSFERIDOS AOS CONSUMIDORES, DEVENDO A EMPRESA ASSUMIR A RESPONSABILIDADE PELAS SUAS CONSEQUÊNCIAS, BEM COMO, OS PREJUÍZOS SOFRIDOS. […]. RECURSO DESPROVIDO (TJRS, Proc. 0068797-30.2017.8.19.0001, Des. AUGUSTO ALVES MOREIRA JUNIOR, j. 28/05/2019) (g.n)

Apesar de o Marco Civil da Internet impor alguns deveres e o Judiciário amadurecer ao tratar da responsabilidade dos provedores de conexão na apuração da autoria, novos desafios surgem diariamente e clamam a atenção de autoridades de aplicação da lei, sob pena de se privilegiar um ambiente anônimo e perigoso. 

As linhas pré-pagas são comercializadas de acordo com a Resolução da Anatel nº 477/07. É sabido que é responsabilidade dos titulares efetuar o cadastramento das linhas pré-pagas. No Brasil, a Lei nº 10.703/2003 estabelece este dever de cadastramento. Ocorre que um criminoso pode se valer de um chip pré-pago ativado, sem qualquer cadastro, por alguns dias, até que a operadora suspenda o número. E isto, infelizmente, vem ocorrendo com frequência. 

É neste lapso que o anonimato pode ser “garantido”. Na chamada lacuna do ciclo de ativação, que pode durar dias. Um apagão na coleta de dados mínimos necessários. Um criminoso digital não precisa de mais de algumas horas para acessar a rede, criar contas em redes sociais e serviços e/ou publicar conteúdos ofensivos. Imagine então, podendo utilizar um chip por 24 horas, sem qualquer cadastro, até que o mesmo seja suspenso ou cancelado?

Desse modo, em inúmeros processos no Judiciário brasileiro, para apuração de titulares de linhas telefônicas, operadoras estão usando justificativa de que “não possuem em seus sistemas os dados cadastrais relacionados à linha telefônica”. Ainda, chegam a afirmar que apresentaram os dados cadastrais que possuíam, ou seja, nada. 

Para determinados casos, crimes e golpes envolvendo o comunicador WhatsApp, mais uma razão para que WhatsAPP INC não ofereça resistência a apresentar os registros de acesso a aplicação de usuários, a partir de números fornecidos em juízo, pois, além dos casos de chips criados em nome de terceiros, pode ocorrer de a operadora de telefonia não ter nenhum dado de cadastro do chip, pela lacuna no ciclo de ativação, sendo os dados do comunicador a única forma para se tentar apurar a autoria de crimes de informática, ataques, ameaças, golpes…

Portanto, embora a manutenção dos registros de acesso a aplicação ou conexão sejam uma obrigação do Marco Civil da Internet, os dados cadastrais das linhas pré-pagas são definidos em Lei Federal, e, muito embora, as operadoras dependam do cadastramento por seus assinantes, não podem permitir linhas ativas anônimas, ainda que por curtos períodos de tempo, o suficiente para a prática cibernética delitiva e sem formas de rastreio. 

O lapso de anonimato no ciclo de ativação de uma linha pré-paga pode incentivar a prática de crimes digitais, impedir a apuração da autoria e, nitidamente, favorecer a impunidade. As operadoras não podem apresentar relatórios em branco, após ordem judicial, dizendo que “apresentaram o que tinham”. 

Anatel, Legislativo e Judiciário precisam atentar para este risco, com urgência, adotando medidas que impeçam que as operadoras acobertam maus usuários, sem qualquer consequência. 

Currículos: 

José Antonio Milagre, Perito especialista em Crimes Cibernéticos, Analista de Sistemas, Diretor da consultoria CyberExperts, Advogado especialista em Direito Digital e Proteção de Dados, Mestre e Doutorando em Ciência da Informação pela UNESP, DPO EXIN, Presidente da Comissão de Direito Digital Regional Vila Prudente da OAB/SP e Membro da Diretoria do Instituto de Defesa do Cidadão na Internet – IDCI Brasil. https://www.direitodigital.adv.br Instagram: @drjosemilagre

Laura Secfém Rodrigues: Graduada em Direito, pelo Centro Universitário de Bauru/SP, mantido pela Instituição Toledo de Ensino (ITE). Pós-graduanda em Direito, Tecnologia e Inovação com ênfase em proteção de dados, no Instituto New Law. Atuação em assessment e planos de adequação para empresas e órgãos públicos do Brasil.

Emily Lucila de Oliveira. Consultora especializada em Privacidade e Proteção de Dados. Gerente de Direito Digital na José Milagre & Associados. Atuação em assessment e planos de adequação para empresas e órgãos públicos do Brasil, Vice-Diretora do IDCI – Instituto de Defesa do Cidadão na Internet, entidade focada na preservação dos direitos dos usuários de internet e titulares de dados pessoais.




FAKE NEWS! Vulnerabilidades do armazenamento da cadeia de contatos dos serviços de mensageria (PL 2630)

O Especialista e Perito em crimes cibernéticos, José Milagre, fala à Folha SP sobre os malefícios da medida e a importância dos provedores na contribuição para identificar os criminosos.

Acompanhe em: https://www1.folha.uol.com.br/poder/2020/07/regra-para-armazenar-cadeia-de-mensagens-do-whatsapp-pode-ser-ineficaz-em-projeto-de-fake-news-no-congresso.shtml?fbclid=IwAR3KjFnigHxi3nmZPjVDwgAiKYfFTj5QpaQdRNQdUqRILfcCR58TJ80TPMY 




O Especialista em Crimes Cibernéticos e Perito Digital, José Milagre, fala à CNN Brasil sobre o vazamento de dados no MS.

Em um bate papo com a Jornalista Monalisa Perrone, para o “E tem mais”, o Especialista em Crimes Cibernéticos e Perito Digital, José Milagre, fala sobre o vazamento de dados no Ministério da Saúde.

No mesmo ano em que entra em vigor a Lei Geral de Proteção de Dados, o Ministério da Saúde protagonizou dois grandes vazamentos de informações pessoais de pacientes. O primeiro deles revelou os dados de 16 milhões de pessoas que tiveram Covid-19, entre eles o presidente Jair Bolsonaro e o governador do Estado de São Paulo, João Doria. O segundo foi ainda maior, e tornou públicas informações como nome, endereço e até RG de mais de 200 milhões de brasileiros cadastrados no SUS.

Afinal de contas, como instituições públicas e privadas podem ser responsabilizadas pelo vazamento de dados? Elas já respondem à lei de proteção de dados?

Para saber como agir, caso tenha seus dados vazados, acesse:

https://www.cnnbrasil.com.br/tecnologia/2020/12/10/nova-lei-de-protecao-de-dados-e-a-vulnerabilidade-das-informacoes-na-rede?fbclid=IwAR1j8nffcT-1k3L86O35x_z4bMsWQSLUkCx6mNW2_m4Mm1kefMjcPIQ6wJY