No auge da tecnologia e da inovação, e com as mais diversas ferramentas de segurança à disposição, sempre há a possibilidade de ocorrer um ataque hacker.

O famoso Hacking é a aplicação de tecnologia ou o conhecimento técnico para suplantar algum tipo de problema ou obstáculo e, sempre que se ouve esse termo, ele acaba passando uma imagem de perigo e uma conotação negativa.

Isso ocorre, pelo fato de ataques hackers, com frequência, estarem vinculados à roubos de dados e/ou invasões de ambientes, de forma ilegal, ainda que o hacker seja uma pessoa com um conhecimento profundo de informática e computação, que trabalha desenvolvendo e modificando softwares e hardwares de computadores, não necessariamente para cometer algum crime.

É notório que, hackers atacam de diversas maneiras, sempre inovando, o que além de dificultar a prevenção, acaba por tornar a luta desigual, no entanto, nem tudo está perdido. Hoje, encontra-se o termo Ethical Hacking (Hacking Ético), conceito que traduz uma forma legal de exercer o hacking.

A ética é o conjunto de valores morais, ensejando sempre um tom de normas e valores. Nessa toada, esse profissional tem habilidades que permite encontrar vulnerabilidades, evitando os ataques maliciosos de hackers, atuando com base em autorizações e de acordo com a lei.

Utiliza, por exemplo, testes de penetração (pentests), reúne grande conhecimentos em redes e sistemas, e opera de forma a estar um passo à frente daquele que pretende burlar as normas.

Muitas empresas têm procurado integrar esses profissionais aos seus times de tecnologia e segurança da informação, por uma série de razões: Uma delas é para poderem entregar produtos mais testados, ou seja, com um menor índice de correção de eventuais defeitos ou “bugs”, como são popularmente conhecidos.

Outro motivo, apoiado pela vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, seria porque esses profissionais, também conhecidos como White Hats (Chapéus Brancos), tornaram-se importantes aliados de um Sistema de Gerenciamento de Segurança da Informação (SGSI) assertivo, pois eles auxiliam de forma ética a evolução de programas de privacidade e governança, com suas habilidades e conhecimentos práticos, acessando sistemas de forma autorizada.

Um exemplo prático, seria quando uma empresa contrata um Ethical Hacker para invadir sua rede e testar suas defesas, verificando as vulnerabilidades existentes em seu ambiente tecnológico. Através desse tipo de ação, fica mais fácil verificar o nível de exposição e recomendar as melhores contramedidas de segurança.

Importante dizer que, além do estabelecimento de um contrato, quando da contratação de um Hacker Ético, é essencial a elaboração de um acordo de não divulgação e de um termo de confidencialidade, a fim de proteger ambas as partes: o sigilo das informações da empresa e o resguardo do profissional, para a realização das atividades contratadas.

Diante de todo este cenário, o ponto interessante é que, além de contar com toda uma evolução tecnológica, aqui um paradigma é quebrado, conseguindo demonstrar o lado cooperativo e positivo do hacking, de forma a contribuir com a segurança das informações.

É uma “virada de chave” que abre espaços profissionais e coopera para a cultura da privacidade e da proteção de dados dentro das organizações.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Conheça o Ethical Hacking apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Nas últimas semanas, dois grandes incidentes chamaram a atenção: a exposição de dados de mais de 223 milhões de pessoas, incluindo já falecidas, e a descoberta de um banco de dados com informações detalhadas de mais de cem milhões de números de celular.

No entanto, investigações, prisões e condenações de cibercriminosos não aparecem na mesma intensidade.

Para especialistas, baixa capacidade de investigação, falhas na legislação e penas muito brandas na comparação com as previstas em outros países para crimes digitais criam um ambiente de impunidade no país que favorece a expansão da ação de hackers mal intencionados.

— Hoje em dia, invadir dados pessoais pode ser mais danoso que invadir uma casa, mas a punição para estes crimes digitais é imensamente mais leve no Brasil que o roubo tradicional — diz Renato Opice Blum, economista e advogado, sócio do Opice Blum Advogados e membro do Conselho da EuroPrivacy, certificadora europeia de dados.

