BIG DATA AND CLOUD FORENSICS

BIG DATA FORENSICS

Conformidade e melhores práticas para o tratamento de dados e investigação de incidentes

José Antonio MilagreDiretor de Forense Digital

Legaltech

terça-feira, 23 de outubro de 2012

Legaltech Consultoria e Treinamento Ltda.

Cronograma

* Tecnologia e Privacidade* Cloud Computing e Big Data* Atividades de Pentest e Hacking* Investigação Digital* Melhores Práticas* Conformidade* Perspectivas Finais



Tecnologia e Privacidade

“intimidade é o núcleo duro da privacidade, enquanto a vida privada é uma esfera externa, mais abrangente que, entretanto, não se confunde com a esfera pública”(MORI 2011, 38)

Leia mais: http://jus.com.br/revista/texto/22809/faltas-nao-relacionadas-ao-trabalho-violacao-a-privacidade-e-intimidade-do-empregado#ixzz2A36ozQUt


http://jus.com.br/revista/texto/22809/faltas-nao-relacionadas-ao-trabalho-violacao-a-privacidade-e-intimidade-do-empregado#ixzz2A36ozQUt











A evolução tecnologica impõe desafios para garantir a adequada proteção de

dados online.






Cloud Computing e Big Data

Cloud relativiza completamente as normas de proteção de dados e práticas de investigação digital

existentes




A capacidade de coletar dados em todos os lugares, a partir de interações online e dispositivos, chips RFID, algoritmos de busca , tecnologias baseadas em localização, tem trazido benefícios para Sociedade em geral, porém, aumentam os riscos de violações à privacidade. (Prof. Omer Tene - Centro Berkeley de Direito e Tecnologia)




Redes Sociais: O combustível do Big Data (Análise de Redes Sociais corresponderá a 45% de todo o gasto anual)

Os gastos mundiais com tecnologias de big data — de empresas dos setores da indústria, governo, comércio e de serviços, entre outras — devem totalizar US$ 28 bilhões em 2012. Para o ano que vem, a previsão é que ocorra um incremento de 22%, chegando a US$ 34 bilhões, diz o Gartner.






Melhores Práticas

Passamos por profundas transformações nas normas e melhores práticas envolvendo proteção de dados

e investigação



Melhores Práticas: Big Data

Solução BIG Data Forensics considerará:

* Ambiente cultural;* Diligência sobre os dados a coletar (próprios ou de terceiros);* Eventuais autorizações dos proprietários;* Técnicas utilizadas para a coleta;* Após a coleta, como se dará o uso;* Legislação aplicável; * Considerar Big Data em ambientes Cloud pode se caracterizar como “antiforense”.



Melhores Práticas: Cloud Computing

0

18

35

53

70

Data SecurityData Privacy

ComplianceData Residency

Pesquisa CipherCloud % de Organizações - Preocupações

Fonte: http://www.net-security.org/secworld.php?id=13802


http://www.net-security.org/secworld.php?id=13802

http://www.net-security.org/secworld.php?id=13802



Características:

* Motor para o crescimento da TI nos próximos 25 anos;* 75% das empresas da TI no Brasil já usam Cloud - Olhar Digital;

Riscos:

* Acesso indevido a informações;* Vazamento de informações;* Indisponibilização de serviços.




Cloud Computing:

* Segurança de TI se tornando mais “cinza”;* Perda do controle de toda a infra-estrutura;* Revisão dos Acordos de Nível de Serviço;* http://www.ico.gov.uk/;* Poucos julgados a respeito;


http://www.ico.gov.uk

http://www.ico.gov.uk



Investigação de crimes




Investigação de crimes




Resposta Forense (Cloud Forensics):

* Elementos de rastreabilidade gerados (formato, tempo, SaaS, customer não será “first responder”);* Recursos humanos para resposta forense (Acordo com os CSPs);* Cooperação em multi-jurisdição: Plano de Segurança Cloud considerar a “sombra da nuvem”; Exito da resposta forense intimamente ligado com a maturidade da segurança Cloud;* Saber identificar o serviço: VPS, Cloud, VPN, Virtualização* Métricas e níveis de serviços deve incluir melhores práticas em segurança da informação (European Network and Information Security Agency, Association of Chief of Police Officer (ACPO), Investigative Process Model - DIP (DFRS);



Melhores práticas: Monitoramento

Empregador que vasculha as redes sociais. Faltas não relacionadas ao trabalho. Violação à intimidade e privacidade do empregado.

