Seguridad Cibernética: Perspectivas Legales Presentación, 4 de septiembre de 2003 Congreso de Educación y Tecnología Universidad Interamericana, Recinto Barranquitas Carmen R. Cintrón Ferrer © 2003, Derechos Reservados

Seguridad cibernética Perspectivas legales  Legislación aplicable Legislación aplicable  Encausamiento criminal y manejo de la evidencia (“Forensics”) Encausamiento criminal y manejo de la evidencia  Demandas en daños (“torts”) y responsabilidad frente a 3ros Demandas en daños (“torts”) y responsabilidad frente a 3ros  Organizaciones de apoyo Organizaciones de apoyo  Recapitulación final

 Computer Fraud and Abuse Act (1986) Computer Fraud and Abuse Act (1986) 18USCCh47 sec define dos tipos de delito grave: “Unauthorized access to a federal interest computer with the intention to commit fraudulent theft” “Malicious damage involving alteration of information in, or preventing the use of a federal interest computer provoking loses of $10,000 or more, except medical records” “A federal interest computer includes financial institutions” “If convicted the penalty could be years” “defines a misdemeanor for traffic in passwords” Test cases: Robert Morris (Cornell student) & Zinn (HS) Perspectivas legales Legislación penal aplicable

 Computer Fraud and Abuse Act (1986) Computer Fraud and Abuse Act (1986) La sec.1030 define diferentes escenarios delictivos: Espionaje contra el gobierno federal - sec. 1030(a)(1) Uso no autorizado de equipo - sec. 1030(a)(2) Incursionar (“tresspass”) en equipo – sec. 1030(a)(3) Acceder con intención de defraudar – sec. 1030(a)(4) Afectar el uso o integridad (DoS) – sec. 1030(a)(5) Tráfico de claves (“passwords”) – sec. 1030(a)(6) Extorsión – sec. 1030(a)(7) ¿Virus? Perspectivas legales Legislación penal aplicable

 Credit Card Fraud Credit Card Fraud 18USC sec define como delito grave: Poseer por lo menos 15 números de tarjetas de contrabando Atacar un sistema de computadoras para acceder información sobre números de tarjetas de crédito al cual no tiene autorización de acceso, aún cuando no pueda demostrase daños ascendentes a $5000 ó más Perspectivas legales Legislación penal aplicable

 Federal Trade Commission Act Federal Trade Commission Act 15 USC sec abarca operaciones en el Web: Divulgar las políticas sobre privacidad de los ISP Exponer de forma clara y visible las normas Prevenir el “online profiling” y robo de identidadrobo de identidad Política de no intervención en el WEB para regular privacidad, excepto referente a menores (COPA) Guías sobre prácticas legítimas y razonables (“Fair practices”) que cobijen al consumidor Guías sobre prácticas legítimas y razonables (“Fair practices”) que cobijen al consumidor Perspectivas legales Legislación penal aplicable

 Children’s Online Privacy Protection Act (COPA) 15USC sec. 6501dispone: Children’s Online Privacy Protection Act (COPA) Sitios Web comerciales dirigidos a niños (“online services targeted to children”) menores de 13 años. Recoger información personal acerca de niños Exige consentimiento de los padres Obliga a notificar acerca de la información que se recoge El incumplimiento da base a que se determine una práctica engañosa o injusta (“unfair or deceptive”) Cuestionamiento constitucional

“ Electronic Communications Privacy Act ( ECPA)” “ Electronic Communications Privacy Act ( ECPA)” Interceptación de comunicaciones ( 18USC2511) Proscribe la interceptación de comunicaciones telefónicas y electrónicas, incluyendo al gobierno, quien necesita una orden de cateo (“warrant”) Un intruso que coloca un “sniffer” puede considerarse como una interceptación ilegal Cierto tipo de vigilancia (“monitoring”) por parte de las organizaciones, también, puede considerarse una interceptación ilegal Perspectivas legales Legislación penal aplicable

 Electronic Communications Privacy Act (1986) Electronic Communications Privacy Act (1986) ECPA Reemplaza en parte el Omnibus Crime Act (1968) Extiende las protecciónes del título III sobre privacidad a la transmisión y almacenamiento de las comunicaciones electrónicas. Protege el contenido de la comunicación y documento electrónico Incluye los segmentos de comunicación inalámbrica Abarca la expectativa de privacidad que cubre el empleo Perspectivas legales Legislación penal aplicable

 Copyrights (18 USC 2319): Copyrights (18 USC 2319): Define como delito menos grave la reproducción y/o distribución de material protegido por derechos de autor cuando por lo menos se han hecho 10 copias y el valor total excede $1,000. De exceder el valor los $2,500 el delito se convierte en grave Si un sistema de computadores ha sido comprometido y está siendo utilizado para la distribución ilegal de material protegido el dueño o proveedor del SW puede estar incurriendo en delito punible independientemente que se demuestren o no daños en exceso de $5,000 Perspectivas legales Legislación penal aplicable

Perspectivas legales C onsecuencias penales de otros actos  Cyberstalking – Vigilar y seguir a un cibernauta mientras navega en Internet ( “Shadowing a user from site to site while navigating the Internet”) constituye hostigamiento (California) Cyberstalking  Identity theft – Impostura (E-sign) Identity theft E-sign  SPAM – “ remital of bulk unsolicited mail” (legislación pendiente ante el Congreso & California) SPAM  “Reverse computer tresspass & Data mining” CGI ejecuta código que revierte datos del usuario al servidor WEB. Utilizar datos y “cookies” para “profiling” ##

 National Information Infrastructure Protection Act (1996) PL amplia los delitos por fraude y abuso de tecnología para integrar: National Information Infrastructure Protection Act Obtener y divulgar información relativa a la defensa nacional Uso indebido de tecnología para obtener información del gobierno federal en sistemas públicos o privados Integra la presencia en Internet Aumenta a delito grave los delitos donde el impacto del uso indebido o impropio es sustancial Redefine “protected computer” para aclarar transacciones “interstate or foreign commerce” Aplica a todas las transmisiones o amenazas por cualquier medio que pretendan interferir con las operaciones normales, negar acceso a usuarios legítimos, borrar archivos,corromper programas,o ataponar el tráfico en las redes. Perspectivas legales Otra legislación aplicable

 Gramm-Leach Bliley Financial Services Modernization Act – GLB Act (1999) Gramm-Leach Bliley Financial Services Modernization Act – GLB Act (1999) Impone a las instituciones financieras la obligación afirmativa de proteger la información de sus clientes Requiere divulgar a los clientes los escenarios de compartir información entre instituciones y permitirles “opt out” Requiere divulgar anualmente las medidas que tiene implantadas para proteger la información de los clientes Incluye datos personales, datos financieros, sobre servicios y sobre transacciones del cliente Perspectivas legales Otra legislación aplicable

 Health Insurance Portability and Accountability Act – HIPPA (1996) Health Insurance Portability and Accountability Act – HIPPA (1996) Establece estándares para la transmisión electrónica de datos entre proveedores médicos y los aseguradores o el gobierno Seguridad y privacidad en el ámbito administrativo:  Certificación  Procedimientos  Planificación de contingencias  Procesos de seguridad para personal, “incident response”, etc  Auditorías Seguridad y privacidad en el ámbito físico:  Control de los medios  Control de acceso físico  Monitoreo sobre el uso de los equipos y estaciones de trabajo Seguridad y privacidad en el ámbito técnico:  Autenticación de usuarios## Perspectivas legales Otra legislación aplicable

 Encausamiento criminal (“prosecution”): Debe haberse cometido un delito Debe existir evidencia admisible que lo sostenga Debe haber interés o intención de encausar Participación del asesor legal de la organización Integración de los agentes del orden público Perspectivas legales Encausamiento criminal

 Admisibilidad de la evidencia: Documento original es la mejor evidencia Se obtuvo por medios lícitos, en cumplimiento con las reglas de procedimiento criminal y la constitución Documento se produjo o tramitó siguiendo los procedimientos establecidos. Documento se depositó, guardó y custodió adecuadamente para evitar su adulteración o modificación indebida. Documento lo presenta quien lo produjo o tramitó. El proceso de almacenarlo, guardarlo y custodiarlo lo describe la(s) persona(s) a cargo Los peritos deben ser calificados, previo a su presentación Perspectivas legales Manejo de la evidencia

Actos negligentes pueden conllevar reclamaciones de daños y perjuicios (“torts” ) por responsabilidad personal o fiduciaria frente a terceros. Ámbito o dimensión de la responsabilidad:  Actos propios  Actos de otros por los cuales respondemos (fiduciarios) Perspectivas legales Responsabilidad frente a terceros

 Resposabilidad basada en actos negligentes: Áreas de responsabilidad primaria:  Indolencia, ignorancia o negligencia al administrar los recursos de información de la organización  Uso indebido con la intención, o no, de causar daño  “Internal monitoring” – empleados, clientes, visitantes  “Downstream liability” – permitir a 3ros utilizar nuestra infraestructura tecnológica para causar daño a otros  “Attack back” – ripostar al atacante de manera similar Responsabilidad fiduciaria:  Divulgación indebida sobre clientes, proveedores, otros  Violación a derechos de propiedad industrial e intelectual Perspectivas legales Responsabilidad frente a terceros

