CSIS e RCMP enfrentam 'desafios significativos' para obter dados privados: órgão de vigilância da inteligência

As organizações de segurança e inteligência do Canadá enfrentam "desafios significativos" para detectar e responder a ameaças à segurança devido a lacunas legislativas e recursos desatualizados que limitam quando e como podem acessar mensagens privadas, alerta um dos órgãos de vigilância da inteligência do país.

Um relatório recentemente apresentado pelo Comitê de Segurança Nacional e Inteligência de Parlamentares (NSICOP) examinou a questão ferozmente contestada do acesso legal — interceptação de comunicações eletrônicas aprovada pelo tribunal.

Ao mesmo tempo em que aponta preocupações legítimas com a privacidade, o relatório descobriu que organizações como o Serviço Canadense de Inteligência de Segurança (CSIS) e a Polícia Montada do Canadá (RCMP) são prejudicadas porque não têm as ferramentas, políticas e autoridades necessárias para acessar legalmente as comunicações durante as investigações.

"O comitê está preocupado com os desafios de acesso legal descritos pela comunidade de segurança e inteligência e com a incapacidade de longa data de governos sucessivos de lidar com eles", disse o relatório.

"Eles afirmam que a criptografia e o crescente volume, variedade e velocidade dos dados gerados digitalmente tornam difícil e, às vezes, impossível coletar as informações necessárias para realizar investigações eficazes."

O comitê alertou que, se não forem enfrentados, "esses desafios prejudicarão a segurança nacional do Canadá a longo prazo" e poderão "impedir a capacidade contínua do Canadá de se beneficiar dos esforços do Five Eyes... se não puder contribuir significativamente para essa parceria".

O relatório surge enquanto a Câmara dos Comuns debate um projeto de lei do governo que daria novos poderes abrangentes às autoridades policiais, incluindo acesso legal.

Direito à privacidade vs. segurança pública

Uma versão confidencial do relatório foi enviada ao primeiro-ministro em 4 de março e uma versão pública redigida foi apresentada na Câmara dos Comuns na semana passada.

Ele aborda uma das questões mais controversas da segurança nacional: equilibrar o direito individual à privacidade e, ao mesmo tempo, proteger a segurança pública.

O acesso das organizações de segurança a informações pessoais, como mensagens privadas, é "um dos poderes mais intrusivos do estado" que os canadenses esperam que seja usado somente quando "prescrito por lei, [atenda] a um propósito legítimo e seja necessário e proporcional", disse o relatório.

Ele disse que os canadenses também esperam que eles tenham "as ferramentas, políticas e autoridades legais" para tal acesso.

"Os canadenses ficariam surpresos ao saber o quão difícil é para as agências de segurança e inteligência fazerem isso", disse.

O comitê descobriu que, diferentemente de vários aliados do Canadá, este país não tem legislação que obrigue os provedores de serviços a desenvolver, implantar ou manter sistemas para fornecer rapidamente essas informações caso o CSIS e a RCMP vierem com uma autorização judicial.

O NSICOP disse que essa lacuna está criando riscos, incluindo atrasos, ambiguidade jurídica, ineficiências financeiras e "tem causado confusão e frustração para todas as partes".

O CSIS disse ao comitê que a falta de legislação sobre capacidade de interceptação "é o maior diferencial entre nossos parceiros [Five Eyes], que têm mais sucesso do que nós".

Acesso a dados dos EUA está criando atrasos

Outra questão abordada no relatório foi o acesso a informações armazenadas fora do Canadá.

Defensores da privacidade disseram aos membros do comitê que os depósitos de dados pessoais potencialmente reveladores coletados pelo setor privado são uma oportunidade inexplorada para agências de segurança e inteligência.

O CSIS respondeu que às vezes não consegue acessar essas informações porque essas empresas estão localizadas principalmente fora do Canadá.

Muitas das maiores empresas de tecnologia do mundo têm sede nos EUA. Como afirma o relatório, segundo a Lei de Comunicações Armazenadas dos EUA, é ilegal para empresas americanas divulgar o conteúdo de comunicações a autoridades estrangeiras, a menos que uma ordem judicial lhes seja emitida.

A Polícia Montada Real Canadense (RCMP) pode solicitar esses dados por meio de um tratado de assistência jurídica mútua. Se a Polícia Montada precisar de informações do Facebook ou da Apple, ela envia uma solicitação ao Departamento de Justiça do Canadá, que a encaminha ao Departamento de Justiça dos EUA. Se a solicitação for aceita, um procurador-geral assistente dos EUA faz um requerimento perante um juiz americano para obter um mandado. O FBI pode executar o mandado após sua emissão pelo juiz americano.

Assim que a empresa entrega as informações ao FBI, elas são repassadas à Polícia Montada Real Canadense (RCMP) por meio dos dois departamentos de justiça. Segundo a RCMP, o processo pode levar de três a seis meses, e esse atraso pode impactar as investigações.

O NSICOP observou que, mesmo que o processo legal seja bem-sucedido, os dados podem ter sido excluídos antes da chegada do mandado.

Contornando a criptografia

O relatório analisou as maneiras pelas quais o CSIS e a RCMP estão contornando a "obscuridade" — quando os alvos usam comunicações criptografadas e a dark web para mascarar suas atividades.

A RCMP usa uma "ferramenta investigativa no dispositivo" (ODIT), um software instalado em um smartphone ou computador alvo que permite que a Polícia Montada acesse diretamente as informações antes que elas sejam criptografadas ou depois que elas sejam descriptografadas.

Ele é descrito pela RCMP como "um dos programas de coleta técnica mais complexos e caros que mantemos".

De acordo com um estudo de caso bem-sucedido citado no relatório, em 2018, o FBI (Federal Bureau of Investigation) dos EUA alertou a Polícia Montada do Canadá (RCMP) sobre um canadense que supostamente estava construindo uma bomba e planejando um ataque em uma celebração de Ano Novo. A RCMP acionou um ODIT (Detecção de Ocorrências de Incêndio), que encontrou mensagens e esquemas de uma bomba de panela de pressão.

O canadense foi finalmente acusado e se declarou culpado de quatro crimes de terrorismo.

Os membros do comitê disseram estar preocupados "com o quanto essa mitigação bem-sucedida atualmente depende da engenhosidade do CSIS e da RCMP, em vez da configuração correta de ferramentas, autoridades legais e recursos".

Os ODITs exigem diversas autorizações, incluindo uma escuta telefônica para interceptar comunicações privadas, bem como um mandado geral e um mandado de gravação de dados de transmissão, diz o relatório.

A técnica também depende da exploração bem-sucedida de vulnerabilidades — o que nem sempre é uma garantia.

"O comitê descobriu que essas ferramentas são caras e muitas vezes não confiáveis, pois os alvos se tornaram cada vez mais experientes em segurança cibernética e as empresas trabalham para identificar e resolver as vulnerabilidades em sistemas operacionais e plataformas de criptografia", disse o relatório.

Defensores da privacidade alertaram o comitê que quaisquer medidas que dessem à polícia e às agências de inteligência o poder de contornar comunicações ou dados criptografados "enfraqueceriam fundamentalmente a segurança cibernética em geral, prejudicariam a confiança pública e ameaçariam valores democráticos fundamentais".

O CSIS e a RCMP não monitoram sistematicamente a frequência com que encontram desafios tecnológicos como criptografia em suas investigações de segurança nacional, uma "omissão importante" de acordo com o relatório, já que eles "aconselham o governo e tentam convencer os canadenses... de que nova legislação e recursos são necessários".

O relatório disse que as agências "só conseguem oferecer anedotas e não números concretos".

Ainda assim, os membros do NSICOP acreditam que há "desafios significativos" na capacidade do CSIS e da RCMP de acessar evidências e informações digitais relevantes e oportunas.

"Esses desafios não são novos. Governos sucessivos já estão cientes deles há algum tempo", concluiu o relatório.

"É hora de o governo agir e fornecer à comunidade de segurança e inteligência as ferramentas, políticas e autoridades legais de que elas precisam... que sejam receptivas e protejam sua privacidade."

O relatório faz sete recomendações, incluindo que o governo desenvolva e implemente uma estratégia abrangente para abordar os desafios de acesso legal do Canadá e priorizar a assinatura e implementação do Acordo de Acesso a Dados Canadá-EUA, que, segundo o relatório, "removeria barreiras jurisdicionais de longa data" erguidas pela lei dos EUA.

Também pediu ao governo que esclarecesse publicamente sua posição sobre o acesso excepcional à comunicação protegida por criptografia.

Em uma declaração, o CSIS diz que concorda com a maioria das recomendações do NSICOP.

A RCMP passou a palavra ao Departamento de Segurança Pública, que disse ter visto a resposta do CSIS e não ter mais nada a acrescentar.

Projeto de lei polêmico sobre fronteiras inclui disposições de acesso legal

O Projeto de Lei C-2 dos Liberais, que inclui emendas de acesso legal, deve passar por momentos difíceis no Parlamento neste outono.

Obrigaria os provedores de serviços a fornecer informações básicas à polícia e ao CSIS sem autorização judicial. Também criaria uma nova ordem que obrigaria a produção de informações mais detalhadas sobre os assinantes com autorização judicial durante uma investigação criminal.

O projeto de lei recebeu uma onda de reações negativas de grupos de defesa das liberdades civis, acadêmicos e alguns parlamentares da oposição, que argumentam que ele cria novos poderes de vigilância que infringem a privacidade pessoal e a Carta de Direitos e Liberdades.

O NSICOP é composto por parlamentares e senadores que passam por uma autorização de alto nível para visualizar e ouvir informações ultrassecretas.

Desde que o relatório de acesso legal foi escrito, o comitê perdeu sua voz no NDP, pois o partido não tem mais status reconhecido na Câmara.