Arbitration leaks: a segurança da informação no procedimento arbitral
Atualmente, a cyber segurança é extremamente relevante no contexto da arbitragem, a qual ainda é o método de resolução de disputa mais popular quando os conflitos são complexos, sensíveis e têm abrangência internacional. Em disputas comerciais, costumeiramente, há o manejo de informações confidenciais como, por exemplo, segredos industriais e demonstrativos financeiros.
A confidencialidade é princípio implícito da arbitragem e, sem o sigilo, o instituto pode implodir do ponto de vista estrutural. A inteligência da confidencialidade, além de proteger informações delicadas, vem da necessidade de preservação da imagem da empresa perante os mercados financeiro e consumidor. Dessa maneira, eventual violação ou vazamento desses dados no curso de um procedimento arbitral pode não só comprometê-lo, mas também causar danos irreparáveis ou de difícil reparação às partes ali envolvidas.
A questão torna-se ainda mais crítica quando vemos um uso cada vez maior da tecnologia da informação na prática jurídica como um todo e também no curso de procedimentos arbitrais a fim de dotá-la de maior eficiência e menor custo. A contrapartida dessa digitalização é o aumento exponencial da vulnerabilidade e a exposição dos dados a terceiros oportunistas. Nas palavras do criptógrafo Bruce Schneier, se você acha que a tecnologia pode resolver seus problemas de segurança, então você não entende os problemas e não entende a tecnologia. O ano passado foi abarrotado de ataques, extorsões e vazamentos digitais. Estima-se que, em 2017, mais de US$ 130 bilhões foram roubados de consumidores por meio de crimes cibernéticos; é, no mínimo, ingenuidade acreditar que o instituto da arbitragem não é um alvo óbvio para estes criminosos. Neste contexto de cyber insegurança, o Brasil está na preocupante posição de país mais vulnerável da América Latina e em quarto lugar no mundo.
A segurança cibernética, por definição, consiste em manter dados eletrônicos e sistemas de tecnologia da informação a salvo de acessos ilegais, uso, alteração, destruição e divulgação não autorizada. A prática, antes restrita à profissionais da tecnologia da informação, hoje, é intrínseca à própria ética profissional da advocacia.
Com isso em mente, o International Council for Commercial Arbitration (ICCA) criou um grupo, o qual conta com a New York Bar Association e o CPR Institute, para estudar soluções de cyber segurança na arbitragem por meio do qual pretende-se estabelecer um protocolo voluntário. Os membros do projeto irão elaborar diretrizes práticas para advogados, árbitros, instituições, e partes do conflito.
A questão é ainda mais relevante se lembrarmos que em arbitragens internacionais as partes envolvidas são alvos potenciais de cyber ataques, e.g. multinacionais, governos ou entidades estatais, figuras públicas e organizações não governamentais (ONG’s).
Para que se entenda esses ataques virtuais, vale observar as diferentes motivações dos hackers, as quais, para fins didáticos, podem ser divididos em três principais categoriais: (i) hacktivists, (ii) agentes estatais, e (iii) criminosos motivados por questões financeiras.
Hacktivists é um termo construído a partir das palavras hacker e ativistas em inglês. Os cyber ataques realizados por essa categoria estão ligados a causas sociais e políticas. Esses hackerspodem utilizar informações pessoais para envergonhar ou denegrir a imagem pública de seus alvos com o intuito de chamar a atenção para determinados atos e posturas.
Quanto aos agentes estatais, vale lembrar que as partes podem eventualmente compartilhar documentos de interesse para estados que conduzem espionagem. Parece estranho, mas todos se lembram quando Edward Snowden, ao desertar da National Security Agency (NSA), permitiu que determinadas informações viessem à tona e, entre elas, estava a famigerada espionagem americana na petroleira brasileira Petrobras.
Há, ainda, os criminosos que pretendem auferir ganhos econômicos com as invasões. Assim, dado que a arbitragem envolve frequentemente a transmissão de informações comerciais sensíveis, as partes devem ser particularmente conscientes da ameaça dessa categoria de hackers.
Sobre o tema, é importante lembrar que, no ano de 2015, a Permanent Court of Arbitration (PCA), instituição que administra um número significativo de arbitragens de investimento e interestatais, foi atacada. Durante a audiência de uma disputa sensível sobre a fronteira marítima entre a China e as Filipinas, hackers colocaram códigos maliciosos no sítio eletrônico da PCA infectando computadores de diplomatas, advogados e outros que o visitavam no momento, resultando em sua retirada temporária do ar temporariamente do ar.
Em arbitragens internacionais, as partes são tipicamente representadas por equipes grandes e, muitas vezes, transnacionais. Executivos jurídicos, advogados terceirizados, árbitros e suas respectivas equipes costumam viajar extensivamente e trabalhar em vários lugares, incluindo hotéis, lounges de aeroportos ou escritórios particulares. Esses fatores aumentam o risco de ocorrerem violações aos dados compartilhados por meios eletrônicos.