 Responsabilidad por negligencia surge por: Dejar de divulgar posibles riesgos de seguridad Fallar en implantar la tecnología más reciente Fallar en la operación de la tecnología Dejar de ejercer la debida rigurosidad al implantar políticas o procedimientos Dejar de fiscalizar el cumplimiento con políticas y procedimientos Perspectivas legales Responsabilidad frente a terceros

 “Standard of due care”: Describe las precauciones que debemos tomar para proteger los recursos y la información de los clientes Actuar de acuerdo con las normas y procedimientos prescritos para operar y reducir los riesgos Incrementar y fortalecer las medidas de resguardar el perímetro de acción o de responsabilidad por riesgos Reducir el margen de error humano Actuar como un buen padre de familia lo haría Estándares de ISO17799 Perspectivas legales Responsabilidad frente a terceros

 ¿Qué hacer?: Ejercer el “standard of due care” Fortalecer las relaciones con la división legal y recursos humanos Cumplir con la legislación aplicable Notificar o divulgar los incidentes de actuación indolente Colaborar con la gerencia, auditores, agencias reguladoras y del orden público en la investigación del incidente Tomar medidas para evitar que se repitan estos incidentes Educar a las partes directamente responsables Mantener al día la tecnología que fiscaliza el perímetro## Perspectivas legales Responsabilidad frente a terceros

 “European Data Privacy Initiatives” (1998):European Data Privacy Initiatives” (1998): Notificar qué se recopilando Elección – “opt–in”/ “opt–out” Transferencia – basada cumplimiento requerimientos Aceso a datos garantizado Seguridad – frente a acceso indebido o no autorizado Integridad – metodología para corregir datos errados Perspectivas legales Agencias reguladoras (EUC)

 Asociaciones de profesionales en el área: National White Collar Crime Center National Consortium for Justice Information and Statistics (SEARCH) National Consortium for Justice Information and Statistics (SEARCH) High Technology Crime Investigators Association (HTCIA) National Cybercrime Training Partnership (NTCP) “Hay una necesidad imperiosa de profesionales en este campo que dominen la tecnología y se interesen por el cumplimiento con el sistema de ley.” Perspectivas legales Organizaciones de apoyo

 Organizaciones particulares que certifican prácticas seguras del comercio en WEB y la protección al consumidor: TRUSTe – revisa regularmente sedes certificadas y recomienda cambios en procesos TRUSTe BBBOnline – programa de certificación de negocios sujetos a sus prácticas recomendadas BBBOnline Webtrust – certificación por auditores de cumplimiento con estándares en: Webtrust  Business Practice Disclosure  Transaction Integrity  Information Protection

Perspectivas legales Defensa libertades civiles  “American Civil Liberties Union (ACLU)” “American Civil Liberties Union (ACLU)”  “US Commission on Civil Rights” “US Commission on Civil Rights”  Derechos.net – “Human Rights Links” Derechos.net – “Human Rights Links”  “Electronic Frontier Foundation (EFF)” “Electronic Frontier Foundation (EFF)”  “Electronic Privacy Information Center (EPIC)” “Electronic Privacy Information Center (EPIC)”  “Computer Professionals for Social Responsibility (CPSR)” “Computer Professionals for Social Responsibility (CPSR)”  “US Internet Industry Association(USIIA)” “US Internet Industry Association(USIIA)”  “American Libraries Association (ALA)” “American Libraries Association (ALA)”  “Civil Rights Organization” “Civil Rights Organization”

Perspectivas legales Defensa libertades civiles  “Defense Advanced Research Projects Agency (DARPA) Total Information Awareness Program (TIA)”: “Defense Advanced Research Projects Agency (DARPA) Total Information Awareness Program (TIA)”: Terrorism Information Awareness System Is Big Brother really watching us … to protect and defend, or what?

Preguntas

Referencias  Tanenbaum, Computer Networks  Maiwald, Network Security  Proctor & Byrnes, The secure enterprise  Schenk, Wireless LAN Deployment  daCruz, Safe networking computing (Columbia U., Sep 2001)  McHugh,Christie & Allen, The role of intrusion detection systems (IEEE Software, Sep/Oct 2000)  Allen, et als., Improving the security of Networked systems (STSC Crosstalk Oct, 2000)