“o comportamento social do empregado deve ser punido pelos desvios que, no ambiente da empresa ou repercutindo imediata e diretamente nas suas relações com o empregador, possam causar dano à entidade patronal, ao seu ambiente de trabalho, aos colegas de serviço ou aos clientes.” (SOUZA 1997, 294-295)




Empregador que vasculha as redes sociais.

“JUSTA CAUSA - ENVOLVIMENTO DO EMPREGADO EM BRIGA FORA DO AMBIENTE DE TRABALHO, E SEM QUALQUER PREJUÍZO AO EXERCÍCIO DE SUAS FUNÇÕES - VIOLAÇÃO DO ART. 482, -B- E -E-, DA CLT - NÃO-CARACTERIZAÇÃO. Havendo o v. acórdão do Regional consignado que não houve registro de nenhuma conduta indisciplinar ou irregular do reclamante durante quase três anos (de agosto de 1996 até 19 de abril de 1999); que a briga na qual o reclamante se envolveu ocorreu fora do local e do horário de trabalho; que não houve repercussão no âmbito da empresa; que nada teve a ver com o exercício das funções; e que a prisão em flagrante, ocorrida quando da referida briga, se deu por porte ilegal de arma de fogo, impossível cogitar-se de caracterização de justa causa por incontinência de conduta ou mau procedimento (alínea b do art. 482 da CLT) ou desídia (alínea e), que somente dizem respeito a fatos ocorridos no ambiente de trabalho, ou seja, à conduta do empregado nessa condição, dentro do espaço físico onde se presta o trabalho ou em prejuízo do serviço ou da integridade do empregador como tal.Agravo de instrumento não provido.” (grifos nossos)

Leia mais: http://jus.com.br/revista/texto/22809/faltas-nao-relacionadas-ao-trabalho-violacao-a-privacidade-e-intimidade-do-empregado#ixzz2A3DNFAKL


http://jus.com.br/revista/texto/22809/faltas-nao-relacionadas-ao-trabalho-violacao-a-privacidade-e-intimidade-do-empregado#ixzz2A3DNFAKL








Melhores práticas: BYOD




CLT: Art. 6o Não se distingue entre o trabalho realizado no estabelecimento do empregador, o executado no domicílio do empregado e o realizado a distância, desde que estejam caracterizados os pressupostos da relação de emprego. (Redação dada pela Lei nº 12.551, de 2011)


http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12551.htm#art1






An upcoming Trend Micro study* into mobile consumerisation trends finds that nearly half of companies have experienced a data breach as a result of an employee owned device accessing the corporate network. When the stakes are this high, IT needs to know which platforms to allow and which to refuse.

(http://consumerization.trendmicro.com/consumerization-byod-jailbreak-apple-control-enterprise-primetime/)


http://consumerization.trendmicro.com/consumerization-byod-jailbreak-apple-control-enterprise-primetime/








Política BYOD:

* Direito de apagar dados;

* Instalar aplicações;

* Monitorar utilização.

Pontos omissos:

* Suprimir dados pessoais;

* Auditar histórico de navegação

* Acesso a informações pessoais

identificáveis

A EMPRESA NÃO É PROPRIETÁRIA DO ATIVORISCO TRABALHISTA.




Riscos Futuros:

* Propriedade intelectual;

* Vazamento dados pessoais;

* Vazamento dados corporativos;

* Demandas cíveis e trabalhistas

(sobreaviso/jornada);

* Responsabilidade civil e criminal

por atos praticados.

Soluções:

* Revisão de Políticas/Controle riscos;

* Solução de Segurança BYOD/VM;

* Forense Digital externa;

* Aderência a conformidade de normas

de proteção à privacidade.

NÃO HÁ JURISPRUDÊNCIA.RISCO TRABALHISTA.




http://blog.allstream.com/5-byod-legal-risks-it-departments-cant-ignore/

User authentication Due dilligence Remote Wipping Surveillence e-Discovery









Prever em política não apenas a possibilidade de monitoramento, mas de inspeção. Técnicas anti-forense devem ser desencorajadas e bloqueadas no preparo do sistema do proprietário.

FORENSE DIGITAL: Preventiva!



Investigação Digital

As ferramentas da rede social recorrem a fatores como amigos mútuos, interação no passado, distância e diferenças de idade numa tentativa de tentar combater, por exemplo, atividades pedófilas.

