Nos dias de hoje o tema da cibersegurança é muito falado e comentado por quase todas as pessoas. Falamos quase sempre de situações que aconteceram a outros e muito poucas vezes da nossa exposição individual ou coletiva.
Vários artigos publicados recentemente demonstram que os advogados são um alvo preferencial, sendo que dados de junho de 23 no Reino Unido referem que 75% das sociedades de advogados foram alvo de um ataque informático.
Por isso esta temática foi abordado no Congresso da Ordem dos Advogados que decorreu em Fátima nos dias 14 a 16 de junho de 2023 onde abordei os conceitos que todos nós devemos conhecer e os desafios que esta realidade representa para a profissão do advogado e resumo neste breve artigo de 5 minutos de leitura.
A segurança da informação baseia-se em 3 grandes princípios:
■ Confidencialidade – Assegurar que a informação é tratada de acordo com a classificação de confidencialidade que lhe tenha sido atribuída;
■ Integridade – Assegurar que a informação se mantém completa, consistente e correta.
■ Disponibilidade – Assegurar que a informação está disponível quando é necessária.
As atividades que fazemos para garantir que estes 3 princípios são aplicados no âmbito da informação chamamos de segurança da informação.
A Cibersegurança representa um papel essencial no âmbito da gestão da segurança da informação quando a mesma é digital e está em suportes digitais com o objetivo de melhorar a resiliência perante uma situação adversa que afete um ou mais dos 3 princípios.
Conceitos básicos
São 7 os conceitos essenciais para podermos compreender melhor como podemos promover a nossa resiliência.
- Ameaça – Qualquer circunstância ou evento com o potencial para originar impacto negativo na operação de uma organização por meio dos sistemas de informação através de acessos não autorizados, destruição, divulgação de informação, modificação de informação e/ou negação de serviço.
- Ator/Atacante – Indivíduo ou grupo que tenta explorar vulnerabilidades com o objetivo de causar a ocorrência de uma ameaça.
- Vulnerabilidade – Fraqueza num sistema de informação, procedimentos de segurança, controlos internos, implementação ou má configuração que pode ser explorada por um ator.
- Evento – Corresponde a uma ocorrência observável nos sistemas ou rede de uma organização.
- Incidente – Um evento ou a combinação de vários eventos que comprometem a confidencialidade, integridade ou disponibilidade de um sistema de informação ou a informação que um sistema processa, armazena ou transmite.
- Ativo – Um item com valor para a organização. Pode ser um item tangível (computador, rede, sistemas, IoT, OT) ou intangível (dados, humanos, software, função, Propriedade Intelectual). Qualquer coisa que tenha valor para a organização.
- Ativo Crítico – Item com valor crítico para a organização.
O valor é determinado pela importância do ativo para a obtenção dos objetivos da organização.
A transformação digital dos advogados
A aplicação de tecnologia nos processos de negócio com o objetivo de aumentar a eficiência e promover a inovação é vulgarmente conhecida como a transformação digital.
No caso dos advogados este processo já começou há alguns anos com as plataformas eletrónicas de tramitação processual e a introdução do certificado digital.
No entanto este processo não é isento de risco tendo sido abordados dois os exemplos:
- Risco de roubo informação com dados pessoais ou sigilosa.
Os advogados e escritório de advogados possuem a maior parte da informação em formato digital e sob a forma de documentos ou emails.
Assim os advogados devem durante o período em que necessitam da informação assegurar a sua confidencialidade e integridade, mas para reduzir o risco devem avaliar quando devem destruir essa informação.
Por exemplo quanto tempo devemos guardar os documentos de identificação de um cliente após o fim do processo de nacionalização?
A avaliação de quanto tempo deverá ser feita com base no risco de alguém aceder a esses dados de forma indevida. A informação deve estar disponível pelo período em que a mesma tem valor efetivo, quando não está em uso deve ser arquiva pelo período de retenção que seja necessário tendo em conta o risco e por fim destruída ou devolvida ao cliente.
- Risco de Roubo de identidade
O roubo de identidade é um risco sério para os advogados, por essa razão desde muito cedo no processo de tramitação eletrónica foi introduzido o Certificado digital para assegurar i) a não repudiação e ii) a encriptação da informação sensível.
Tendo os advogados estes recursos há quase 20 anos deveriam ter cuidados significativos com o seu certificado digital, por este identifica-os de forma inequívoca.
Atualmente os advogados permitem que o seu certificado digital esteja instalado em vários computadores e seja gerido por várias pessoas.
Se conseguir roubar um certificado digital um atacante pode enviar emails assinados digitalmente como se fosse o advogado.
O mesmo se passa com as credenciais dos advogados, seja no acesso ao seu computador, seja nas plataformas de tramitação processual. As credenciais servem para que os sistemas saibam quem está a aceder e a executar as tarefas. Se permitimos que outros saibam as nossas credenciais temos o risco de poderem ser usadas indevidamente para além de serem mais facilmente expostas a um atacante.
Principais ameaças
Os advogados devem estar alertas para as seguintes ameaças:
- Emails de phishing, criados para adquirir credenciais ou instalar malware;
- Business email compromisse (BEC) – tentativa de ludibriar vítimas com o objetivo de receber transferências monetárias, através do acesso ilícito a caixas de correio e monitorização de comunicações e adulteração de documentos;
- Ransomware e outro malware que pode perturbar operações e desviar informação sensível;
- Ataque a passwords, que tipicamente se aproveitam de práticas de segurança insuficientes para as credenciais;
- Ataques à Supply Chain, particularmente críticos para firmas de menor dimensão (aos vossos fornecedores);
Impactos de um ataque informático na vossa profissão
Um ciberataque pode originar impactos de vários níveis i) Reputacional, ii) Regulatório, iii) Financeiro e iv) em terceiros.
As consequências mais visíveis de um ciberataque para os advogados são:
■ Incapacidade de cumprir um prazo;
■ Incapacidade de aceder a plataformas dos tribunais;
■ Ver publicada informação de clientes;
■ Ver adulteradas peças processuais;
■ Ficar incapaz de executar as suas tarefas;
Um ciberataque não afeta apenas a pessoa ou entidade alvo do ataque, mas afeta também o ecossistema onde a pessoas ou entidade opera.
O negócio do setor jurídico é baseado na confiança entre o advogado e o cliente, um ciberataque afeta sempre essa confiança.
Para recuperarmos dos impactos de ciberataque e recupera a confiança no nosso ecossistema é muito importante existir um plano de resposta a incidentes para que as ações sejam planeadas e que sejam tomadas na posse da informação relevante para a decisão. Não esquecer que a comunicação é uma peça fundamental para uma boa gestão do incidente e para restabelecer os níveis de confiança.
A seguinte imagem ilustras as diversas etapas do plano de resposta a incidentes.
A Segurança deve ser abordada como responsabilidade individual de cada pessoa. O comportamento incorreto de uma pessoa pode comprometer a segura de uma organização ou da nossa família.
A consciencialização que cada uma de nós individualmente é um agente de segurança é o primeiro passo para em conjunto melhorarmos a sensibilização do coletivo e assegurar que temos uma sociedade mais segura.
