Autor: securitylgpd

Publicado em por Deixe um comentário

MAPA DE TEMAS PRIORITÁRIOS DA ANPD: CONECTANDO-SE AOS DESAFIOS DA PROTEÇÃO DE DADOS

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou a primeira edição do Mapa de Temas Prioritários (MTP), delineando as áreas de foco para estudos e planejamento das atividades de fiscalização nos próximos dois anos. Este documento não apenas estabelece prioridades, mas também visa beneficiar diretamente a sociedade, fortalecendo a governança e promovendo maior transparência e previsibilidade nas ações da ANPD.

O MTP identifica quatro eixos de ação que serão prioritários: direitos dos titulares; tratamento de dados pessoais de crianças e adolescentes no ambiente digital; inteligência artificial para reconhecimento facial e tratamento de dados pessoais; e raspagem de dados e agregadores de dados.

A escolha desses temas foi baseada em um levantamento conduzido pela Coordenação-Geral de Fiscalização (CGF), que considerou áreas no âmbito da proteção de dados propícias para estudo e fiscalização. Metodologias adicionais, como a análise de demandas passadas e o alinhamento com objetivos institucionais, foram empregadas para a seleção.

O MTP fornece detalhes sobre o processo decisório, objetivos a serem atingidos e atividades prioritárias em cada eixo. Além disso, apresenta um cronograma de execução e destaca a necessidade de interação com outros órgãos da Administração Pública, e possivelmente, com autoridades de proteção de dados de outros países.

Camila Falchetto Romero, Coordenadora-Geral de Fiscalização Substituta, destaca que essa ferramenta, aliada a outros instrumentos de governança da ANPD, orienta o direcionamento do órgão nos próximos dois anos, priorizando estudos e atividades de fiscalização em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).

Publicado em por Deixe um comentário

ATAQUE CIBERNÉTICO PARALISA OPERAÇÕES EM SEGURADORA DE TÍTULO IMOBILIÁRIO

A recente onda de ataques cibernéticos atingiu a First American Financial Corporation, uma das principais empresas de seguros de título nos EUA. A companhia, fundada em 1889 e conhecida por seus serviços financeiros e de liquidação em transações imobiliárias, teve que desativar parte de sua infraestrutura de TI como medida de segurança após o incidente.

Em um pronunciamento oficial divulgado em um site especialmente criado para tratar deste assunto, a First American confirmou o ocorrido, descrevendo-o como um “incidente de cibersegurança”. A empresa, que registrou um faturamento de $7,6 bilhões no último ano e emprega mais de 21.000 pessoas, é uma referência no setor de seguros de título, com sede na Califórnia.

A Fidelity National Financial, também impactada pelo incidente, relatou que o problema foi controlado em 26 de novembro, mas a restauração completa das operações comerciais ainda estava em andamento. Revelaram também que os atacantes conseguiram acesso a algumas credenciais após invadir seus sistemas.

A responsabilidade pelo ataque, ocorrido em 22 de novembro, foi reivindicada pelo grupo de ransomware ALPHV/BlackCat, embora a Fidelity National Financial não tenha oficialmente confirmado os responsáveis. Este incidente ressalta a crescente preocupação com a segurança cibernética em grandes corporações, especialmente naquelas que lidam com grandes volumes de dados sensíveis.

Publicado em por Deixe um comentário

FALHA DE SEGURANÇA EM CREDENCIAIS COMPROMETE MILHÕES DE CONTAS NA 23ANDME

A empresa de testes genéticos 23andMe recentemente se viu no centro de uma questão de segurança de dados, com a divulgação de que cerca de 6,9 milhões de contas de usuários foram comprometidas. A questão surgiu após um incidente em outubro do ano passado, onde dados pessoais e sensíveis dos usuários foram acessados indevidamente.

De acordo com a 23andMe, o vazamento de dados não se deveu a uma falha direta em seus sistemas, mas sim ao uso, por parte dos usuários, de credenciais de acesso (senhas e e-mails) que já haviam sido expostas em outras violações de dados em serviços diferentes. Este método de ataque, conhecido como “credential stuffing”, aproveita-se de senhas e emails já comprometidos em outras plataformas para acessar contas em diversos serviços.

Após identificar o problema, a 23andMe agiu resetando as senhas dos usuários afetados e incentivando a adoção da autenticação de dois fatores (2FA) – uma prática agora obrigatória para todos os usuários do serviço.

Uma investigação interna revelou que os hackers conseguiram acessar os dados de milhões de usuários através do login em aproximadamente 14 mil contas. Este alcance extenso foi possível devido ao recurso opcional DNA Relatives da 23andMe, que permite aos usuários compartilhar informações genéticas e pessoais com outros usuários, potencialmente parentes distantes. A maioria dos usuários optou por compartilhar uma quantidade significativa de suas informações através deste recurso.

Este incidente levanta questões importantes sobre a segurança de dados em serviços online, especialmente aqueles que lidam com informações pessoais e sensíveis. Ressalta a necessidade de práticas robustas de segurança por parte dos usuários, como a utilização de senhas únicas para diferentes serviços e a ativação de medidas de segurança adicionais como a 2FA. Ao mesmo tempo, coloca em evidência a responsabilidade das empresas em proteger os dados de seus clientes e em orientá-los sobre práticas seguras de gerenciamento de informações pessoais.

Publicado em por Deixe um comentário

CONHEÇA OS RISCOS DA REVOLUÇÃO ROBÓTICA NA INDÚSTRIA

Um incidente foi registrado em uma renomada fábrica de veículos elétricos no Texas, EUA, onde um engenheiro foi brutalmente atacado por um robô automatizado. O trabalhador estava em meio ao processo de reprogramação de outros robôs quando foi surpreendido pelas garras metálicas da máquina, que lhe infligiram ferimentos sérios nas costas e no braço, deixando um rastro visível de sangue pela instalação. A situação só foi controlada após a intervenção de outro funcionário, que acionou o botão de emergência.

Este caso ilustra preocupações preexistentes sobre os perigos potenciais associados ao uso de robôs automatizados em ambientes de trabalho. Apesar de o incidente ter sido reportado sem indicação de afastamento prolongado do funcionário, surgiram alegações de que a empresa pode estar subnotificando tais ocorrências. Segundo informações de uma organização sem fins lucrativos voltada para a defesa dos trabalhadores, a realidade dos acidentes na fábrica pode ser mais grave do que os relatórios sugerem, incluindo até casos fatais.

Este evento acontece em um período em que a empresa está intensificando seus esforços na robótica avançada, como demonstrado pelo lançamento de uma nova versão de seu robô humanoide. Prometendo mais agilidade e uma aparência mais humanizada, este robô simboliza o compromisso da empresa com a inovação. No entanto, o acidente recente ressalta a importância crítica de considerar a segurança e a ética na integração de tais tecnologias no local de trabalho, bem como a necessidade de transparência e precisão nos relatórios de incidentes.

Publicado em por Deixe um comentário

SENHA FRACA? DESCUBRA COMO ISSO AFETOU MILHÕES NA CRISE DA ORANGE ESPANHA

A Orange Espanha, uma das principais operadoras de telecomunicações do país, enfrentou um significativo contratempo na última quarta-feira (3) devido a um sofisticado ataque cibernético. Este incidente, caracterizado pelo desvio de rotas de internet, foi viabilizado por uma falha de segurança surpreendentemente simples: a utilização de uma senha básica, “ripeadmin”, para um sistema crítico.

O incidente foi um exemplo clássico de sequestro de BGP (Border Gateway Protocol), uma técnica maliciosa onde o tráfego de internet é desviado através de anúncios falsos de prefixos de IP. Isso geralmente exige acesso a um roteador estratégico que conecta diferentes sistemas autônomos, típicos de provedores de internet e operadoras de telecomunicações.

A brecha de segurança ocorreu quando um indivíduo, identificado apenas como “Snow”, conseguiu acessar a conta da Orange Espanha no RIPE NCC, a autoridade responsável pela coordenação dos registros de internet na Europa, Oriente Médio e partes da Ásia Central. Para efeito de comparação, na América Latina e Caribe, o órgão equivalente é o LACNIC.

Com esse acesso não autorizado, Snow alterou as rotas de internet da Orange Espanha ao criar novas ROAs (Route Origin Authorizations), que são basicamente certificados que designam quais sistemas autônomos ou IPs estão autorizados a transmitir dados globalmente. A situação foi temporariamente controlada, mas não sem consequências.

A manipulação de Snow resultou na emissão de ROAs não relacionadas à Orange Espanha. Isso ativou um mecanismo de proteção do BGP chamado RPKI (Resource Public Key Infrastructure), que alertou provedores de backbone para rejeitar esses novos anúncios. Contudo, essa medida, em vez de proteger, acabou funcionando inadvertidamente como um ataque DDoS (Distributed Denial of Service) contra a rede da operadora, causando uma redução significativa no tráfego e instabilidade para os usuários.

A empresa de segurança cibernética Hudson Rock sugeriu que a senha pode ter sido comprometida através de malware. Curiosamente, o email e a senha usados no sistema do RIPE NCC foram encontrados em uma lista de credenciais vazadas, uma prática comum entre cibercriminosos para coletar informações.

Snow, por outro lado, alegou ter descoberto as credenciais por acaso, enquanto procurava dados de bots em vazamentos públicos. A hacker chegou a zombar da situação em uma publicação no X (antigo Twitter), oferecendo-se sarcasticamente para “corrigir” a segurança da conta da Orange Espanha.

Em resposta ao incidente, a RIPE NCC iniciou uma investigação e restabeleceu o controle da conta para a Orange Espanha, além de recomendar enfaticamente a todos os seus membros a adoção de autenticação de dois fatores como medida de segurança adicional. Este evento serve como um lembrete crucial da importância de práticas robustas de segurança cibernética em um mundo cada vez mais interconectado.

Publicado em por Deixe um comentário

TECNOLOGIA E O DIREITO: MULHER ENFRENTA ABORDAGENS POLICIAIS INJUSTAS EM SERGIPE

Em um incidente ocorrido em Aracaju, Sergipe, em novembro de 2023, uma auxiliar administrativa foi abordada duas vezes por policiais durante uma festa, devido a um erro em um sistema de reconhecimento facial. Inicialmente, a mulher foi erroneamente identificada como uma fugitiva da justiça por câmeras de reconhecimento facial. Durante a primeira abordagem por policiais civis à paisana, foi rapidamente esclarecido que ela não era a pessoa procurada. No entanto, poucas horas depois, ela enfrentou uma segunda abordagem mais agressiva por policiais militares, que a detiveram e questionaram sem qualquer formalidade ou explicação.

O equívoco só foi totalmente esclarecido após ela ser levada para uma central de comando policial, onde sua identidade foi finalmente confirmada. Apesar do reconhecimento do erro, em nenhum momento os oficiais envolvidos ofereceram um pedido formal de desculpas. O incidente ganhou atenção pública e resultou em promessas de revisão do sistema de reconhecimento facial e na implementação de métodos mais humanizados de abordagem policial.

O trauma vivenciado pela mulher foi significativo, deixando-a apreensiva e com medo de futuras identificações errôneas. Esse medo a levou a evitar eventos públicos e a buscar apoio psicológico. O caso ressalta as preocupações com a precisão e o uso ético de tecnologias de reconhecimento facial e sublinha a necessidade urgente de procedimentos policiais mais sensíveis e respeitosos.

