Estudo de Caso :

DIREITO DIGITAL E CRIMINALÍSTICA COMPUTACIONAL

Chefe, Acho que Alguém Roubou Nossos Dados do Cliente

REFERÊNCIA: Eric McNulty. Secom: Chefe, Acho que Alguém Roubou Nossos
Dados do Cliente.

Brett, Presidente Executivo da Flayton Electronics, voltando de uma reunião com fornecedores
foi pra sala de embarque quando recebeu uma ligação de Laurie Benson, vice-presidente de
prevenção de perdas. Laurie o informa um possível incidente de segurança da informação,
dados da Flayton podem ter sido violados.

Brett faz alguns questionamentos a Laurie e vai para sua casa, porém, passa a noite
pesquisando sobre roubo de dados virtuais. Na manhã seguinte Brett se reúne com Laurie
onde a mesma expõe a situação. Laurie diz que foi contatada pelo Union Century Bank (UBC)
dizendo que 15% de um total de 10000 cartões da Flayton estão fazendo compras suspeitas
em locais diferentes.

Laurie explica que o UCB faz verificações aleatórias nos cartões periodicamente, Brett então
pergunta se o PCI (Padrão de Segurança de Dados) que ele havia investido recentemente
não protege os cartões e clientes. Laurie informa que não tem certeza. Explica que foram
orientados a não divulgar até que os federais tenham ideia do que esta acontecendo, também
foi orientada a verificar todos que poderiam ter acesso a essas informações.

Sergei Klein, CIO da Flayton poderia já estar trabalhando no caso, Brett diz ter certeza que
Sergei já esta trabalhando nisso.

Brett esta preocupado em não falar com os clientes, diz que a empresa foi construída com
base na confiança.

Laurie explica que é uma questão bem maior e que os clientes estão cobertos e que eles
precisam pegar que fez isso.

Brett vai para sala de Sergei faz pergunta se o PCI esta funcionando. Sergei explica que ficar de
acordo com o PCI é complicado e que existe três grandes projetos tecnológicos de alta
prioridade sendo implementados.

Brett fica com raiva e pergunta se não estão de acordo com o PCI, Sergei diz que atende certa
de 75% deste e que é maior que a media de varejistas. Os Ficais de fora não os examina todo
dia, a conformidade cabe a ele no fim das contas.
Brett reflete se a culpa foi dele por ter forçado o crescimento há pouco tempo após seu pai
aposenta. Teria ele deixado a Flayton vulnerável ao investir pouco em sistemas?

No final da tarde Brett reúne com equipe de gestão. Laurie diz que o numero de contas
comprometidas aumentou certamente para mais de 1500. Sergei diz que encontrou um
buraco, um firewall desativado que fazia parte do sistema de controle de inventário wireless,
que usava dados em tempo real de cada transação para desencadear o reabastecimento do
centro de distribuição e automatizar os pedidos dos fornecedores.

Laurie Questiona como o firewall foi desativado. Sergei disse ser impossível saber, pode ser
intencional ou acidental, que desligam e ligam sempre e que firewalls podem ser
problemáticos. Pode haver negligencia do Sergei com o firewall.

Ben do RH disse que houve cinco saídas de pessoas relacionadas a sistemas: duas
Desonerações, um - Retorno a Faculdade, um - Recisão por exame antidoping, 1 - Recisão por
download de material impróprio.

Sally da comunicação deu três opções, conferencia de empresa para os clientes (mais
transparência segundo Brett), Carta (Brett tem medo por gerar ansiedade), Não fazer nada,
esperar a aplicação das leis.

Darrell, conselheiro da Flayton, argumenta que qualquer um que for a público primeiro é a
entidade que será processada.

Frank, CFO da Flayton, argumenta que nenhum cliente sofrera dano por causa doa proteção
dos bancos. Darrell argumenta que podem ser processados por bancos ou investidores.

Darrel observa, três estados exigem divulgação imediata e três não. Argumenta que ainda não
existe evidencia de violação, apenas a identificação de um padrão por um banco.

Brett diz que a estratégia será não falar com ninguém, indicar o serviço secreto a imprensa.
Brett sabia que clientes tendem a não comprar de empresas que tiveram violação, porem o
futuro da empresa dependia de sua reputação e imparcialidade.

Sally argumenta que a situação pode sair do controle em breve, uma das contas afetadas era
de Dave, ancora de um noticiário de TV.

Brett Resume: Fortes indícios de Violação, ex-funcionários que podem estar envolvidos, alguns
estados que exigem divulgação, federais que querem que calem um repórter entre as vitimas.
Se divulgarem serão processados, Se não ira vazar eventualmente, Se der tempo os federais
podem ou não pegar, Se tiverem oportunidade concorrentes aproveitaram.

Comentário de James E Lee da Choicepoint.

A Choicepoint fornece insights de tomada de decisão para empresas e para o governo através
da identificação, recuperação, armazenamento, análise e entrega de dados sobre indivíduos e
instituições.
Em um caso ocorrido na Choice, criminosos se passaram por clientes e obtiveram informações
de 145000 pessoas, A Choice mesmo descobriu, Informou a policia que organizou uma
operação que acusou uma quadrilha Nigeriana.

