7º Fórum Brasileiro de CSIRTs discute como a Lei Geral de Proteção de Dados pode afetar profissionais de segurança
Encontro realizado em São Paulo também discutiu, entre outros temas, como decisões políticas e normas globais impactam o trabalho dos CSIRTs.
Passados 30 dias da sanção presidencial da Lei Geral de Proteção de Dados Pessoais, o 7º Fórum Brasileiro de CSIRTs discutiu nessa quinta (13) e sexta-feira (14), em São Paulo, como a regulação pode afetar os profissionais de segurança. Realizado pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), o encontro reuniu mais de 150 profissionais da área de tratamento de incidentes de segurança que, além de debaterem o marco regulatório brasileiro, analisaram estudos de casos e compartilharam lições aprendidas.
“Privacidade e Proteção de Dados - Impactos das Leis e Regulamentos para CSIRTs e Profissionais de Segurança”, de Danilo Doneda (UERJ), foi a apresentação que abriu a programação do evento explicando conceitos e definições da Lei Geral de Proteção de Dados Pessoais. Resgatando questões históricas da discussão de privacidade e dados pessoais, comparando marcos regulatórios de outros países e analisando com a lei brasileira afeta os profissionais de segurança.
Doneda enfatizou que o escopo da lei atinge atividades de tratamento de dados pessoais e lembrou que “não existe dado pessoal insignificante”. “Dependendo do contexto, qualquer informação pode ser relevante e merecer níveis de controle”, pontuou. Na avaliação do especialista, o princípio da finalidade é um dos mais importantes estabelecidos pela lei, ao prever que todo dado pessoal seja tratado para a finalidade que justificou a sua coleta.
A importância do fluxo de dados também foi comentada por Doneda, especialmente para integrar mercados. “A proteção de dados não tem o objetivo de favorecer a estagnação dos fluxos informacionais. Ao contrário, a legislação fomenta o fluxo de informações e procura dar transparência e confiança aos cidadãos”, enfatizou.
Segurança da informação e incidentes
No âmbito da segurança da informação, o especialista detalhou os conceitos de “dado anonimizado” (em situações nas quais o processo de anonimização não pode ser revertido) e “pseudonimizado” (quando o elemento identificativo de um dado pessoal é retirado e guardado em outro lugar, permitindo, se necessáro, a reversão do processo). Também esclareceu as diferenças entre os que tratam dados. “O ‘controlador’ toma as decisões sobre o tratamento de dados, já o ‘operador’ é quem vai realizar operações técnicas de tratamento de dados a pedido do ‘controlador’”, explicou.
Danilo Doneda informou que, na prática, mais de 70% dos motivos alegados para o tratamento de dados na União Europeia dizem respeito ao interesse legítimo. "Se os instrumentos forem projetados de forma correta, dados podem ser coletados apenas para fins de segurança. Os casos de interesse legítimo serão a utilização de segurança da informação, por excelência".
Doneda identificou pontos que considera falhos como no caso dos incidentes de segurança, onde a lei aprovada tornou regra a comunicação à autoridade e ao titular do dado. “Se todo vazamento for comunicado publicamente, poderemos ter uma corrida em que mais atores maliciosos se aproveitem e aumentem o dano”, alertou, recomendando que inicialmente apenas a autoridade técnica seja informada como forma de não gerar alarme e piorar a situação.
Outro tópico discutido no evento trata do endereço IP. Afinal, IP é dado pessoal ou não? “A princípio, o IP não é dado pessoal. Porém, em alguns casos excepcionais em que a máquina seja usada apenas por uma pessoa, por exemplo, em uma situação de um marcapasso conectado à rede, o IP pode ser encarado como dado pessoal”, explicou Doneda.
Durante o debate, Klaus Steding-Jessen (CERT.br) pontuou que a dúvida se um IP em determinados contextos pode ser dado pessoal ou não pode atrapalhar o trabalho de profissionais de segurança. “É salutar se preocupar com ‘cascas de banana’. São princípios da lei o desenvolvimento econômico e tecnológico, e a inovação. Como coadunar a necessidade de tratar incidentes com risco de infringir dispositivos da lei quando o profissional não tem condições de verificar qual o caso que se está examinando? A boa fé é essencial, assim como tomar toda precaução possível”, aconselhou Doneda.