Publicado em por Deixe um comentário

“SEGURANÇA OU INVASÃO? O PAPEL DE APPLE E GOOGLE NA VIGILÂNCIA GOVERNAMENTAL”

Recentemente, veio à tona uma questão alarmante sobre a privacidade digital: Apple e Google podem estar compartilhando com autoridades governamentais os dados referentes a notificações que os usuários recebem em seus dispositivos móveis. Essas notificações, muitas vezes, contêm informações sensíveis, como detalhes pessoais e financeiros, o que agrava a preocupação com a proteção de dados.

O Senado americano, ainda em 2022, uma apuração sobre alegações de que governos estariam solicitando registros de notificações de iPhones e Androids, sem revelar quais países estavam envolvidos. Durante a investigação, foi constatado Apple e Google para obter mais detalhes. No entanto, as informações estavam restritas devido a uma proibição imposta pelo governo dos Estados Unidos.

Em 6 de dezembro, requereu ao Departamento de Justiça dos Estados Unidos que autorizasse as empresas a informarem os usuários sobre essas transferências de dados. Surpreendentemente, no dia seguinte, a Reuters publicou uma matéria confirmando a possibilidade de compartilhamento dessas informações pelas empresas.

Em resposta ao escrutínio público e à necessidade de transparência, a Apple comprometeu-se a detalhar essas solicitações em seus relatórios de transparência. Similarmente, o Google expressou seu compromisso em manter os usuários informados sobre as solicitações governamentais por meio de seu próprio relatório de transparência, que, no segundo semestre de 2022, indicou que houve mais de 12 mil solicitações de informações de usuários por parte de órgãos governamentais brasileiros, embora não especificasse quantas envolviam notificações de aplicativos.

Mas, como essas notificações se tornam acessíveis aos governos? Aplicativos de iPhone utilizam o Push Notification Service, da Apple, e os de Android recorrem ao Firebase Cloud Messaging, do Google. Esses serviços, que funcionam como um ‘serviço postal’ para notificações, garantem a entrega eficiente das mesmas. Contudo, isso também coloca Apple e Google na posição de intermediários, potencialmente sujeitos a obrigações legais de entregar essas informações ao governo.

Diante dessas revelações, é imperativo refletir sobre a extensão da vigilância governamental e as implicações para a privacidade dos cidadãos. Enquanto a transparência por parte das empresas é um passo positivo, ainda há um longo caminho a percorrer para garantir a proteção efetiva da privacidade e da segurança dos dados pessoais dos usuários. É fundamental que continuemos a questionar e a investigar essas práticas para assegurar que os direitos individuais sejam respeitados e protegidos em nossa sociedade digital.

A revelação de que Apple e Google podem estar compartilhando dados de notificações de usuários com governos lança luz sobre uma complexa interseção entre as práticas corporativas de vigilância e as leis de proteção de dados. A conexão entre esses atos e as legislações de proteção de dados é multifacetada e envolve várias considerações legais e éticas.

Princípio da Transparência e Consentimento: Leis como o GDPR na Europa e a LGPD no Brasil enfatizam o consentimento informado e a transparência sobre como os dados pessoais são coletados, processados e compartilhados. A ação de compartilhar dados de notificações com governos, muitas vezes sem o conhecimento explícito dos usuários, pode violar esses princípios fundamentais, levantando preocupações sobre a adequação das políticas de privacidade das empresas e a eficácia do consentimento dado pelos usuários.

Direito à Privacidade: A privacidade é um direito fundamental em muitas jurisdições. A interceptação e o compartilhamento de informações pessoais e sensíveis, como dados financeiros e pessoais, podem constituir uma violação desse direito, especialmente se feitos sem o devido processo legal ou transparência adequada.

Solicitações Governamentais e Nacionalidade das Leis: Empresas globais como Apple e Google estão sujeitas às leis dos países em que operam. Isso pode incluir a obrigação de cumprir solicitações legítimas de dados por parte de governos. No entanto, as leis de proteção de dados, como o GDPR, impõem restrições estritas sobre transferências de dados para países fora da UE, especialmente se esses países não oferecem um nível adequado de proteção de dados.

Exceções de Segurança Nacional: Muitas leis de proteção de dados incluem exceções para questões de segurança nacional e ordem pública. No entanto, essas exceções devem ser aplicadas de maneira proporcional e necessária, com salvaguardas adequadas. A falta de transparência e supervisão em como essas exceções são aplicadas pode levar a abusos e violações dos direitos dos cidadãos.

Obrigações das Empresas: As empresas têm a obrigação de proteger os dados de seus usuários. Isso inclui garantir que qualquer compartilhamento de dados com governos seja feito em conformidade com as leis aplicáveis, incluindo garantir que existam solicitações legítimas e procedimentos judiciais adequados. Além disso, as empresas devem ser transparentes com os usuários sobre essas práticas.

Direito de Saber: Os usuários têm o direito de saber como seus dados estão sendo usados e compartilhados. Isso está em linha com o princípio de transparência das leis de proteção de dados. A falta de clareza e a revelação tardia das práticas de compartilhamento de dados podem minar a confiança dos usuários e violar essas leis.

A conexão entre as ações de compartilhamento de dados de notificações por Apple e Google e as leis de proteção de dados é complexa e destaca a tensão entre a privacidade dos usuários, as obrigações corporativas e as demandas governamentais. A proteção efetiva dos dados pessoais em um mundo digital exige um equilíbrio cuidadoso entre esses interesses, uma governança robusta e uma vigilância constante para assegurar que tanto as empresas quanto os governos estejam agindo em conformidade com as leis e respeitando os direitos fundamentais dos indivíduos.

Publicado em por Deixe um comentário

Transformação Jurídica: LGPD Marca Aumento de 81% em Decisões Judiciais no ano de 2023.

