www.vda.pt

OS DESAFIOS JURÍDICOS DA CIBERSEGURANÇA NUM MUNDO GLOBAL

Lisboa, 4 de março de 2015

www.vda.pt 2

ÍNDICE

• Importância do tema

• Abordagem jurídica

• Obrigações aplicáveis

• Consequências do incumprimento

• Internacionalização

• Em especial, os países da CPLP

• Como estar preparado?

• Desafios e oportunidades

www.vda.pt

• Os ciberincidentes e data breaches estão a aumentar, afetando todos os setores de atividade….

Fonte: http://breachlevelindex.com

IMPORTÂNCIA DO TEMA

www.vda.pt 4

• Divulgação de filmes e guiões de filmes que ainda não foram lançados no mercado e publicação de e-mails confidenciais e informação sobre colaboradores

• Segundo o FBI, o Malware usado para invadir a rede da Sony é tão sofisticado que não seria detetado por 90% das soluções anti-malware no mercado

OS CASOS MAIS MARCANTES DE 2014

• Roubo de 83 milhões de contas pessoais/negócio (banca online)

• Perda de mais de 145 milhões de contas de utilizador e respetivos dados pessoais

• Desde abril de 2014, verificaram-se vários ataques virtuais aos servidores que alojam as páginas da PGR, a Polícia Judiciária, o Conselho Superior da Magistratura, a Comissão da Carteira Profissional de Jornalista

www.vda.pt

E afeta todo o mundo…

www.vda.pt 6

E em 2015, as previsões não são as melhores

Security predictions from: Blue Coat, Damballa, FireEye, Fortinet, Forrester, Gartner, IDC, ImmuniWeb, Kaspersky Lab, Lancope, McAfee, Neohapsis, Sophos, Symantec, Trend Micro, Varonis Systems, Websense. Image: Charles McLellan/ZDNet

www.vda.pt 7

HÁ QUE ESTAR PREPARADO…

• Num cenário de internacionalização, a estratégia de atuação deverá ser global

• As medidas técnicas e todas as outras medidas de prevenção são globais - a cibersegurança não tem fronteiras!

• As especificidades que podem existir são a 2 níveis:

• Obrigações legais da empresa neste domínio

• Poderes das autoridades competentes

• É, pois, necessário ter uma visão integrada all across the board, por forma a responder com sucesso em caso de ciberataque

www.vda.pt 8

ABORDAGEM JURÍDICA: O PRIMEIRO PASSO

• O primeiro passo é conhecer a legislação e as obrigações aplicáveis neste domínio, principalmente num cenário de internacionalização:

• Legislação europeia

• Legislação local, nas jurisdições de atuação

• É fundamental fazer um “impact assessment” aquando da ponderação da possibilidade de abrir ou expandir uma área de negócio noutras jurisdições, de forma a prever e prevenir os riscos associados em matéria de cibersegurança e proteção de dados pessoais

www.vda.pt

Organizacional

Tecnológica

Jurídica

• Não basta adotar uma abordagem

jurídica • De forma a implementar um plano

de prevenção e reação em caso de ciberincidentes, as organizações deverão adotar uma abordagem integrada da questão de forma a cobrir as diferentes vertentes: (i) jurídica, (ii) tecnológica e (iii) organizacional

ABORDAGEM JURÍDICA: O PRIMEIRO PASSO

www.vda.pt 10

QUAIS SÃO AS OBRIGAÇÕES APLICÁVEIS?

www.vda.pt

06.06.2001

28.03.2012

21.03.2013

Comunicação “Segurança das

Redes e da informação: Proposta de

abordagem de uma política europeia”

Comunicação “Estabelecimento

de um Centro Europeu de Cibercrime

(EC3)”

Estratégia para uma sociedade da informação

segura – “Diálogo, parcerias e maior poder

de intervenção

30.03.200915.09

07.02.2013

Proposta de Diretiva sobre Segurança das

Redes e da Informação

Resolução do Conselho de Ministros n.º 42/2012 -

Cria a Comissão Instaladora do Centro Nacional de

Cibersegurança

31.12.2012

Resolução do Conselho de Ministros n.º 112/2012, aprova

Agenda Portugal Digital

Início da Discussão no Parlamento

Europeu

31.05.2006

Criação da Parceria público-privada europeia para a resiliência (PPPER

/EP3R)

03.2014 28.03.2012

05.04.2012

2014/2

015 -

A

pro

vação

Lei do Cibercrime

CIBERSEGURANÇA

www.vda.pt

ENQUADRAMENTO

5 Prioridades fundamentais

• Alcançar a resiliência do ciberespaço

• Reduzir drasticamente a cibercriminalidade

• Desenvolver a política e as capacidades no domínio da ciberdefesa, no quadro da política comum de segurança e defesa