Ler mais: http://exameinformatica.sapo.pt/noticias/internet/2012/07/13/privacidade-facebook-monitoriza-conversas-a-procura-de-criminosos#ixzz2A3IZKGKX


http://exameinformatica.sapo.pt/noticias/internet/2012/07/13/privacidade-facebook-monitoriza-conversas-a-procura-de-criminosos#ixzz2A3IZKGKX













Investigação Digital: Big Data




Em ambiente forense posso estimar:

* Vazamento de dados funcionários; * Vulnerabilidades mais exploradas;* Ativos mais propensos a ataques;* Níveis de risco para determinadas áreas da TI;* Possíveis ataques programados;* Antecipar crimes? (Controle Absoluto, Minority Report)

Solução: Equilíbrio.




* Informações subjacentes de dados em fontes públicas: EUA v Maynard, 615 F.3d 544, 555 (DC Cir. 2010)

O Federal Bureau of Investigation ("FBI") instalou um dispositivo de rastreamento GPS no carro de Antoine Jones enquanto ele estava estacionado em via pública. O FBI então usou o dispositivo para rastrear os movimentos de seu veículo de forma contínua por um mês. Foi identificado que Jones distribuia cocaína, prova que foi parcialmente baseada em dados do dispositivo GPS de localização. O D.C. Corte de Apelações apreciou o caso United States v Maynard, 615 F.3d 544 (DC Cir. 2010). O Tribunal considerou que o rastreamento GPS “sem mandado” foi uma busca e violou a Quarta Emenda.

* Mudanças de tecnologia importam em mudança da expectativa de privacidade;




Ao mesmo tempo que favorece a investigação se mal estruturada a coleta de massa critica pode ser considerada ilícita.

Do mesmo modo, o grande volume de dados produzidos por devices, em segurança da informação, pode comprometer a análise.

BigData está relacionado a maior propensão ao vazamento de algo. Custo do e-discovery fica minúsculo diante dos riscos associados.



Investigação Digital: Cloud Computing

Arquivos armazenados nas nuvens por muito tempo:




!"#$#"%&'()*

+$),&"*"#-."$)$/0#1"&2&"*3#"4)"5&6-#*

7#-."$)$*8)53&"9,:&2)$*

8,;#6<#*-)6<"),&*2&2)$=*>&$*#*5#<&2&2)$?*

8&2#;&*2#*-.$<@2;&*

8),#<&*

A,&$9-;2&2#*

8BBC!>*

>.,9D.";$2;'()*

E-#$$)*&*5F2;&*G$;-&/H))<*IJ;%#K*L8))3#"&'()*M)"1&6;N&N;)6&,O*

>.,9P<#6&6<*2;$<";Q.<#2*

R#")*S6)T,#21#*UV$<#5*

!#"$;$<W6-;&*

E6X,;$#*

8&";5Q)*2)*<#53)*

A%;2W6-;&$*$;5;,&"#$Y*!")-#$$)$Z*5#5@";&Z*&"[.;%)$Z*#P5&;,$Z*,)1$Z*

<"X4#1)*2#*"#2#*

E3"#$#6<&'()*

*!";6-F3;)*2#*0&.Q#"<*I<#)";&*2#%#*$#"*4&,$;\-X%#,Z*"#$.,<&2)$*$.D#;<)$*

]*"#%;$()K*




Premissas:

* Dados espalhados demandam compromisso contratual;* Nuvem privada, comunidade, pública, híbrida (imagem.dd/raw);* Modelo de serviços: SaaS (WebClient), PaaS (API), IaaS (cessão de recursos) - Coleta influenciada completamente;




Nuvem como técnica anti-forense



Atividades de Pentest e Hacking

Controle!

Muito se questiona sobre a quantidade de campos em logs, diante da possível violação privacidade, mas se esquecem que eles podem elucidar uma grave violação à privacidade.

“Se ao caminhar pelas ruas, uma pessoa avistar que os cordões de seus sapatos estão desamarrados, ser-lhe-á devido um agradecimento ou uma censura por se intrometer em sua vida, em sua privacidade? Caso lhe comuniquem que um certo restaurant já provocou intoxicações sérias em diversos incautos que experimentaram suas especialidades, julgaria prudente ir lá e fazer uma refeição e se arriscar a uma desagradável e involuntária ginástica para seus intestinos?” (Amaro Moraes e Silva Neto, Privacidade na Internet, EDIPRO, 2001)



Atividades de Pentest e Hacking

Controle!