Em 2023, observou-se um avanço significativo na aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) no âmbito judicial brasileiro. Este ano registrou um aumento substancial de 81,4% nas decisões judiciais que incorporaram de maneira substantiva os dispositivos dessa legislação, em comparação com o ano anterior. O levantamento preliminar realizado pelo Painel LGPD detectou um total de 1.206 decisões deste calibre, um salto considerável frente às 665 decisões de 2022 e mais de quatro vezes o número identificado em 2021, que foi de 274.

A pesquisa, conduzida por uma renomada instituição de ensino e pesquisa nacional, com o suporte de uma conhecida ferramenta jurídica, visa mapear a trajetória de implementação e efetividade da LGPD nos tribunais do país. Revela-se uma tendência de que as áreas mais afetadas por questões envolvendo a LGPD são o Direito do Consumidor, o Direito do Trabalho e o Direito Civil, uma constância observada desde 2021.

Dentre os setores econômicos frequentemente envolvidos, o financeiro desponta com relevância. Casos emblemáticos incluem ações de indenização por danos ligados a fraudes oriundas de falhas na proteção de dados por instituições financeiras, com tribunais reconhecendo o dano moral pela violação de direitos protegidos tanto pela LGPD quanto pela Constituição. Em contrapartida, em algumas instâncias, alegações de assédio e má gestão de dados pessoais não resultaram em indenizações, especialmente quando os próprios titulares dos dados se envolveram em compartilhamentos imprudentes.

Um aspecto notável da aplicação da LGPD diz respeito às decisões automatizadas. Há uma resistência judicial em revisar tais decisões, especialmente na ausência de provas concretas de solicitação prévia de revisão. Porém, também se observa um movimento jurisprudencial em direção à invalidação de práticas como a coleta de dados de geolocalização, em respeito aos direitos fundamentais à privacidade e à intimidade.

Este estudo, agora em sua terceira edição anual, faz parte de um projeto mais amplo que iniciou em 2021 e marca o quinquênio da LGPD. Com a colaboração de mais de uma centena de pesquisadores, a análise deste ano se aprofundou nos julgados e expandiu o corpo de análise, promovendo uma compreensão mais rica e detalhada dos impactos e desdobramentos da LGPD.

Os estudos foram feitos por 130 pesquisadores, que analisaram mais de 7,5 mil documentos. No ano passado, o projeto contou com 50 pessoas e 1.789 documentos.

Os dados coletados, provenientes de uma ampla gama de Diários Oficiais eletrônicos e páginas de pesquisa de jurisprudência, foram obtidos através de algoritmos avançados, garantindo uma abrangência e precisão notáveis. A divulgação completa dos resultados está prevista para o primeiro trimestre de 2024, prometendo oferecer insights ainda mais profundos e relevantes sobre a evolução da proteção de dados pessoais no Brasil.

Publicado em por Deixe um comentário

COMENTÁRIOS ARTIGO POR ARTIGO DO DECRETO Nº 11.856, DE 26 DE DEZEMBRO DE 2023 QUE INSTITUI A POLÍTICA NACIONAL DE CIBERSEGURANÇA E O COMITÊ NACIONAL DE CIBERSEGURANÇA.

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84,caput, inciso VI, alínea “a”, da Constituição,

D E C R E T A:

Art. 1º Fica instituída a Política Nacional de Cibersegurança – PNCiber, com a finalidade de orientar a atividade de segurança cibernética no País.


Comentário: Este artigo institui a Política Nacional de Cibersegurança (PNCiber), um marco na segurança digital do país. A importância de uma política abrangente como essa não pode ser subestimada. Em um mundo cada vez mais digitalizado, onde ameaças cibernéticas evoluem rapidamente, a PNCiber serve como um farol, orientando todas as atividades relacionadas à segurança cibernética no Brasil. Ela é essencial para estabelecer um ambiente digital seguro e resiliente, protegendo infraestruturas críticas, dados pessoais e corporativos e, por fim, a soberania nacional.

Exemplo: O ataque cibernético ao sistema do Superior Tribunal de Justiça em 2020, que paralisou suas atividades e acessos a processos, ilustra dramaticamente a necessidade de uma política robusta. Este incidente não apenas interrompeu as operações judiciais, mas também expôs vulnerabilidades que poderiam ter consequências desastrosas se informações sensíveis fossem comprometidas. A PNCiber visa prevenir tais cenários, estabelecendo uma estrutura de proteção e resposta.

Art. 2º São princípios da PNCiber:

I – a soberania nacional e a priorização dos interesses nacionais;

II – a garantia dos direitos fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;

III – a prevenção de incidentes e de ataques cibernéticos, em particular aqueles dirigidos a infraestruturas críticas nacionais e a serviços essenciais prestados à sociedade;

IV – a resiliência das organizações públicas e privadas a incidentes e ataques cibernéticos;

V – a educação e o desenvolvimento tecnológico em segurança cibernética;

VI – a cooperação entre órgãos e entidades, públicas e privadas, em matéria de segurança cibernética; e

VII – a cooperação técnica internacional na área de segurança cibernética.


Comentário: Aqui são delineados os princípios orientadores da PNCiber, fundamentais para garantir que a política seja implementada de maneira eficaz e ética. Entre eles, destacam-se a soberania nacional, a defesa da democracia, a proteção de dados pessoais e a cooperação técnica internacional. Cada princípio atua como um pilar, sustentando a integridade e a eficácia da política nacional de cibersegurança. A soberania nacional, por exemplo, garante que o Brasil mantenha o controle e a autonomia sobre sua infraestrutura e dados digitais, enquanto a cooperação internacional abre caminho para a troca de informações e melhores práticas com outros países.

