Submissão de Segurança Cibernética

, Author

Submissão à Direcção Nacional de Segurança Cibernética, Segurança Pública Canadá

13 de Outubro de 2016

p>Direcção Nacional de Segurança Cibernética
Segurança Pública Canadá
340, Laurier Avenue West, 13th Floor
Ottawa, Ontário K1P 5K3
[email protected]

Subjecto: Submissão sobre Segurança Cibernética

Ladies and Gentlemen,

Aproveitamos a oportunidade da sua consulta sobre Segurança e Prosperidade na Era Digital para lhe fornecer os nossos comentários sobre as implicações da abordagem do Canadá à segurança cibernética na privacidade, o que é explicado no convite à apresentação de propostas emitido pelo seu departamento a 16 de Agosto de 2016.

Para contextualizar as nossas observações, o Gabinete do Comissário da Privacidade do Canadá está mandatado para supervisionar o cumprimento da Lei da Privacidade, que aborda as práticas de tratamento de informações pessoais utilizadas pelos departamentos e agências federais, e da Lei de Protecção de Informações Pessoais e Documentos Electrónicos (PIPEDA), a lei federal canadiana sobre a privacidade do sector privado, bem como certos aspectos da Lei Canadiana Anti-Spam (CASA). A missão do nosso Gabinete é proteger e promover os direitos de privacidade dos indivíduos.

Contexto

Privacidade e ciber-segurança estão intimamente ligados. Por um lado, os desafios da ciber-segurança também se aplicam à privacidade. As organizações devem manter-se a par das últimas ameaças cibernéticas para protegerem os seus sistemas informáticos. E os responsáveis pela privacidade devem fazer o mesmo para proteger adequadamente as informações pessoais que lhes são confiadas pelos seus clientes e empregados. Por outro lado, as políticas de cibersegurança também podem ser invasivas da privacidade, assim como as estratégias postas em prática para combater as ameaças cibernéticas, embora isto possa não se destinar a ser feito. As estratégias e actividades de ciber-segurança também podem resultar em sistemas de vigilância que conduzam a um controlo e análise ilimitados e perpétuos das informações pessoais dos indivíduos.

Em 2014, o nosso Gabinete publicou um relatório sobre os interesses e tensões comuns entre a privacidade e a ciber-segurança. Explora como os desafios da ciber-segurança também afectam a privacidade e a protecção de dados, e como as políticas de ciber-segurança podem afectar a privacidade. Também discute a governação e segurança do ciberespaço como questões globais. Finalmente, o relatório estabelece orientações políticas fundamentais para integrar os valores de privacidade nas orientações políticas de cibersegurança, para encorajar abordagens legislativas que promovam a preparação para a cibersegurança e para estimular o diálogo sobre a cibersegurança como um elemento importante da protecção da privacidade em linha. O documento de consulta divulgado pelo governo é um passo em frente no estabelecimento deste diálogo.

Aconselhamos vivamente o governo a rever o nosso relatório de investigação para obter uma melhor imagem das implicações em termos de privacidade. Abaixo encontram-se observações (e ligações a documentos relevantes preparados pelo nosso Gabinete) em resposta a questões específicas colocadas no documento de consulta.

TREND #1: EVOLVING CYBERMENACE

Topic 1.1: Combate ao Cibercrime – Aplicação da Lei e Organizações do Sector Público e Privado

Nos seus esforços para combater o cibercrime, as agências de aplicação da lei devem estar atentas ao impacto das suas actividades sobre a privacidade dos canadianos. As Avaliações do Impacto na Privacidade (AAI), exigidas em certas situações ao abrigo da política federal, são um importante instrumento de planeamento e um mecanismo de mitigação do risco na privacidade. O processo PIA ajuda a determinar se as iniciativas governamentais que utilizam informações pessoais representam riscos de privacidade e ajuda a medir, descrever e quantificar esses riscos, e a propor soluções para os eliminar ou reduzir a um nível aceitável. Quer se trate de uma agência de aplicação da lei que trate dos desafios crescentes do cibercrime ou de instituições governamentais que detêm grandes quantidades de informação pessoal sobre cidadãos ou empregados, as AIP ajudarão a garantir o cumprimento da Lei da Privacidade, demonstrarão transparência explicando aos canadianos como o governo lida com a sua informação pessoal, e prestarão contas pela utilização da informação pessoal. Para mais informações sobre as AAI, convido-o a consultar o seguinte:

