porto, 5 de março de 2015 - aicep portugal · pdf fileda sony é tão...
Post on 01-Feb-2018
215 Views
Preview:
TRANSCRIPT
www.vda.pt
OS DESAFIOS JURÍDICOS DA CIBERSEGURANÇA NUM MUNDO GLOBAL
Porto, 5 de março de 2015
www.vda.pt 2
ÍNDICE
• Importância do tema
• Abordagem jurídica
• Obrigações aplicáveis
• Consequências do incumprimento
• Internacionalização
• Em especial, os países da CPLP
• Como estar preparado?
• Desafios e oportunidades
www.vda.pt
• Os ciberincidentes e data breaches estão a aumentar, afetando todos os setores de atividade….
Fonte: http://breachlevelindex.com
IMPORTÂNCIA DO TEMA
www.vda.pt 4
• Divulgação de filmes e guiões de filmes que ainda não foram lançados no mercado e publicação de e-mails confidenciais e informação sobre colaboradores
• Segundo o FBI, o Malware usado para invadir a rede da Sony é tão sofisticado que não seria detetado por 90% das soluções anti-malware no mercado
OS CASOS MAIS MARCANTES DE 2014
• Roubo de 83 milhões de contas pessoais/negócio (banca online)
• Perda de mais de 145 milhões de contas de utilizador e respetivos dados pessoais
• Desde abril de 2014, verificaram-se vários ataques virtuais aos servidores que alojam as páginas da PGR, a Polícia Judiciária, o Conselho Superior da Magistratura, a Comissão da Carteira Profissional de Jornalista
www.vda.pt
E afeta todo o mundo…
www.vda.pt 6
E em 2015, as previsões não são as melhores
Security predictions from: Blue Coat, Damballa, FireEye, Fortinet, Forrester, Gartner, IDC, ImmuniWeb, Kaspersky Lab, Lancope, McAfee, Neohapsis, Sophos, Symantec, Trend Micro, Varonis Systems, Websense. Image: Charles McLellan/ZDNet
www.vda.pt 7
HÁ QUE ESTAR PREPARADO…
• Num cenário de internacionalização, a estratégia de atuação deverá ser global
• As medidas técnicas e todas as outras medidas de prevenção são globais - a cibersegurança não tem fronteiras!
• As especificidades que podem existir são a 2 níveis:
• Obrigações legais da empresa neste domínio
• Poderes das autoridades competentes
• É, pois, necessário ter uma visão integrada all across the board, por forma a responder com sucesso em caso de ciberataque
www.vda.pt 8
ABORDAGEM JURÍDICA: O PRIMEIRO PASSO
• O primeiro passo é conhecer a legislação e as obrigações aplicáveis neste domínio, principalmente num cenário de internacionalização:
• Legislação europeia
• Legislação local, nas jurisdições de atuação
• É fundamental fazer um “impact assessment” aquando da ponderação da possibilidade de abrir ou expandir uma área de negócio noutras jurisdições, de forma a prever e prevenir os riscos associados em matéria de cibersegurança e proteção de dados pessoais
www.vda.pt
Organizacional
Tecnológica
Jurídica
• Não basta adotar uma abordagem
jurídica • De forma a implementar um plano
de prevenção e reação em caso de ciberincidentes, as organizações deverão adotar uma abordagem integrada da questão de forma a cobrir as diferentes vertentes: (i) jurídica, (ii) tecnológica e (iii) organizacional
ABORDAGEM JURÍDICA: O PRIMEIRO PASSO
www.vda.pt 10
QUAIS SÃO AS OBRIGAÇÕES APLICÁVEIS?
