Mudanças entre as edições de "Discussão:Proposta de Revisao da Lei de Crimes Ciberneticos"
| Linha 106: | Linha 106: | ||
[[Usuário:Aleph|Alberto Fabiano]] ([[Usuário Discussão:Aleph|discussão]]) 16h04min de 4 de maio de 2013 (BRT) |
[[Usuário:Aleph|Alberto Fabiano]] ([[Usuário Discussão:Aleph|discussão]]) 16h04min de 4 de maio de 2013 (BRT) |
||
| + | O que está na Lei de Acesso é dado publico e não pode ser considerado sigiloso! Esta Proposta de Lei visa penalizar invasões de sistemas e revelação indevida de dados sigilosos, que assim deveriam estar e etapas da cadeia de ameaças empregados pelo crime em si. |
||
| − | A lei visa penalizar o que á acesso indevido. O que já era aprovado antes, é considerado devido; de fato não há vetor de riscos, pelo contrário. A lei de acesso acaba sendo um dos pilares na definição do que é permitido. |
||
| + | |||
| − | Por outro lado, durante o processo de discussão, o tempo todo houve este desconforto sobre "o que é devido" e o que é "não autorizado". Visto que acaba tendo a influência de outras leis, onde não é possível ter compreensão plena da lei analisando-a isoladamente. Visto que o código penal em si tem outras alterações no processo de revisão tem que ser entendidos também para uma compreensão plena. |
||
| + | Acessar banco de dados público, mesmo com quebra de sistema, não é crime porque a informação é publica e '''por um erro estava bloqueada''' (não é indevido). Acessar sistema fechado, mesmo em investigação de corrupção, que não tenha dado publico, é crime. Há mecanismos para conduzir este processo de investigação de forma legal, no qual violação de sistemas é uma forma de invalidar o processo e não de colaborar. |
||
| − | Portanto, nossa colaboração foi mais no sentido de tentar mitigar algumas tempestades perfeitas como de criar excludentes e restringir a cobertura de certas interpretações. Assim, como propomos artigos e conceitos para se conseguir dar foco adequado para certos crimes. |
||
| + | |||
16h04min de 4 de maio de 2013 (BRT)~ |
16h04min de 4 de maio de 2013 (BRT)~ |
||
Edição das 01h12min de 5 de maio de 2013
Ante-projeto do código penal com a atual sugestão de revisão da lei de cibercrime: http://www.ibccrim.org.br/upload/noticias/pdf/projeto.pdf
Lei de portugal: http://www.cnpd.pt/bin/legis/nacional/LEI109_2009_CIBERCRIME.pdf
Cybercrime Convetion Commitee (T-CY) http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/T-CY/Default_TCY_en.asp
Convenção de Budapeste: http://www.coe.int/t/dghl/standardsetting/t-cy/ETS_185_Portugese.pdf
Alberto Fabiano (discussão) 23h45min de 3 de maio de 2013 (BRT)
Expressem abaixo suas dúvidas e não esqueçam de registar seus usuários.
Alberto Fabiano (discussão) 23h47min de 3 de maio de 2013 (BRT)
A discussão abaixo refere-se a proposta em análise até 02.05.2013
Críticas:
1) Sobre o artigo 212:
a) Substituir programas de computador por artefatos maliciosos é uma evolução, porém da forma que foi categorizado o artigo continua perigoso.
b) Quanto a posse, obtenção, distribuição e a importação (?) de artefato malicioso, há uma cadeia de analistas não prevista nos excludentes, que colaboram com a segurança e o combate ao cibercrime, indiretamente, que são os que realizam análise dos artefatos maliciosos que entre muitos estão os Analistas Independentes por exemplo o ARIS-LD da Linha Defensiva que é um grupo totalmente formado por voluntários e que não se encaixam diretamente nos excludentes.
Mesmo que prática criminosa tem o caráter de infectar e gerar fraudes, através de uma série de ações e as atividade dos analistas independentes tem o objetivo de combater de alguma forma as ameaças geradas por tais artefatos, eles não se encaixam diretamente em nenhum dos excludentes.
Penalizar o ato de posse, obtenção e distribuição funciona bem para artigos de pedofilia, não para artefatos maliciosos como trojan bancários, exploits de vulnerabilidades em sistemas, rootkits ou hardware de keylogger.
2) Artigo 209:
a) Ao invés de "outros documentos privados" talvez o ideal seja "dados informatizados armazenados no sistema". Da forma que o texto está, eu já estou imaginando como driblar o artigo, ele está frágil.
b) E sobre a sugestão de que a:conduta definida nesse artigo nao eh punida quando o acesso visa preservar o interesse publico.?
c) nem sempre um pen-test ou teste de invasão é feito com programas que podem ser considerados artefatos maliciosos, portanto falta excludentes para o 209.
Fora dos artigos:
- Apesar do artigo 170 sobre fraude informática, as mensagems eletrônicas utilizadas para distribuição de artefatos maliciosos parece ser penalizada apenas indiretamente.
Sugestões:
alterar a redação do 208 VII para:
"artefato malicioso": sistema informatizado, programa de computador ou dados com endereço localizador de recursos a sistema informatizado destinado a permitir acessos indevidos a sistemas de propriedade de terceiros ou para propagação de si próprio ou de outro artefato malicioso de uma cadeia de ameaças produzido para realização de fraudes, sabotagem, exploração de falhas ou obtenção de credenciais de acesso.
incluir o termo:
“credencial de acesso”: dados informatizados ou informações individuais que autorizam o acesso de uma pessoa a um sistema informatizado.
incluir o artigo:
Obtenção de Credenciais de Acesso de Outrem
Art.NNN. Praticar, contratar, comprar ou induzir tentativa ou obtenção indevida de credenciais de acesso de outrem, sem autorização, para acesso a sistema informatizado.
Pena - Prisão de 1 a 3 anos e multa.
Ação penal
§ 1º: Somente se procede mediante representação.
Causa de aumento de pena
§ 2º Caso as credenciais de acesso a sistema informatizado forem empregadas para obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem, aumenta-se a pena de um a dois anos. Aqui acaba chocando com a fraude informática. Precisamos mudar essa redação. [NOTA] Acho que vocês sacaram a essência da idéia, enfim mudem a vontade [AF]
§ 3º Havendo a divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidas, aumenta-se a pena de dois a três anos se o fato não constitui crime mais grave.
§ 4º: Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.
Excludente
§ 5º: Não é punível a conduta descrita no caput quando realizada para fins de:
I - teste autorizado de verificações de vulnerabilidade de sistemas
II - investigação por parte das forças de segurança pública, mediante permissão legal; e
III - investigação por agente devidamente qualificado e previamente autorizado pelo titular do sistema informatizado
IV - falecimento do titular das credenciais, havendo autorização de familar ou representante legal.
Relação com o poder público
Não sei se eu estou divagando demais, mas reparei que em geral quando o artigo é aplicado a "Administração Pública, ..." a penalidade é sempre bem mais severa do que contra entes privados.
Mas fico me perguntando. Como fica, por exemplo, o trabalho de jornalismo investigativo? Na tentativa de descobrir casos de corrupção e outros similares?
Além disso, qual o risco de se haver conflitos entre a lei de acesso à informação e este projeto? Até que ponto ele pode prejudicar o acesso à informação pública de direito, principalmente quando depende da "vontade" de alguns servidores e gestores públicos "mal intencionados"? Será que corre-se o risco de reduzir a efetividade da Lei de Acesso?
Enfim, algumas questão que não sei quais são as respostas, mas que acho importante ponderá-las.
Alberto Fabiano (discussão) 16h04min de 4 de maio de 2013 (BRT)
O que está na Lei de Acesso é dado publico e não pode ser considerado sigiloso! Esta Proposta de Lei visa penalizar invasões de sistemas e revelação indevida de dados sigilosos, que assim deveriam estar e etapas da cadeia de ameaças empregados pelo crime em si.
Acessar banco de dados público, mesmo com quebra de sistema, não é crime porque a informação é publica e por um erro estava bloqueada (não é indevido). Acessar sistema fechado, mesmo em investigação de corrupção, que não tenha dado publico, é crime. Há mecanismos para conduzir este processo de investigação de forma legal, no qual violação de sistemas é uma forma de invalidar o processo e não de colaborar.
16h04min de 4 de maio de 2013 (BRT)~