“Pois bem, no ciberespaço, assim como no Mundo Físico, também existem boas almas que nos alertam sobre os perigos que enfrentamos neste recanto não espacial: são os hackers (e, em algumas vezes, até mesmo os cracckers). São eles que nos sinalizam quanto a similares riscos neste Mundo que não podemos pegar, porque verificaram as debilidades e fragilidades do sistema que os suporta” (Amaro Moraes e Silva Neto, Privacidade na Internet, EDIPRO, 2001)



Investigação Digital



Conformidade: Diretiva 95/46/EU

•  E-Privacy Directive – 2002/58 - amended by Directive 2009/136 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:NOT

•  Data Protection Directive 1995/46 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML

•  Canadian PIPEDA Act http://laws.justice.gc.ca/eng/P-8.6/ •  USA ECPA (Wiretap e Storage)– Caso Lane x Facebook

http://en.wikipedia.org/wiki/Lane_v._Facebook,_Inc. •  Patriot Act 2011 •  UK Data Protection Act

http://www.legislation.gov.uk/ukpga/1998/29/contents



Conformidade: Diretiva 95/46/EU

Não atende mais as necessidades dos cidadãos:2012: Comissão Européia - Apresentados textos das propostas para:a) Regulamento Geral de Privacidade;b) Diretiva de Privacidade no Âmbito penal e de Investigação Criminal;

Dentre as características:a) Sem necessidade de ação legislativa dos parlamentos nacionais;b) Aplicável à empresas que não estão sediadas na EU, mas que oferecem bens ou serviços a países da União.



Conformidade: Brasil

* Marco Civil da Internet Brasileira (Eleva a princípio em seu artigo terceiro a proteção à privacidade e a proteção a dados pessoais)h t t p : / / w w w . c a m a r a . g o v . b r / p r o p o s i c o e s W e b /prop_mostrarintegra;jsessionid=5D6476842878EB901E806B1C234528E2.node2?codteor=912989&filename=PL+2126/2011

* AnteProjeto de Lei de Proteção de Dados Pessoaishttp://culturadigital.br/dadospessoais/debata-a-norma/

* PL 84/1999, PL 2793/2011, PLS 236/2012


http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra;jsessionid=5D6476842878EB901E806B1C234528E2.node2?codteor=912989&filename=PL+2126/2011






http://culturadigital.br/dadospessoais/debata-a-norma/

http://culturadigital.br/dadospessoais/debata-a-norma/


Conformidade: Brasil > Marco Civil

3

! VIII - registros de acesso a aplicações de Internet - conjunto de informações referentes à data e hora de uso de uma determinada aplicação de Internet a partir de um determinado endereço IP. Art. 6o Na interpretação desta Lei, serão levados em conta, além dos fundamentos, princípios e objetivos previstos, a natureza da Internet, seus usos e costumes particulares e sua importância para a promoção do desenvolvimento humano, econômico, social e cultural.

CAPÍTULO II DOS DIREITOS E GARANTIAS DOS USUÁRIOS

Art. 7o O acesso à Internet é essencial ao exercício da cidadania e ao usuário são assegurados os seguintes direitos: I - à inviolabilidade e ao sigilo de suas comunicações pela Internet, salvo por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; II - à não suspensão da conexão à Internet, salvo por débito diretamente decorrente de sua utilização; III - à manutenção da qualidade contratada da conexão à Internet, observado o disposto no art. 9o; IV - a informações claras e completas constantes dos contratos de prestação de serviços, com previsão expressa sobre o regime de proteção aos seus dados pessoais, aos registros de conexão e aos registros de acesso a aplicações de Internet, bem como sobre práticas de gerenciamento da rede que possam afetar a qualidade dos serviços oferecidos; e V - ao não fornecimento a terceiros de seus registros de conexão e de acesso a aplicações de Internet, salvo mediante consentimento ou nas hipóteses previstas em lei. Art. 8o A garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à Internet.

CAPÍTULO III DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET

Seção I

Do Tráfego de Dados Art. 9o O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicativo, sendo vedada qualquer discriminação ou degradação do tráfego que não decorra de requisitos técnicos necessários à prestação adequada dos serviços, conforme regulamentação.

