Fonte: Sora Shimazaki/Pexels.
Os judiciários em todo o mundo enfrentam uma ameaça grave e intensificada de ataques cibernéticos, especialmente à medida que a transição para a administração e gestão de casos digitais – acelerada pela pandemia da COVID-19 – continua.
Os tribunais nas Américas enfrentam milhões de ataques cibernéticos a cada ano, e a ameaça está crescendo. Em setembro de 2023, um enorme ataque de ransomware foi lançado contra o judiciário colombiano, causado por vulnerabilidades introduzidas por um custodiante de dados de terceiros. O ataque forçou a suspensão de cerca de dois milhões de processos judiciais e o cancelamento de audiências judiciais por mais de uma semana. Isso se assemelha a um ataque de 2020 de “amplitude e escopo surpreendentes” contra o judiciário dos EUA por atores estrangeiros. Embora não afetasse as operações públicas, o ataque representou um grave perigo para a integridade dos tribunais dos EUA e levou à promulgação de medidas de emergência para evitar que registros judiciais altamente sensíveis fossem comprometidos. Da mesma forma, judiciários na Argentina, Brasil, Chile e México sofreram recentemente ataques cibernéticos — e isso representa apenas alguns exemplos.
É quase certo que esses tipos de ataques aumentarão em escopo e frequência à medida que mais processos judiciais forem instaurados e o poder da computação (e agora, da inteligência artificial) continuar a acelerar. Judiciários em todas as Américas devem começar a colocar a segurança cibernética entre suas principais prioridades administrativas, ou então correm o risco de uma catástrofe.
A Crescente Ameaça Digital à Administração Judicial e ao Estado de Direito
Os ataques cibernéticos contra sistemas judiciais não são apenas inconvenientes técnicos que comprometem a eficiência judicial. Em vez disso, são ataques à legitimidade do sistema de justiça e ao próprio estado de direito. Como observou um ex-membro do Comitê de Tecnologia da Informação da Conferência Judicial dos EUA, “não é exagero dizer que o estado de direito está em jogo” no que diz respeito à segurança cibernética judicial.
Essa preocupação decorre do papel dos judiciários como repositórios de informações altamente sensíveis e de sua representação simbólica da justiça e da legitimidade do Estado. Os registros judiciais contêm segredos comerciais, propriedade intelectual, identidades de informantes protegidos e dados de segurança nacional. Da mesma forma, vazamentos de produtos de trabalho judicial, como correspondência entre juízes e rascunhos de pareceres, podem ter sérias consequências.
De forma mais ampla, a infraestrutura judicial representa um sistema de missão crítica que impacta diretamente a segurança nacional. O ciberataque de 2023 ao judiciário colombiano fornece uma pequena amostra dos danos potenciais que um ataque digital bem-sucedido em todo o sistema a um ramo judicial poderia infligir.
Imagine um cenário onde os sistemas de arquivamento e gerenciamento de casos online sejam desativados por semanas, o que, por sua vez, exige que os casos em andamento sejam suspensos. Embora alguns casos possam continuar usando documentação em papel, essa não é uma opção viável em escala. Como resultado, os litigantes com direito a medidas judiciais de emergência, como ordens para parar de usar os segredos comerciais de um concorrente ou ordens de restrição para prevenir a violência doméstica, podem não recebê-las. Além disso, informações confidenciais, como a identidade de informantes policiais protegidos, dados comerciais confidenciais ou informações confidenciais de segurança nacional, podem ser divulgadas publicamente, causando danos potenciais a indivíduos ou organizações envolvidas.
Além dos óbvios danos sociais e perdas econômicas — que se pode assumir com segurança que atingiriam as centenas de milhões de dólares — tal evento semearia desconfiança na segurança e confiabilidade das instituições judiciais, pedras angulares de sua legitimidade. Esse tipo de dano reputacional não é facilmente reconstruído, tornando esses ataques atraentes para regimes autoritários que buscam prejudicar a governança democrática em nossa região.
O Caminho Difícil Adiante: Projetando e Implementando Respostas Eficazes
As respostas eficazes às ameaças judiciais à cibersegurança são particularmente desafiadoras, no entanto, por quatro razões principais. Primeiro, os judiciários são descentralizados organizacional e fisicamente. Normalmente, não existe um líder supremo judicial que possa simplesmente impor mudanças como um presidente. Em vez disso, os executivos judiciais devem persuadir (ou, às vezes, adular) cada sistema judicial local ou regional a implementar reformas de segurança cibernética.
Em segundo lugar, à medida que os judiciários em todo o mundo adotam plataformas digitalizadas, sua exposição a ataques se expandiu. A pandemia acelerou esse processo, colocando muitas jurisdições na posição desconfortável de ter adotado rapidamente novas tecnologias sem a infraestrutura institucional para protegê-las.
Em terceiro lugar, os ideais de democracia e transparência que nosso hemisfério valoriza significam que nossos judiciários devem dar ao público acesso direto a muitos de seus sistemas de TI, como registros online, tornando-os particularmente vulneráveis. Além disso, uma função central dos modernos sistemas de gerenciamento de casos online é permitir que os litigantes façam upload de conteúdo para redes judiciais.