www.vda.pt
06.06.2001
28.03.2012
21.03.2013
Comunicação “Segurança das
Redes e da informação: Proposta de
abordagem de uma política europeia”
Comunicação “Estabelecimento
de um Centro Europeu de Cibercrime
(EC3)”
Estratégia para uma sociedade da informação
segura – “Diálogo, parcerias e maior poder
de intervenção
30.03.200915.09
07.02.2013
Proposta de Diretiva sobre Segurança das
Redes e da Informação
Resolução do Conselho de Ministros n.º 42/2012 -
Cria a Comissão Instaladora do Centro Nacional de
Cibersegurança
31.12.2012
Resolução do Conselho de Ministros n.º 112/2012, aprova
Agenda Portugal Digital
Início da Discussão no Parlamento
Europeu
31.05.2006
Criação da Parceria público-privada europeia para a resiliência (PPPER
/EP3R)
03.2014 28.03.2012
05.04.2012
2014/2
015 -
A
pro
vação
Lei do Cibercrime
CIBERSEGURANÇA
www.vda.pt
ENQUADRAMENTO
5 Prioridades fundamentais
• Alcançar a resiliência do ciberespaço
• Reduzir drasticamente a cibercriminalidade
• Desenvolver a política e as capacidades no domínio da ciberdefesa, no quadro da política comum de segurança e defesa
• Desenvolver recursos industriais e tecnológicos para a cibersegurança
• Estabelecer uma política internacional coerente em matéria de ciberespaço para a UE e promover os valores fundamentais da UE
www.vda.pt 13
«Segurança» “a capacidade de uma rede ou sistema informático para resistir, com um dado nível de confiança, a eventos acidentais ou a ações dolosas que comprometem a disponibilidade, autenticidade, integridade e confidencialidade dos dados armazenados ou transmitidos e dos serviços conexos oferecidos ou acessíveis através dessa rede ou sistema” «Risco» “qualquer circunstância ou evento com um efeito adverso potencial na segurança”
«Incidente» “qualquer circunstância ou evento com um efeito adverso real na segurança”
«Tratamento de incidentes» “todos os procedimentos de apoio à análise, contenção e resposta em caso de incidente”
ALGUNS CONCEITOS
PROPOSTA DE DIRETIVA SRI
www.vda.pt
• Adotar medidas para prevenir, gerir e responder ao risco de incidentes que possam afetar uma rede ou um sistema de informação - Adotar uma estratégia nacional de SRI
• Designar uma autoridade nacional competente em matéria de
segurança de redes e sistemas informáticos (e assegurar que têm os recursos suficientes)
• Dispor de mecanismos de (i) partilha informação, em caso de risco e de incidentes e de (ii) cooperação entre as várias entidades dos EM com competência no domínio da cibersegurança
• Criar a obrigação para os “operadores de mercado” e para as administrações públicas de adotar mecanismos de gestão de risco e de reportar “incidentes”
OBRIGAÇÕES ESSENCIAIS
PROPOSTA DE DIRETIVA SRI
www.vda.pt
PROPOSTA DE DIRETIVA SRI – QUEM ESTÁ ABRANGIDO?
Administrações Públicas
Operadores de mercado
Fornecedores de serviço da sociedade da informação que permite a prestação de outros serviços da sociedade da informação
Operadores de infraestruturas criticas essenciais para a manutenção de atividades económicas vitais (energia, transportes, banca, bolsa, saúde…)
www.vda.pt 16
Que medidas de segurança adotar?
Que incidentes notificar?
www.vda.pt 17
OBRIGAÇÕES
• O “responsável pelo tratamento” deve por em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra destruição acidental ou ilícita, perda acidental, alteração, a difusão ou acesso não autorizado, nomeadamente quando o tratamento implicar a sua transmissão em rede, e contra qualquer outra forma de tratamento ilícito (avaliação de conhecimentos técnicos disponíveis, custos e natureza dos dados a proteger)
• Adoção de especiais medidas técnicas quando estejam em causa dados sensíveis
Proteção de Dados Pessoais (Diretiva 95/46/CE e Lei nº 67/98)
Obrigações de proteção dos dados pessoais
Violação de DadosPessoais/ data breach
www.vda.pt 18
OBRIGAÇÕES
Obrigações de proteção dos dados pessoais
Obrigações em matéria de segurança & Integridade
• O responsável pelo tratamento e o subcontratante, devem avaliar o risco e aplicam as medidas organizacionais e técnicas necessárias….(atende aos custos)
• São atribuídas competências à Comissão para especificar mais concretamente os critérios e as condições aplicáveis às medidas técnicas e organizativa adequadas, para setores/situações especificas, atendo à evolução das técnicas e da “privacy by design”.
Regulamento de Protecção de Dados (Proposta)
• O responsável pelo tratamento notifica a autoridade, sem demora e sempre que possível 24 horas depois de ter conhecimento (se não o fizer dentro do prazo tem de justificar)
• O subcontratante alerta e informa o responsável pelo tratamento imediatamente após a deteção de uma violação de dados pessoais
• A notificação deve ter requisitos/conteúdo mínimo • Deve existir um dossier de “violações de privacidade” • Sempre que a violação for suscetível de afetar negativamente a protecção
de dados ou a privacidade do titular o responsável comunica ao titular dos dados
• A autoridade de proteção de dados pode isentar ou determinar a notificação ao titular dos dados
www.vda.pt 19
OBRIGAÇÕES
Proposta de Diretiva SRI
Segurança das redes e dos sistemas informáticos
Notificação de incidentes
• Os EM devem assegurar que as administrações públicas e os operadores de mercado adotam as medidas técnicas e organizacionais adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas informáticos que controlam a adequado com sua atividade (em particular nos serviços essenciais oferecidos).