3





Seção I





3





Seção I


4

! Parágrafo único. Na provisão de conexão à Internet, onerosa ou gratuita, é vedado monitorar, filtrar, analisar ou fiscalizar o conteúdo dos pacotes de dados, ressalvadas as hipóteses admitidas em lei.

Seção I I Da Guarda de Registros

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de Internet de que trata esta Lei devem atender à preservação da intimidade, vida privada, honra e imagem das partes direta ou indiretamente envolvidas. § 1o O provedor responsável pela guarda somente será obrigado a disponibilizar as informações que permitam a identificação do usuário mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo. § 2o As medidas e procedimentos de segurança e sigilo devem ser informados pelo responsável pela provisão de serviços de conexão de forma clara e atender a padrões definidos em regulamento. § 3o A violação do dever de sigilo previsto no caput sujeita o infrator às sanções cíveis, criminais e administrativas previstas em lei.

Subseção I Da Guarda de Registros de Conexão

Art. 11. Na provisão de conexão à Internet, cabe ao administrador do sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de um ano, nos termos do regulamento. § 1o A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros. § 2o A autoridade policial ou administrativa poderá requerer cautelarmente a guarda de registros de conexão por prazo superior ao previsto no caput. § 3o Na hipótese do § 2o, a autoridade requerente terá o prazo de sessenta dias, contados a partir do requerimento, para ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput. § 4o O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento previsto no § 2o, que perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha sido impetrado no prazo previsto no § 3o.

Subseção I I Da Guarda de Registros de Acesso a Aplicações de Internet

Art. 12. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de Internet.







4

! Parágrafo único. Na provisão de conexão à Internet, onerosa ou gratuita, é vedado monitorar, filtrar, analisar ou fiscalizar o conteúdo dos pacotes de dados, ressalvadas as hipóteses admitidas em lei.

Seção I I Da Guarda de Registros

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de Internet de que trata esta Lei devem atender à preservação da intimidade, vida privada, honra e imagem das partes direta ou indiretamente envolvidas. § 1o O provedor responsável pela guarda somente será obrigado a disponibilizar as informações que permitam a identificação do usuário mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo. § 2o As medidas e procedimentos de segurança e sigilo devem ser informados pelo responsável pela provisão de serviços de conexão de forma clara e atender a padrões definidos em regulamento. § 3o A violação do dever de sigilo previsto no caput sujeita o infrator às sanções cíveis, criminais e administrativas previstas em lei.

Subseção I Da Guarda de Registros de Conexão

Art. 11. Na provisão de conexão à Internet, cabe ao administrador do sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de um ano, nos termos do regulamento. § 1o A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros. § 2o A autoridade policial ou administrativa poderá requerer cautelarmente a guarda de registros de conexão por prazo superior ao previsto no caput. § 3o Na hipótese do § 2o, a autoridade requerente terá o prazo de sessenta dias, contados a partir do requerimento, para ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput. § 4o O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento previsto no § 2o, que perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha sido impetrado no prazo previsto no § 3o.

Subseção I I Da Guarda de Registros de Acesso a Aplicações de Internet

Art. 12. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de Internet. terça-feira, 23 de outubro de 2012






5

! Art. 13. Na provisão de aplicações de Internet é facultado guardar os registros de acesso dos usuários, respeitado o disposto no art. 7o. § 1o A opção por não guardar os registros de acesso a aplicações de Internet não implica responsabilidade sobre danos decorrentes do uso desses serviços por terceiros. § 2o Ordem judicial poderá obrigar, por tempo certo, a guarda de registros de acesso a aplicações de Internet, desde que se tratem de registros relativos a fatos específicos em período determinado, ficando o fornecimento das informações submetido ao disposto na Seção IV deste Capítulo. § 3o Observado o disposto no § 2o, a autoridade policial ou administrativa poderá requerer cautelarmente a guarda dos registros de aplicações de Internet, observados o procedimento e os prazos previstos nos §§ 3o e 4o do art. 11.

Seção I I I Da Responsabilidade por Danos Decorrentes de Conteúdo Gerado por Terceiros

Art. 14. O provedor de conexão à Internet não será responsabilizado por danos decorrentes de conteúdo gerado por terceiros. Art. 15. Salvo disposição legal em contrário, o provedor de aplicações de Internet somente poderá ser responsabilizado por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente. Parágrafo único. A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e específica do conteúdo apontado como infringente, que permita a localização inequívoca do material. Art. 16. Sempre que tiver informações de contato do usuário diretamente responsável pelo conteúdo a que se refere o art. 15, caberá ao provedor de aplicações de Internet informar-lhe sobre o cumprimento da ordem judicial.