  • As nossas expectativas: um guia para submeter Avaliações de Impacto na Privacidade ao Gabinete do Comissário da Privacidade do Canadá, 2011Footnote 2;
  • Privacy Impact Assessment: the 10 Do’s and Don’ts, 2016Footnote 3.

De acordo com as leis de privacidade do sector privado do Canadá, as organizações devem proteger as informações pessoais sob o seu controlo. Devem também identificar as suas obrigações em matéria de privacidade e riscos de privacidade. Estes riscos devem ser considerados pelas organizações ao desenvolverem os seus modelos empresariais, tecnologias e práticas operacionais relacionadas, e as salvaguardas necessárias antes do lançamento de novos produtos ou serviços. Devem ser minimizados para que a organização, os seus empregados e os seus clientes possam mitigar o impacto de qualquer violação da privacidade. As organizações conseguirão isto através de um programa de gestão da privacidade em evolução que tenha sempre em conta estes elementos.

O nosso Gabinete produziu numerosas publicações para ajudar as organizações a cumprir os requisitos de responsabilização e segurança e eliminar certas ameaças à privacidade e segurança, por exemplo:

  • A Privacy Management Program: the Key to Accountability;Footnote 4
  • Proteger Informação Pessoal: Uma ferramenta de auto-avaliação para organizações; Nota de rodapé 5
  • Dez dicas para reduzir o risco de privacidade, 2014; Nota de rodapé 6
  • Riscos de privacidade e segurança associados à utilização dos próprios dispositivos pelos empregados para fins comerciais, 2015; Nota de rodapé 7
  • Pagamentos electrónicos e digitais e privacidade.Nota de rodapé 8

A Lei Anti-Spam do Canadá (CASL) ajuda a proteger as informações pessoais dos canadianos em linha. A sua passagem em 2014 foi um passo em frente significativo na segurança cibernética no Canadá. O meu Gabinete partilha a responsabilidade pela aplicação da CASA com a Comissão Canadiana de Rádio-televisão e Telecomunicações (CRTC) e com o Gabinete da Concorrência. Centra-se em dois tipos de infracções:

    li> a recolha de endereços de correio electrónico, através da qual listas em massa de endereços de correio electrónico são compiladas através de uma variedade de mecanismos, incluindo programas de computador que procuram automaticamente endereços na Internet; e;

  • a recolha de informações pessoais através do acesso ilegal aos sistemas informáticos de outras pessoas, principalmente através de spyware.

O OPC disponibiliza ao público uma variedade de recursos relacionados com spam, incluindo:

  • Ameaças em linha associadas ao spam, 2011;Nota de rodapé 9
  • Um Guia para Empresas Envolvidas no Cybermarketing, 2015;Nota de rodapé 10
  • Dicas de Ajuda para Empresas Envolvidas no Cybermarketing, 2015.Nota de rodapé 11

O nosso Gabinete concluiu recentemente a sua primeira investigação no âmbito do ACPA contra a entidade “Compu-Finder” Nota de rodapé 12. Esta empresa não tinha um programa de gestão da privacidade em vigor e, por conseguinte, não podia provar que tinha obtido autorização para utilizar os seus endereços de correio electrónico. Desde então, a empresa concordou em implementar tal programa.

Proteger informações pessoais de actividades ilegais como malware e outros tipos de fraude não é apenas um requisito legal, mas também essencial para manter a confiança na economia digital do Canadá. O crescimento económico futuro do nosso país depende da inovação e de quadros fortes de segurança e privacidade para apoiar os cidadãos e as organizações.

