Segurança cibernética dos escritórios de advocacia em tempos de Covid-19¹

A pandemia do COVID-19 transformou bruscamente a forma como nos relacionamos e trabalhamos. Como medida de segurança órgãos governamentais internacionais e nacionais instituíram isolamento social e empresas e escritórios de diversos setores da economia foram forçados a adotarem o home office (trabalho em casa) e o teletrabalho como, praticamente, única alternativa para manterem o negócio funcionando.

Não foi diferente na advocacia que é um trabalho essencialmente online quando pensamos na existência de sistema eletrônico de processos judiciais para início dos processos e estímulos do Conselho Nacional de Justiça (CNJ)ii para digitalização dos processos físicos já existentes. O mesmo não se pode afirmar com os processos no âmbito administrativo que em sua grande maioria, principalmente em órgãos municipais e estaduais, os processos ainda são essencialmente físicos. Um grande exemplo de órgão público que tem buscado a transformação digital é a Receita Federal do Brasil que já mantêm boa parte dos seus processos em sistema online específico com possibilidade de acesso e registros com o uso de certificados digitais autorizados pelo ICP-Brasil: o e-CAC.

Dentre diversas discussões que surgem, diariamente, sobre esta nova situação causada pelo COVID-19, está a segurança dos dados pessoais e informações que são acessadas de casa pelos colaboradores do escritório que estão utilizando o computador pessoal para trabalhar. Assim, apresento aqui algumas vulnerabilidades relativas à segurança da informação com suas respectivas soluções que poderão ser adotadas por todo o time do escritório.iii

Serviços de cloud (armazenamneto em nuvem): São serviços oferecidos por empresas que possuem computadores (aqui chamados de servidores) com grande capacidade de armazenamento de arquivos. São excelentes para armazenar arquivos ou backup e evitar a perda total em caso de problemas no computador que está sendo utilizado. Em uma empresa que utiliza este serviço todos os arquivos e pastas podem ser acessadas de qualquer computador e é aqui que reside as principais vulnerabilidades. O óbvio precisa ser dito: “Senha é pessoal e intransferível”. Se estamos aqui tratando de vulnerabilidades na segurança da informação, esta vejo como a maior delas. Não é lógico que para acesso aos documentos eletrônicos a mesma senha de acesso a este serviço seja distribuída por todos os colaboradores. As empresas que atualmente oferecem este tipo de serviço possuem criptografia no armazenamento dos arquivos e dispõe de configurações de compartilhamento de pastas e arquivos que apenas a pessoa autorizada para ter acesso aos documentos poderá ter.iv

Redes privadas virtuais (do inglês, virtual private network – VPN): Além dos serviços de cloud, é importanteque o escritório disponha de uma VPN para acesso aos documentos eletrônicos. Trata-se de uma infraestrutura de tecnologia da informação criada para acesso seguro e criptografado à rede do escritório. Nesta infraestrutura são utilizados equipamentos e softwares (programas de computador) específicos que garantam o acesso de forma controlada e protegem os arquivos e a rede interna utilizada pelo escritório, mesmo que o acesso seja externo como é o caso do home office ou teletrabalho. Na configuração desta infraestrutura é importante que os computadores que terão acesso sejam adaptados (softwares, antivírus, controles de acesso e outros) e utilizados exclusivamente para este fim: seja um computador fornecido pelo escritório, seja o computador pessoal do colaborador.v

Equipamento utilizado para trabalho não deve ser o mesmo utilizado pelas crianças em casa: Como mencionamos no tópico anterior, o computador utilizado pelo colaborador para cumprir o seu home office ou teletrabalho, jamais poderá ser utilizado por crianças ou qualquer outra pessoa estranha a ele. Além de possibilitar o acesso não autorizado à documentos pessoais de clientes ou mesmo sigilosos do processo, há o perigo real de que estas pessoas ,que desconhecem as medidas de segurança, acessem sites ou baixem vírus embutidos em programas que capturam informações não só do computador utilizado para execução do seu trabalho como também de toda a rede do escritório, já que haverá o acesso a rede.

E-mails criptografados: É um dos canais de comunicação mais utilizado pelos crackers para ataques cibernéticos. Phishing e randsomware são os preferidos deles. O phishing é o que podemos chamar de estelionato. Disfarçado de uma notícia ou mensagem que parece ser verdadeira pede que seja acessado determinado link da mensagem ou pede para fazer o download de determinado arquivo (imagens e documentos são mais utilizados) para ter direito a receber a recompensa prometida na mensagem ou notícia. Feitos estes passos solicitados, no computador é instalado um malware que captura todos os dados guardados no computador que podem ser desde imagens íntimas até senhas bancárias. Já ransomware faz o mesmo caminho do phishing, mas antes de utilizar os dados, pede um resgate em dinheiro para que os dados sejam liberados. Utilizar VPN, camadas de criptografia nas comunicações via e-mail, orientar os colaboradores para evitar acessar sites desconhecidos e sempre recorrer do suporte da Tecnologia da Informação para tirar dúvidas ou reportar um incidente, são os melhores caminhos para evitar situações como estas.vi

Atualização do antivírus e do sistema operacional: O uso de sistemas operacionais e programas de antivírus falsificados aumentam ainda mais os riscos de ataques, uma vez que possivelmente as atualizações futuras não se adequem às versões instaladas inicialmente ou que venham com falhas de segurança, expondo toda a rede do escritório e o computador utilizado de casa. Versões destes softwares para empresas são baratas, mais seguras e permitem a instalação em mais de um computador. Preze sempre pelo original e oriente os colaboradores a realizarem a atualização periodicamente.