Seção IV Da Requisição Judicial de Registros

Art. 17. A parte interessada poderá, com o propósito de formar conjunto probatório em processo judicial cível ou penal, em caráter incidental ou autônomo, requerer ao juiz que ordene ao responsável pela guarda o fornecimento de registros de conexão ou de registros de acesso a aplicações de Internet. Parágrafo único. Sem prejuízo dos demais requisitos legais, o requerimento deverá conter, sob pena de inadmissibilidade: I - fundados indícios da ocorrência do ilícito; II - justificativa motivada da utilidade dos registros solicitados para fins de investigação ou instrução probatória; e

5

! Art. 13. Na provisão de aplicações de Internet é facultado guardar os registros de acesso dos usuários, respeitado o disposto no art. 7o. § 1o A opção por não guardar os registros de acesso a aplicações de Internet não implica responsabilidade sobre danos decorrentes do uso desses serviços por terceiros. § 2o Ordem judicial poderá obrigar, por tempo certo, a guarda de registros de acesso a aplicações de Internet, desde que se tratem de registros relativos a fatos específicos em período determinado, ficando o fornecimento das informações submetido ao disposto na Seção IV deste Capítulo. § 3o Observado o disposto no § 2o, a autoridade policial ou administrativa poderá requerer cautelarmente a guarda dos registros de aplicações de Internet, observados o procedimento e os prazos previstos nos §§ 3o e 4o do art. 11.

Seção I I I Da Responsabilidade por Danos Decorrentes de Conteúdo Gerado por Terceiros

Art. 14. O provedor de conexão à Internet não será responsabilizado por danos decorrentes de conteúdo gerado por terceiros. Art. 15. Salvo disposição legal em contrário, o provedor de aplicações de Internet somente poderá ser responsabilizado por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente. Parágrafo único. A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e específica do conteúdo apontado como infringente, que permita a localização inequívoca do material. Art. 16. Sempre que tiver informações de contato do usuário diretamente responsável pelo conteúdo a que se refere o art. 15, caberá ao provedor de aplicações de Internet informar-lhe sobre o cumprimento da ordem judicial.

Seção IV Da Requisição Judicial de Registros

Art. 17. A parte interessada poderá, com o propósito de formar conjunto probatório em processo judicial cível ou penal, em caráter incidental ou autônomo, requerer ao juiz que ordene ao responsável pela guarda o fornecimento de registros de conexão ou de registros de acesso a aplicações de Internet. Parágrafo único. Sem prejuízo dos demais requisitos legais, o requerimento deverá conter, sob pena de inadmissibilidade: I - fundados indícios da ocorrência do ilícito; II - justificativa motivada da utilidade dos registros solicitados para fins de investigação ou instrução probatória; e






Conformidade: Brasil > Dados Pessoais

Tratamento de dados pessoais: toda operação ou conjunto de operações, realizadas com ou sem o auxílio de meios automatizados, que permita a coleta, a rmazenamento, ordenamento, conser vação, modificação, comparação, avaliação, organização, seleção, extração, utilização, bloqueio e cancelamento de dados pessoais, bem como o seu fornecimento a terceiros por meio de transferência, comunicação ou interconexão;




Dado pessoal: qualquer informação relativa a uma pessoa identificada ou identificável, direta ou indiretamente, incluindo todo endereço ou número de identificação de um terminal utilizado para conexão a uma rede de computadores;




Art. 6. O tratamento de dados pessoais é atividade de risco e todo aquele que, por meio do tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, é obrigado a ressarci-lo, nos termos da lei.




Art. 24. Um conjunto de medidas mínimas de segurança preventiva será publicado pela Autoridade de Garantia dentro de, no máximo, um ano após a entrada em vigor da presente lei, e atualizado periodicamente, com base na evolução da tecnologia e na experiência adquirida.




subcontratado: a pessoa jurídica contratada pelo responsável pelo banco de dados como encarregado do tratamento de dados pessoais;




Art. 25. O subcontratado deve ter experiência, capacidade e idoneidade para garantir o respeito às disposições vigentes em matéria de tratamento de dados pessoais, e responderá solidariamente com o responsável pelos prejuízos causados pela sua atividade aos titulares dos dados.




