22 de maio de 2014 AFCEA & IDC Security Forum 2014 "Segurança da Informação e Gestão do Risco na 3ª Plataforma" Cibersegurança Aspetos Legais Sofia de Vasconcelos Casimiro
Cibersegurança Aspetos Legais ÍNDICE I - Introdução II - Enquadramento legal III Ciberataque: o que fazer antes, durante e depois 2
Os incidentes de cibersegurança estão a aumentar exponencialmente I - INTRODUÇÃO Hackers portugueses reivindicaram em setembro de 2013 ataques que desfiguraram os sites da Agência Nacional de Segurança (NSA) dos EUA e da NASA. O coletivo Team Whit3 Portugal publicou ainda 270 endereços de e-mail de várias agências e departamentos dos EUA, incluindo a CIA, o FBI e a NSA. Este é, provavelmente, o maior ciberataque alguma vez lançado a partir de Portugal para o estrangeiro 3
I - INTRODUÇÃO There are only two types of companies: those that have been hacked and those that will be.... And even they are converging into one category: companies that have been hacked and will be hacked again. Robert Mueller former Director of the Federal Bureau of Investigation (FBI) 1 March 2012 4
O que é a Cibersegurança? I - INTRODUÇÃO Consiste na capacidade de proteger as redes e sistemas informáticos, bem como os dados que nestes circulam, de forma a assegurar a respetiva disponibilidade, autenticidade, integridade e confidencialidade 5
Privacidade e Proteção de Dados Pessoais II - ENQUADRAMENTO LEGAL Regimes para a segurança e confiança das transações eletrónicas e para a certificação de identidade Cibercrime Segurança e integridade das redes e dos sistemas de informação Regime do operadores de redes/prestadores de serviços de comunicações eletrónicas e Regime dos prestadores de serviços da sociedade da informação 6
Privacidade Diretiva 95/56/CE Proteção de Dados Pessoais Diretiva 2009/136/CE Diretiva Direitos dos Cidadãos (altera Diretiva e- Privacy) II - ENQUADRAMENTO LEGAL Acórdão que invalida a Diretiva 2006/24/CE Diretiva Retenção 24.10.1995 26.10.1998 Lei 67/98, Lei de Proteção dos Dados Pessoais Diretiva 2002/58/CE Diretiva e-privacy 12.07.2002 18.08.2004 Lei 41/2004, Proteção da Privacidade nas Comunicações Eletrónicas Diretiva 2006/24/CE Diretiva Retenção 15.03.2006 Lei 32/2008, sobre retenção de dados 25.11.2009 Proposta de Regulamento Geral sobre a Proteção de Dados 25.01.2012 29.08.2012 Lei 46/2012, referente à proteção de dados pessoais nas comunicações eletrónicas (altera Lei 41/2004) 03.2014 Início da Discussão no Parlamento Europeu 2014/2015 - Aprovação 7
Cibercrime e Segurança das redes e da informação II - ENQUADRAMENTO LEGAL Comunicação Segurança das Redes e da informação: Proposta de abordagem de uma política europeia Estratégia para uma sociedade da informação segura Diálogo, parcerias e maior poder de intervenção 06.06.2001 23.11.2001 Convenção sobre o Cibercrime 31.05.2006 30.03.2009 15.09.2009 Lei do Cibercrime Criação da Parceria público-privada europeia para a resiliência (PPPER/EP3R) Comunicação Estabelecimento de um Centro Europeu de Cibercrime (EC3) 07.02.2012 Resolução do Conselho de Ministros 42/2012, cria Comissão Instaladora do Centro Nacional de Cibersegurança Diretiva 2013/40/UE relativa a ataques contra os sistemas de informação Proposta de Diretiva sobre Segurança das Redes e da Informação 07.02.2013 28.03.2012 05.04.2012 31.12.2012 12.08.2013 Início da Discussão no Parlamento Europeu 03.2014 Decreto-Lei n.º 69/2014, estabelecendo os termos do funcionamento do Centro Nacional de Cibersegurança 2014/2015 - Aprovação Resolução do Conselho de Ministros 12/2012, aprova Plano Global de racionalização das TIC na AP Resolução do Conselho de Ministros 112/2012, aprova Agenda Portugal Digital 8
Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Todas as entidades, de qualquer sector (públicas ou privadas) que tratam dados pessoais PRIVACIDADE E PROTEÇÃO DE DADOS Proposta de Diretiva SRI Regras relativas às comunicações eletrónicas Empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público Administração Pública Operadores de infraestruturas críticas essenciais (energia, transportes, banca, bolsa, saúde ) (Fornecedores de serviços da sociedade da informação) 9
Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Regime das comunicações eletrónicas (Regicom) Obrigações em matéria de segurança e integridade Adotar as medidas técnicas e organizacionais adequadas: (i) à prevenção, gestão e redução dos riscos para a segurança das redes e serviços (ii) para garantir a integridade das redes. Obrigações de notificação e informação Notificar ao regulador as violações de segurança ou das perdas de integridade com impacto significativo no funcionamento das redes e serviços (formato e procedimentos a definir pelo regulador) 10
Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Privacidade nas Comunicações eletrónicas (Lei 41/2004 e Regulamento (UE) n.º 611/2013) Obrigações em matéria de segurança e confidencialidade Adotar as medidas organizacionais e técnicas adequadas à prevenção do risco existente, tendo em conta a proporcionalidade dos custos e o estado de evolução tecnológica Violação de Dados Pessoais/ data breach Violação da segurança que provoque, de modo acidental ou ilícito a destruição, perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações eletróncias acessíveis ao público 11
Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Privacidade nas Comunicações Eletrónicas (Regulamento (UE) n.º 611/2013) Notificar a autoridade de protecção de dados Prazos: 24 horas, /3 dias após primeira notificação Violação de Dados Pessoais/ data breach Se estiver em causa a violação de dados pessoais que possa afetar negativamente o titular deve notificar o titular/cliente Natureza da violação e teor dos dados Prováveis consequências Circunstância em que ocorreu a violação A autoridade de protecção de dados: pode obrigar ou isentar a empresa da obrigação de informar os titulares As empresas devem manter um registo da violação dos dados pessoais 12
Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Proteção de Dados Pessoais (Lei nº 67/98) Obrigações de proteção dos dados pessoais O responsável pelo tratamento deve por em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra qualquer forma de tratamento ilícito (avaliação de conhecimentos técnicos disponíveis, custos e natureza dos dados a proteger) Adoção de especiais medidas técnicas quando estejam em causa dados sensíveis Violação de DadosPessoais/ data breach 13
Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Proposta de Diretiva SRI Segurança das redes e dos sistemas de informação Notificação de incidentes Os EM devem assegurar que as administrações públicas e os operadores de mercado adotam as medidas técnicas e organizacionais adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas informáticos que controlam e que usam na sua atividade (em particular nos serviços essenciais oferecidos). As medidas devem garantir o nível de segurança adequado em função do risco existente Os EM devem assegurar que as administrações públicas e os operadores do mercado notificam às autoridades competentes os incidentes de segurança com impacto significativo na segurança dos serviços essenciais que fornecem A autoridade competente pode informar o público ou exigir que as administrações públicas ou os operadores do mercado o façam se a revelação do incidente for do interesse público. 14
II - ENQUADRAMENTO LEGAL Quais as implicações do incumprimento das obrigações?
CONSEQUÊNCIAS DO INCUMPRIMENTO II - ENQUADRAMENTO LEGAL O incumprimento tem consequências escondidas Gestão de Risco Risco político Risco jurídico Risco de negócio Categorias de risco Risco reputacional Risco financeiro Fonte: Survey sobre Data Security Breach Notification, realizado pelo Ponemon Institute para a White& Case Risco operacional
CONSEQUÊNCIAS DO INCUMPRIMENTO II - ENQUADRAMENTO LEGAL E pode ainda acarretar responsabilidade civil pelos prejuízos causados, para além de responsabilidade contraordenacional: Diploma Coimas Outros Regime de Privacidade nas Comunicações Lei de Proteção de Dados Pessoais Lei das Comunicações Eletrónicas (Regulamento Proteção de Dados) (Diretiva Segurança das Redes e da Informação) Até 5.000.000 Até 30.000 Até 5.000.000 Até 1.000.000 ou, sendo uma empresa, até 2% do volume anual de negócios a nível mundial A determinar pelos Estados- Membros na transposição da Diretiva - Sanção pecuniária compulsória - Negligência e tentativa puníveis (os limites máximos são reduzidos a metade) - Sanção assessória - Sanções assessórias - Negligência e tentativa puníveis - Sanção pecuniária compulsória - Negligência e tentativa puníveis - Sanções assessórias - Sanções aplicadas ao responsável pelo tratamento e ao representante, se designado - Pode haver advertências, antes das sanções - Sanções coerentes com as do Regulamento de Proteção de Dados, se incidente de segurança envolver dados pessoais 17
III CIBERATAQUE: ANTES O que fazer para estar preparado? 18
III CIBERATAQUE: ANTES Avaliar os riscos existentes 19
III CIBERATAQUE: ANTES Mapear as obrigações legais e regulamentares aplicáveis 20
III CIBERATAQUE: ANTES Ter uma estratégia e política interna em matéria de cibersegurança (incluindo proteção de dados pessoais) 21
O QUE FAZER Ter um plano (integrado) para cumprir as obrigações relacionadas com a segurança, resiliência das redes e sistemas de informação e as obrigações em matéria de protecção de dados pessoais 22
III CIBERATAQUE: ANTES Ter uma checklist ou manual de procedimentos em caso de incidente de segurança/violação de dados pessoais 23
III CIBERATAQUE: ANTES Desenvolver uma cultura de cibersegurança na organização 24
III CIBERATAQUE: ANTES Impor regras a todos os que possam ter impacto na segurança da organização (sobretudo trabalhadores) 25
III CIBERATAQUE: ANTES Definir uma adequada cadeia de responsabilidades com os clientes, fornecedores, etc.. 26
Operador de rede pública Prestador de serviços de comunicações Entidade pública ou privada III CIBERATAQUE: DURANTE O QUE FAZER Entidades competentes no domínio da investigação criminal? 2h 1D Violação de segurança ou perda de integridade com impacto significativo 24h 3D Violação dados pessoais e-privacy Não sujeita à Diretiva SRI?? Violação dados pessoais noutros setores Sujeita à Diretiva SRI Incidente com impacto significativo na segurança dos serviços essenciais que fornecem Nova autoridade/ CERT 27
III CIBERATAQUE: DURANTE Como articular as várias entidades envolvidas a nível nacional? Centro Nacional de Cibersegurança Empresas 28
III CIBERATAQUE: APÓS RESPONSABILIZAÇÃO Civil Contraordenacional Disciplinar Criminal 29
CONTACTOS Sofia de Vasconcelos Casimiro PhD, IT Law, Queen Mary Advogada consultora na Área de Telecomunicações & Media, Privacidade, Proteção de Dados & Cibersegurança svc@vda.pt 30