Uso da internet de casa: Assim como a distribuição de senhas já mencionado, as redes domésticas de internet apresentam grandes vulnerabilidades. Ter controle de quem se conecta à internet e alterar as senhas de acesso dos aparelhos que distribuem a internet, são algumas das medidas que podem ser tomadas. Nem o celular do primo que vai visitá-lo, frequentemente, é seguro. Você não sabe se os sites e aplicativos que ele acessa são seguros.vii

Termo de responsabilidade e confidencialidade: Nem só de tecnologia vive a segurança da informação. Na advocacia, mesmo antes da pandemia do COVID-19, debates têm crescido sobre a responsabilidade civil dos advogados. Existe sim possibilidade do profissional autônomo ou sociedades de advogados ser responsabilizado por incidentes relacionados a segurança da informação. E, quando fala-se em incidentes, não se restringe apenas ao vazamento de dados. Mas também a todas as vulnerabilidades aqui tratadas e outras que possam acontecer que coloquem em risco o acesso aos dados pessoais e sigilosos dos clientes por pessoas mal intencionadas ou não autorizadas. Assim, a assinatura de um Termo de Responsabilidade e de Confidencialidade por cada colaborador que terá acesso de casa à rede do escritório pode ser uma medida que minimize os danos causados por algum incidente, neste momento de pandemia no escritório.

Orientações de segurança ao time de colaboradores: Aqui reside o grande problema não só do seu escritório, mas de toda a população brasileira. Nós não temos educação digital suficiente para nos prevenir de ataques cibernéticos e nem de proteger nossos próprios dados e informações pessoais. Um bom exemplo é a fila de autoatendimento de banco: a grande maioria dos clientes tem medo de manusear a máquina e pedem ajuda à primeira que encontra, dando-lhes um pequeno papel com senha e o cartão para que o ajude a sacar o dinheiro. É crucial que o escritório de advocacia, mesmo que não possua time de Tecnologia próprio, possa promover periodicamente treinamentos para seus colaboradores criarem essa cultura.

Escritórios de advocacia manuseiam documentos sigilosos e pessoais de seus clientes. O acesso indevido a estas informações ou o vazamento delas para a rede mundial de computadores, poderá gerar responsabilidade judicial pelos danos causados a seus clientes. O emblemático caso de vazamento de dados de escritórios de advocacia é o do Panamá Papers.

Trata-se do vazamento de 11,5 milhões de documentos ligados ao escritório de advocacia panamenho Mossack Fonseca. Planilhas, e-mails e faturas revelaram dados confidenciais sobre a criação de 214 mil empresas offshore em 21 paraísos fiscais, sendo parte delas ligada a 140 políticos de mais de 50 países.viii

Dependendo da situação concreta do incidente de segurança ocorrido, é possível ainda que o escritório seja responsabilizado por violação do sigilo profissional previsto no art. 34, VII, do Estatuto da OAB.ix

Ter a consciência de que já vivíamos em uma sociedade digital antes da pandemia e que após esse período a tendência é as formas de relacionamento entre escritórios de advocacia e clientes podem ultrapassar fronteiras com o uso da tecnologia e, consequentemente, reduzindo custos de deslocamento, manutenção do escritório, etc. O mundo mudou e a advocacia que deseja se manter firme no mercado precisa se adaptar, com segurança, a este novo momento.

¹ O conteúdo deste texto é base para um vídeo que foi gravado e disponibilizado na plataforma online de ensino da Escola Superior da Advocacia da Paraíba disponível em http://www.esapb.org.

iiBRASIL. Resolução nº 314 de 20 de abril de 2020. In: Diário de Justiça Eletrônico do Conselho Nacional de Justiça. Disponível em: <https://atos.cnj.jus.br/atos/detalhar/3283&gt;. Acesso em: 28 abr. 2020.

iiiGROCH, Ludmila; LILLA, Paulo. Riscos de ataques cibernéticos em tempos de COVID-19 e “home office”: Como se prevenir? In: Le Fosse Advogados. 1º abr. 2020. Disponível em: <https://lefosse.com/noticias/riscos-de-ataques-ciberneticos-em-tempos-de-covid-19-e-home-office-como-se-prevenir/&gt;. Acesso em: 28 abr. 2020.

ivMARQUES, Rodrigo. Segurança da Informação no Home Office. 07 abr. 2020. Disponível em: <https://www.youtube.com/watch?v=UGJRGEX_6sA&gt;. Acesso em: 28 abr. 2020.

vMARQUES, Rodrigo. Segurança da Informação no Home Office. op. cit.

viDEMARTINI, Felipe. Isolamento e home office levaram a aumento em ataques de ransomware no Brasil.In: Canal Tech. 26 mar. 2020. Disponível em: <https://canaltech.com.br/hacker/isolamento-e-home-office-levaram-a-aumento-em-ataques-de-ransomware-no-brasil-162463/ >. Acesso em: 28 abr. 2020.

viiMARQUES, Rodrigo. Segurança da Informação no Home Office. op. cit.

viiiINSTITUTO DOS ADVOGADOS BRASILEIROS. Vazamento de dados de clientes acarretará elevada multa para escritórios de advocacia. 06 dez. 2019. Disponível em: <https://iabnacional.org.br/noticias/vazamento-de-dados-de-clientes-acarretara-elevada-multa-para-escritorios-de-advocacia&gt;. Acesso em: 28 abr. 2020.

ixBRASIL. Lei nº 8.906 de 04 de julho de 1994. In: Diário Oficial da União. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/l8906.htm&gt;. Acesso em: 28 abr. 2020.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s