Direito Digit@l

Segurança da informação, escritórios de advocacia e compliance: por que a atenção precisa ser redobrada?

Segurança da informação, escritórios de advocacia e compliance: por que a atenção precisa ser redobrada?

4/8/2017

No ano passado grandes incidentes relativos a vazamento de informações direcionaram atenção para as fragilidades encontradas em alguns escritórios de advocacia, que, muitas vezes, não dispõem de planejamento efetivo e preparo para lidar com situações como estas.

Como é de costume no Brasil, não há dados sobre vazamentos de informações a partir de escritórios de advocacia. Nos Estados Unidos a American Bar Association promoveu uma pesquisa que revelou que 26 % de grandes escritórios norte-americanos tiveram algum tipo de incidente com vazamento de informações em 2016, o que representou um crescimento substancial de 23% comparado a 20151.

Os ataques não pouparam nem mesmo os mais prestigiados escritórios de advocacia norte-americanos, sendo que tudo indica que os criminosos procuravam dados que pudessem ser utilizados num contexto de insider trading. Por outro lado, apesar dos incidentes, nem sempre os criminosos foram bem-sucedidos nos seus propósitos. Apesar de não terem notado vazamentos massivos de dados, o contexto fez com que os escritórios buscassem melhorias na segurança da informação e passaram, inclusive, a aderir ao Centro de Análises de Informações Compartilhadas (FS-ISAC)2.

Ainda sobre ataques a escritórios, o caso "Panama Papers" que, em abril de 2016, envolveu o escritório Mossack Fonseca revelou uma invasão nos servidores de e-mail, o que escancarou a vulnerabilidade e expôs facilmente nada menos que 2.6 Terabytes de dados de diversas pessoas, num universo de mais de dez milhões de documentos. Foi um vazamento como nunca antes visto, seja porque atingiu um escritório de advocacia, seja pelos dados vazados e as pessoas afetadas, seja, ainda, pelo volume estrondoso de documentos ilicitamente obtidos.

Também no início do ano passado uma empresa de consultoria alertou escritórios de que eram alvos de ataques digitais e que serviços de phishing eram oferecidos em promoções para quem desejasse atacar escritórios de advocacia3.

Em dezembro de 2016 alguns chineses foram processados porque invadiram sistemas computacionais de escritórios em Nova Iorque em 2014, na busca de informações sobre fusões e aquisições, oportunidade em que obtiveram 40 gigabytes de informações confidenciais que foram, inclusive utilizadas em operações nas bolsas de valores, resultando em lucros de quatro milhões de dólares a eles4.

E, nos Estados Unidos já há notícias de ação proposta contra escritório de advocacia em razão de medidas inadequadas de segurança digital. Trata-se do caso Shore versus Johnson & Bell e que discute a possível exposição de dados de clientes por uso de tecnologia desatualizada para segurança de e-mails e segurança inconsistente na sua VPN. Alega-se desconformidades técnicas e negligência, além de quebra de confiança cliente-advogado.

Mas, por quê advogados? Crê-se que, basicamente, por dois motivos: o tipo de informação contida nos bancos de dados dos escritórios (financeira, estratégicas, comerciais e transações) e, também, porque muitos deixam a segurança digital em segundo plano, sem que tenham plano de resposta a incidentes. A pesquisa da American Bar Association mostra que apenas 38% dos escritórios tinham um plano de continuidade dos negócios, o que é incrivelmente baixo. Há, assim, a necessidade de que escritórios de advocacia estejam em conformidade com as leis, mas não apenas com elas. O compliance precisa ocorrer com a segurança da informação em seus aspectos tencológicos e pessoais.

A indústria de serviços jurídicos deve se mover mais rapidamente quanto a aspectos de segurança digital, especialmente considerando o risco da atividade. Assim, o mínimo esperado é que:

a) Se proceda a um risk assessment, isto é, se faça um levantamento de riscos e vulnerabilidades, identificando as ações necessárias e suficentes para evitá-las;

b) Sejam providenciado um inventário de informações, identificando o que se tem em bancos de dados;

c) Sejam estabelecidas responsabilidades, tais como quem deve ser procurado quando houver um incidente;

d) Sejam desenvolvidas políticas e procedimentos (como lidam com BYOD? E acesso a informação pelos empregados? E as redes sociais?);

e) Sejam promovidos treinamentos recorrentes para assegurar que todos saibam a importância da segurança da informação;

f) Seja desenvolvido um plano de resposta a incidentes, sobre como devem ser feitas as investigações, quem é responsável pelas atividades, que leis e normas devem ser seguidas, quais os terceiros que devem ser contratados para auxiliar nos trabalhos;

g) Faça um seguro de segurança digital.

Não é possível prestar serviços jurídicos ignorando que a segurança da informação seja um fundamental aspecto de compliance a ser cumprido. E, deve-se registrar que segurança da informação está muito mais ligada a aspectos culturais que a modernidade tecnológica. Isto é, é evidente que há uma ligação inequívoca de segurança da informação com a tecnologia, mas, mais que isso, ela somente se concretiza com a disseminação da cultura por todo o ambiente do escritório de advocacia, incluindo-se aí, todo o pessoal técnico e administrativo.

Aqueles que acreditam que apenas os disclaimers dispostos nos rodapés dos e-mails pode significar alguma proteção deveriam se lembrar que os criminosos digitais simplesmente não ligam para isso.

__________

1 A pesquisa de 2016 pode ser encontrada aqui e a pesquisa de 2015 pode ser encontrada aqui, ambas com acesso em 28/7/2017.