• Desenvolver recursos industriais e tecnológicos para a cibersegurança

• Estabelecer uma política internacional coerente em matéria de ciberespaço para a UE e promover os valores fundamentais da UE

www.vda.pt 13

«Segurança» “a capacidade de uma rede ou sistema informático para resistir, com um dado nível de confiança, a eventos acidentais ou a ações dolosas que comprometem a disponibilidade, autenticidade, integridade e confidencialidade dos dados armazenados ou transmitidos e dos serviços conexos oferecidos ou acessíveis através dessa rede ou sistema” «Risco» “qualquer circunstância ou evento com um efeito adverso potencial na segurança”

«Incidente» “qualquer circunstância ou evento com um efeito adverso real na segurança”

«Tratamento de incidentes» “todos os procedimentos de apoio à análise, contenção e resposta em caso de incidente”

ALGUNS CONCEITOS

PROPOSTA DE DIRETIVA SRI

www.vda.pt

• Adotar medidas para prevenir, gerir e responder ao risco de incidentes que possam afetar uma rede ou um sistema de informação - Adotar uma estratégia nacional de SRI

• Designar uma autoridade nacional competente em matéria de

segurança de redes e sistemas informáticos (e assegurar que têm os recursos suficientes)

• Dispor de mecanismos de (i) partilha informação, em caso de risco e de incidentes e de (ii) cooperação entre as várias entidades dos EM com competência no domínio da cibersegurança

• Criar a obrigação para os “operadores de mercado” e para as administrações públicas de adotar mecanismos de gestão de risco e de reportar “incidentes”

OBRIGAÇÕES ESSENCIAIS

PROPOSTA DE DIRETIVA SRI

www.vda.pt

PROPOSTA DE DIRETIVA SRI – QUEM ESTÁ ABRANGIDO?

Administrações Públicas

Operadores de mercado

Fornecedores de serviço da sociedade da informação que permite a prestação de outros serviços da sociedade da informação

Operadores de infraestruturas criticas essenciais para a manutenção de atividades económicas vitais (energia, transportes, banca, bolsa, saúde…)

www.vda.pt 16

Que medidas de segurança adotar?

Que incidentes notificar?

www.vda.pt 17

OBRIGAÇÕES

• O “responsável pelo tratamento” deve por em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra destruição acidental ou ilícita, perda acidental, alteração, a difusão ou acesso não autorizado, nomeadamente quando o tratamento implicar a sua transmissão em rede, e contra qualquer outra forma de tratamento ilícito (avaliação de conhecimentos técnicos disponíveis, custos e natureza dos dados a proteger)

• Adoção de especiais medidas técnicas quando estejam em causa dados sensíveis

Proteção de Dados Pessoais (Diretiva 95/46/CE e Lei nº 67/98)

Obrigações de proteção dos dados pessoais

Violação de DadosPessoais/ data breach

www.vda.pt 18

OBRIGAÇÕES

Obrigações de proteção dos dados pessoais

Obrigações em matéria de segurança & Integridade

• O responsável pelo tratamento e o subcontratante, devem avaliar o risco e aplicam as medidas organizacionais e técnicas necessárias….(atende aos custos)

• São atribuídas competências à Comissão para especificar mais concretamente os critérios e as condições aplicáveis às medidas técnicas e organizativa adequadas, para setores/situações especificas, atendo à evolução das técnicas e da “privacy by design”.

Regulamento de Protecção de Dados (Proposta)

• O responsável pelo tratamento notifica a autoridade, sem demora e sempre que possível 24 horas depois de ter conhecimento (se não o fizer dentro do prazo tem de justificar)

• O subcontratante alerta e informa o responsável pelo tratamento imediatamente após a deteção de uma violação de dados pessoais

• A notificação deve ter requisitos/conteúdo mínimo • Deve existir um dossier de “violações de privacidade” • Sempre que a violação for suscetível de afetar negativamente a protecção

de dados ou a privacidade do titular o responsável comunica ao titular dos dados

• A autoridade de proteção de dados pode isentar ou determinar a notificação ao titular dos dados

www.vda.pt 19

OBRIGAÇÕES

Proposta de Diretiva SRI

Segurança das redes e dos sistemas informáticos

Notificação de incidentes

• Os EM devem assegurar que as administrações públicas e os operadores de mercado adotam as medidas técnicas e organizacionais adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas informáticos que controlam a adequado com sua atividade (em particular nos serviços essenciais oferecidos).