Atualmente, a preocupação não deve ser se um novo cyber ataque vai acontecer, mas quando. E as Câmaras de Arbitragem necessitam modificar os seus protocolos internos com o intuito de proteger informações sensíveis para as partes envolvidas nas disputas, as quais estão sob sua custódia.
Para se protegerem da ameaça de cyber ataques, é necessário que elas estabeleçam um protocolo rigoroso para o armazenamento e transferência de informações sensíveis, limitem a divulgação de informações sensíveis, e, em caso de violação ou ataque, tenham um procedimento para notificar a(s) parte(s) envolvida(s) de forma a corrigir ou mitigar a violação ou ataque.
Uma outra questão a ser observada diz respeito aos participantes de arbitragens internacionais, os quais muitas vezes tem que se deslocar com frequência e, assim, arquivam dados em mídias portáteis (drives e HDs externos) e computadores. Eventualmente, esses aparelhos podem ser extraviados, furtados ou roubados. Assim, é aconselhável que os arquivos sejam criptografados e os aparelhos protegidos por senhas. Assim, mesmo diante de um infortúnio, as informações ali contidas poderão permanecer seguras e confidenciais.
Ademais, diante do nível estratégico da informação que se pretende armazenar ou transferir, as partes podem escolher banir completamente o armazenamento local desses documentos, optando por armazenamento em nuvem (cloud storage), serviço oferecido de empresas para empresas (B2B), mediante cláusulas próprias de confidencialidade das informações em que estão explícitas as políticas de manutenção, destruição e atualização de informações lá inseridas.
Outra atitude que pode encorajar o furto ou roubo de dados é o uso pelas partes envolvidas no conflito de redes públicas de WiFi. Poucas pessoas sabem, mas o uso de redes WiFi públicas é extremamente arriscado. Por isso, as partes devem considerar a proibição do uso e acesso de redes públicas de WiFi, ao menos que sejam tomadas medidas de segurança, como, por exemplo o uso de uso de uma VPN, o que nada mais é do que uma rede privada construída sobre a infraestrutura de uma rede pública.
Outra medida possível para mitigar vazamentos é limitar a divulgação de informações sensíveis. Uma das formas de proteção é revelar as informações apenas para as pessoas estritamente necessárias. Limitar o número de pessoas que podem acessar os dados reduz o potencial de violação. Quando se fala em adotar protocolos de segurança é imperioso que se considere a vulnerabilidade dos sistemas à luz da falha humana, tendo em vista que esse representa o maior risco em termos de segurança no ambiente cibernético.
A responsabilidade pela segurança das informações não cabe apenas a equipe de tecnologia da informação, mas cada indivíduo dentro da organização ou instituição envolvida deve ser treinado e conscientizado a fim de se proteger, por exemplo, de ataques realizados por meio de mecanismos de engenharia social.
Não só escritórios de advocacia, mas instituições arbitrais devem adquirir softwares de firewalls e antivírus, bem como estabelecerem planos de ação em caso de possível ataque cibernético, diminuindo os efeitos colaterais da invasão, e.g. backup dos dados e notificação das partes cujos dados foram atacados.
Além disso, é importante que os documentos de casos já solucionados não sejam armazenados pelas Câmaras por prazo indeterminado. Como ocorre nos processos judiciais, alguns documentos, pela sua irrelevância para os casos futuros ou para a coisa julgada, devem ser destruídos após o término da arbitragem. Para se ter uma ideia da gravidade disso, vale trazer um exemplo: no ano de 2013, a empresa Affiniti Health Plan Inc. viu-se obrigada a pagar multa no valor de aproximadamente US$ 1,2 milhão em razão da violação de política de confidencialidade após retornar máquinas copiadoras ao seu locador sem antes apagar os dados inseridos nos discos rígidos das máquinas.
Compreender a ameaça e tomar as medidas necessárias para evitar a exposição de documentos relevantes é crucial. A existência de protocolos de segurança cibernética, inclusive, será, muito em breve, um critério decisivo de escolha do centro de arbitragem pelas partes. Afinal, parafraseando Stephane Nappo, demoram vinte anos para construir uma reputação e poucos minutos de incidentes cibernéticos para arruiná-la. De olho no futuro, o Centro Brasileiro de Mediação e Arbitragem (CBMA), com sede na cidade do Rio de Janeiro, criará, nas próximas semanas, um grupo de trabalho interdisciplinar para estudar possíveis soluções em cyber segurança e proteção de dados a fim de aprimorar suas atividades em marca de compasso com essa forte tendência.
Fonte: Jota
0 Comentários