Investigação e provas digitais do cybercrime corporativo

 Os crimes cibernéticos estão em franco crescimento no mundo todo, sendo eles um dos principais riscos para o desenvolvimento dos países. Dado o imenso potencial danoso de suas ações, podem provocar quedas de energia elétrica, acesso indevido a dados de pacientes em sistemas de saúde, suspensão da operação de plataformas de petróleo e das atividades de muitas empresas, causando prejuízos da ordem de bilhões de dólares.

O risco de ataque cibernético se tornou, desta forma, uma das grandes ameaças corporativas, pelo que, a governança das empresas precisou dar maior atenção ao tema, relegado, até então, apenas aos profissionais de TI que nelas atuam. Nesse sentido, tão importante quanto proteger adequadamente os sistemas de informação, será rastrear e identificar atividades estranhas no funcionamento das empresas.

Torna-se, então, importante analisar o relevante papel das provas digitais e do seu processo de coleta, respeitando-se a sua cadeia de custódia, para que haja a eficiente elucidação das ameaças perpetradas contra a rede corporativa, de modo a aperfeiçoar as medidas de proteção dos sistemas de informação das empresas.

Frise-se que, a pandemia Covid-19, que forçou uma expansão do e-commerce, aumentou a superfície de exposição de redes corporativas na internet, bem como o home office dificultou a análise das métricas de perímetro de segurança de sistemas, pelo uso inevitável de equipamentos domésticos.

Importa destacar também que, muitas empresas tiveram seus sistemas invadidos por falta de proteção de rede de seus fornecedores (Supply Chain), o que se tornou uma tática recorrente do cybercrime, justamente pelo fato do menor empreendedor pensar que nunca será invadido, que nada teria a oferecer de valor e que, caso isso acontecesse, nada poderia fazer, o que é o pensamento de muitos empreendedores, de acordo com recente relatório da KPMG (TOP EMERGING RISKS -2021).

Outro ponto importante é que os crimes cibernéticos corporativos são praticados não só por atacantes externos, que podem invadir seus sistemas, mas também por insiders, que são os colaboradores internos, que violam privilégios de acesso e manipulam dados, alteram registros de operações ou teor de documentos, de forma a perpetrar delitos de outra natureza, como estelionatos eletrônicos, vazamentos de dados pessoais ou lavagem de dinheiro, o que se denomina de cybercrime workplace.

Percebe-se, então, que, apesar do emprego de ferramentas tecnológicas para rastrear a ação de atacantes externos, tais medidas podem não ser suficientes para detectar ameaças internas, que possuem maior complexidade, haja vista a possibilidade de prática de ações criminosas por quem opera o próprio sistema de proteção da rede corporativa, sob pena de negligenciar-se um fator de risco relevante nas operações da empresa.

Assim sendo, por exemplo, um colaborador do setor financeiro poderia vazar dados pessoais no sistema de uma empresa, os quais possibilitassem o acesso indevido por terceiros e facilitar um ataque ransomware (espécie de extorsão digital, onde o cybercriminoso bloqueia dados de sistema e exige pagamento de resgate em criptomoedas para liberação de acesso), de forma a repartir com o atacante externo o valor do resgate cobrado para liberação de rede, através de depósito em criptomoedas.

Como consequência disso, conclui-se que o padrão de investigação de delitos desta natureza também não poderia ser o mesmo que é empregado atualmente na apuração de fraudes do dia a dia, como desvio de quantias determinados indivíduos, detectados por auditorias internas ou externas, como pedidos de reembolso ou pagamentos não justificados.

No caso do delito cibernético temos uma realidade inversa, onde um fato é percebido no sistema (“congelamento de operações” ou bloqueio de acesso a servidores) e depois se descobre sua origem e autoria.

Torna-se evidente que a abordagem de investigação de tais situações deverá ser diversa, com a necessária a análise do rastro deixado pelo cybercriminoso nos sistemas.

Neste sentido, a investigação de ataques cibernéticos como o ransomware, devido a sua maior complexidade, torna imprescindível a utilização de provas digitais, que possuem um procedimento de coleta e análise diferente das tradicionais, com características e efeitos diferentes

Além disso, as provas digitais devem ser coligidas pelas diretrizes na norma ABNT ISO 27307/2013, que é referência para peritos de informática na coleta, armazenamento, análise e preservação deste tipo de prova, a qual estabelece a sua cadeia de custódia, ou seja, o procedimento correto para sua obtenção, sem danifica-la ou invalida-la.

Tal cuidado se justifica pelo caráter volátil das provas digitais, as quais podem ser facilmente perdidas ou adulteradas, prejudicando-se toda a investigação, uma vez que a descuidada atividade de verificação do sistema para sua coleta pode propiciar a sua eliminação remota pelo próprio cybercriminoso.

Cabe ainda esclarecer que a coleta da prova digital será feita com cópia de arquivos nos servidores (espelhamento), memória de dispositivo móvel ou HD’S e não com a sua retirada pelo perito, o que facilita o trabalho de investigação e não atrapalha as operações da empresa.

Frise-se que as referidas provas digitais não são elencadas e nem disciplinadas ainda no nosso Código de Processo Penal, que apenas tratou, na sua mais recente atualização pelo Pacote Anticrime (Lei 13.964/19) da cadeia de custódia de colheita da prova em geral.
Neste ponto, insta salientar o papel da ata notarial como meio de prova e como forma de legitimar a coleta, armazenamento e integridade de evidências digitais, que é a possibilidade de documentar a atividade de coleta de provas digitais, no momento de sua extração, acondicionamento ou análise por peritos, para que fique resguardada a legalidade do seu procedimento, de acordo com as normas da ISO 27307 e agora do artigo 158-A do CPP, de modo a não se tornar inválida, por violação da cadeia de custódia.

Por fim, cabe destacar que, em qualquer investigação interna de cybercrimes corporativos poderá haverá coleta de dados pessoais, que se relacionam a colaboradores ou terceiros, em e-mails, logins e senhas de acesso, documentos, sendo estas uma gama considerável de informações que identificam indivíduos.

Logo, a coleta de dados pessoais também deverá ter uma finalidade permitida pela LGPD e devidamente documentada, a qual poderá ser, no caso das investigações internas de cybercrime corporativo, o legítimo interesse do controlador, ou seja, o direito de investigar fraudes na esfera interna e mitigar futuros riscos cibernéticos.

 Por Claudia da Costa Bonard de Carvalho, advogada criminal especializada em cybercrime e compliance criminal digital