Pesquisa de site

O que é a Lei de Fraude e Abuso de Computadores (CFAA)?

O governo federal dos EUA aprovou a Lei de Fraude e Abuso de Computadores (18 USC §1030) (CFAA) em 1986 como uma emenda à Lei de Controle Abrangente de Crimes de 1984, que incluiu o primeiro estatuto federal de crimes cibernéticos.

Desde a promulgação da CFAA, o congresso e o governo federal alteraram a lei várias vezes para estender seu alcance e impor responsabilidade criminal e civil a atividades maliciosas adicionais de computadores. Essas emendas têm sido o tema de vários processos judiciais proeminentes e um suicídio traumático, envolvendo para sempre o CFAA em controvérsia.

Hoje, a CFAA é a principal lei federal que protege as informações digitais contra acesso não autorizado. A lei rege todos os computadores conectados à Internet e computadores fora da rede usados pelo governo federal ou instituições financeiras.

Abaixo, este guia abrangente listará as atividades que a CFAA criminaliza, descreverá as proteções que oferece às organizações e discutirá os resultados de vários casos notáveis da Suprema Corte.

Saiba como o UpGuard ajuda as organizações a proteger suas informações confidenciais>

Qual é o escopo da Lei de Fraude e Abuso de Computadores?

Quando o governo federal promulgou pela primeira vez o CFAA, a lei criminalizou principalmente o uso intencional de um computador protegido sem acesso autorizado.

No entanto, ao longo dos anos, por meio de emendas e várias decisões de casos da Suprema Corte, o escopo da CFAA foi manipulado para criminalizar todas as seguintes atividades:

  • Acessando conscientemente um computador protegido sem acesso autorizado
  • Exceder conscientemente o acesso à autorização para obter informações confidenciais
  • Participar conscientemente da transmissão de um programa, código ou série de informações digitais com a intenção de prejudicar um sistema de computador
  • Causar danos intencionalmente a um sistema de computador protegido
  • Usar conscientemente a senha ou chave de acesso de outro indivíduo para acessar um sistema protegido
  • Extorsão que envolve o uso de um computador
  • Tráfego de senhas relacionadas a um computador protegido

"Computadores protegidos"

É importante observar que o CFAA cobre apenas atividades comprometidas com um computador protegido. A CFAA define "computadores protegidos" como qualquer computador:

  • Usado exclusivamente por uma instituição financeira
  • Usado exclusivamente pelo governo dos Estados Unidos
  • Usado como parte de um sistema de votação ou na administração de uma eleição federal
  • Usado ou afetando o comércio interestadual ou estrangeiro (incluindo computadores fora dos Estados Unidos)

Em 2008, o Congresso expandiu a definição de "computadores protegidos" para incluir qualquer computador usado ou que afete o comércio interestadual ou estrangeiro. Esta seção da definição de "computador protegido" é agora a mais abrangente. O termo "afetar" dá à CFAA controle regulatório sobre muitas atividades de computador.

"Computador"

Como afirmado anteriormente, o CFAA rege as atividades de qualquer computador conectado à Internet e computadores que não sejam de rede que o governo federal usa. O termo "computador" inclui muitos tipos de dispositivos de processamento de dados de alta velocidade, incluindo:

  • Laptops e computadores de mesa
  • Celulares e smartphones
  • Torres de celular, estações de rádio (Estados Unidos v. Nosal)
  • Sites (Estados Unidos v. Drew)
  • Bancos de dados restritos (Estados Unidos v. Valle)
  • Tablets, Ipads e dispositivos de videogame (Estados Unidos v. Nosal)

A CFAA afirma explicitamente que não se aplica a máquinas de escrever automatizadas, calculadoras portáteis ou dispositivos semelhantes.

"Excedendo o acesso autorizado"

Em 2021, a definição da CFAA de "excede o acesso autorizado" foi definida pelo caso Van Buren v. Suprema Corte dos Estados Unidos. A decisão do caso estreitou as proteções que a CFAA poderia oferecer e resolveu uma divisão de longa data entre os tribunais federais.

A CFAA define "excede o acesso autorizado" como acessar conscientemente um computador com autorização e usar esse acesso para obter ou alterar informações no computador que o acessador não tem permissão para obter ou alterar.

A aplicação dessa definição contribuiu para uma divisão notável nos tribunais federais. Os tribunais discordaram sobre se isso se aplicava a indivíduos que usam indevidamente informações obtidas de um computador ou banco de dados digital que tinham permissão para acessar.

No caso, o tribunal anulou a condenação de Van Buren e decidiu que a CFAA não poderia responsabilizar os funcionários pelo uso indevido de informações confidenciais que eles tinham permissão para acessar. Essa decisão foi digna de nota porque restringiu como os empregadores poderiam usar o CFAA como uma ferramenta de fiscalização.

