O documento discute ransomware, vazamento de dados e responsabilidade legal em incidentes cibernéticos. Aborda como o ransomware criptografa arquivos e exige resgate, os impactos em disponibilidade, confidencialidade e integridade de sistemas. Também menciona a legislação brasileira sobre proteção de dados pessoais e responsabilização por danos causados por vazamentos.
Similar to Palestra Pedro Lopes e Victor Martins - Incidentes na Segurança da Informação: A responsabilidade legal e pericial na ocorrência do fato (20)
Palestra Rafael Correia - O que eu deveria ter aprendido sobre segurança na g...
Palestra Pedro Lopes e Victor Martins - Incidentes na Segurança da Informação: A responsabilidade legal e pericial na ocorrência do fato
1. Incidentes na S.I
A responsabilidade legal e pericial na
ocorrência do fato
Caso fictício / Incidente de vazamento de dados
2. Ransomware
Ransomware é um malware que encripta todo (ou os arquivos principais) do
sistema e demanda um pagamento em bitcoins.
É uma extorsão usando dispositivos informáticos.
7. RaaS - Ransomware As Service
● Ransomware open-source é comum na web.
● “Anyone with intent can buy a kit. This is ransomware as a service
(RaaS).”
● Atendimento ao cliente (atacante)
8. Impacto
● Disponibilidade
Organizações afetadas perderão acesso aos arquivos criptografados pelo
malware. A recuperação é incerta mesmo depois de pagar o resgate.
● Confidencialidade
O malware instala um backdoor que pra uso futuro poderia ser usado para leak
de dados.
● Integridade
Além de criptografia, pode ser instalado um backdoor que poderia ser usado por
outros para causar danos adicionais.
9. Vazamento de dados
Dados pessoais sigilosos abertamente na internet.
Nome, CPF, RG, CCs, Endereços, Telefones.
Estelionatários, docs falsos, abertura de contas e empréstimos indevidos.
12. VAZAMENTO DE DADOS
“A situação se encaminha para
que a divulgação indevida da
informação mesmo sem prejuízo
material possa ser indenizável. A
jurisprudência vem sendo
construída para reconhecer um
dano moral no vazamento de
dados".
Marcio Calil Assumpção, presidente da
Comissão de Direito Bancário da OAB-SP.
25/07/2017
14. RESPONSABILIDADE LEGAL
Marco Civil
Art. 10. A guarda e a
disponibilização dos registros de
conexão e de acesso a aplicações
de internet de que trata esta Lei,
bem como de dados pessoais e do
conteúdo de comunicações
privadas, devem atender à
preservação da intimidade, da
vida privada, da honra e da
imagem das partes direta ou
indiretamente envolvidas.
Culpa – Código Civil
Art. 927. Aquele que,
por ato ilícito (art.
186), causar dano a
outrem, fica obrigado
a repará-lo.
18. CULPA IN ELEGENDO OU CASO FORTUITO?
O agente não toma as cautelas
necessárias para a escolta de
uma coisa e de pessoa para
exercer uma atividade. Vide
negligência
Ao tempo do fato não existia
tecnologia de defesa para barrar
o ataque.
21. PROVA ANTECIPADA
Art. 381. A produção antecipada da prova será admitida nos casos em
que:
I. haja fundado receio de que venha a tornar-se impossível ou muito
difícil a verificação de certos fatos na pendência da ação;
II. a prova a ser produzida seja suscetível de viabilizar a
autocomposição ou outro meio adequado de solução de conflito;
III. o prévio conhecimento dos fatos possa justificar ou evitar o
ajuizamento de ação.
23. PROCEDIMENTO OPERACIONAL PADRÃO
POP – É um procedimento operacional padrão para a realização
de uma perícia. Via de regra é um procedimento já testado e
funcional, salvo quando é necessário adaptar o padrão para
realizar uma perícia fora da literatura.
IDENTIFICAÇÃO COLETA/AQUISIÇÃO PRESERVAÇÃO ANÁLISE