Exemplo: O princípio da proteção de dados pessoais é especialmente relevante no contexto do General Data Protection Regulation (GDPR) da União Europeia, uma legislação que redefine a gestão e proteção de dados pessoais globalmente. O Brasil, ao adotar princípios similares através do Marco Civil da Internet e da Lei Geral de Proteção de Dados (LGPD), ressalta sua dedicação em proteger os direitos dos cidadãos e em se alinhar com padrões internacionais, promovendo um ambiente digital seguro e confiável.

Art. 3º São objetivos da PNCiber:

I – promover o desenvolvimento de produtos, serviços e tecnologias de caráter nacional destinados à segurança cibernética;

II – garantir a confidencialidade, a integridade, a autenticidade e a disponibilidade das soluções e dos dados utilizados para o processamento, o armazenamento e a transmissão eletrônica ou digital de informações;

III – fortalecer a atuação diligente no ciberespaço, especialmente das crianças, dos adolescentes e dos idosos;

IV – contribuir para o combate aos crimes cibernéticos e às demais ações maliciosas no ciberespaço;

V – estimular a adoção de medidas de proteção cibernética e de gestão de riscos para prevenir, evitar, mitigar, diminuir e neutralizar vulnerabilidades, incidentes e ataques cibernéticos, e seus impactos;

VI – incrementar a resiliência das organizações públicas e privadas a incidentes e ataques cibernéticos;

VII – desenvolver a educação e a capacitação técnico-profissional em segurança cibernética na sociedade;

VIII – fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança cibernética;

IX – incrementar a atuação coordenada e o intercâmbio de informações de segurança cibernética entre:

a) a União, os Estados, o Distrito Federal e os Municípios;

b) os Poderes Executivo, Legislativo e Judiciário;

c) o setor privado; e

d) a sociedade em geral;

X – desenvolver mecanismos de regulação, fiscalização e controle destinados a aprimorar a segurança e a resiliência cibernéticas nacionais; e

XI – implementar estratégias de colaboração para desenvolver a cooperação internacional em segurança cibernética.


Comentário: Este artigo apresenta os objetivos da PNCiber, que são ambiciosos e multifacetados. Eles incluem promover a segurança cibernética nacional, fortalecer a capacidade de prevenir e responder a incidentes cibernéticos, e proteger infraestruturas críticas e serviços essenciais. Ao estabelecer esses objetivos, o decreto reconhece a complexidade e a natureza multifacetada da cibersegurança, abordando desde a prevenção até a resposta a incidentes, e enfatizando a importância de proteger recursos vitais para o funcionamento da sociedade e da economia.

Exemplo : O objetivo de proteger infraestruturas críticas é particularmente ilustrativo. Considere, por exemplo, o ataque de ransomware ao Colonial Pipeline nos Estados Unidos em 2021, que resultou na interrupção do fornecimento de combustível em grande parte do país. Este incidente ressalta a vulnerabilidade das infraestruturas críticas a ataques cibernéticos e a importância de protegê-las para garantir a segurança nacional e o bem-estar da população.

Art. 4º São instrumentos da PNCiber:

I – a Estratégia Nacional de Cibersegurança; e

II – o Plano Nacional de Cibersegurança.


Comentário: O Artigo 4º introduz a Estratégia e o Plano Nacional de Cibersegurança como ferramentas chave para a implementação da PNCiber. Estes documentos são vitais, pois fornecem um roteiro detalhado e uma série de ações e objetivos específicos para orientar as iniciativas de cibersegurança no país. Eles são dinâmicos e devem ser atualizados regularmente para refletir a evolução das ameaças cibernéticas e das tecnologias de segurança.

Exemplo: A Casa Branca lançou sua Estratégia Nacional de Segurança Cibernética (National Cyber Strategy – 2023), buscando transferir a responsabilidade pelo gerenciamento do risco cibernético de indivíduos e pequenas empresas para empresas de tecnologia, ao mesmo tempo em que adota uma abordagem mais ofensiva para lidar com os agentes de ameaças.  A estratégia se concentra em cinco pilares: defender a infraestrutura crítica, interromper e desmantelar grupos de ameaças, moldar as forças do mercado para impulsionar a segurança e a resiliência, investir em um futuro resiliente e formar parcerias internacionais para buscar objetivos compartilhados. 

Art. 5º Fica instituído o Comitê Nacional de Cibersegurança – CNCiber, no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, com a finalidade de acompanhar a implementação e a evolução da PNCiber.


Comentário: A criação do Comitê Nacional de Cibersegurança (CNCiber) é um passo crucial para a implementação efetiva da PNCiber. Como órgão colegiado, o CNCiber é responsável por acompanhar e coordenar as atividades de cibersegurança em todo o país, garantindo que a estratégia seja implementada de forma coesa e eficaz. Sua composição multidisciplinar e sua autoridade para coordenar entre diferentes agências e setores são fundamentais para uma abordagem unificada e robusta da cibersegurança.

Exemplo: Analogamente, o Cybersecurity and Infrastructure Security Agency (CISA) nos EUA desempenha um papel similar, atuando como uma agência central para coordenar a segurança cibernética em nível nacional. A eficácia do CISA em responder a ameaças cibernéticas, coordenar com entidades estaduais e privadas e promover a resiliência cibernética é um modelo do tipo de papel ativo e centralizado que o CNCiber pode desempenhar no Brasil.

Art. 6º Ao CNCiber compete:

I – propor atualizações para a PNCiber, a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança;

II – avaliar e propor medidas para incremento da segurança cibernética no País;

III – formular propostas para o aperfeiçoamento da prevenção, da detecção, da análise e da resposta a incidentes cibernéticos;

IV – propor medidas para o desenvolvimento da educação em segurança cibernética;

V – promover a interlocução com os entes federativos e a sociedade em matéria de segurança cibernética;

VI – propor estratégias de colaboração para o desenvolvimento da cooperação técnica internacional em segurança cibernética; e

VII – manifestar-se, por solicitação do Presidente da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, sobre assuntos relacionados à segurança cibernética.