Em quarto e último lugar, a segurança cibernética é cara. Alguns especialistas chamam isso de “o maior custo de proteção da história moderna”. E como essas necessidades de financiamento são complexas e de longo prazo, contar apenas com o processo de dotações anuais geralmente é insuficiente. Embora veículos de financiamento especiais como o Fundo de Tecnologia da Informação do Judiciário dos EUA ou o Fondo Nacional para el Fortalecimiento y Modernización de la Impartición de Justiciado do México ajudem no planejamento de longo prazo, eles atualmente não cobrem totalmente as necessidades de segurança cibernética dos tribunais. Pior ainda, o fundo mexicano foi recentemente eliminado, criando um vácuo de financiamento estável para a segurança cibernética judicial neste país do G20.
Hora de Agir
Mais amplamente, a liderança judicial deve mudar sua mentalidade em torno da segurança cibernética. Infelizmente, uma abordagem “mágica” da segurança cibernética domina tradicionalmente a estratégia de segurança cibernética, especialmente em instituições conservadoras e não centradas na tecnologia, como os tribunais. A abordagem da magia vê a cibersegurança como uma batalha entre “bruxos” tecnológicos de cada lado, como um Harry Potter digital. Você vence a guerra dos bruxos quando seus bruxos tecnológicos superiores podem derrotar os atacantes – sua Grifinória para a Sonserina deles.
No entanto, a experiência mostra que este é um erro grave. O planejamento eficaz de segurança cibernética requer coordenar processos inter-relacionados em toda a organização, além de apenas especialistas em TI: recursos humanos, finanças, compras, comunicações e gerenciamento de alto nível. O ataque colombiano prova isso. Como foi direcionado contra um fornecedor terceirizado importante, a única maneira de impedi-lo foi ter integrado o planejamento de segurança cibernética nos processos de aquisição e supervisão estratégica do judiciário.
A abordagem mágica também ignora que o comportamento humano cria muitas vulnerabilidades de segurança cibernética. Nas palavras de um administrador judicial de alto escalão com quem conversei: “Seria um grande passo apenas convencer os juízes a parar de usar o seu Gmail para negócios oficiais”. Da mesma forma, a tomada de decisão humana, em última análise, impulsiona a forma como a tecnologia é obtida, implementada, usada e mantida.
A perspectiva de Hogwarts-para-computadores deve, portanto, ser substituída por uma abordagem “gerencial” que vê a segurança cibernética como outro processo institucional de missão crítica que, como segurança física ou conformidade legal, requer colaboração em toda a instituição e supervisão de alto nível.
Essa mentalidade gerencial também está ligada às medidas mais práticas que os judiciários devem tomar para proteger seus ativos digitais. Para começar, o financiamento deve ser harmonizado com o planejamento de longo prazo de demandas efetivas de segurança cibernética. As dotações anuais simplesmente não são confiáveis o suficiente para que os judiciários façam compras maiores de infraestrutura de TI ou sustentem a implementação de iniciativas plurianuais. São necessários mecanismos especiais de financiamento.
O planejamento estratégico que responde às necessidades exclusivas de um judiciário também deve acompanhar esse financiamento. Uma estratégia nacional de segurança cibernética é essencial, e os principais administradores judiciais devem participar diretamente de seu desenvolvimento e implementação. (Ou, no mínimo, eles devem desenvolver suas próprias estratégias complementares adaptadas ao sistema judicial.) Esses esforços podem ser catalisados pela criação de unidades que trabalham em todos os ramos do governo em questões de segurança cibernética, como o grupo de consultoria 18F da Administração de Serviços Gerais (GSA) dos EUA.
Finalmente, os judiciários podem tomar várias medidas pequenas, mas eficazes, agora para reforçar a segurança cibernética sem grandes despesas adicionais. Primeiro, eles podem criar práticas de TI uniformes em todo o judiciário, tornando os sistemas de TI mais fáceis de administrar e proteger, ao mesmo tempo em que permite a compartimentação de dados. Em segundo lugar, a liderança judicial pode criar canais diretos de comunicação com os poderes executivo e legislativo especificamente sobre segurança cibernética, garantindo que a questão continue sendo uma prioridade administrativa. Em terceiro lugar, os judiciários podem enfatizar o treinamento em segurança cibernética para funcionários de todos os escalões. Não precisa ser técnico. As maiores vitórias são frequentemente encontradas na mudança de comportamento básico, como limitar a comunicação oficial aos sistemas oficiais.
Seja qual for a abordagem, os judiciários precisam agir proativamente sobre essa questão hoje. Caso contrário, colocamos em grande risco um dos ideais mais valiosos das Américas, incorporado pela Carta Democrática Interamericana – o Estado de Direito.
Jeffrey E. Zinsmeister é um parceiro da Global Americans especializado em estado de direito, segurança cibernética, privacidade de dados e crime organizado, com mais de 20 anos de experiência em direito e assuntos internacionais. Ex-diplomata dos EUA e funcionário da Organização dos Estados Americanos, ele trabalhou extensivamente em toda a América Latina e Caribe, com experiência particular no México e no Brasil. Atualmente também é consultor jurídico no escritório de advocacia Holcomb & Ward LLP, e co-autor do livro Lost (and Found) in Translation: How to Find, Hire, and Work with the Right Professional Translator for Your Business, publicado em 2022.
As opiniões expressas acima são exclusivamente as do autor em sua capacidade pessoal.