Em contraste com o PIPEDA, a Lei da Privacidade não exige que as instituições governamentais protejam a informação pessoal sob o seu controlo. O nosso Gabinete fez recomendações ao Parlamento sobre esta questão (entre outras) para encorajar a reforma e modernização da lei para reflectir as mudanças na tecnologia e a sua utilização desde a sua entrada em vigor em 1983Foototnote 13.

Topic 1.2: Aplicação da lei no Ciberespaço

Quando se trata das expectativas dos canadianos em relação à privacidade e investigação policial da actividade online, as sondagens e os tribunais no Canadá têm sido muito claros de que os direitos de privacidade e as liberdades da Carta que gozamos como cidadãos na nossa vida quotidiana offline devem também ser exercidos online. O Supremo Tribunal do Canadá deixou isto claro em 2014 no R. v. Spencer. Especificamente no que diz respeito aos poderes policiais, os instrumentos de investigação utilizados online devem ter as mesmas salvaguardas, limiares de autorização e requisitos de ónus da prova e de atenuação que os seus homólogos de busca e apreensão offline. Em Spencer e outras decisões anteriores, o Supremo Tribunal do Canadá tem sido muito consistente a este respeito: como sociedade, não pomos em risco a protecção dos direitos fundamentais para facilitar a aplicação da lei ou acelerar os processos judiciais.

A Lei de Protecção dos Canadianos contra a Criminalidade Cibernética, que entrou em vigor em Março de 2015, deu às forças policiais uma série de novas ferramentas, incluindo o poder de monitorizar as comunicações electrónicas, localizar transacções digitais e emitir ordens que exigem a preservação de provas electrónicas. O ónus é das instituições governamentais demonstrar um problema grave e explicar como ultrapassariam as barreiras à investigação. Finalmente, acreditamos que existem ligações entre as questões levantadas no documento de consulta e a consulta sobre segurança nacional lançada pouco depois da mesma. Faremos mais comentários sobre a aplicação da lei e as actividades das agências de segurança nacionais no contexto desta consulta e torná-los-emos públicos.

Topic 1.3: Protecção contra ameaças cibernéticas avançadas

Num ambiente em que os ciberataques ocorrem diariamente, a importância de adoptar um quadro de segurança abrangente e holístico para proteger contra o acesso não autorizado a informações pessoais não pode ser sobrestimada. O nosso Gabinete investigou recentemente uma violação de dados no site de encontros de adultos Ashley Madison. A nossa investigação salientou a importância crítica de organizações que detêm informações pessoais por via electrónica terem processos, procedimentos e sistemas explícitos e adequados para gerir os riscos de violação de dados e possuírem a perícia necessária (interna ou externa) para o fazer. Isto é particularmente importante quando se trata de informação sensível, cuja divulgação poderia causar sérios danos à reputação ou outros danos aos indivíduos envolvidos. O nosso Gabinete recordou às organizações que detêm informações pessoais sensíveis ou grandes quantidades de informações pessoais que devem dispor de medidas de segurança da informação, tais como:

  • uma política de segurança;
  • um processo explícito de gestão de risco que aborda questões de segurança da informação, desenvolvido por indivíduos devidamente qualificados; e;
  • formação adequada em matéria de segurança e privacidade ministrada a todos os funcionários.

Legislação que obriga à comunicação de violações de dados é uma forma eficaz de reforçar a responsabilização das organizações pela protecção de informações pessoais sob o seu controlo e pela adopção de salvaguardas adequadas. Em 2016, a IPSOS realizou um inquérito para o Centro para a Inovação da Governação Internacional (CIGI)Nota de rodapé 15 sobre segurança e confiança na Internet entre os canadianos. De acordo com o inquérito, 18% dos canadianos foram informados de uma violação da segurança das suas informações pessoais. Até à data, a abordagem do Canadá à comunicação de violações de dados tem sido inconsistente. As organizações são obrigadas a comunicar as violações de dados de saúde em várias províncias, incluindo Ontário, New Brunswick e Newfoundland e Labrador. Em Alberta, as organizações do sector privado estão sujeitas à Lei de Protecção de Informações Pessoais da província; em todo o país, estarão sujeitas ao PIPEDA. A política do governo federal exige que as instituições governamentais sujeitas à Lei da Privacidade informem o Gabinete do Comissário da Privacidade do Canadá e o Secretariado do Conselho do Tesouro do Canadá sobre quaisquer violações substanciais
privacy breaches e as medidas mitigadoras em vigor. A OPC recomendou a comunicação obrigatória de violações ao abrigo da Lei da Privacidade.Nota de rodapé 17