Art. 27. O responsável pelo tratamento deverá comunicar à Autoridade de Garantia e aos titulares dos dados, imediatamente, sobre o acesso indevido, perda ou difusão acidental, seja total ou parcial, de dados pessoais, sempre que este acesso, perda ou difusão acarretem riscos à privacidade dos seus titulares.




Proteção de dados pessoais (Art. 8o.)Princípio da finalidadePrincípio da necessidadePrincípio do livre acessoPrincípio da porporcionalidadePrincípio da qualidade dos dadosPrincípio da transparênciaPrincípio da segurança física e lógicaPrincípio da boa-fé objetivaPrincípio da responsabilidadePrincípio da prevençãoPrincípio do “consentimento revogável ou anulável” art. 9oPrincípio da vedação da captura capciosaPrincípio da proibição da interconexão não autorizada



Perspectivas Finais: Legislação







!"#$%&#'%()*+,)-.'./#'/).'$)0%1",#'/)-+2#&%)3%4#1%()#')56%)7'5%,8,#(%)93,.*5:)

Recommendations of the National Institute of Standards and Technology

Murugiah Souppaya Karen Scarfone

08%1#.&);"2&#1.5#+')<==>?@A)B%4#(#+')?)93,.*5:)



Perspectivas Finais: Regulação

Privacy Office.

Art. 34. Toda entidade privada que realize o tratamento de dados pessoais para o desenvolvimento de suas atividades e conte com mais de duzentos empregados deverá apontar um diretor responsável pelo tratamento de dados pessoais.



Perspectivas Finais: Boas práticas

Código de Boas Práticas (Prever a Forense Digital)

Art. 45. Os responsáveis pelo tratamento de dados pessoais, individualmente ou através de organizações de classe, poderão formular códigos de boas práticas que estabeleçam as condições de organização, regime de funcionamento, procedimentos aplicáveis, normas de segurança, padrões técnicos, obrigações específicas para os diversos envolvidos no tratamento e no uso de dados pessoais e demais quesitos e garantias para as pessoas, com pleno respeito aos princípios e disposições da presente lei e demais normas referentes à proteção de dados.



Perspectivas Finais: Crimes

Novo Código Penal:Art. 209 - Acesso Indevido - Prisão seis meses a um ano, ou multa.Art. 210 - Sabotagem Informática - Prisão de um a dois anos.Art. 211 - Procede-se mediante queixa.



Perspectivas Finais: Por onde começar?

White Paper:Big Data Solutions For Law Enforcementhttp://ctolabs.com/wp-content/uploads/2012/06/120627HadoopForLawEnforcement.pdf

ECPA Modernizationhttp://www.wired.com/images_blogs/threatlevel/2012/08/ECPA-Modernization-Act-of-2012.pdf

ECPA 2.0 http://thomas.loc.gov/cgi-bin/bdquery/z?d112:h.r.6529:

Cloud Computing:Legal Issueshttp://www.isaca.org/Groups/Professional-English/cloud-computing/GroupDocuments/DLA_Cloud%20computing%20legal%20issues.pdf


http://ctolabs.com/wp-content/uploads/2012/06/120627HadoopForLawEnforcement.pdf




http://www.wired.com/images_blogs/threatlevel/2012/08/ECPA-Modernization-Act-of-2012.pdf




http://thomas.loc.gov/cgi-bin/bdquery/z?d112:h.r.6529




http://www.isaca.org/Groups/Professional-English/cloud-computing/GroupDocuments/DLA_Cloud%20computing%20legal%20issues.pdf







Perspectivas Finais: Por onde começar?

•  Standards –  ISO 17799 + ITIL –  ISO 22307 (PIA) –  ISO 27000 (minimum privilege)

•  Pratices –  HIPAA –  NIST 800-144 (Guidelines on Security and Priacy in Public

Cloud Computing) –  NIST 800-53(Security and Privacy Controls for Federal

Information Systems and Organizations) –  CSA Guideline

Guide to Integrating Forensic Techniques into Incident Response

http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf












OBRIGADOBig Data Forensics: Conformidade e melhores práticas para o

tratamento de dados e investigação de incidentes

José Antonio MilagreDiretor de Forense Digital

[email protected] Twitter : @periciadigital

Legaltech


mailto:[email protected]

mailto:[email protected]