No ano passado grandes incidentes relativos a vazamento de informações direcionaram atenção para as fragilidades encontradas em alguns escritórios de advocacia, que, muitas vezes, não dispõem de planejamento efetivo e preparo para lidar com situações como estas.
Como é de costume no Brasil, não há dados sobre vazamentos de informações a partir de escritórios de advocacia. Nos Estados Unidos a American Bar Association promoveu uma pesquisa que revelou que 26 % de grandes escritórios norte-americanos tiveram algum tipo de incidente com vazamento de informações em 2016, o que representou um crescimento substancial de 23% comparado a 20151.
Os ataques não pouparam nem mesmo os mais prestigiados escritórios de advocacia norte-americanos, sendo que tudo indica que os criminosos procuravam dados que pudessem ser utilizados num contexto de insider trading. Por outro lado, apesar dos incidentes, nem sempre os criminosos foram bem-sucedidos nos seus propósitos. Apesar de não terem notado vazamentos massivos de dados, o contexto fez com que os escritórios buscassem melhorias na segurança da informação e passaram, inclusive, a aderir ao Centro de Análises de Informações Compartilhadas (FS-ISAC)2.
Ainda sobre ataques a escritórios, o caso "Panama Papers" que, em abril de 2016, envolveu o escritório Mossack Fonseca revelou uma invasão nos servidores de e-mail, o que escancarou a vulnerabilidade e expôs facilmente nada menos que 2.6 Terabytes de dados de diversas pessoas, num universo de mais de dez milhões de documentos. Foi um vazamento como nunca antes visto, seja porque atingiu um escritório de advocacia, seja pelos dados vazados e as pessoas afetadas, seja, ainda, pelo volume estrondoso de documentos ilicitamente obtidos.
Também no início do ano passado uma empresa de consultoria alertou escritórios de que eram alvos de ataques digitais e que serviços de phishing eram oferecidos em promoções para quem desejasse atacar escritórios de advocacia3.
Em dezembro de 2016 alguns chineses foram processados porque invadiram sistemas computacionais de escritórios em Nova Iorque em 2014, na busca de informações sobre fusões e aquisições, oportunidade em que obtiveram 40 gigabytes de informações confidenciais que foram, inclusive utilizadas em operações nas bolsas de valores, resultando em lucros de quatro milhões de dólares a eles4.
E, nos Estados Unidos já há notícias de ação proposta contra escritório de advocacia em razão de medidas inadequadas de segurança digital. Trata-se do caso Shore versus Johnson & Bell e que discute a possível exposição de dados de clientes por uso de tecnologia desatualizada para segurança de e-mails e segurança inconsistente na sua VPN. Alega-se desconformidades técnicas e negligência, além de quebra de confiança cliente-advogado.
Mas, por quê advogados? Crê-se que, basicamente, por dois motivos: o tipo de informação contida nos bancos de dados dos escritórios (financeira, estratégicas, comerciais e transações) e, também, porque muitos deixam a segurança digital em segundo plano, sem que tenham plano de resposta a incidentes. A pesquisa da American Bar Association mostra que apenas 38% dos escritórios tinham um plano de continuidade dos negócios, o que é incrivelmente baixo. Há, assim, a necessidade de que escritórios de advocacia estejam em conformidade com as leis, mas não apenas com elas. O compliance precisa ocorrer com a segurança da informação em seus aspectos tencológicos e pessoais.
A indústria de serviços jurídicos deve se mover mais rapidamente quanto a aspectos de segurança digital, especialmente considerando o risco da atividade. Assim, o mínimo esperado é que:
a) Se proceda a um risk assessment, isto é, se faça um levantamento de riscos e vulnerabilidades, identificando as ações necessárias e suficentes para evitá-las;
b) Sejam providenciado um inventário de informações, identificando o que se tem em bancos de dados;
c) Sejam estabelecidas responsabilidades, tais como quem deve ser procurado quando houver um incidente;
d) Sejam desenvolvidas políticas e procedimentos (como lidam com BYOD? E acesso a informação pelos empregados? E as redes sociais?);
e) Sejam promovidos treinamentos recorrentes para assegurar que todos saibam a importância da segurança da informação;
f) Seja desenvolvido um plano de resposta a incidentes, sobre como devem ser feitas as investigações, quem é responsável pelas atividades, que leis e normas devem ser seguidas, quais os terceiros que devem ser contratados para auxiliar nos trabalhos;
g) Faça um seguro de segurança digital.
Não é possível prestar serviços jurídicos ignorando que a segurança da informação seja um fundamental aspecto de compliance a ser cumprido. E, deve-se registrar que segurança da informação está muito mais ligada a aspectos culturais que a modernidade tecnológica. Isto é, é evidente que há uma ligação inequívoca de segurança da informação com a tecnologia, mas, mais que isso, ela somente se concretiza com a disseminação da cultura por todo o ambiente do escritório de advocacia, incluindo-se aí, todo o pessoal técnico e administrativo.
Aqueles que acreditam que apenas os disclaimers dispostos nos rodapés dos e-mails pode significar alguma proteção deveriam se lembrar que os criminosos digitais simplesmente não ligam para isso.
__________
1 A pesquisa de 2016 pode ser encontrada aqui e a pesquisa de 2015 pode ser encontrada aqui, ambas com acesso em 28/7/2017.
2 Financial Services, acesso em 30/7/2017.
3 Flashpoint, acesso em 30/7/2017.
4 Chinese hackers of NY law firms charged, acesso em 28/7/2017.