A comunicação obrigatória reforça a segurança ao fornecer uma visão mais abrangente das práticas de segurança e ao permitir a detecção e correcção de problemas sistémicos. Também nivela o campo de acção das organizações em termos de aplicação da lei. Ao impor as mesmas obrigações a todas as organizações, evita que uma organização seja injustamente destacada quando comunica proactivamente uma violação de dados.

tema 1.4: Aumentar a Participação Pública – Tema 2.1: Construir a Confiança do Consumidor no Comércio Electrónico

O nosso mandato inclui a sensibilização do público para as questões de privacidade e direitos de privacidade. Para o fazer, publicamos regularmente uma variedade de recursos educativos para os canadianos. Acreditamos que a melhor forma de os canadianos se protegerem de muitos riscos de privacidade, incluindo o acesso não autorizado às suas informações pessoais, é conhecer os seus direitos e fazer escolhas informadas sobre as informações pessoais que partilham, com quem as partilham e com que finalidade. Por exemplo, produzimos materiais de melhores práticas para proteger informação pessoal, incluindo:

  • Roubo de Identidade e Você, 2014;Nota de rodapé 18
  • Dez Dicas para Prevenir o Roubo de Identidade, 2013;Nota de rodapé 19
  • 10 Dicas Práticas para Proteger a Sua Caixa de Email, Computador e Dispositivo Móvel, 2015.Nota de rodapé 20

O nosso Gabinete trabalha diligentemente para educar indivíduos e organizações sobre as implicações das novas tecnologias, iniciativas governamentais e práticas empresariais em matéria de privacidade. Para além de produzir os seus próprios relatórios de investigação sobre uma variedade de tópicos, incluindo drones Nota 21 e análises preditivas Nota 22, financia a investigação independente através do Programa de Contribuições. O objectivo deste programa é gerar novas ideias, abordagens e conhecimentos sobre privacidade que as organizações podem usar para melhor proteger a informação pessoal ou que os canadianos podem usar para tomar decisões mais informadas sobre a sua privacidade. O nosso Gabinete financiou recentemente investigação sobre temas tão diversos como os veículos ligados entre si – nota 23 e a segurança dos rastreadores de fitness. Nota de rodapé 24

O nosso Gabinete também emitiu orientações (discutidas ao longo desta apresentação) para ajudar as organizações a proteger melhor as informações pessoais sob o seu controlo. Os indivíduos devem tomar medidas para estarem conscientes dos riscos e protegerem-se em conformidade, mas a protecção das informações pessoais não deve repousar apenas sobre os seus ombros. As organizações também têm um papel a desempenhar a este respeito. A confiança na economia digital depende disso.

Conclusão

Num mundo de fronteiras cada vez mais confusas, a colaboração entre especialistas em cibersegurança e autoridades de protecção de dados é cada vez mais importante. A sua abordagem renovada da ciber-segurança sublinha a necessidade de promover e proteger as liberdades em linha e de assegurar a colaboração e a coordenação entre jurisdições. Neste contexto, é essencial que os peritos em cibersegurança e as autoridades de privacidade, como o nosso Gabinete, trabalhem ainda mais em conjunto para melhorar as salvaguardas tanto no sector público como privado e assegurar que a privacidade seja um princípio orientador dos esforços de segurança cibernética. Estamos ansiosos por contribuir para este diálogo.

Por favor aceitem, senhoras e senhores, as garantias da minha maior consideração.

O Comissário,

p>Original assinado por

Daniel Therrien

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *