Sanitização (informações confidenciais)

Sanitização é o processo de remoção de informações confidenciais de um documento ou outra mensagem (ou às vezes encriptá-la), para que o documento possa ser distribuído para um público mais amplo. Quando a intenção é a proteção do sigilo, como no tratamento de informações classificadas, a sanitização tenta reduzir o nível de classificação do documento, possivelmente resultando em um documento não classificado. Quando a intenção é a proteção da privacidade, geralmente é chamada de anonimização de dados. Originalmente, o termo sanitização era aplicado a documentos impressos; desde então, foi estendido para se aplicar a arquivos de computador e ao problema de remanência de dados.

A redação em seu sentido de sanitização (diferente de seu outro sentido de edição) é o escurecimento ou exclusão de texto em um documento ou o resultado de fazê-lo. Destina-se a permitir a divulgação seletiva de informações em um documento, mantendo outras partes do documento em segredo. Normalmente, o resultado é um documento adequado para publicação ou disseminação para outras pessoas, e não para o público-alvo do documento original. Por exemplo, quando um documento é intimado em um processo judicial, as informações que não são especificamente relevantes para o caso em questão geralmente são redigidas.

Sigilo governamental[editar | editar código-fonte]

No contexto de documentos governamentais, a redação (também chamada de sanitização) geralmente se refere mais especificamente ao processo de remoção de informações confidenciais ou classificadas de um documento antes de sua publicação, durante a desclassificação.

Técnicas seguras de redação de documentos[editar | editar código-fonte]

Um documento do governo dos E.U.A de 1953 que foi *redigid*o antes do lançamento.

Uma página fortemente redigida de um processo de 2004 movido pela *ACLU* — *União americana das liberdades civis* vs. Ashcroft

A redação de material confidencial de um documento em papel antes de seu lançamento público envolve a sobrescrita de partes do texto com uma caneta preta larga, seguida de fotocópia do resultado – o texto obscurecido pode ser recuperado do original. Alternativamente, pode-se aplicar "fita de cobertura" opaca ou "fita de redação", fita adesiva removível e opaca em várias larguras, antes da fotocópia.

Este é um processo simples com apenas pequenos riscos de segurança. Por exemplo, se a caneta ou fita preta não for larga o suficiente, um exame cuidadoso da fotocópia resultante ainda pode revelar informações parciais sobre o texto, como a diferença entre letras curtas e altas. O comprimento exato do texto removido também permanece reconhecível, o que pode ajudar a adivinhar palavras plausíveis para seções redigidas mais curtas. Onde fontes proporcionais geradas por computador foram usadas, ainda mais informações podem vazar da seção redigida na forma da posição exata de caracteres visíveis próximos.

Os Arquivos nacionais do Reino unido publicaram um documento, o Kit de ferramentas de redação, Diretrizes para a edição de informações isentas de documentos antes do lançamento,^[1] "para fornecer orientação sobre a edição de material isento de informações mantidas por órgãos públicos".

A redação segura é mais complicada com arquivos de computador. Os formatos de processamento de texto podem salvar um histórico de revisão do texto editado que ainda contém o texto redigido. Em alguns formatos de arquivo, são salvas porções de memória não utilizadas que ainda podem conter fragmentos de versões anteriores do texto. Quando o texto é redigido, em formato de documento portátil (PDF) ou processador de texto, sobrepondo elementos gráficos (geralmente retângulos pretos) sobre o texto, o texto original permanece no arquivo e pode ser descoberto simplesmente excluindo os gráficos sobrepostos. A redação eficaz de documentos eletrônicos requer a remoção de todos os dados relevantes de texto e imagem do arquivo do documento. Este processo, internamente complexo, pode ser realizado com muita facilidade por um usuário com o auxílio de funções de "edição" em software para edição de arquivos em PDF ou outros arquivos.

A redação pode exigir administrativamente a marcação da área redigida com o motivo de o conteúdo estar sendo restringido. Os documentos do governo dos E.U.A. divulgados sob a lei de liberdade de informação são marcados com códigos de isenção que indicam o motivo pelo qual o conteúdo foi retido.

A Agência de segurança nacional dos E.U.A. (NSA) publicou um documento de orientação que fornece instruções para redigir arquivos em PDF.^[2]

Material impresso[editar | editar código-fonte]

Uma página de um documento classificado que foi sanitizado para divulgação pública. Esta é a página 13 de um relatório da Agência de segurança nacional dos E.U.A. [1] Arquivado em 2004-03-13 no Wayback Machine sobre o incidente do *USS Liberty*, que foi desclassificado e divulgado ao público em julho de 2003. As informações classificadas foram bloqueadas para que apenas as informações não classificadas são visíveis. As notações com linhas de liderança na parte superior e inferior citam a autoridade estatutária para não desclassificar certas seções. Clique na imagem para ampliar.

Documentos impressos que contêm informações confidenciais ou confidenciais frequentemente contêm uma grande quantidade de informações menos confidenciais. Pode haver a necessidade de liberar as partes menos sensíveis para o pessoal não liberado. O documento impresso será consequentemente sanitizado para obscurecer ou remover as informações confidenciais. Os mapas também foram redigidos pelo mesmo motivo, com áreas altamente sensíveis cobertas com um pedaço de papel branco.

Em alguns casos, a sanitização de um documento classificado remove informações suficientes para reduzir a classificação de um nível superior para um inferior. Por exemplo, relatórios brutos de inteligência podem conter informações altamente confidenciais, como as identidades de espiões, que são removidas antes que os relatórios sejam distribuídos fora da agência de inteligência: o relatório inicial pode ser classificado como ultra-secreto, enquanto o relatório sanitizado pode ser classificado como secreto.

Em outros casos, como o relatório da NSA sobre o incidente do USS Liberty (à direita), o relatório pode ser higienizado para remover todos os dados confidenciais, para que o relatório possa ser divulgado ao público em geral.

Como é visto no relatório do USS Liberty, os documentos em papel geralmente são sanitizados cobrindo as partes classificadas e confidenciais antes de fotocopiar o documento.

Mídias e arquivos de computadores[editar | editar código-fonte]

Documentos de computador (eletrônicos ou digitais) são mais difíceis de sanitizar. Em muitos casos, quando as informações de um sistema de informação são modificadas ou apagadas, alguns ou todos os dados permanecem armazenados. Isso pode ser um "acidente" de design, onde o mecanismo de armazenamento subjacente (o disco, a RAM, etc.) ainda permite que as informações sejam lidas, apesar de seu apagamento nominal. O termo geral para este problema é remanência de dados. Em alguns contextos (principalmente a NSA, o DoD e organizações dos E.U.A. relacionadas), a sanitização geralmente se refere ao combate ao problema de remanência de dados; redação é usada no sentido deste artigo.

No entanto, a retenção pode ser um recurso deliberado, na forma de um buffer de desfazer, histórico de revisão, "lixeira", cópias de segurança (backups) ou similares. Por exemplo, programas de processamento de texto como o Word da Microsoft às vezes serão usados para editar as informações confidenciais. Infelizmente, esses produtos nem sempre mostram ao usuário todas as informações armazenadas em um arquivo, portanto, é possível que um arquivo ainda contenha informações confidenciais. Em outros casos, usuários inexperientes usam métodos ineficazes que não conseguem sanear o documento. As ferramentas de remoção de metadados são projetadas para higienizar documentos com eficiência, removendo informações potencialmente confidenciais.

Em maio de 2005, os militares dos E.U.A. publicaram um relatório sobre a morte de Nicola Calipari, um agente secreto italiano, em um posto de controle militar dos E.U.A. no Iraque. A versão publicada do relatório estava em PDF e havia sido redigida incorretamente ao cobrir partes sensíveis com blocos opacos no software. Pouco depois, os leitores descobriram que as partes bloqueadas poderiam ser recuperadas copiando e colando-as em um processador de texto.^[3]

Em 24 de maio de 2006, advogados da prestadora de serviços de comunicações AT&T apresentaram uma petição^[4] sobre sua cooperação com escutas telefônicas domésticas da NSA. O texto, nas páginas 12 a 14 do documento em PDF, foi editado incorretamente e o texto coberto pode ser recuperado.^[5]

No final de 2005, a NSA divulgou um relatório com recomendações sobre como sanitizar com segurança um documento do Word da Microsoft.^[6]

Questões como essas dificultam a implementação confiável de sistemas de segurança multinível, nos quais usuários de computador de diferentes habilitações de segurança podem compartilhar documentos. O desafio da segurança multinível fornece um exemplo de falha de sanitização causada por comportamento inesperado no recurso de rastreamento de alterações do Word da Microsoft.^[7]

Os dois erros mais comuns para redigir um documento incorretamente são adicionar uma camada de imagem sobre o texto sensível para ocultá-lo, sem remover o texto subjacente, e definir a cor de fundo para corresponder à cor do texto. Em ambos os casos, o material redigido ainda existe no documento sob a aparência visível e está sujeito a pesquisa e até mesmo simples extração de copiar e colar. As ferramentas e procedimentos de redação adequados devem ser usados para remover permanentemente as informações confidenciais. Isso geralmente é realizado em um fluxo de trabalho multiusuário em que um grupo de pessoas marca seções do documento como propostas a serem redigidas, outro grupo verifica se as propostas de redação estão corretas e um grupo final opera a ferramenta de redação para remover permanentemente os itens propostos.

Ver também[editar | editar código-fonte]

Referências

↑ Kit de ferramentas de redação, diretrizes para a edição de informações isentas de documentos antes da liberação (em inglês)
↑ «Redação de arquivos em PDF usando o Adobe Acrobat Professional X» (PDF). Guia de configuração de segurança (em inglês). Direção de garantia de informações da agência nacional de segurança. Arquivado do original (PDF) em 24 de março de 2012
↑ Relatório da BBC (2 de maio de 2005). «Leitores "desclassificam" documento dos E.U.A.» (em inglês). BBC
↑ «Resumo não redigido» (PDF). www.politechbot.com (em inglês). Consultado em 14 de janeiro de 2022. Arquivado do original (PDF) em 2 de julho de 2006
↑ Declan McCullagh (26 de maio de 2006). «AT&T vaza informações confidenciais em processo da NSA» (em inglês). CNet News. Arquivado do original em 17 de julho de 2012
↑ SNAC da NSA (13 de dezembro de 2005). «Redação com confiança: como publicar com segurança relatórios sanitizados convertidos do Word para o PDF» (PDF). Diretoria de garantia da informação, Agência de segurança nacional, via Federação de cientistas americanos. Relatório # I333-015R-2005 (em inglês). Consultado em 29 de maio de 2006
↑ Rick Smith (2003). O desafio da segurança multinível (PDF). Conferência federal do chapéu preto (em inglês). Arquivado do original (PDF) em 6 de janeiro de 2009

Ligações externas[editar | editar código-fonte]

«Falhas de redação embaraçosas» (em inglês). do volume 58, número 2, maio de 2019, coluna de tecnologia do O jornal dos juízes publicado pela Ordem dos advogados americanos.

[1] Kit de ferramentas de redação, diretrizes para a edição de informações isentas de documentos antes da liberação (em inglês)

[2] «Redação de arquivos em PDF usando o Adobe Acrobat Professional X» (PDF). Guia de configuração de segurança (em inglês). Direção de garantia de informações da agência nacional de segurança. Arquivado do original (PDF) em 24 de março de 2012

[3] Relatório da BBC (2 de maio de 2005). «Leitores "desclassificam" documento dos E.U.A.» (em inglês). BBC

[4] «Resumo não redigido» (PDF). www.politechbot.com (em inglês). Consultado em 14 de janeiro de 2022. Arquivado do original (PDF) em 2 de julho de 2006

[5] Declan McCullagh (26 de maio de 2006). «AT&T vaza informações confidenciais em processo da NSA» (em inglês). CNet News. Arquivado do original em 17 de julho de 2012

[6] SNAC da NSA (13 de dezembro de 2005). «Redação com confiança: como publicar com segurança relatórios sanitizados convertidos do Word para o PDF» (PDF). Diretoria de garantia da informação, Agência de segurança nacional, via Federação de cientistas americanos. Relatório # I333-015R-2005 (em inglês). Consultado em 29 de maio de 2006

[7] Rick Smith (2003). O desafio da segurança multinível (PDF). Conferência federal do chapéu preto (em inglês). Arquivado do original (PDF) em 6 de janeiro de 2009

[1]

[2]

[3]

[4]

[5]

[6]

[7]