Prática Jurídica Segura – Nada mais de anexos

Existem muitos perigos e muitas armadilhas. Quase todos os dias, a busca por notícias sobre “riscos cibernéticos em escritórios jurídicos” resulta em novos e mais artigos sobre esse assunto. Mensagens de "Phishing" continuam aparecendo nas nossas caixas de entrada (se escaparam do filtro de spam e do antivírus). E a Sony Pictures demonstrou perfeitamente como as informações confidenciais e com potencial para causar danos podem vazar em uma violação de segurança. O que foi menos alardeado é que, mais de dois meses depois, os arquivos perdidos e servidores bloqueados da Sony Pictures permanecem inacessíveis, enquanto a equipe técnica estava reconstruindo e restaurando os sistemas.

A Law Society of British Columbia alertou, em 31 de dezembro de 2014, sobre o dano causado por ransomware (aplicativo malicioso para extrair dinheiro em troca dos dados capturados) a arquivos de escritórios jurídicos.

Como nós, advogados, podemos responder? Uma das maneiras poderia ser, deixar de anexar documentos em e-mails inseguros. Em vez disso, é possível obter proteção para informações confidenciais, incluindo um link em um e-mail para documentos seguros em locais seguros. Quando e-mails contêm links para documentos seguros em locais seguros, obtemos proteção para informações confidenciais.

Se nossos clientes fazem isso, por que nós não podemos? Nossos clientes, especialmente aqueles na área da saúde e de serviços financeiros, já trabalham assim. Será que os advogados deles não deveriam fazer o mesmo? E se esses advogados fazem isso, por que não todo mundo?

Os invasores não são razoáveis

Nós, advogados, criamos normas referentes à responsabilidade e ética profissional com base em critérios de razoabilidade. A norma 1.6 (c) das Normas/Modelo de Conduta Profissional da American Bar Association, declara que “Um advogado terá de fazer esforços razoáveis para impedir a divulgação acidental ou não autorizada, ou até mesmo o acesso não autorizado, a informações relacionadas à representação de um cliente.” (ênfase adicionada).

Criminosos cibernéticos – razoáveis? Não conte com isso. Destruição, extorsão e exposição de dados ocorreram durante o ataque cibernético à Sony Pictures. A Wired Magazine incluiu esses exemplos em "As Maiores Ameaças de Segurança que Enfrentaremos em 2015". A segurança para os documentos e as informações da prática jurídica pode exigir uma mentalidade radical.

E-mails transmitem documentos e informações fora do firewall, a parede de proteção tecnológica de um escritório jurídico. Dentro da prática jurídica, protegemos documentos em sistemas seguros, geralmente limitando o acesso ao gerenciamento de documentos e a outros sistemas àqueles autorizados a trabalhar em determinados assuntos. Uma vez enviadas para fora do firewall, os e-mails e seus anexos perdem essas proteções, deixando sua segurança aos cuidados e responsabilidade do remetente e do destinatário e dos sistemas que transmitem e recebem as mensagens.

Fora dos nossos ambientes protegidos, os e-mails podem ser copiados, redistribuídos e expostos por meio de software malicioso e outros códigos. Os criminosos cibernéticos infectam a cadeia de transmissão de e-mails e de outros dados, sequestrando pontos de acesso sem fio e roteadores domésticos. Entretanto, a proteção de documento, como o Gerenciamento de Direitos de Informação, pode ajudar a proteger o conteúdo, onde quer que esteja – veremos mais sobre isso em breve.

Do que precisamos

Precisamos de ferramentas que capturem e-mails a serem enviados com anexos, criptografem e depositem os anexos em um local de armazenamento (ou repositório) seguro e compartilhável, e convertam o anexo em um link. O destinatário precisa ter credenciais para o repositório (ID de usuário e senha) ou pode ter acesso ao repositório pelo link, mas apenas ao documento indicado. No repositório, os próprios documentos devem estar criptografados. O repositório também deve oferecer Gerenciamento de Direitos de Informação, de modo que o acesso aos documentos, dentro ou fora dele, possa ser cancelado a qualquer momento.

Difícil demais? Talvez seja fácil demais

Talvez estejamos viciados em coisas fáceis. Muitos programas simplificam o ato de anexar documentos a e-mails. Nossos sistemas de escrita, edição, armazenamento e e-mail nos convidam a anexar arquivos aos e-mails. O que fará com que nós (e nossos colegas) mudemos o modo como trabalhamos? Os noticiários (e talvez até mesmo estas publicações do blog) elevam o nível de medo. Novos procedimentos de trabalho devem ser motivados por objetivos positivos (profissionalismo, serviços ao cliente), bem como pelo medo e pelo risco (exposição, processos por imperícia). Reconheça que mudar hábitos de trabalho, assim como hábitos de saúde, pode ser muito difícil. Podemos aprender com as orientações de especialistas em saúde, “…qualquer esforço na direção certa é válido, mesmo que ocorram contratempos ou recaídas ocasionais.”

E ainda assim, nossos clientes já seguem essas normas

“Nada mais de anexos” é uma norma que rege o trabalho dos nossos clientes nos setores de serviços financeiros e de saúde. Para aqueles que trabalham com serviços financeiros, a conformidade com limitações à divulgação da FINRA (Autoridade Reguladora do Setor Financeiro) tornou-se realidade por meio de sistemas de e-mail seguros, nos quais os documentos residem em seus servidores e os e-mails contenham apenas links. Os clientes precisam definir e confirmar suas contas on-line, e podem abrir os documentos com links apenas dentro do sistema seguro. Seu acesso, uso e download dos documentos é rastreado. A mesma disciplina aplica-se a documentos compartilhados na indústria da saúde, regidos pela HIPAA.

Nós já sabemos como fazer isso

Quando nossos clientes precisam, aprendemos a usar links para documentos em vez de anexos em e-mails. Trabalhamos em ambientes de documentos controlados ao conduzirmos investigações de due diligence em "deal rooms". Alguns de nós enviamos links para documentos, em vez dos documentos em si, o que está em conformidade com nossas práticas para manter a integridade de versões de um documento armazenado e controlado por um sistema de gerenciamento de documentos.

Devemos nos colocar à frente, não atrás da curva de segurança

Alguns dos nossos colegas dedicam sua prática à proteção da segurança de dados dos seus clientes. Outros ajudam a defender os clientes das consequências e riscos de violações. Os artigos publicados sobre segurança cibernética e prática jurídica geralmente elogiam as práticas expandidas ou até mesmo novas práticas de segurança cibernética nos escritórios jurídicos. Se fôssemos avaliar nossas práticas pelos padrões que aconselhamos aos nossos clientes, será que seríamos aprovados? Podemos usar suas lições para proteger a segurança do nosso trabalho e as informações dos nossos clientes em toda a nossa prática legal.

Perguntas para o próximo post: pesando os riscos, desfazendo a confusão

Será que devemos converter cada anexo de e-mail em um link? Se não, como podemos escolher? Se a nossa prática legal usa um sistema interno de gerenciamento de documentos, quando devemos usá-lo e quando devemos usar um repositório externo e seguro? Será que o gerenciamento de ambos não causará confusão demais? Isso é mais que o suficiente para pensarmos para a próxima publicação.

Este blog e seu conteúdo não visam servir como aconselhamento jurídico. Consulte um advogado para aconselhamento individual referente à sua situação específica. As informações contidas neste blog não substituem orientações jurídicas.