Nota: Embora os empregadores não possam usar o CFAA para processar funcionários por uso indevido de informações confidenciais que eles tiveram permissão para acessar, os empregadores ainda podem processar funcionários por fraude de computador, divulgação ilegal, extorsão de computador, etc.

Disposições da CFAA

A CFAA aplica punições rigorosas a indivíduos que violam seus estatutos. A lista a seguir inclui as disposições que o CFAA cobre e as sentenças máximas que os infratores primários receberão se forem considerados culpados:

  • Obtenção de informações de segurança nacional - 10 anos
  • Danificar intencionalmente um computador por meio da transmissão de dados - 1 a 10 anos
  • Acessando um computador para fraudar e obter valor - 5 anos
  • Extorsão envolvendo computadores - 5 anos
  • Danos imprudentes por meio de acesso intencional ao computador - 1 a 5 anos
  • Aceder a um computador protegido e obter informação - 1 a 5 anos
  • Invasão de um computador do governo - 1 ano
  • Danos ou perdas negligentes causados por acesso deliberado - 1 ano
  • Tráfico de senhas - 1 ano

Os infratores pela segunda vez que violarem a CFAA enfrentarão penalidades mais severas e sentenças mais longas.

Estatuto de limitações

Os demandantes devem apresentar ações da CFAA aos tribunais dentro de dois anos de:

  • A data em que o réu cometeu o ato
  • A data em que o autor descobriu o acesso não autorizado ou danos

Nota: Ao determinar o prazo de prescrição, as organizações devem estar cientes de que o período de dois anos começa após tomarem conhecimento do acesso não autorizado, mesmo que não conheçam a identidade do perpetrador (Sewell v. Bernardin).

Proteções do empregador sob a CFAA

Embora inicialmente a CFAA protegesse apenas agências governamentais e outras organizações que operavam computadores protegidos, vários empregadores usaram a lei para processar funcionários negligentes ou que cometeram crimes cibernéticos contra eles (geralmente em retaliação por serem demitidos).

Como a CFAA tem um histórico de ser interpretada de forma diferente por vários tribunais no circuito federal, o alcance exato da lei é um tanto desconhecido. A maioria das organizações que entram com ações judiciais da CFAA usa a ampla definição de "computador protegido" da lei para provar que as ações do réu afetaram o comércio interestadual ou estrangeiro.

Várias organizações, como Cisco e Reuters, entraram com ações judiciais contra funcionários, argumentando que as ações do funcionário se qualificam como uma violação da CFAA porque podem causar mais danos a muitos sistemas de computador, incluindo muitos definidos como "computadores protegidos". ”

No entanto, a decisão da Suprema Corte em Van Buren v. Estados Unidos limitou ainda mais como os empregadores poderiam usar a CFAA para criminalizar as ações de funcionários descontentes ou mal-intencionados.

>

Devido às diferentes interpretações da CFAA e à natureza ambígua da lei, todos os empregadores devem instalar outras proteções para proteger suas informações confidenciais.

Para proteger adequadamente suas informações e sistemas de computador contra hackers e uso indevido de funcionários, as organizações devem usar o seguinte para criar uma ampla causa de ação:

  • Acordos de confidencialidade/invenção
  • Acordos de confidencialidade
  • Acordos de não concorrência
  • Políticas de uso do computador
  • Política de segurança da informação

Mapeamento de dados

O mapeamento de dados envolve a correlação de campos de dados de um banco de dados para outro. Os empregadores podem utilizar técnicas de mapeamento de dados para confirmar onde seus dados confidenciais residem em sua rede interna.

Depois que uma organização identifica onde seus dados confidenciais são armazenados, ela pode instalar controles de privacidade de dados para limitar quem tem acesso a várias categorias de informações.

Arquitetura Zero-Trust

Zero trust é um modelo de segurança cibernética que não confia implicitamente em nada dentro ou fora de seu sistema. Essa abordagem de proteção de dados requer autenticação antes de fornecer acesso a informações confidenciais.

Embora dar a todos os funcionários acesso total aos dados possa parecer mais gerenciável, é mais seguro considerar quais informações os funcionários precisam e estabelecer restrições de acesso com base nas informações necessárias. As informações confidenciais devem permanecer criptografadas por trás de um sistema de autenticação multifator (MFA), onde apenas funcionários com uma necessidade comercial legítima podem obter acesso.

As organizações que constroem seus programas de segurança usando a arquitetura de confiança zero podem aumentar a resiliência ao risco e obter controle granular sobre seus recursos internos.