Os problemas, segundo especialistas, começam nas leis brasileiras. Um levantamento feito para O GLOBO pelo advogado Solano de Camargo, sócio do Lee, Brock e Camargo Advogados (LBCA) e especialista em direito digital, aponta que, no Brasil, uma pessoa condenada por crimes digitais vai enfrentar penas bem mais brandas que em outras nações.

Especialistas: Vazamento de dados não foi isolado e terá risco maior de se repetir com 5G

A chamada Lei Carolina Dieckmann — criada em 2012 com o nome da atriz que teve fotos íntimas roubadas de seu computador — prevê punição de três meses a um ano para hackers. Na prática, isso configura um crime de menor gravidade, que termina por não levar o criminoso à cadeia.

Em outros países, a compreensão do risco coletivo que as atividades criminosas na internet representam já se reflete no endurecimento de penas para punir infratores digitais.

Nos EUA, crimes cibernéticos podem dar 20 anos de prisão. Na Coreia do Sul, dez, e no Reino Unido, cinco. Mesmo os países europeus com leis que tradicionalmente preveem menos encarceramento são mais duros que o Brasil. Penas variam de três a cinco anos em França, Alemanha e Itália.

Falta tipificação

O advogado Opice Blum reconhece que o Direito moderno busca mais formas alternativas de punição. Mas neste tipo de crime, diz ele, essa premissa não funciona porque os criminosos hackers não têm capital para pagar pesadas multas a ponto disso inibir os ataques.

Risco? Eletrobras diz que a Eletronuclear sofreu ataque cibernético, mas sem risco à segurança das operações

— Hoje em dia, com a legislação que há, mesmo que alguém seja condenado, dificilmente vai para a cadeia. O mais provável é que a pessoa seja condenada a pagar cestas básicas ou realizar trabalho social. O resultado da ação criminosa é muito maior do que a pena que a pessoa pode pagar. A lei defasada incentiva e pode fazer compensar a prática do crime — diz o advogado. — O Brasil precisa assinar a convenção de Cibercrimes de 2001, de Budapeste, pois cria uma colaboração mútua investigativa e obriga o país a a melhorar suas leis.

Vazamento de dados: Brasil é o país com mais informações roubadas de cartões

Alguns crimes digitais sequer são previstas na legislação penal, dificultando a tipificação dos delitos. É o caso, por exemplo, de infecção de sistemas por malware, programas maliciosos que funcionam como um vírus que contaminam sistemas, computadores ou celulares.

Também não há previsão legal para enquadrar quem for flagrado em posse de algum equipamento utilizado para crimes cibernéticos ou de fornecedores de equipamentos com objetivo criminoso.

A falta de leis específicas obriga autoridades a se utilizar de leis ultrapassadas. No caso da chamada “negação de serviço”, quando um ataque coordenado derruba um servidor, a pessoa por trás da ação é enquadrada no artigo 266 do Código Penal, que fala de interromper serviços telegráficos, radiográficos ou telefônicos.

— A gente está muito atrasado em relação a outros países — diz o Opice Blum, que explica que a nova Lei Geral de Proteção de Dados (LGPD) trata mais das obrigações das empresas que detêm os dados, e que podem ser multadas em até R$ 50 milhões em casos de vazamento, do que dos criminosos que invadem sistemas.

O advogado Solano de Camargo lembra que o Brasil sequer centraliza informações sobre crimes digitais ou ações na Justiça relacionados a eles, mais um sinal da pouca importância dada ao tema.

Assim, há pouca estatística oficial sobre registros de ataques, investigações e condenações. No entanto, dados coletados por empresas de segurança digital indicam o Brasil como o segundo país mais atacado pela internet, atrás apenas da China.

Casos não vão à Justiça

A Central Nacional de Denúncias de Crimes Cibernéticos, uma parceria da ONG Safernet Brasil com o Ministério Público Federal, recebeu no ano passado 156.692 denúncias anônimas, o dobro das 75.428 registradas em 2019.

O advogado Filipe Silveira, sócio e responsável pela área penal empresarial do Silveira Athias Advogados, diz que o Brasil tem uma cultura de não dar o devido valor à informação. Ele vê falta de preparo das instituições governamentais no tratamento das denúncias.

— O Judiciário, na maioria das vezes, sofre com outros problemas. O governo investe em concurso, mas não em captação. Policiais vão aprendendo sobre crimes cibernéticos na marra, no dia a dia. Não há centro de perícia científica. O que chega no Judiciário são poucos casos de injúria, difamação ou estelionato por meio eletrônico, não necessariamente cibercrimes de invasão de dados — diz Silveira.

A Polícia Federal abriu inquérito sobre o megavazamento de dados descoberto em janeiro, mas ainda não houve resultados. A instituição não divulga o que foi apurado até agora.

Silveira alerta ainda que as leis brasileiras não diferenciam corretamente a gravidade dos crimes. Um caso da invasão de um único celular tem o mesmo tipo de pena prevista para um vazamento de grande porte.

Viu?Golpes no FGTS aumentam, e perdas chegam a R$ 2 milhões por mês. Saiba se proteger

Ana Frazão, advogada e professora da Universidade de Brasília (UnB), diz que o país precisa avançar também na cooperação internacional:

— A internet neutraliza a geografia e, infelizmente, a lei não leva isso em consideração. A LGPD até prevê a proteção de dados de brasileiros armazenados no exterior, mas é uma teoria. Na prática, não vemos como responsabilizar um hacker em outro país.

Ação de hackers custará US$ 6 tri

Qual o custo exato dos crimes digitais no mundo, com empresas e cidadãos no alvo? De acordo com estudo da Cybersecurity Ventures, empresa americana de pesquisa sobre a economia cibernética global, será de US$ 6 trilhões em 2021. Só dois países têm PIB maior que isso: EUA e China.

— Os custos do cibercrime incluem danos e destruição de dados, dinheiro roubado, perda de produtividade, roubo de propriedade intelectual, roubo de dados pessoais e financeiros, desfalque, fraude, interrupção das operações normais após um ataque, perícia, recuperação e eliminação de dados e sistemas hackeados e danos à reputação — disse Steve Morgan, fundador da Cybersecurity Ventures, ao apresentar o estudo, em novembro.

Esse impacto cresce rapidamente no mundo com a expansão das ações de criminosos. O custo estimado era metade disso, US$ 3 trilhões, em 2015. Segundo as projeções do trabalho, essa conta continuará crescendo a um ritmo médio de 15% ao ano até atingir US$ 10,5 trilhões em 2025.

Cibercrimes aumentaram na pandemia, com maior tráfego de dados na internet. Dados parciais de 2020 do Centro de Reclamações de Crimes na Internet (IC3) do FBI apontaram de três mil a quatro mil denúncias por dia. Em 2019, eram cerca de mil diárias.

No Brasil, a Embraer foi uma das empresas que foram alvo desse tipo de ação no país recentemente. A fabricante de aviões sofreu um ataque por ransomware, tipo de software malicioso que, uma vez dentro do sistema, criptografa dados e restringe acesso para que hackers cobrem um resgate.

O post Penas para golpes digitais como vazamentos de dados não passam de um ano de prisão apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Integrantes da Polícia Federal (PF) e do Ministério Público Federal (MPF) afirmam que, em geral, as penas não passam de um ano de detenção – facilmente convertida em prestação de serviços comunitários. Isso só não ocorre se for possível provar extorsão ou violação da Lei de Segurança Nacional.

“Até conseguimos enquadrar as pessoas nos tipos penais que temos. Não temos fraude eletrônica bancária na legislação, por exemplo, mas temos fraude. O problema é que, com crime cibernético, a consequência é muito maior. Se conseguirmos encontrar o responsável, o tipo penal de ‘invasão’ é detenção de três meses a um ano. Vamos ter que enquadrar a pessoa na Lei de Segurança Nacional porque a resposta penal é ridícula”, disse a procuradora Fernanda Teixeira Souza Domingos, coordenadora do Grupo de Apoio ao Combate aos Crimes Cibernéticos, do MPF.

