Skip to content

A ISSA e o PLS 76 do senador Eduardo Azeredo

15 de julho de 2008

 

A primeira vez que ouvi falar do PLS 76 foi em outubro de 2005, em um evento de segurança da informação em Belo Horizonte no qual fui palestrante. No mesmo me chamou a atenção o fato que o senador Eduardo Azeredo palestraria sobre este projeto. Durante a palestra o assessor do senador abordou a convenção de Budapeste, ou “Convenção do Cibercrime”, e mostrou a necessidade de criação de leis no Brasil para que possamos ser signatários deste tratado de cooperação internacional. Percebendo “gap” jurídico existente, e claro que minha atenção se voltou para avaliar este projeto no ponto de vista da segurança da informação.

O projeto de lei do senado (PLS) 76 é bastante ambicioso por trazer alterações no Código Penal, Código Penal Militar, Código do processo penal, Estatuto da criança e do adolescente e o Código de defesa do consumidor, tipificando nestes os crimes digitais. Hoje é possível se deter ou condenar pessoas que se utilizam de computadores para praticar crimes, mas não existe na legislação crimes como criação de vírus ou destruição de dados. O criminoso é preso por algum dano causado por ele que se enquadre em outro crime comum.

Posteriormente tive outras oportunidades de acompanhar o desenvolvimento do projeto através de palestras do Senador e do Sr. José Henrique Portugal até que um dia, já como diretor de comunicação da ISSA, convidei-o para um debate com os nossos associados, convite que foi prontamente aceito e o debate realizado no dia 27 de novembro de 2006 com a presença também do Dr. Rony Vainzof, sócio da Ópice Blum Advogados Associados. Nesta ocasião algumas alterações do PLS foram sugeridas e acabara por incorporar a nova versão do documento. Dentre elas destaco:

1) Substituição do termo “vírus” por código malicioso, uma vez que um código malicioso pode não possuir nenhum mecanismo de reprodução mas causar danos incalculáveis a uma empresa.

2) Extensão da proteção para profissionais de S.I. realizando “testes de invasão” ou “Etical Hacking” na definição de defesa digital.

Obs: Posteriormente esta proteção foi retirada juntamente com toda a parte de defesa digital devido à pressão de alguns setores da sociedade.

3) No artigo 154B incluímos tipificar a manutenção de dados por tempo superior ao autorizado como obtenção ilícita

4) No artigo 154D sugerimos a inclusão do termo “utilizar” informações de banco de dados junto aos termos “comercializar” e “disponibilizar”, para evitar que uma empresa use informações coletadas para uma finalidade com outra finalidade.

A identificação de usuários e retenção de Logs

Um dos princípios mais marcantes da segurança da informação é o Triple A (Authentication, Authorization e Accountability), e sem que este princípio seja aplicado mesmo que parcialmente se torna impossível identificar inequivocamente qual usuário está acessou um recurso em um determinado momento onde um crime foi realizado.

A discussão sobre a obrigatoriedade da identificação de usuários da internet (note que o projeto não prevê monitoração, apenas prevê o registro do IP utilizado para fins de investigação) e a retenção destes registros (logs) por um período determinado de tempo nos chamou a atenção devido a alguns absurdos veiculados na mídia (Ex: o fim da privacidade na internet, o Big Brother da Internet, etc) sem nenhuma fundamentação no projeto ou na segurança da informação, e trouxe a ISSA para o debate, entendendo que o projeto lidava com aspectos extremamente relevantes para nossa categoria e que era nossa obrigação colaborar para a melhoria do mesmo.

A Defesa Digital

No dia 4 de junho de 2007 nos reunimos novamente com os associados para discutir entre outras coisas a Defesa Digital, que já havia sido citada no encontro anterior devido à nossa preocupação quanto à sua interpretação, mas não havíamos colaborado com o texto da mesma. Reproduzo um trecho do blog do Augusto Paes de Barros, nosso ex-presidente e atual diretor de comitês extremamente “didático” sobre o assunto:

“O assunto polêmico do momento é o termo "defesa digital". Do jeito que parece pelos comentários que andam fazendo, isso transformaria a Internet brasileira em um faroeste sem lei. Não é bem assim. O objetivo lá é, por exemplo, evitar que você seja preso por manipular um vírus ao criar uma assinatura para seu IDS, por exemplo. Lá está muito claro, "sem risco para terceiros". Nos parágrafos que citam que não há crime quando a ação é executada em defesa digital sempre há a expressão "excetuado o desvio de finalidade ou o excesso".
Vale comentar que um pedaço disso (defesa digital) foi inserido no projeto para evitar que a lei seguisse o mesmo caminho que o DMCA e similares nos EUA. Vários pesquisadores em Segurança por lá ficaram ameaçados de ter seu trabalho classificado como crime por conta da redação das leis sobre o assunto. O Niels Provos, por exemplo, tirou o site da ferramenta do honeyd do país por causa disso. Acho justo e adequado que alguém pense em evitar que isso aconteça aqui também”.

Após este segundo debate a ISSA ainda enviou algumas sugestões de melhoria para o texto, mas o “barulho” já havia sido feito, através de uma interpretação pouco acertada e bastante distorcida do texto apresentado. Desta forma, o tópico acabou sendo retirado pela emenda 02 do senador Flexa Ribeiro da CCJ (Comissão de constituição e justiça).

A ISSA e o PLS

Seguindo a orientação de nosso presidente mundial, a associação entende que deve participar no processo e contribuir em ações que tragam melhorias para a segurança da informação, mas por outro lado optamos por não apoiar, condenar ou realizar qualquer ação que possa ser interpretada como Lobby pela sociedade. Assim sendo, a ISSA e os associados presentes ficaram muito orgulhosos e agradecidos pela oportunidade de colaborar com a criação de uma lei, mas nossa participação se limitou a sugerir e prestar toda a assessoria solicitada para o aperfeiçoamento do projeto, mas sem defendê-lo ou condená-lo oficialmente. Não cabe a nós ajudar a aprovar ou vetar um projeto de lei, mas nos certificar que caso este seja aprovado, tenhamos uma lei mais adequada ao interesse maior de nossos associados, a segurança da informação.

Cada membro da associação possui sua opinião pessoal sobre o projeto e pode expressa-la em seus blogs ou qualquer outro meio como profissional de SI, e não como uma opinião da ISSA como um todo.

Cronologia dos debates da ISSA sobre o PLS 76 / 2000

27 de novembro de 2006 – Debate com o Assessor do senador Eduardo Azeredo, o Sr. José Henrique Portugal, contando com a presença também do Dr. Rony Vainzof, sócio da Ópice Blum Advogados Associados.

22 de Dezembro de 2006 – ISSA Day Belo Horizonte – Debate com associados e convidados da ISSA sobre o PLS 76 com a participação do Sr. José Henrique Portugal.

4 de junho de 2007 – Debate com os associados da ISSA com envio de sugestões para o PLS 76

Deixe um comentário

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: