Norma ABNT NBR ISSO/IEC 27037:2013 – Diretrizes para identificação, coleta, aquisição e preservação de evidência digital

A Organização Internacional de Padronização é a instituição responsável pela criação das normas ISO que, de maneira geral, objetivam melhorar a qualidade de produtos e serviços.

À luz desse intento veio à tona a Norma ABNT NBR ISSO/IEC 27037:2013, com a finalidade de estabelecer diretivas e orientações para a realização de atividades específicas no manuseio das evidências digitais.

Mais especificamente, a norma objetiva fornecer instruções para as atividades consistentes na identificação, coleta, aquisição e preservação da evidência digital que possua algum valor probatório. Além disso, também possui o condão de simplificar o intercâmbio de potenciais evidências digitais entre jurisdições distintas, bem como auxiliar determinadas organizações em seus processos disciplinares.

E qual a relevância disso tudo?

Ora, nada mais necessário nos tempos atuais do que garantir que as pessoas pudessem gerenciar evidências digitais mediante a utilização de métodos reconhecidos mundialmente e, desta forma, padronizar a investigação de evidências digitais de maneira imparcial e segura.

Para tanto, a norma preocupou-se em definir quem seriam os responsáveis pelo manuseio da aludida prova e os classificou da seguinte forma:

1. Primeiro interventor da evidência digital (DEFR) – Pessoa que está autorizada, treinada e qualificada para desempenhar as atividades de identificação, coleta, aquisição e preservação da potencial evidência digital no local do incidente, além de ser responsável por assegurar a integridade e autenticidade da potencial evidência digital.
2. Especialista em evidência digital (DES) – Pessoa que pode possuir os conhecimentos de um DEFR e possui conhecimento especializado, aptidão e habilidade para lidar com uma ampla gama de questões técnicas. O papel do DES envolve fornecer suporte técnico ao DEFR na identificação, coleta, aquisição, e preservação da potencial evidência digital no cenário do incidente.

A norma adentra inclusive em questões principiológicas da própria natureza daquilo que se entenderá por evidências digitais, definindo que todas serão regidas pelos princípios da: a) relevância, b) confiabilidade e c) suficiência.

Nesse prisma, assevera que (I) a evidência digital será relevante quando tiver o poder de provar ou refutar um elemento de determinada investigação; (II) será confiável quando todos os processos utilizados em seu manuseio sejam passíveis de auditoria e repetição; e (III) será suficiente quando sua coleta e/ou aquisição for o bastante para permitir uma adequada investigação.

É cediço que a evidência digital muitas vezes é dotada de relativa fragilidade e volatilidade, uma vez que, em alguns casos, é possível alterá-la, adulterá-la ou até mesmo destruí-la meramente em função de um manejo impróprio ou inadequado. Logo, o preceito normativo sob análise houve por criar processos para definição do mais correto manuseio da evidência, quais sejam:

1. Identificação – O processo de identificação envolve a pesquisa, reconhecimento e documentação da potencial evidência digital.
2. Coleta – Nesse processo os dispositivos que possam conter potencial evidência digital são removidos de sua localização original para um laboratório ou outro ambiente controlado.
3. Aquisição – Envolve a produção da cópia da evidência digital e documentação de métodos usados e atividades realizadas.
4. Preservação – Envolve a guarda da potencial evidência e do dispositivo digital que pode conter a potencial evidência digital contra espoliação (ato de realizar ou permitir alterações que diminuam o valor probatório da evidência digital) ou adulteração (ato de deliberadamente realizar ou permitir alterações na potencial evidência digital com o intuito de diminuir-lhe valor).

A esse respeito, todavia, registre-se desde logo que as breves definições ora reproduzidas não se prestaram ao aprofundamento nas igualmente importantes espécies e meandros de cada processo acima mencionado. Por exemplo, é possível que o DEFR precise refletir cautelosamente acerca da melhor modalidade de coleta ou de aquisição a ser utilizada em determinado caso em concreto a depender do contexto no qual a potencial evidência digital esteja inserida.

Outrossim, a norma também define 4 (quatro) aspectos fundamentais para o manuseio da evidência digital:

1. Auditabilidade – É recomendável que os processos realizados pelo Interventor (DEFR) e Especialista (DES) estejam disponíveis para avaliação independente com o intuito de determinar se o método científico, a técnica ou o procedimento foi adequadamente seguido.
2. Repetibilidade – É estabelecida quando os mesmos resultados de testes conseguem ser reproduzidos, levando em consideração as seguintes condições: a) Utilizando os mesmos processos e métodos de medição, b) utilizando os mesmos instrumentos e mesmas condições e c) pode ser repetido a qualquer tempo depois do teste original.
3. Reprodutibilidade – Para haver reprodutibilidade os testes subsequentes precisam ser realizados sob as seguintes condições: a) Utilizando os mesmos métodos de medição, b) utilizando diferentes instrumentos e sob diferentes condições e c) poder ser reproduzido a qualquer tempo depois do teste original.
4. Justificabilidade – O Interventor (DEFR) deve ser capaz de justificar todas as ações e métodos utilizados para o manuseio da potencial evidência digital.

Façamos então algumas conjecturas trazendo a aplicação dessa norma para uma realidade ainda mais palpável, suponhamos a simples utilização de uma conversa de WhatsApp como prova em um processo judicial. Sabemos que, habitualmente, as juntadas de provas digitais como essa acontecem através da captura da tela do aplicativo, seguida da impressão da imagem e, por fim, anexando o documento impresso em uma petição.

Contudo, este procedimento tido como normal no cenário atual está em desarmonia com os padrões da norma analisada, traduzindo-se então como uma prova digital de característica inidônea.

Mas por quê?

Porque essa evidência digital pode até ser relevante do ponto de vista da investigação, mas de maneira alguma poderá ser classificada como confiável – já que desta forma restaria inauditável e irrepetível – e, provavelmente, também não seria suficiente para o que se prestaria a provar.

Para evitar essa obscuridade, seria necessário contratar um terceiro, preferencialmente um profissional técnico, imparcial e com habilidades para a realização do procedimento conforme as normas técnicas e as doutrinas da computação forense.

Vamos ainda mais além.

Um advogado conhecedor da norma saberia que após o DEFR coletar e/ou adquirir uma evidência digital que seria utilizada contra seu cliente em um determinado processo judicial, que esse profissional deveria descrever detalhadamente como, quando e por quem aquela evidência foi descoberta, encontrada, coletada, tratada, examinada, armazenada, ou seja, tudo o que efetivamente aconteceu com a prova naquela investigação. Logo, a ausência de qualquer uma dessas informações, caso percebida e arguida por um Advogado atento, poderia macular a utilização daquela prova e, consequentemente, ser o caminho improvável para salvar um caso perdido.

Muita informação para você?

Pois saiba que a Norma ABNT NBR ISSO/IEC 27037:2013 vai muito além disso ao longo de suas 50 (cinquenta) páginas, o que demanda um estudo bem mais minucioso e exaustivo.

Conta para a gente o que você achou e, se já está por dentro dos pormenores da norma, conte-nos o que você achou mais interessante!

A gente se vê de novo a qualquer momento.

Ataíde Nunes
Advogado do Urbano Vitalino Advogados.