• As medidas devem garantir o nível de segurança adequado em função do risco existente

• Os EM devem assegurar que as administrações públicas e os operadores do mercado notificam às autoridades competentes os incidentes de segurança com impacto significativo na segurança dos serviços essenciais que fornecem

• A autoridade competente pode informar o público ou exigir que as

administrações públicas ou os operadores do mercado o façam se a revelação do incidente for do interesse público.

www.vda.pt

• Quais as implicações do incumprimento das obrigações?

www.vda.pt

O incumprimento tem consequências “escondidas”

Gestão de Risco

Risco político

Risco de negócio

Risco jurídico

Risco reputacional

Risco financeiro

Risco operacional

Cate

goria

s d

e ris

co

Fonte: Survey sobre Data Security Breach Notification, realizado pelo

Ponemon Institute para a White & Case

CONSEQUÊNCIAS DO

INCUMPRIMENTO

www.vda.pt

Diploma Coimas Outros

ePrivacy Até € 5.000.000 - Sanção pecuniária compulsória - Negligência e tentativa puníveis (os limites máximos são reduzidos a metade) - Sanção assessória

Lei de Proteção de Dados Pessoais

Até € 30.000 - Sanções assessórias - Negligência e tentativa puníveis

Regulamento Proteção de Dados

Até € 1.000.000 ou, sendo uma empresa, até 2% do volume anual de negócios a nível mundial

- Sanções aplicadas ao responsável pelo tratamento e ao representante, se designado - Pode haver advertências, antes das sanções

Diretiva Cibersegurança

A determinar pelos Estados-Membros na transposição da Diretiva

- Sanções coerentes com as do Regulamento de Proteção de Dados, se incidente de segurança envolver dados pessoais

E pode ainda acarretar responsabilidade civil pelos prejuízos causados, para além de responsabilidade contraordenacional:

CONSEQUÊNCIAS DO INCUMPRIMENTO

www.vda.pt

INTERNACIONALIZA

ÇÃO

QUAL É O ESTADO DE ARTE NOS OUTROS PAÍSES?

O Global Cibersecurity Index da ITU mede o nível de commitment dos Estados em relação aos temas da cibersegurança, tendo em consideração os seguintes fatores: • Legislação / Medidas legais

• Medidas técnicas

• Organizações

governamentais

• Cooperação nacional e internacional

www.vda.pt

INTERNACIONALIZA

ÇÃO

EM PARTICULAR, NA CPLP

PAÍSES COM LEIS NO DOMÍNIO DA CIBERSEGURANÇA

• Brasil: segundo a UIT, o Brasil é um dos países em que o

commitment é maior, dispondo de um conjunto alargado de diplomas legais que regulam a cibersegurança e cibercrime, assim como de agências governamentais especializadas

• Angola: apenas disposições ao nível da segurança do

Estado • Cabo Verde

• Guiné: apenas disposições genéricas no Código Penal • Moçambique • Timor - Leste

• São Tomé e Príncipe

www.vda.pt

INTERNACIONALIZA

ÇÃO

EM PARTICULAR, NA CPLP

PAÍSES COM LEIS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

• Angola

• Moçambique

• Brasil (Marco Civil/Lei de Proteção de Dados

Pessoais em preparação)

• Timor - Leste

• Cabo Verde

• Guiné – Bissau • Guiné Equatorial

• São Tomé e Príncipe

www.vda.pt 26

O QUE FAZER PARA ESTAR PREPARADO ?

O QUE FAZER PARA ESTAR PREPARADO?

www.vda.pt 27

O QUE FAZER

Avaliar os riscos existentes

www.vda.pt 28

O QUE FAZER

Mapear as obrigações legais/regulamentares aplicáveis ao nível nacional e nas restantes jurisdições

www.vda.pt 29

O QUE FAZER

Ter uma checklist/manual de procedimentos em caso de incidente de segurança/violação de dados pessoais

www.vda.pt 30

O QUE FAZER

Ter um plano (integrado) para cumprir as obrigações relacionadas com a segurança, resiliência das redes e sistemas de informação e as obrigações em matéria de protecção de dados pessoais

www.vda.pt 31

O QUE FAZER

Definir uma adequada cadeia de responsabilidades com os cliente, fornecedores, etc …..

www.vda.pt 32

O QUE FAZER

Desenvolver uma cultura de cibersegurança na organização

www.vda.pt 33

O QUE FAZER

Ter uma estratégia em matéria de cibersegurança & para a proteção de dados pessoais

www.vda.pt 34

Que desafios & oportunidades ?

www.vda.pt 35

DESAFIOS

Segurança das redes e serviços de comunicações eletrónicas

Segurança dos

sistemas de

informação

Protecção de dados pessoais

Como articular os diversos

quadros legais potencialmente

aplicáveis, de forma simples e

eficaz ?

Legislação nacional e internacional aplicável

www.vda.pt 36

Como articular as várias entidades envolvidas

a nível nacional e internacional?

DESAFIOS

Centro Nacional de

Cibersegurança

Entidades internacionais competentes

www.vda.pt 37

OPORTUNIDADES

Cibersegurança como um business

case

www.vda.pt 38

Inês Antas de Barros

iab@vda.pt

Área de Telecomunicações & Media,

Privacidade, Proteção de Dados & Cibersegurança

Muito Obrigada!

A RIGHT TO EXCELLENC

E

O DIREITO À EXCELÊNCIA

A RIGHT TO EXCELLENCE

O DIREITO À EXCELÊNCIA

www.vda.pt