setembro 09, 2013

[Segurança] Bradley Manning, Edward Snowden e a ética na segurança da informação

As constantes revelações do esquema de espionagem do governo americano por Edward Snowden e a recente condenação do soldado americano Bradley Manning por ter vazado documentos secretos dos EUA para o Wikileaks traz uma discussão interessante para os profissionais de segurança da informação.

De um lado está Manning: um ex-analista de inteligência do exército americano condenado por vazar milhares de documentos secretos que, entre outras coisas, mostravam crimes de guerra que os EUA escondiam. Ao seu lado, Edward Snowden, um ex-analista de inteligência subcontratado que ficou mundialmente conhecido ao divulgar informações secretas sobre os projetos secretos do governo americano para espionar indiscriminadamente todo mundo que usa a Internet.

De outro lado está a sociedade, que sonha com uma Internet livre, com regimes democráticos e privacidade. E no meio disso tudo estamos nós, profissionais de segurança, responsáveis por proteger todas as informações das empresas em que trabalhamos. Fazemos isso através de tecnologias (como criptografia, controles de acesso, firewalls, backups, ferramentas contra vazamento de dados e muito mais) e processos, que incluem treinamento e conscientização.

Mas, nos casos do Manning e Snowden, não foram vazamentos acidentais nem simples, por alguns motivos:
  • foram copiadas uma quantidade gigantesca de dados - no caso do Manning, foram cerca de 750 mil documentos classificados como secretos do governo americano
  • os documentos descrevem ações eticamente questionáveis do governo. No caso do Manning, segundo seu julgamento próprio, eram provas de crimes de guerra, atrocidades e ações moralmente condenáveis realizadas pelo exército e pelo governo americano. No caso do Snowden, eram provas de que o governo americano e a NSA montaram uma gigantesca estrutura para espionar indiscriminadamente praticamente todo mundo que habita o planeta Terra, desrespeitando princípios básicos de privacidade e respeito.
E como um profissional de segurança deveria se portar frente a um caso desses? Qual deve ser o nosso posicionamento frente a alguém que vaza informações que dizem respeito a ações aparentemente ilegais ou imorais de uma empresa ou governo? devemos simplesmente condená-los?

Para pensar sobre isso, recorro a um recurso muito conhecido por vários de nós, o Código de Ética elaborado pelo ISC2:
  1. Protect society, the common good, necessary public trust and confidence, and the infrastructure.
  2. Act honorably, honestly, justly, responsibly, and legally.
  3. Provide diligent and competent service to principals.
  4. Advance and protect the profession.

Baseado no código acima, vemos que o primeiro e mais importante princípio de todos nós deve ser "proteger a sociedade e o bem comum".

Não estou dizendo que devemos ajudar ou fazer vistas grossas a quem vaza informações. Mas, para nós, é muito mais fácil trabalhar para uma empresa ou órgão de governo que age eticamente. Infelizmente existem empresas e governos que não se enquadram nessa categoria, e temos o total direito ético de nos recusarmos a trabalhar em um lugar assim. E, se descobrimos tais atitudes em nosso ambiente de trabalho, devemos tomar todas as medidas cabíveis, do ponto de vista legal, ético e moral, para denunciar o que estiver acontecendo de errado.

Como denunciar? Converse com seus superiores imediatos. Além disso, grandes empresas possuem, normalmente, um canal para que funcionários denunciem comportamento não ético ou ilegal. Se estes dois caminhos não funcionarem, geralmente há órgãos reguladores que são responsáveis por tratar tais denúncias. Roubar informações confidenciais e divulgá-las na imprensa, definitivamente, não é a melhor forma de denunciar um problema, nem a mais ética. Embora possa ser uma medida extrema a ser tomada em alguns casos especiais.

O que Manning, Snowden e o Assange nos ensinam, na minha opinião, é que infelizmente, às vezes é preciso agir errado para fazer o que é certo. Mas esse é um passo muito questionável, perigoso e que exige muita responsabilidade, coragem e preparação para enfrentar as consequências.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.