Linha do tempo de emendas notáveis da CFAA e processos judiciais

A história da CFAA pode ser confusa, já que o governo federal alterou essa lei em muitas ocasiões. O cronograma a seguir visa fornecer um registro claro de cada emenda e seu impacto:

  • 1986: O Congresso aprova o CFAA para alterar a Lei de Controle Abrangente do Crime
  • 1994: O Congresso adiciona causa civil de ação à lei. O governo também adiciona fraude, tráfico de senhas e roubo digital como ofensas sob a CFAA. Os tribunais agora podem usar o CFAAT para aplicação do direito penal e para emitir ações civis para indivíduos que agem maliciosamente, em vez de apenas punir suas atividades técnicas.
  • 1996: O Título II da Lei de Espionagem Econômica expande o CFAA de três maneiras. Primeiro, a lei amplia o escopo da seção 1030 (a) (2) para incluir não apenas o roubo de registros financeiros, mas o roubo de qualquer informação (incluindo segredos comerciais) que envolva comunicação interestadual ou estrangeira. Em segundo lugar, a lei eleva muitas das punições da lei ao status de crime. Terceiro, a terminologia de "interesse federal" é trocada por "computadores protegidos". ”
  • 2002: O Congresso aprovou o USA Patriot Act e expandiu a definição de "computadores protegidos" para incluir uma variedade de tecnologia de processamento de dados. O Patriot Act também acrescentou novas penalidades criminais por intenção maliciosa de danificar um sistema de computador usado pelo governo federal.
  • 2008: O Congresso expande o escopo da CFAA novamente para cobrir ameaças de roubo de dados no computador de uma vítima, divulgação pública de informações confidenciais e espionagem relacionada a computadores. O Congresso também continua a expandir a definição de "computadores protegidos" para incluir qualquer computador que afete o comércio interestadual ou estrangeiro.

A CFAA também tem sido tema de muitos processos judiciais. Alguns desses casos chegaram à Suprema Corte dos EUA e tiveram vastas implicações no escopo e na aplicação da CFAA. Os processos judiciais mais notáveis envolvendo a CFAA são:

  • Estados Unidos v. Morris (1991): Lidou com o lançamento do worm Morris, um worm de computador antigo. Os tribunais condenaram o criador do worm de acordo com as disposições da lei.
  • Estados Unidos v. Rodriguez (2010): O tribunal decidiu que o funcionário da Previdência Social havia violado a CFAA ao violar a política de seu empregador e usar um computador de trabalho e um banco de dados da SSA para identificar pessoas que conhecia pessoalmente.
  • Estados Unidos v. Kane (2011): O tribunal decidiu que explorar um bug em uma máquina de pôquer não constitui hacking de computador porque o dispositivo especificado não foi considerado um computador protegido. O caso também descobriu que os pressionamentos de botão que acionaram o bug do software não constituíam propósito impróprio ou excediam o acesso autorizado do indivíduo. O réu enfrentou acusações subsequentes por fraude eletrônica.
  • Estados Unidos v. Aaron Swartz (2011): Swartz entrou em um armário de fiação do MIT e configurou seu laptop para concluir um download em massa de artigos no banco de dados JSTOR. Ele evitou tentativas do MIT de interromper suas atividades falsificando seu endereço MAC. O tribunal indiciou Swartz por várias acusações. O juiz rejeitou o caso depois que Swartz cometeu suicídio.
  • Lee v. PMSI, Inc. (2011): A PMSI, Inc. processou seu ex-funcionário por verificar seu e-mail pessoal, violando a política de uso aceitável da empresa. O tribunal decidiu que violar uma política de uso aceitável não constituía "acesso não autorizado" sob a lei. Portanto, o uso do computador pelo funcionário não violou o CFAA.
  • Van Buren v. Estados Unidos (2020): Uma operação policial pega um policial da Geórgia usando indevidamente seu banco de dados de placas. Em junho de 2021, a Suprema Corte anulou o caso. A Suprema Corte decidiu que a CFAA define "excede o acesso autorizado" como acessar informações protegidas e partes do sistema de computador que estão fora dos limites. O tribunal também decidiu que essa definição não se aplica a indivíduos que usam indevidamente as informações que estão autorizados a acessar.

Embora a CFAA imponha responsabilidade civil e criminal a atividades negligentes de computador e tenha como objetivo proteger as organizações contra intenções maliciosas, a natureza ambígua da lei pode ser preocupante para as organizações navegarem.

A melhor maneira de as organizações protegerem suas informações confidenciais sem se preocupar com o escopo da CFAA é instalando as melhores práticas em seu programa de segurança cibernética.

O UpGuard BreachSight pode capacitar sua organização a monitorar sua superfície de ataque 24 horas por dia, 7 dias por semana. Ao utilizar o produto, sua organização pode mitigar e corrigir ataques internos e externos e obter acesso a:

  • Atualizações em tempo real (monitoramento contínuo),
  • Detecção abrangente de vazamento de dados,
  • Fluxos de trabalho de correção,
  • Classificações de segurança,
  • Modelos de relatório personalizados e muito mais