IDG Now!: Senador retira conceito de “defesa digital” de projeto de crimes virtuais
O projeto de lei elaborado pelo senador Eduardo Azeredo (PSDB-MG) para combater crimes digitais teve um de seus conceitos mais polêmicos alterado nesta quarta-feira (30/05), durante sessão na Comissão de Constituição e Justiça (CCJ) do Senado.
O senador mineiro acatou pedido de emenda feita pelo senador Flexa Ribeiro (PSDB-PA) para que o conceito de “defesa digital” fosse retirado do projeto de lei, que congrega as leis da Câmara de nº 89, de 2003, e do Senado de nº 76 e 137, de 2000.
Gente técnica defendeu o projeto. E eu, quando li, também gostei muito. Principalmente este conceito de defesa digital seria motivo de inveja para pesquisadores que moram em outros países e precisam contar com a sorte para não serem ameaçados judicialmente caso publiquem informações sobre uma falha de segurança.
Se um advogado diz que o projeto é muito vago, não questiono. Mas quase todos as leis no Brasil são vagas. Não faz muito tempo, um desembargador e dois advogados discutiam na TV Guaíba sobre o que faz as leis serem tão complexas, abrangentes e sem clareza. A conclusão deles foi convincente: leis claras causam discordância entre os deputados e senadores, e não avançam no processo legislativo até que estejam vagas o suficiente para satisfazer a todos.
Outro ponto levantado pelos críticos do projeto é que muita gente já foi indiciada com as leis existentes, o que deixa uma pergunta no ar quanto a necessidade deste projeto. Não precisamos uma lei que defina especificamente cada crime, só precisamos de leis para punir os criminosos. Se já temos isto, então não precisamos de mais nada.
Portanto talvez a única coisa que precisamos deste projeto é o conceito de defesa digital, que reproduzo:
defesa digital: manipulação de código malicioso por agente ou profissional habilitado, em proveito próprio ou de seu preponente, e sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de custódia no curso dos procedimentos correlatos, a título de teste de vulnerabilidade, de resposta a ataque, de frustração de invasão ou burla, de proteção de sistema, de interceptação defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação
Tenicamente isto parece tão fácil de entender e direto ao ponto que não questionaria ninguém que dissesse, que, juridicamente, é ruim. Por exemplo, foi divulgado que ele poderia permitir contra ataques, provavelmente com base na parte que diz resposta a ataque; entretanto, resposta a ataque, ou incident response é um termo comum para técnicos de segurança. É o conjunto de procedimentos que qualquer administrador deve tomar no caso de uma invasão aos seus sistemas.
Quanto à interceptação, isto é impossível se estiver fora da sua própria rede e, dentro da sua rede, no caso de um ataque, deve ser permitido. É necessário para identificar as portas e conteúdo dos pacotes, para que se possa efetuar a análise de tráfego e assinaturas para sistemas de Detecção de Intrusão (IDS) sejam feitas. Compreende-se que interceptação dos dados de um cliente por parte de um provedor, por exemplo, deve ser ilegal.
Retirar a única parte útil do projeto é um regresso, dos grandes. A lei agora é mais inútil do que era, e só trará riscos para provedores e profissionais de segurança. Mas é um avanço para acalmar a histeria que se formou em torno desse projeto. Somente sem ela é que ele poderá ser aprovado.
Não sou advogado; repito que não irei discutir com quem afirma que o projeto é vago. Só estou defendendo este conceito de defesa digital, que acredito ser necessário. Espero que as audiências públicas tragam o conceito de volta e dêem a ele o rigor jurídico necessário para ser tão claro para um juiz como é para os técnicos.
“Existe a Lei do Grampo, que determina que (o grampo) só pode ser feito pela Polícia ou pelo Ministério Público com autorização judicial. O projeto permite que profissionais façam interceptações de dados sem autorização judicial e a partir de seus próprios PCs”, explica o presidente da ONG SaferNet, Thiago Tavares.
Qual parte de “interceptação defensiva” ele não entendeu? Ou eu não entendi?