Notificaram todos clientes possivelmente em risco independente do estado, atualizações

diárias para os funcionários, Visita a clientes e investidores chave para explicar novas políticas
e procedimentos.

Abandonaram um negócio de mais de 20 milhões por falta de segurança, todo funcionário

deve ser aprovado em cursos de segurança e privacidade.

Orientações para Flayton: Se mover rapidamente; pode vir ações que foquem que executivos
sabiam antes de ir a publico; Brett deve consertar a fraqueza em segurança, desenvolver
estratégia de restauração da marca, informar os clientes, linhas diretas de informações
gratuitas, oferecer serviço de monitoramento de credito, outras medidas para manter clientes
leais. Oferecer descontos; encontrar com críticos, desenvolver pagina para explicar reformas
nas políticas e práticas da empresa. Comunicados públicos, precisos, sinceros e honestos.
Recorrer à influência dos blogs, vídeos virais e outras mídias sociais. Atenuar os efeitos de 3 a 5
anos.

Comentários de Bill Boni, Primeiro oficial de segurança da informação da Motorola.

A estratégia padrão é deixar a equipe técnica responsável pela SI, as empresas que levam seus
dados a sérios deveriam ter um profissional de alto nível atuando nessa frente.

Toda nova iniciativa deve valorar os dados envolvidos desde o inicio, deste modo criar medidas
de segurança por projeto. Políticas protocolos e procedimentos, reduzir decisões erradas
expondo papeis e padrões gerais. Estar em conformidade com a PCI é essencial. Motorola
mostrou pra um cliente que investiu alto em uma das melhores proteções tecnológicas que
podia invadir o sistema central com um smarthphone e internet.

A proteção não pode ser de competência central nem d TI. É indispensável o conhecimento
dos estatutos e regulamentações de privacidade aplicáveis e a habilidade de reunir e preservar
fontes de indícios relevantes. (Advogados, contadores, investigadores forense digital).

Orientações para Flayton: Reunir fatos vindos de especialistas, não esperar tempo
indeterminado para notificar o publico, trabalhar com o serviço secreto para atingir as
acusações, manter a confiança do publico respeitando a proteção de dados e leis de
privacidade nos estados que exige a divulgação da violação uma prioridade. Gerentes e
conselheiros parecem não ter experiência, por exemplo, não se pode manter um firewall
desligado pode seguir um modelo definido de plano de resposta como o do American Institute
of Certified Public Accountants.

Comentários de John Philip Coghlan, ex-diretor e presidente executivo da Visa USA.

Este caso coloca o executivo em uma situação difícil pelos vários interesses divergentes.
Banco: Geralmente primeiro a identificar o comerciante ponto de compra por causa do rigor. O
banco é responsável por redes de pagamento e assegurar a conformidade do comerciante com
os padrões da indústria de cartões. A marca do banco também esta em jogo.

Lei: O serviço secreto pediu pra não divulgarem para ter uma melhor oportunidade de pegar
ladrões se agirem novamente em tempo indeterminado. Não é ilegal recusar, e a empresa
pode estar perdendo a capacidade de liderar as comunicações.

Grupos de consumidores, legisladores, interessados e claro, os funcionários e clientes: 78% dos

consumidores provavelmente não comprariam novamente.

Orientações para Flayton: Se um terceiro divulgar ele terá que defender ter violado a confiança
do cliente. A flayton deve comunicar nas vias possíveis, Linha direta de apoio ao cliente na
internet como eventos informativos e webcasts e convocações. Sergei corrigir a fraqueza
tecnológica. Divulgar segurança como prioritária,definir políticas especificas visando liderança
nessa área. Pesquisa da Bain & Company diz que os clientes que recebem a indenização
adequada após fazer uma reclamação são mais leais.

Comentário de Jay Foley. Diretor executivo do Identity Theft Resource Center.

Existe uma concepção errada do conselheiro Darrell, empresas que são processadas são
aquelas que vão a publico sem informações detalhadas daquilo que esta acontecendo, neste
momento a Flayton precisa entender melhor qual a real situação do problema para a partir
disso ir a publico com informações mais precisas.

Como existe a possibilidade da investigação apontar outra fonte de violação que não seja a
Flayton, por exemplo, o Banco, seria prudente aguardar que o Banco se pronunciasse primeiro
para evitar se expuser e for responsabilizada.

O pronunciamento pode atrapalhar as investigações provocando a fuga dos criminosos.

O mais prudente seria reforçar a segurança da Flayton na medida do possível de forma a não
atrapalhar as investigações, correções de brechas, readequação de políticas e procedimentos.

Sergei falhou, mas este tipo de problemas são corriqueiros, um estudo mostrou que entre 616
grandes empresas nos EUA 52% tinham passado por algum caso de uso não autorizado de seus
sistemas de computador.

O que mais preocupa é que o numero de criminosos da informação esta aumentando a cada
dia, a evolução tecnológica nos coloca com produtos e nossas informações tem cada vez mais
valor.