2 Financial Services, acesso em 30/7/2017.

3 Flashpoint, acesso em 30/7/2017.

4 Chinese hackers of NY law firms charged, acesso em 28/7/2017.

 
Veja mais no portal
cadastre-se, comente, saiba mais

Colunistas

Coriolano Aurélio de Almeida Camargo Santos é advogado e Presidente da Digital Law Academy. Ph.D., ocupa o cargo de Conselheiro Estadual da Ordem dos Advogados do Brasil, Seção São Paulo (OAB/SP), com mandatos entre 2013-2018 e 2022-2024. É membro da Comissão Nacional de Inteligência Artificial do Conselho Federal da OAB. Foi convidado pela Mesa do Congresso Nacional para criar e coordenar a comissão de Juristas que promoveu a audiência pública sobre a criação da Autoridade Nacional de Proteção de Dados, realizada em 24 de maio de 2019. Possui destacada carreira acadêmica, tendo atuado como professor convidado da Università Sapienza (Roma), IPBEJA (Portugal), Granada, Navarra e Universidade Complutense de Madrid (Espanha). Foi convidado pelo Supremo Tribunal Federal em duas ocasiões para discutir temas ligados ao Direito e à Tecnologia. Também atua como professor e coordenador do programa de Lei Geral de Proteção de Dados (LGPD) da Escola Superior de Advocacia Nacional do Conselho Federal é o órgão máximo na estrutura da Ordem dos Advogados do Brasil (CFOAB). Foi fundador e presidente da Comissão de Direito Digital e Compliance da OAB/SP (2005-2018). Atuou como Juiz do Tribunal de Impostos e Taxas de São Paulo (2005-2021) e fundou a Comissão do Contencioso Administrativo Tributário da OAB/SP em 2014. Na área de arbitragem, é membro da Câmara Empresarial de Arbitragem da FECOMERCIO, OAB/SP e da Câmara Arbitral Internacional de Paris. Foi membro do Conselho Jurídico da FIESP (2011-2020) e diretor do Departamento Jurídico da mesma entidade (2015-2022). Atualmente desempenha o papel de Diretor Jurídico do DEJUR do CIESP. Foi coordenador do Grupo de Estudos de Direito Digital da FIESP (2015/2020). Foi convidado e atuou como pesquisador junto ao Conselho Nacional de Justiça (CNJ), em 2010, para tratar da segurança física e digital de processos findos. Além disso, ocupou o cargo de Diretor Titular do Centro do Comércio da FECOMERCIO (2011-2017) e foi conselheiro do Conselho de Tecnologia da Informação e Comunicação da FECOMERCIO (2006-2010). Desde 2007, é membro do Conselho Superior de Direito da FecomercioSP. Atua como professor de pós-graduação da Universidade Presbiteriana Mackenzie desde 2007, nos cursos de Direito e Tecnologia, tendo lecionado no curso de Direito Digital da Fundação Getúlio Vargas, IMPACTA Tecnologia e no MBA em Direito Eletrônico da EPD. Ainda coordenou e fundou o Programa de Pós-Graduação em Direito Digital e Compliance do Ibmec/Damásio. É Mestre em Direito na Sociedade da Informação pela FMU (2007) e Doutor em Direito pela FADISP (2014). Lecionou na Escola de Magistrados da Justiça Federal da 3ª Região, Academia Nacional de Polícia Federal, Governo do Estado de São Paulo e Congresso Nacional, em eventos em parceria com o Departamento de Justiça dos Estados Unidos, INTERPOL e Conselho da Europa. Como parte de sua atuação internacional, é membro da International High Technology Crime Investigation Association (HTCIA) e integrou o Conselho Científico de Conferências de âmbito mundial (ICCyber), com o apoio e suporte da Diretoria Técnico-Científica do Departamento de Polícia Federal, Federal Bureau of Investigation (FBI/USA), Australian Federal Police (AFP) e Guarda Civil da Espanha. Além disso, foi professor convidado em instituições e empresas de grande porte, como Empresa Brasileira de Aeronáutica (EMBRAER), Banco Santander e Microsoft, bem como palestrou em eventos como Fenalaw/FGV.GRC-Meeting, entre outros. Foi professor colaborador da AMCHAM e SUCESU. Em sua atuação junto ao Conselho Nacional de Política Fazendária (CONFAZ), apresentou uma coletânea de pareceres colaborativos à ação governamental, alcançando resultados significativos com a publicação de Convênios e Atos COTEPE voltados para a segurança e integração nacional do sistema tributário e tecnológico. Também é autor do primeiro Internet-Book da OAB/SP, que aborda temas de tributação, direito eletrônico e sociedade da informação, e é colunista em Direito Digital, Inovação e Proteção de Dados do Portal Migalhas, entre outros. Em sua atuação prática, destaca-se nas áreas do Direito Digital, Inovação, Proteção de Dados, Tributário e Empresarial, com experiência jurídica desde 1988.

Leila Chevtchuk, eleita por aclamação pelos ministros do TST integrou o Conselho Consultivo da Escola Nacional de Formação e Aperfeiçoamento de Magistrados do Trabalho – ENAMAT. Em 2019 realizou visita técnico científica a INTERPOL em Lyon na França e EUROPOL em 2020 em Haia na Holanda. Desembargadora, desde 2010, foi Diretora da Escola Judicial do Tribunal Regional do Trabalho da 2ª região. Pela USP é especialista em transtornos mentais relacionados ao trabalho e em psicologia da saúde ocupacional. Formada em Direito pela USP. Pós-graduada pela Universidade de Lisboa, na área de Direito do Trabalho. Mestre em Relações do Trabalho pela PUC e doutorado na Universidade Autôno de Lisboa.