Impactos de normas globais
Além da esfera jurídica nacional, o 7º Fórum Brasileiro de CSIRTs aprofundou o debate sobre como as decisões políticas e normas globais afetam o trabalho dos CSIRTs. Cristine Hoepers (CERT.br) chamou atenção para as discussões que ocorrem em fóruns e conferências nacionais e internacionais, sobre conceitos e informações que constam em documentos e legislação e que impactam diretamente o trabalho de profissionais de segurança.
São desafios do ponto de vista técnico: a Internet não tem fronteiras, os sistemas críticos e de uso geral compartilham o mesmo software, as vulnerabilidades precisam ser descobertas, conhecidas e corrigidas. No campo político, Hoepers destacou a vigência de leis e normas focadas em territorialidade e a histórica falta de confiança entre governos sendo aplicada ao cenário digital.
“Vivemos no cenário em que Governos descobrem vulnerabilidades, mas as mantem para si, em segredo. Existe um mercado de compra e venda de zero days (vulnerabilidades ainda sem correção), em que os ‘pesquisadores’ tendem a vender para quem pagar mais”, alertou. O que pode dar errado? Na avaliação de Hoepers, o WannaCry é exemplo de um resultado dessa prática. "O WannaCry é muito educativo sobre o quão prejudicial está sendo a política de mercado de zero days e estoques de vulnerabilidades mantidos por governos", ressaltou, resgatando a trajetória do ransomware e como o trabalho de CSIRTs foi afetado. “É importante que a comunidade técnica pense nas consequências das tecnologias que está desenvolvendo e se engaje nas discussões de governança. Também devemos ser mais céticos, pois sempre vão existir diferentes interesses competindo”, concluiu.
Conscientização e mitigação
A programação do 7º Fórum Brasileiro de CSIRTs contou também com a apresentação de Gledson Ferraz, sobre a experiência do Bradesco na conscientização de usuários. Além de trabalhar em boas práticas de segurança entre seus colaboradores – inclusive usando técnicas de “gamificação” –, a empresa também ministra palestras e promove ações de conscientização para outras entidades e organizações. Iniciativas de disseminação de conhecimento também foram comentadas por José Olympio de Castro (SERPRO), ao apresentar o laboratório de análise de malware. O projeto, que busca integrar CSIRTs do Governo Federal e prevenir a contaminação em larga escala por códigos maliciosos, contempla a publicação de uma cartilha com passo-a-passo da construção do laboratório, tipo de ferramentas utilizadas, trilha de conhecimento, entre outros tópicos.
A Companhia Energética de Minas Gerais – Cemig mostrou como aborda segurança cibernética a partir da apresentação de José Lopes de Oliveira Júnior, que defendeu maior alinhamento entre TI e engenharia, além de tratar a segurança de forma holística. “Até que ponto consigo segregar a minha rede? Será que consigo? Acredito que não... Precisamos tratar a segurança de forma integrada. Além disso, devemos interagir mais com outros CSIRTs, daí a importância desse evento: de fazer com que equipes de segurança troquem experiências. Isso nos ajuda muito”, ressaltou.
Cryptojacking
"Ao compartilhar casos, temos a oportunidade de enriquecer as estratégias de resposta a incidentes", destacou Renato Marinho (Morphus Labs e SANS ISC) na abertura da apresentação "Cortando o fio errado: como um atacante atrapalhado revelou uma campanha global de cryptojacking". Marinho detalhou a experiência de detecção e tratamento de incidentes envolvendo cryptojacking (uso malicioso de computadores de terceiros para minerar criptomoedas), prática que classificou como uma das principais ameaças de 2018.
Já o uso de netflows (metadados de fluxos de rede) na detecção de ataques DDoS e códigos maliciosos foi abordado por Alexandre Berto Nogueira (CSIRT Unicamp), que reforçou a importância da proatividade para detectar incidentes e entender o que ocorre na rede. Nogueira apresentou casos de detecção de servidores invadidos e sendo usados para mineração de criptomoedas, como por exemplo bitcoins, promovendo reflexão sobre a mudança de comportamento na área de cibercrimes. "O objetivo de alguém que quer fazer mineração de criptomoedas não é atingir a nossa estrutura, mas sim obter benefício próprio", afirmou. Na avaliação do especialista, uma boa receita para mitigar os problemas de infecções por códigos maliciosos é a aplicação de gerência de vulnerabilidades associada a uma análise preventiva de comportamento de tráfego.
As apresentações realizadas no 7º Fórum Brasileiro de CSIRTs que forem disponibilizadas pelos palestrantes estarão disponíveis no endereço: https://cert.br/forum2018/.