À conversa com David Silva Ramalho: cibercrime, resposta a incidentes e os desafios jurídicos que as empresas não podem ignorar

Falámos com David Silva Ramalho, coordenador da equipa de Defesa Digital, sobre os erros mais comuns nas primeiras horas após um ciberataque, de que forma tecnologias como criptomoedas e comunicações encriptadas estão a transformar a investigação criminal, e o que distingue uma abordagem verdadeiramente integrada — jurídica e técnica — de uma resposta puramente tecnológica.

1. Quando uma empresa descobre que foi vítima de uma burla por meio informático ou ciberataque, qual é o erro mais comum cometido nas primeiras horas que pode comprometer a investigação ou a defesa futura?

O modo de reação ao cibercrime varia em função do concreto tipo de ataque. Numa burla por meio informático (as conhecidas CEO Fraud ou Business Email Compromise) as exigências são diferentes das que se apresentam em ataques de ransomware ou de hacking.

Enquanto nas burlas, é importante atuar imediatamente no sentido de procurar o congelamento urgente dos valores na conta de destino, o que exige que se tomem medidas junto do banco de origem, do banco de destino, e das autoridades, já nos ataques que pressupõem infiltração no sistema informático, a resposta é mais complexa.

Para este tipo de ataques, a reação assenta em três vetores: contenção, decisão e comunicação. O primeiro vetor exige que se adotem medidas urgentes que garantam que o ataque foi estancado, ou seja, que não continua ou que não se alastra. O segundo vetor consiste em assegurar imediatamente apoio jurídico e informático especializado em resposta a incidentes e em estabelecer um canal direto de contacto entre os responsáveis por esse apoio e os decisores dentro da organização.

Será através dessa articulação que se definirá o plano de reação para adoção das medidas rápidas de resposta e de gestão de crise, onde se incluem, por exemplo, decisões sobre gestão de acessos à Internet e consequente impacto na continuidade imediata do negócio, ou mesmo, em alguns casos, a gestão dos contactos com o atacante (bem sei que as boas práticas ditam que não se fale nem se negoceie com atacantes, mas a verdade é que isso é mais fácil de dizer do que de fazer, quando, por exemplo, um ataque de ransomware bloqueia todo o sistema informático da organização, e a escolha é entre seguir as boas práticas ou garantir a sobrevivência do negócio).

Terceiro, é preciso estabelecer os canais de comunicação necessários, internos (dentro da organização), externos (com stakeholders, titulares de dados ou entidades potencialmente afetadas), com as autoridades (e.g. MP, CNPD, CNCS, ANACOM e/ou CMVM), e, se necessário, com o público, mediante publicação de comunicados e resposta aos media.

Os erros mais comuns, para responder, agora, sim, diretamente à questão, acontecem dentro destes vetores: quando não se contém de forma efetiva o ataque, e ele perdura durante a reação ou se alastra; quando não há uma estrutura decisória e apoio jurídico e técnico sólidos, o que leva a decisões morosas ou erradas; ou quando não há uma comunicação correta, o que expõe a empresa a riscos sancionatórios e reputacionais graves.

2. A utilização de criptomoedas, comunicações encriptadas e plataformas na dark web tornou a investigação estruturalmente mais difícil ou apenas mais sofisticada?

Há uma frase de um acórdão do Supremo Tribunal dos EUA, proferido em 1925, citado por um autor conhecido nestes temas, onde se diz “é sabido por todos que a mudança radical no transporte de pessoas e bens, provocada pela introdução do automóvel, a velocidade com que este se desloca e a facilidade com que indivíduos mal-intencionados podem evitar a captura aumentaram significativamente e incentivaram a prática de crimes”. O que se poderia dizer sobre essa decisão não é muito diferente do que direi de seguida. Na altura em que este acórdão foi proferido, há um século, perguntava-se se a massificação do automóvel não vinha mudar o paradigma da criminalidade, já que os criminosos teriam passado a conseguir mover-se mais depressa e os proprietários desses veículos, movidos (também) por uma esperança de impunidade, poderiam fugir à polícia com maior eficácia. Hoje, a pergunta é a mesma, e a resposta também: sim, a tecnologia que é utilizada para o bem, também é utilizada para a prática do crime, e isso dificulta a investigação.

O resultado é o de sempre: tem de se investigar de outra forma. E essa adaptação da investigação ao crime faz-se de três formas: melhorando a lei, em particular desburocratizando a cooperação judiciária internacional, como se faz, ou fará, com o Regulamento e-Evidence e com o Segundo Protocolo Adicional à Convenção do Cibercrime; capacitando as autoridades, não apenas para compreenderem a tecnologia e o fenómeno criminoso, mas também para saberem investigar e para conseguirem distinguir o crime do uso legítimo dessas tecnologias; e, por fim, investindo também em tecnologia.

Um exemplo: a investigação com criptoativos, em 2010 e nos anos que se lhe seguiram, era especialmente difícil, e quem usava criptoativos para a prática de crimes tinha uma esperança relativamente fundada na sua impunidade a curto prazo. Hoje em dia, a perseguição patrimonial na blockchain pode ser mais fácil do que com moeda fiduciária, desde que se tenha as ferramentas e o conhecimento adequados.

A Dark Web, por sua vez, fornece anonimato e permite que proliferem mercados ilícitos à vista de todos, e durante muito tempo julgou-se que seria um terreno de impunidade, mas a verdade é que quase todos os meses vemos notícias de takedowns desses mercados, o que significa que a investigação se adaptou.

A encriptação também dificulta a investigação, é indiscutível, mas a verdade é que até o Telegram já cooperou com as autoridades, e mesmo as plataformas desenhadas para comunicações encriptadas têm sido hackeadas pelas autoridades. O cibercrime é o motor que faz a investigação criminal sofisticar-se, e é normal que ande sempre um ou dois passos à frente. Mas mais cedo ou mais tarde, e de uma forma ou de outra, a investigação chega lá.