Artigo 6º
Comentário: Este artigo detalha as competências do CNCiber, que são abrangentes e críticas para o sucesso da PNCiber. Elas incluem desde a proposição de atualizações na política até a promoção da cooperação internacional e o desenvolvimento de capacidades em cibersegurança. A abordagem abrangente do CNCiber é essencial para garantir que todos os aspectos da cibersegurança sejam abordados, desde a prevenção e detecção até a resposta e recuperação de incidentes.

Exemplo: A competência do CNCiber para promover a cooperação internacional é exemplificada pela Parceria Internacional para a Capacitação em Tecnologia da Informação e Comunicação (ICT4Peace), uma iniciativa que busca promover a paz e a segurança cibernética através da cooperação internacional. O envolvimento do Brasil em tais iniciativas pode fortalecer suas capacidades cibernéticas e promover um ambiente digital global mais seguro.

Art. 7º O CNCiber será composto por representantes dos seguintes órgãos e entidades:

I – um do Gabinete de Segurança Institucional da Presidência da República, que o presidirá;

II – um da Casa Civil da Presidência da República;

III – um da Controladoria-Geral da União;

IV – um do Ministério da Ciência, Tecnologia e Inovação;

V – um do Ministério das Comunicações;

VI – um do Ministério da Defesa;

VII – um do Ministério do Desenvolvimento, Indústria, Comércio e Serviços;

VIII – um do Ministério da Educação;

IX – um do Ministério da Fazenda;

X – um do Ministério da Gestão e da Inovação em Serviços Públicos;

XI – um do Ministério da Justiça e Segurança Pública;

XII – um do Ministério de Minas e Energia;

XIII – um do Ministério das Relações Exteriores;

XIV – um do Banco Central do Brasil;

XV – um da Agência Nacional de Telecomunicações – Anatel;

XVI – um do Comitê Gestor da Internet no Brasil;

XVII – três de entidades da sociedade civil com atuação relacionada à segurança cibernética ou à garantia de direitos fundamentais no ambiente digital;

XVIII – três de instituições científicas, tecnológicas e de inovação relacionadas à área de segurança cibernética; e

XIX – três de entidades representativas do setor empresarial relacionado à área de segurança cibernética.

§ 1º Cada membro do CNCiber terá um suplente, que o substituirá em suas ausências e seus impedimentos.

§ 2º Os membros do CNCiber de que tratam os incisos I a XV docapute os respectivos suplentes serão indicados dentre ocupantes de cargo em comissão ou função de confiança de nível igual ou superior a 15 de Cargo Comissionado Executivo – CCE ou, alternativamente, caso se trate de militar das Forças Armadas, dentre oficiais-generais.

§ 3º Os membros do CNCiber de que tratam os incisos I a XV docapute os respectivos suplentes serão indicados pelos titulares dos órgãos e das entidades que representam, dentre agentes públicos em exercício no órgão representado ou em entidade a ele vinculada.

§ 4º O membro do CNCiber de que trata o inciso XVI docapute o respectivo suplente serão indicados pelo Secretário-Executivo do Comitê Gestor da Internet no Brasil.

§ 5º Os membros do CNCiber de que tratam os incisos XVII a XIX docapute os respectivos suplentes serão escolhidos na forma do regimento interno do CNCiber, para mandato de três anos, permitida apenas uma recondução.

§ 6º Os membros do CNCiber e os respectivos suplentes serão designados pelo Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República.

§ 7º O Presidente do CNCiber poderá convidar representantes de outros órgãos e entidades, públicas e privadas, e de organizações da sociedade para participar de suas reuniões, sem direito a voto.

Art. 8º As deliberações do CNCiber relativas às suas competências estabelecidas no art. 6º serão submetidas à Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo.

Art. 9º O CNCiber se reunirá, em caráter ordinário, trimestralmente e, em caráter extraordinário, mediante convocação de seu Presidente.

§ 1º O quórum de reunião do CNCiber é de maioria absoluta e o quórum de aprovação é de maioria simples.

§ 2º Na hipótese de empate, além do voto ordinário, o Presidente do CNCiber terá o voto de qualidade.

Art. 10. O CNCiber poderá instituir grupos de trabalho temáticos.

§ 1º Os grupos de trabalho:

I – serão instituídos na forma de ato do CNCiber;

II – terão caráter temporário e duração não superior a um ano; e

III – estarão limitados a, no máximo, cinco em operação simultânea.

§ 2º Os membros dos grupos de trabalho serão indicados pelos órgãos e pelas entidades que representam e designados em ato do Presidente do CNCiber.

Art. 11. Os membros do CNCiber e dos grupos de trabalho que se encontrarem no Distrito Federal se reunirão presencialmente ou por videoconferência, e os membros que se encontrarem em outros entes federativos participarão da reunião por meio de videoconferência.

Art. 12. A participação no CNCiber e nos grupos de trabalho será considerada prestação de serviço público relevante, não remunerada.

Art. 13. A Secretaria-Executiva do CNCiber será exercida pelo Gabinete de Segurança Institucional da Presidência da República.

Parágrafo único. O regimento interno do CNCiber será elaborado pela Secretaria-Executiva e submetido para aprovação do Comitê em até duas reuniões ordinárias.

Art. 14. Para a primeira composição do CNCiber, os membros de que tratam os incisos XVII a XIX docapute os respectivos suplentes serão escolhidos pelo Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República.

Parágrafo único. Os membros escolhidos na forma prevista nocaputcomporão o CNCiber em caráter extraordinário e temporário, até a designação decorrente do processo de escolha a que se refere o § 5º do art. 7º.

Art. 15. Ficam revogados os seguintes dispositivos do Decreto nº 9.637, de 26 de dezembro de 2018:

I – o inciso I do caput do art. 2º; e

II – o inciso I do caput do art. 6º.

Art. 16. Este Decreto entra em vigor na data de sua publicação.

Artigo 7º a 16º
Comentário: Estes artigos ( 7º a 16º), oferecem um detalhamento mais específico sobre a composição, o funcionamento e outras disposições relativas ao CNCiber e à PNCiber. Eles são cruciais para entender como a política será implementada na prática, detalhando as responsabilidades, a estrutura organizacional e os processos de tomada de decisão. Esses artigos garantem que haja clareza e eficiência na operacionalização da PNCiber e no funcionamento do CNCiber.

Exemplo: A especificidade e clareza encontradas nestes artigos são semelhantes às encontradas na estrutura da Agência Nacional de Segurança Cibernética da França (ANSSI), que detalha minuciosamente suas operações, funções e responsabilidades. Uma estrutura clara e bem definida é essencial para garantir a eficácia e a responsabilidade na implementação de políticas de cibersegurança.

Questões

Artigo 1º
Qual o objetivo principal do Artigo 1º do Decreto nº 11.856?

  1. Criar novas leis de proteção de dados.
  2. Regular a internet brasileira.
  3. Estabelecer o Comitê Nacional de Cibersegurança (CNCiber).
  4. Orientar a atividade de segurança cibernética no Brasil.

Artigo 2º
O que o princípio III do Artigo 2º busca prevenir?

  1. Incidentes e ataques cibernéticos.
  2. Desenvolvimento tecnológico inadequado.
  3. Vazamento de dados.
  4. Cooperação internacional inadequada.

Artigo 3º
Qual objetivo do Artigo 3º está diretamente relacionado ao combate a crimes cibernéticos?

  1. Proteger infraestruturas críticas e serviços essenciais.
  2. Promover a cultura de segurança cibernética entre a população.
  3. Promover a segurança cibernética nacional.
  4. Fortalecer a capacidade de prevenir e responder a incidentes cibernéticos.

Artigo 4º
Quais são os instrumentos da PNCiber mencionados no Artigo 4º?

  1. Estratégia Nacional e Política Nacional de Cibersegurança.
  2. Comitê Nacional e Plano Nacional de Cibersegurança.
  3. Plano e Estratégia Nacional de Cibersegurança.
  4. Estratégia Nacional e Comitê Nacional de Cibersegurança.

Artigo 5º
Qual é a finalidade principal do CNCiber, conforme estabelecido no Artigo 5º?

  1. Regular as atividades de internet no Brasil.
  2. Desenvolver tecnologia de segurança cibernética.
  3. Acompanhar a implementação da PNCiber.
  4. Atualizar a PNCiber.

Artigo 6º
Qual competência do CNCiber mencionada no Artigo 6º está relacionada ao desenvolvimento educacional?

  1. Coordenar a resposta a incidentes cibernéticos.
  2. Fomentar a capacitação em segurança cibernética.
  3. Promover a cooperação internacional.
  4. Propor atualizações para a PNCiber.

Gabarito

  1. Artigo 1º: 4) Orientar a atividade de segurança cibernética no Brasil.
  2. Artigo 2º: 1) Incidentes e ataques cibernéticos.
  3. Artigo 3º: 4) Fortalecer a capacidade de prevenir e responder a incidentes cibernéticos.
  4. Artigo 4º: 3) Plano e Estratégia Nacional de Cibersegurança.
  5. Artigo 5º: 3) Acompanhar a implementação da PNCiber.
  6. Artigo 6º: 2) Fomentar a capacitação em segurança cibernética.

Publicado em por Deixe um comentário

ENFRENTANDO A CRESCENTE ONDA DE RANSOMWARE EM 2023

Em 2023, o cenário global de segurança cibernética enfrentou desafios crescentes, especialmente no que diz respeito a ransomware, uma ameaça em evolução que continua a causar grandes danos. O Brasil, particularmente, emergiu como um dos principais alvos desses ataques, ocupando a quarta posição mundial, conforme relatório divulgado na primeira metade do ano. Apenas os Estados Unidos, o Reino Unido e a Espanha superaram o Brasil em incidência desses ataques. A rápida transição digital da economia brasileira, muitas vezes não acompanhada de uma adequada implementação de práticas de segurança digital, aumentou a vulnerabilidade das empresas brasileiras a esses ataques.

Tradicionalmente, os ataques de ransomware envolviam a criptografia de dados e a exigência de pagamento para sua liberação. Contudo, para manter sua eficácia, os criminosos cibernéticos inovaram com táticas como a “dupla extorsão”, que combina a criptografia de dados com a ameaça de vazamento ou venda de informações roubadas na dark web. Em 2020, observou-se a emergência da “tripla extorsão”, elevando a chantagem a um novo nível ao envolver informações confidenciais de clientes e outras partes relacionadas à vítima.

Recentemente, uma nova abordagem foi adicionada ao arsenal dos cibercriminosos: ataques de ransomware sem criptografia. Essa técnica coloca as vítimas sob pressão psicológica, ameaçando a divulgação pública ou o leilão de dados confidenciais, sem passar pelo processo de criptografia. Tais ataques são caracterizados por demandas de resgate mais rápidas, ameaças significativas à reputação das empresas e o risco de multas regulatórias em caso de violações de dados.

O grupo cibercriminoso BianLian é um exemplo notável dessa mudança de tática. Conhecido por atacar infraestruturas críticas nos EUA e na Austrália, o BianLian passou da dupla para a extorsão baseada em exfiltração. Um de seus alvos recentes foi a organização Save the Children, com alegações de terem roubado 6,8 TB de dados sensíveis.

Para combater essas ameaças, as empresas estão adotando o modelo de segurança Zero Trust, que se baseia no princípio de “nunca confiar, sempre verificar”. Com quase 90% do tráfego da internet sendo criptografado, é crucial proteger aplicações e dados com soluções robustas de criptografia. Além disso, a orquestração da defesa em ambientes multinuvem, utilizando recursos de inteligência artificial (IA) e aprendizado de máquina (ML), tornou-se essencial para garantir a segurança sem comprometer a experiência do usuário e interromper cadeias de ataques de ransomware.

Publicado em por Deixe um comentário

ANPD DEFINE EIXOS DE AÇÃO EM PROTEÇÃO DE DADOS

A Autoridade Nacional de Proteção de Dados (ANPD) do Brasil deu um importante passo adiante na sua missão regulatória ao lançar, nesta última quarta-feira, o inovador Mapa de Temas Prioritários (MTP). Este documento delineia com clareza as áreas que receberão atenção especial da ANPD nos próximos dois anos, estabelecendo um marco na forma como a entidade abordará a supervisão e estudos neste domínio.

O MTP identifica quatro áreas chave como focos prioritários: os direitos dos titulares de dados, o tratamento de dados de crianças e adolescentes no ambiente digital, a aplicação de inteligência artificial em reconhecimento facial e tratamento de dados pessoais, e finalmente, questões relacionadas à raspagem e agregação de dados. Essas áreas foram cuidadosamente escolhidas após uma análise detalhada conduzida pela Coordenação-Geral de Fiscalização (CGF) da ANPD, em colaboração com suas áreas técnicas. Este processo meticuloso envolveu não apenas a seleção de campos relevantes dentro da proteção de dados, mas também levou em conta demandas históricas e objetivos estratégicos institucionais.

Além de estabelecer esses eixos de ação, o MTP é notável por sua transparência e clareza no que diz respeito ao processo decisório, aos objetivos a serem atingidos e às atividades específicas que serão priorizadas em cada um desses eixos. O documento também apresenta um cronograma detalhado para execução dessas tarefas e ressalta a importância da colaboração com outras entidades governamentais e, potencialmente, com autoridades de proteção de dados de outros países.

A Coordenadora-Geral de Fiscalização Substituta, Camila Falchetto Romero, destaca o valor dessa iniciativa. Segundo ela, o MTP, juntamente com outros instrumentos de governança da ANPD, é essencial para direcionar as atividades do órgão nos próximos dois anos. Ele visa garantir uma harmonização efetiva entre as práticas de tratamento de dados pessoais e as normativas estabelecidas pela Lei Geral de Proteção de Dados Pessoais (LGPD).

Essa abordagem inovadora e estruturada da ANPD representa um avanço significativo na proteção de dados no Brasil. Ao focar em áreas prioritárias, a ANPD não só fortalece a governança e a transparência, mas também promove uma maior previsibilidade em suas ações e posicionamentos, trazendo benefícios diretos e tangíveis para a sociedade brasileira.

Publicado em por Deixe um comentário

LEIS NA ERA DA INFORMAÇÃO: A EVOLUÇÃO DO DIREITO NO MUNDO DIGITAL

A era atual é influenciada pela conectividade digital, que impacta quase todas as facetas da vida cotidiana. Com essa revolução tecnológica, emergem desafios jurídicos inéditos, que testam os limites das legislações e sistemas judiciários globais. Estamos diante de problemas complexos e diversificados que demandam análises críticas sobre a capacidade da lei em salvaguardar direitos individuais e coletivos no contexto interconectado de hoje.

Um dos desafios jurídicos desta era digital é o crescimento exponencial dos crimes cibernéticos. A expansão de atividades ilegais na internet, como fraudes, furtos de identidade e invasões de sistemas, ressalta a urgência de legislações ágeis e sistemas judiciais adaptáveis, capazes de enfrentar essas novas modalidades criminosas. As fronteiras tradicionais se tornam nebulosas em um cenário onde crimes podem ser perpetrados globalmente, demandando cooperação internacional mais sólida para a investigação e julgamento dos responsáveis.

Outra questão de destaque é a dos direitos autorais na era digital. Com a facilidade de compartilhamento de conteúdo na web, surgem intensos debates sobre propriedade intelectual, remuneração justa aos criadores e o delicado equilíbrio entre liberdade de informação e proteção dos direitos autorais. A legislação corrente frequentemente não consegue acompanhar a velocidade das mudanças tecnológicas, resultando em lacunas que precisam ser preenchidas para assegurar um ambiente digital justo e ético para todos os envolvidos.

Além disso, a responsabilidade legal das plataformas online tornou-se um tema de crescente importância. Redes sociais e grandes empresas de tecnologia estão sendo questionadas sobre seu papel na propagação de conteúdo nocivo, discurso de ódio e desinformação. Encontrar um equilíbrio entre a liberdade de expressão e a responsabilidade pelo conteúdo disseminado é um desafio complexo para os sistemas legais atuais.

Diante desses desafios, é imperativo que as leis se moldem à dinâmica do mundo digital. Isso exige atualizações constantes nas leis existentes e um entendimento mais aprofundado das implicações éticas, sociais e culturais das tecnologias emergentes. A colaboração entre legisladores, especialistas em tecnologia e a sociedade civil é essencial para desenvolver soluções justas e efetivas.

É necessário entender que o direito na era digital não se restringe à punição, mas engloba também a proteção. Salvaguardar os direitos individuais, a privacidade dos dados pessoais e promover um ambiente online seguro são princípios fundamentais que devem ser reforçados por uma legislação robusta e aplicável.

Em resumo, a era digital traz desafios únicos ao campo jurídico. Enfrentar os crimes cibernéticos, questões de direitos autorais online e a responsabilidade das plataformas digitais exige abordagens inovadoras e legislações que acompanhem o ritmo da tecnologia. Apenas assim poderemos estabelecer um ambiente digital mais justo, ético e seguro para todos.