IMPORTANTE: Lei do Cibercrime / Proposta de lei N.º 289/X/4º

Não sei se já conhecem, se já leram, ou se apenas ouviram falar: Lei do Cibercrime / Proposta de lei N.º 289/X/4º.

Se não leram e ainda estão um bocadinho perdidos, recomendo - recomendo mesmo! - que leiam e comecem a pensar um bocado sobre o que lá está escrito. O documento apresenta um conjunto de ambiguidades - na minha opinião, são ambiguidades - quanto a temas como, por exemplo, (a) produção, utilização e disseminação ilegítimas (?) de ferramentas que utilizamos em testes e revisões de segurança, (b) associação criminosa e pertença a grupos que incluam, entre outras actividades, o fornecimento de instrumentos de crime que possam ser utilizados em práticas ilegítimas.

E estes são apenas alguns exemplos.

Para começo de conversa, parece-me que ninguém vai voltar a fazer quaisquer testes a sistemas de clientes, internos ou externos, sem ter uma carta de autorização assinada por alguém que vincule a empresa - há já muito tempo que não os faço de outra forma - porque, se houver um desentendimento no decurso das actividades, existe risco substantivo para quem estiver a realizar os testes.

Para continuar, o documento deixa no ar interrogações como: podemos analisar e apresentar vulnerabilidades e exploits? Podemos programá-los? Em que contextos? O que significa legítimo (ou ilegítimo) neste cenário? Se participarmos no desenvolvimento de ferramentas como o NMAP, estamos a incorrer num crime? Se publicarmos uma referência a essas ferramentas, num site próprio, estamos a promover a sua disseminação? Quem é que determina que o trabalho feito por profissionais, no decurso normal da sua actividade, é legítimo ou ilegítimo? E quais são os critérios? Etc.

Novamente, recomendo a leitura do documento para podermos discuti-lo. Por esta via, ou no próximo gathering da Confraria Security & IT.