• As medidas devem garantir o nível de segurança adequado em função do risco existente
• Os EM devem assegurar que as administrações públicas e os operadores do mercado notificam às autoridades competentes os incidentes de segurança com impacto significativo na segurança dos serviços essenciais que fornecem
• A autoridade competente pode informar o público ou exigir que as
administrações públicas ou os operadores do mercado o façam se a revelação do incidente for do interesse público.
www.vda.pt
• Quais as implicações do incumprimento das obrigações?
www.vda.pt
O incumprimento tem consequências “escondidas”
Gestão de Risco
Risco político
Risco de negócio
Risco jurídico
Risco reputacional
Risco financeiro
Risco operacional
Cate
goria
s d
e ris
co
Fonte: Survey sobre Data Security Breach Notification, realizado pelo
Ponemon Institute para a White & Case
CONSEQUÊNCIAS DO
INCUMPRIMENTO
www.vda.pt
Diploma Coimas Outros
ePrivacy Até € 5.000.000 - Sanção pecuniária compulsória - Negligência e tentativa puníveis (os limites máximos são reduzidos a metade) - Sanção assessória
Lei de Proteção de Dados Pessoais
Até € 30.000 - Sanções assessórias - Negligência e tentativa puníveis
Regulamento Proteção de Dados
Até € 1.000.000 ou, sendo uma empresa, até 2% do volume anual de negócios a nível mundial
- Sanções aplicadas ao responsável pelo tratamento e ao representante, se designado - Pode haver advertências, antes das sanções
Diretiva Cibersegurança
A determinar pelos Estados-Membros na transposição da Diretiva
- Sanções coerentes com as do Regulamento de Proteção de Dados, se incidente de segurança envolver dados pessoais
E pode ainda acarretar responsabilidade civil pelos prejuízos causados, para além de responsabilidade contraordenacional:
CONSEQUÊNCIAS DO INCUMPRIMENTO
www.vda.pt
INTERNACIONALIZA
ÇÃO
QUAL É O ESTADO DE ARTE NOS OUTROS PAÍSES?
O Global Cibersecurity Index da ITU mede o nível de commitment dos Estados em relação aos temas da cibersegurança, tendo em consideração os seguintes fatores: • Legislação / Medidas legais
• Medidas técnicas
• Organizações
governamentais
• Cooperação nacional e internacional
www.vda.pt
INTERNACIONALIZA
ÇÃO
EM PARTICULAR, NA CPLP
PAÍSES COM LEIS NO DOMÍNIO DA CIBERSEGURANÇA
• Brasil: segundo a UIT, o Brasil é um dos países em que o
commitment é maior, dispondo de um conjunto alargado de diplomas legais que regulam a cibersegurança e cibercrime, assim como de agências governamentais especializadas
• Angola: apenas disposições ao nível da segurança do
Estado • Cabo Verde
• Guiné: apenas disposições genéricas no Código Penal • Moçambique • Timor - Leste
• São Tomé e Príncipe
www.vda.pt
INTERNACIONALIZA
ÇÃO
EM PARTICULAR, NA CPLP
PAÍSES COM LEIS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
• Angola
• Moçambique
• Brasil (Marco Civil/Lei de Proteção de Dados
Pessoais em preparação)
• Timor - Leste
• Cabo Verde
• Guiné – Bissau • Guiné Equatorial
• São Tomé e Príncipe
www.vda.pt 26
O QUE FAZER PARA ESTAR PREPARADO ?
O QUE FAZER PARA ESTAR PREPARADO?
www.vda.pt 27
O QUE FAZER
Avaliar os riscos existentes
www.vda.pt 28
O QUE FAZER
Mapear as obrigações legais/regulamentares aplicáveis ao nível nacional e nas restantes jurisdições
www.vda.pt 29
O QUE FAZER
Ter uma checklist/manual de procedimentos em caso de incidente de segurança/violação de dados pessoais
www.vda.pt 30
O QUE FAZER
Ter um plano (integrado) para cumprir as obrigações relacionadas com a segurança, resiliência das redes e sistemas de informação e as obrigações em matéria de protecção de dados pessoais
www.vda.pt 31
O QUE FAZER
Definir uma adequada cadeia de responsabilidades com os cliente, fornecedores, etc …..
www.vda.pt 32
O QUE FAZER
Desenvolver uma cultura de cibersegurança na organização
www.vda.pt 33
O QUE FAZER
Ter uma estratégia em matéria de cibersegurança & para a proteção de dados pessoais
www.vda.pt 34
Que desafios & oportunidades ?
www.vda.pt 35
DESAFIOS
Segurança das redes e serviços de comunicações eletrónicas
Segurança dos
sistemas de
informação
Protecção de dados pessoais
Como articular os diversos
quadros legais potencialmente
aplicáveis, de forma simples e
eficaz ?
Legislação nacional e internacional aplicável
www.vda.pt 36
Como articular as várias entidades envolvidas
a nível nacional e internacional?
DESAFIOS
Centro Nacional de
Cibersegurança
Entidades internacionais competentes
www.vda.pt 37
OPORTUNIDADES
Cibersegurança como um business
case
www.vda.pt 38
Inês Antas de Barros
iab@vda.pt
Área de Telecomunicações & Media,
Privacidade, Proteção de Dados & Cibersegurança
Muito Obrigada!
A RIGHT TO EXCELLENC
E
O DIREITO À EXCELÊNCIA
A RIGHT TO EXCELLENCE
O DIREITO À EXCELÊNCIA
www.vda.pt
top related