3. Em processos que envolvem recolha massiva de mensagens, como nos casos Encrochat ou Sky ECC, que questões probatórias estão hoje a ser discutidas em tribunal e que impacto podem ter na defesa?

Os casos Encrochat e Sky ECC vieram introduzir problemas verdadeiramente inovadores no processo penal. O caso Anom, por sua vez, veio acrescentar-lhes outros problemas, de diferente índole e talvez mais graves, mas que ficarão para outra altura.

Focando-me nos primeiros dois casos, os variadíssimos problemas que se têm colocado emergem do facto de estes processos terem assentado em condutas intrusivas, por parte das autoridades, em alguns casos não inteiramente divulgadas ao público, mas que pressupõem a infiltração de smartphones e servidores, e a análise e triagem de um universo de milhões de mensagens.

Para além da circunstância de haver uma componente exploratória na investigação, já que se escutou um conjunto indeterminado de pessoas com base numa suspeita genérica e probabilística na natureza criminosa daquelas comunicações (portanto, sem um juízo circunstanciado e individualizado), existem problemas que resultam da falta de publicidade nos meios utilizados, outros que resultam do facto de, em muitos ordenamentos jurídicos, os meios utilizados na recolha de prova não serem admissíveis, o que levanta dúvidas sobre se podemos importar prova recolhida nesses termos, e outros ainda que resultam das dúvidas que têm surgido, em particular no Encrochat, sobre a fidedignidade da prova, já que há relatos de mensagens que não aparecem em conversas exportadas.

Os problemas são vários, e têm sido colocados em muitas instâncias nacionais, europeias, americanas e, segundo se antecipa, serão também analisados, noutra vertente, no Tribunal de Justiça da União Europeia, mas a verdade é que, na esmagadora maioria dos casos, os tribunais têm concluído pela validade da prova. Mas começam a surgir decisões em sentido inverso.

4. Muitas empresas continuam a reagir a incidentes digitais apenas do ponto de vista tecnológico. Que riscos jurídicos decorrem dessa abordagem isolada?

A resposta a incidentes é, por definição, e pelo menos, jurídica e informática. A informática apura os vetores, características e impacto técnico do ataque, ao mesmo tempo que o bloqueia e evita a sua repetição através da implementação de medidas técnicas de cibersegurança, ao passo que a jurídica estabelece os termos da resposta, gere o impacto do ataque, mitiga responsabilidades da empresa e dos seus líderes, ajuda a apurar responsabilidades dos agentes, internos ou externos, controla o risco, intervém no processo decisório, e, no essencial, protege o negócio, as pessoas e a reputação. Ambas são complementares e ambas são indispensáveis.

5. A Morais Leitão criou a área de Defesa Digital precisamente para responder a estes desafios de forma coordenada. O que distingue esta abordagem integrada na prática e em que momentos é determinante envolver uma equipa especializada?

O que distingue esta abordagem são duas coisas: o modo como foi concebido e o modo como se adapta. A Defesa Digital não é um serviço que nasce para se criar uma resposta a temas de cibercrime e cibersegurança. O serviço surge como materialização e estruturação de uma realidade que já existia. Há largos anos que nós trabalhamos nestes temas, que frequentamos os eventos nacionais e internacionais onde se discutem, muitas vezes à porta fechada, as melhores soluções, e há largos anos que intervimos em todas as vertentes destas matérias.

Estamos na conceção e implementação das soluções de cibersegurança, estamos na resposta a incidentes, na articulação com autoridades e clientes, e na gestão de crises, mas estamos também nos tribunais, em particular nos processos-crime, onde representamos tanto os ofendidos como os arguidos em quase todos os tipos de cibercrime. Estamos nos ataques informáticos, sim, mas também nos processos-crime de hacking, de burla, de ransomware, de branqueamento com criptoativos (sejam bitcoins, altcoins ou mesmo memecoins), de DDoS, de cyberstalking, de falsidade informática, entre muitos outros.

Conhecemos a prática nacional e internacional, temos a experiência prática da prevenção, da reação e da repressão, e utilizámo-la, primeiro para montar um serviço que responde globalmente a todos os desafios que se colocam nestas áreas, mas depois, e aqui entro na parte que referi da adaptação, para atualizarmos constantemente o modo como criamos soluções e como resolvemos problemas.

O exemplo mais recente é precisamente o dos criptoativos: começámos a ter vários processos em que precisávamos fazer o tracing de criptoativos, seja para identificar o destino de fundos ilicitamente subtraídos às vítimas, seja para identificar e provar a licitude de criptoativos apreendidos em processo-crime a arguidos. Começámos por fazer esse tracing com recurso a ferramentas em fontes abertas, especializámo-nos na área, mas depois fomos buscar a certificação e as ferramentas certas para fazermos esse trabalho de modo mais eficaz.

Outro exemplo, precisámos de encontrar uma forma de recolher prova digital de modo fidedigno e em cumprimento das melhores práticas forenses, para que não questionassem a sua validade em julgamento: fomos encontrar a solução tecnológica adequada, e implementámo-la. A prática e a participação nos fóruns certos é o que nos ajuda a adaptar as soluções. Há uma velha piada, contada em alguns filmes, que ilustra bem a nossa resposta: um turista que está perdido pergunta a um músico em Nova Iorque como é que se chega ao Carnegie Hall. O músico responde: “practice, practice, practice”.

A Defesa Digital é uma área transversal da Morais Leitão, construída ao longo de anos de prática em cibercrime, cibersegurança e gestão de crises. Conheça o trabalho da nossa equipa.