OS DESAFIOS JURÍDICOS DA CIBERSEGURANÇA NUM MUNDO GLOBAL Porto, 5 de março de 2015
ÍNDICE Importância do tema Abordagem jurídica Obrigações aplicáveis Consequências do incumprimento Internacionalização Em especial, os países da CPLP Como estar preparado? Desafios e oportunidades 2
IMPORTÂNCIA DO TEMA Os ciberincidentes e data breaches estão a aumentar, afetando todos os setores de atividade. Fonte: http://breachlevelindex.com
OS CASOS MAIS MARCANTES DE 2014 Divulgação de filmes e guiões de filmes que ainda não foram lançados no mercado e publicação de e-mails confidenciais e informação sobre colaboradores Segundo o FBI, o Malware usado para invadir a rede da Sony é tão sofisticado que não seria detetado por 90% das soluções anti-malware no mercado Roubo de 83 milhões de contas pessoais/negócio (banca online) Perda de mais de 145 milhões de contas de utilizador e respetivos dados pessoais Desde abril de 2014, verificaram-se vários ataques virtuais aos servidores que alojam as páginas da PGR, a Polícia Judiciária, o Conselho Superior da Magistratura, a Comissão da Carteira Profissional de Jornalista 4
E afeta todo o mundo
E em 2015, as previsões não são as melhores Security predictions from: Blue Coat, Damballa, FireEye, Fortinet, Forrester, Gartner, IDC, ImmuniWeb, Kaspersky Lab, Lancope, McAfee, Neohapsis, Sophos, Symantec, Trend Micro, Varonis Systems, Websense. Image: Charles McLellan/ZDNet 6
HÁ QUE ESTAR PREPARADO Num cenário de internacionalização, a estratégia de atuação deverá ser global As medidas técnicas e todas as outras medidas de prevenção são globais - a cibersegurança não tem fronteiras! As especificidades que podem existir são a 2 níveis: Obrigações legais da empresa neste domínio Poderes das autoridades competentes É, pois, necessário ter uma visão integrada all across the board, por forma a responder com sucesso em caso de ciberataque 7
ABORDAGEM JURÍDICA: O PRIMEIRO PASSO O primeiro passo é conhecer a legislação e as obrigações aplicáveis neste domínio, principalmente num cenário de internacionalização: Legislação europeia Legislação local, nas jurisdições de atuação É fundamental fazer um impact assessment aquando da ponderação da possibilidade de abrir ou expandir uma área de negócio noutras jurisdições, de forma a prever e prevenir os riscos associados em matéria de cibersegurança e proteção de dados pessoais 8
ABORDAGEM JURÍDICA: O PRIMEIRO PASSO Não basta adotar uma abordagem jurídica De forma a implementar um plano de prevenção e reação em caso de ciberincidentes, as organizações deverão adotar uma abordagem integrada da questão de forma a cobrir as diferentes vertentes: (i) jurídica, (ii) tecnológica e (iii) organizacional Tecnológic a Jurídica Organizaciona l
QUAIS SÃO AS OBRIGAÇÕES APLICÁVEIS? 10
2014/2015 - Aprovação CIBERSEGURANÇA Comunicação Segurança das Redes e da informação: Proposta de abordagem de uma política europeia 28.03.201 Estratégia para 2 uma sociedade da informação segura Diálogo, parcerias e maior poder de intervenção Criação da Parceria público-privada europeia para a resiliência (PPPER /EP3R) Comunicação Estabelecimento de um Centro Europeu 21.03.20 de Cibercrime 13 (EC3) Proposta de Diretiva sobre Segurança das Redes e da Informação 06.06.200 1 31.05.20 06 30.03.20 0915.09 28.03.20 12 05.04.20 12 31.12.20 12 07.02.20 13 03.2014 Lei do Cibercrime Resolução do Conselho de Ministros n.º 42/2012 - Cria a Comissão Instaladora do Centro Nacional de Cibersegurança Resolução do Conselho de Ministros n.º 112/2012, aprova Agenda Portugal Digital Início da Discussão no Parlamento
ENQUADRAMENTO 5 Prioridades fundamentais Alcançar a resiliência do ciberespaço Reduzir drasticamente a cibercriminalidade Desenvolver a política e as capacidades no domínio da ciberdefesa, no quadro da política comum de segurança e defesa Desenvolver recursos industriais e tecnológicos para a cibersegurança Estabelecer uma política internacional coerente em matéria de ciberespaço para a UE e promover os valores fundamentais da UE
PROPOSTA DE DIRETIVA SRI ALGUNS CONCEITOS «Segurança» a capacidade de uma rede ou sistema informático para resistir, com um dado nível de confiança, a eventos acidentais ou a ações dolosas que comprometem a disponibilidade, autenticidade, integridade e confidencialidade dos dados armazenados ou transmitidos e dos serviços conexos oferecidos ou acessíveis através dessa rede ou sistema «Risco» «Incidente» qualquer qualquer circunstância ou evento com um efeito adverso potencial na segurança circunstância ou evento com um efeito adverso real na segurança «Tratamento de incidentes» todos os procedimentos de apoio à análise, contenção e resposta em caso de incidente 13
PROPOSTA DE DIRETIVA SRI OBRIGAÇÕES ESSENCIAIS Adotar medidas para prevenir, gerir e responder ao risco de incidentes que possam afetar uma rede ou um sistema de informação - Adotar uma estratégia nacional de SRI Designar uma autoridade nacional competente em matéria de segurança de redes e sistemas informáticos (e assegurar que têm os recursos suficientes) Dispor de mecanismos de (i) partilha informação, em caso de risco e de incidentes e de (ii) cooperação entre as várias entidades dos EM com competência no domínio da cibersegurança Criar a obrigação para os operadores de mercado e para as administrações públicas de adotar mecanismos de gestão de
PROPOSTA DE DIRETIVA SRI QUEM ESTÁ ABRANGIDO? Administrações Públicas Operadores de mercado Fornecedores de serviço da sociedade da informação que permite a prestação de outros serviços da sociedade da informação Operadores de infraestruturas criticas essenciais para a manutenção de atividades económicas vitais (energia, transportes, banca, bolsa, saúde )
Que medidas de segurança adotar? Que incidentes notificar? 16
OBRIGAÇÕES Proteção de Dados Pessoais (Diretiva 95/46/CE e Lei nº 67/98) Obrigações de proteção dos dados pessoais O responsável pelo tratamento deve por em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra destruição acidental ou ilícita, perda acidental, alteração, a difusão ou acesso não autorizado, nomeadamente quando o tratamento implicar a sua transmissão em rede, e contra qualquer outra forma de tratamento ilícito (avaliação de conhecimentos técnicos disponíveis, custos e natureza dos dados a proteger) Violação de DadosPessoais / data breach Adoção de especiais medidas técnicas quando estejam em causa dados sensíveis 17
OBRIGAÇÕES Regulamento de Protecção de Dados (Proposta) Obrigações de proteção dos dados pessoais Obrigações em matéria de segurança & Integridade O responsável pelo tratamento e o subcontratante, devem avaliar o risco e aplicam as medidas organizacionais e técnicas necessárias.(atende aos custos) São atribuídas competências à Comissão para especificar mais concretamente os critérios e as condições aplicáveis às medidas técnicas e organizativa adequadas, para setores/situações especificas, atendo à evolução das técnicas e da privacy by design. O responsável pelo tratamento notifica a autoridade, sem demora e sempre que possível 24 horas depois de ter conhecimento (se não o fizer dentro do prazo tem de justificar) O subcontratante alerta e informa o responsável pelo tratamento imediatamente após a deteção de uma violação de dados pessoais A notificação deve ter requisitos/conteúdo mínimo Deve existir um dossier de violações de privacidade Sempre que a violação for suscetível de afetar negativamente a protecção de dados ou a privacidade do titular o responsável comunica ao titular dos dados 18 A autoridade de proteção de dados pode isentar ou determinar a
OBRIGAÇÕES Proposta de Diretiva SRI Segurança das redes e dos sistemas informáticos Notificação de incidentes Os EM devem assegurar que as administrações públicas e os operadores de mercado adotam as medidas técnicas e organizacionais adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas informáticos que controlam a adequado com sua atividade (em particular nos serviços essenciais oferecidos). As medidas devem garantir o nível de segurança adequado em função do risco existente Os EM devem assegurar que as administrações públicas e os operadores do mercado notificam às autoridades competentes os incidentes de segurança com impacto significativo na segurança dos serviços essenciais que fornecem A autoridade competente pode informar o público ou exigir que as administrações públicas ou os operadores do mercado o façam se a revelação do incidente for do interesse público. 19
Quais as implicações do incumprimento das obrigações?
O incumprimento tem consequências escondidas CONSEQUÊNCIAS DO INCUMPRIMENTO Gestão de Risco Risco político Risco jurídico Risco de negócio Risco reputacional Categorias de risco Risco financeiro Fonte: Survey sobre Data Security Breach Notification, realizado pelo Ponemon Institute para a White & Case Risco operacional
E pode ainda acarretar responsabilidade civil pelos prejuízos causados, para além de responsabilidade contraordenacional: CONSEQUÊNCIAS DO INCUMPRIMENTO Diploma Coimas Outros eprivacy Até 5.000.000 - Sanção pecuniária compulsória - Negligência e tentativa puníveis (os limites máximos são reduzidos a metade) - Sanção assessória Lei de Proteção de Dados Pessoais Regulamento Proteção de Dados Diretiva Cibersegurança Até 30.000 Até 1.000.000 ou, sendo uma empresa, até 2% do volume anual de negócios a nível mundial A determinar pelos Estados-Membros na transposição da Diretiva - Sanções assessórias - Negligência e tentativa puníveis - Sanções aplicadas ao responsável pelo tratamento e ao representante, se designado - Pode haver advertências, antes das sanções - Sanções coerentes com as do Regulamento de Proteção de Dados, se incidente de segurança envolver dados pessoais
QUAL É O ESTADO DE ARTE NOS OUTROS PAÍSES? INTERNACIONALIZA ÇÃO O Global Cibersecurity Index da ITU mede o nível de commitment dos Estados em relação aos temas da cibersegurança, tendo em consideração os seguintes fatores: Legislação / Medidas legais Medidas técnicas Organizações governamentais Cooperação nacional e internacional
EM PARTICULAR, NA CPLP PAÍSES COM LEIS NO DOMÍNIO DA CIBERSEGURANÇA INTERNACIONALIZA ÇÃO Brasil: segundo a UIT, o Brasil é um dos países em que o commitment é maior, dispondo de um conjunto alargado de diplomas legais que regulam a cibersegurança e cibercrime, assim como de agências governamentais especializadas Angola: apenas disposições ao nível da segurança do Estado Cabo Verde Guiné: apenas disposições genéricas no Código Penal Moçambique Timor - Leste São Tomé e Príncipe
EM PARTICULAR, NA CPLP PAÍSES COM LEIS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS INTERNACIONALIZA ÇÃO Angola Moçambique Brasil (Marco Civil/Lei de Proteção de Dados Pessoais em preparação) Timor - Leste Cabo Verde Guiné Bissau Guiné Equatorial São Tomé e Príncipe
O QUE FAZER PARA ESTAR PREPARADO? O QUE FAZER PARA ESTAR PREPARADO? 26
O QUE FAZER Avaliar os riscos existentes 27
O QUE FAZER Mapear as obrigações legais/regulamentares aplicáveis ao nível nacional e nas restantes jurisdições 28
O QUE FAZER Ter uma checklist/manual de procedimentos em caso de incidente de segurança/violação de dados pessoais 29
O QUE FAZER Ter um plano (integrado) para cumprir as obrigações relacionadas com a segurança, resiliência das redes e sistemas de informação e as obrigações em matéria de protecção de dados pessoais 30
O QUE FAZER Definir uma adequada cadeia de responsabilidades com os cliente, fornecedores, etc.. 31
O QUE FAZER Desenvolver uma cultura de cibersegurança na organização 32
O QUE FAZER Ter uma estratégia em matéria de cibersegurança & para a proteção de dados pessoais 33
Que desafios & oportunidades? 34
DESAFIOS Segurança dos sistemas de informaçã o Protecção de dados pessoais Segurança das redes e serviços de comunicações eletrónicas Legislação nacional e internacional aplicável Como articular os diversos quadros legais potencialmente aplicáveis, de forma simples e eficaz? 35
DESAFIOS Como articular as várias entidades envolvidas a nível nacional e internacional? Entidades internacionais competentes Centro Nacional de Ciberseguranç a 36
OPORTUNIDADES Cibersegurança como um business case 37
Muito Obrigada! Inês Antas de Barros iab@vda.pt Área de Telecomunicações & Media, Privacidade, Proteção de Dados & Cibersegurança 38
O DIREITO A RIGHT À O DIREITO EXCELÊNCIA À EXCELÊNCIA TO EXCELLENC E A RIGHT TO EXCELLENCE