O principal expediente para punir  ataques virtuais foi um artigo incluído no Código Penal, em 2012, pela Lei Carolina Dieckmann. A medida ganhou este nome por causa de um caso ocorrido com a atriz, que teve arquivos pessoais copiados do computador e divulgados na internet. A legislação considera crime “invadir dispositivo informático alheio”. A pena pode variar de três meses a um ano de detenção.

As leis brasileiras preveem que, em penas de até quatro anos, o cumprimento seja em regime aberto. Até dois, há a chamada transação penal, no jargão jurídico, em que o processo acaba substituído por serviços comunitários, por exemplo.

Lava Jato. O crime previsto nesse artigo foi usado pelo MPF na denúncia oferecida em janeiro de 2020 contra os hackers que acessaram mensagens trocadas entre integrantes da Lava Jato e o então juiz Sérgio Moro, ex-ministro da Justiça.

“É urgente que o Brasil atualize sua legislação, baseada exclusivamente na Lei Carolina Dieckmann e no Marco Civil da Internet, visando criar as condições jurídicas que permitam às autoridades policiais agirem contra os hackers internacionais, como já fazem outros países”, afirmou o advogado Solano de Camargo, especialista em Direito Digital.

A expectativa dos investigadores para que os responsáveis pelos ataques virtuais ao STJ e ao TSE não saiam sem punição à altura é mostrar que os delitos também podem ser enquadrados em outros tipos de crimes, como associação criminosa e extorsão, que preveem penas mais duras.

No caso do TSE, há dúvidas até mesmo se é possível processar os responsáveis com base na lei que torna crime a invasão a computadores. Os indícios coletados até agora indicam uma técnica diferente usada por eles, na qual não há invasão propriamente dita, mas, sim, os chamados ataques de negação de serviço (DDoS), que resultam em lentidão no sistema, sem acesso a dados, por exemplo.

As investigações estão sob sigilo e ainda não foram concluídas. Enquanto isso, os três brasileiros suspeitos de ajudar um hacker português nos ataques, no dia das eleições, voltaram à ativa. Ainda sem acesso a computadores e celulares apreendidos, eles afirmaram ter conseguido novas máquinas e, nesta semana, reivindicaram a autoria da invasão a servidores da USP, de prefeituras e de Câmaras Municipais.

Propostas para endurecer penas aguardam análise

A maior dependência tecnológica durante a pandemia da covid-19 ampliou a atuação de cibercriminosos. Somente no ano passado foram 24.328 notificações de ataques virtuais a órgãos públicos, segundo monitoramento do Gabinete de Segurança Institucional (GSI) da Presidência. Mesmo assim, propostas para atualização das leis de crimes cibernéticos e endurecimento das penas estão paradas no Congresso.

Duas medidas são consideradas fundamentais por especialistas para este ano. A primeira é a aprovação da adesão do Brasil à Convenção de Budapeste sobre Cibercrime. O convite ao Brasil ocorreu em dezembro de 2019, com o apoio do então ministro da Justiça, Sérgio Moro. Em julho do ano passado, o presidente Jair Bolsonaro enviou o tratado para deliberação do Congresso, mas lá está até hoje, sem análise. O pacto prevê que o Brasil adote estratégias de enfrentamento de crimes praticados na internet, em conjunto com outros países.

A outra frente consiste na atualização das leis, uma demanda da própria Convenção de Budapeste, já que as tipificações de crimes precisam ser semelhantes em todos os países.

O principal projeto é do deputado David Soares (DEM-SP) e foi preparado com sugestões do Ministério Público Federal. De acordo com a proposta, quem “interferir sem autorização”, interromper ou causar grave perturbação na “funcionalidade ou na comunicação de sistema informatizado” comete crime punível com até cinco anos de prisão. A pena é aumentada em até dois terços se o delito for contra a administração pública.

As informações são do jornal O Estado de S. Paulo.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Falta de lei dificulta punição a hacker que atacou TSE apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.