Sanitização (informações classificadas) - Sanitization (classified information)

Sanitização é o processo de remover informações confidenciais de um documento ou outra mensagem (ou às vezes criptografá- las), de modo que o documento possa ser distribuído a um público mais amplo. Quando a intenção é a proteção do sigilo , como no tratamento de informações classificadas , a higienização tenta reduzir o nível de classificação do documento, podendo gerar um documento não classificado. Quando a intenção é a proteção da privacidade , geralmente é chamado de anonimização de dados . Originalmente, o termo sanitização era aplicado a documentos impressos ; desde então, foi estendido para se aplicar à mídia de computador e também ao problema de remanência de dados .

Redação em seu sentido de higienização (diferentemente de seu outro sentido de edição ) é o escurecimento ou exclusão de texto em um documento, ou o resultado de tal esforço. Destina-se a permitir a divulgação seletiva de informações em um documento, mantendo outras partes do documento em segredo. Normalmente, o resultado é um documento adequado para publicação ou disseminação para outras pessoas, e não para o público-alvo do documento original. Por exemplo, quando um documento é intimado em um processo judicial, as informações que não são especificamente relevantes para o caso em questão são freqüentemente eliminadas.

Sigilo governamental

No contexto de documentos governamentais , a redação (também chamada de sanitização ) geralmente se refere mais especificamente ao processo de remoção de informações confidenciais ou classificadas de um documento antes de sua publicação, durante a desclassificação .

Técnicas seguras de redação de documentos

Um documento do governo dos EUA de 1953 que foi redigido antes de ser publicado.
Uma página fortemente editada de um processo de 2004 movido pela ACLU - American Civil Liberties Union v. Ashcroft

A técnica tradicional de redigir material confidencial de um documento em papel antes de seu lançamento ao público envolve sobrescrever partes do texto com uma caneta preta larga, seguido pela fotocópia do resultado - o texto obscurecido pode ser recuperado do original. Alternativamente , pode ser aplicada "fita de cobertura" ou "fita adesiva" opaca, fita adesiva removível opaca em várias larguras antes da fotocópia.

Este é um processo simples com apenas pequenos riscos de segurança. Por exemplo, se a caneta ou fita preta não for larga o suficiente, um exame cuidadoso da fotocópia resultante ainda pode revelar informações parciais sobre o texto, como a diferença entre letras curtas e altas. O comprimento exato do texto removido também permanece reconhecível, o que pode ajudar a adivinhar formulações plausíveis para seções redigidas mais curtas. Onde fontes proporcionais geradas por computador foram usadas, ainda mais informações podem vazar da seção redigida na forma da posição exata de caracteres visíveis próximos.

Os Arquivos Nacionais do Reino Unido publicaram um documento, Redaction Toolkit, Diretrizes para a Edição de Informações Isentas de Documentos Antes da Divulgação , "para fornecer orientação sobre a edição de materiais isentos de informações mantidas por órgãos públicos".

A edição segura é um problema muito mais complicado com arquivos de computador . Os formatos de processamento de texto podem salvar um histórico de revisão do texto editado que ainda contém o texto redigido. Em alguns formatos de arquivo, as partes não utilizadas da memória são salvas e ainda podem conter fragmentos de versões anteriores do texto. Onde o texto é redigido, em formato de documento portátil (PDF) ou em formatos de processador de texto, sobrepondo elementos gráficos (geralmente retângulos pretos) sobre o texto, o texto original permanece no arquivo e pode ser descoberto simplesmente excluindo os gráficos sobrepostos. A redação eficaz de documentos eletrônicos requer a remoção de todos os dados de texto ou imagem relevantes do arquivo do documento. Isso requer uma compreensão muito detalhada da operação interna do software de processamento de documentos e formatos de arquivo usados, que a maioria dos usuários de computador não tem, ou ferramentas de software projetadas para higienizar documentos eletrônicos.

A redação geralmente requer uma marcação da área redigida com o motivo pelo qual o conteúdo está sendo restrito. Os documentos do governo dos EUA divulgados de acordo com a Lei de Liberdade de Informação são marcados com códigos de isenção que indicam o motivo pelo qual o conteúdo foi retido.

A US National Security Agency (NSA) publicou um documento de orientação que fornece instruções para a edição de arquivos PDF.

Impresso

Uma página de um documento classificado que foi higienizado para divulgação pública. Esta é a página 13 de um relatório da Agência de Segurança Nacional dos EUA [2] sobre o incidente do USS Liberty , que foi desclassificado e divulgado ao público em julho de 2003. As informações classificadas foram bloqueadas para que apenas as informações não classificadas fiquem visíveis. As anotações com linhas de chamada na parte superior e inferior citam autoridade estatutária para não desclassificar certas seções. Clique na imagem para ampliar.

Os documentos impressos que contêm informações classificadas ou confidenciais frequentemente contêm uma grande quantidade de informações menos confidenciais. Pode ser necessário liberar as partes menos sensíveis para o pessoal não liberado . Conseqüentemente, o documento impresso será higienizado para ocultar ou remover as informações confidenciais. Mapas também foram redigidos pelo mesmo motivo, com áreas altamente sensíveis cobertas com um pedaço de papel branco.

Em alguns casos, a higienização de um documento classificado remove informações suficientes para reduzir a classificação de um nível superior para um inferior. Por exemplo, relatórios de inteligência brutos podem conter informações altamente classificadas, como identidades de espiões , que são removidas antes que os relatórios sejam distribuídos fora da agência de inteligência: o relatório inicial pode ser classificado como Top Secret, enquanto o relatório higienizado pode ser classificado como Secreto.

Em outros casos, como o relatório da NSA sobre o incidente do USS Liberty (à direita), o relatório pode ser higienizado para remover todos os dados confidenciais, de modo que o relatório possa ser divulgado para o público em geral.

Como pode ser visto no relatório USS Liberty , os documentos em papel são geralmente higienizados cobrindo as partes confidenciais e confidenciais e, em seguida, fotocópia do documento, resultando em um documento higienizado adequado para distribuição.

Mídia e arquivos de computador

Consulte também: Remanescência de dados e eliminação de dados

Documentos de computador (eletrônicos ou digitais) são mais difíceis de higienizar. Em muitos casos, quando as informações em um sistema de informação são modificadas ou apagadas, alguns ou todos os dados permanecem armazenados . Isso pode ser um acidente de design, onde o mecanismo de armazenamento subjacente ( disco , RAM , etc.) ainda permite que as informações sejam lidas, apesar de seu apagamento nominal. O termo geral para esse problema é remanência de dados . Em alguns contextos (notadamente a NSA, DoD e organizações relacionadas dos EUA ), a higienização normalmente se refere ao combate ao problema de remanência de dados; redação é usada no sentido deste artigo.

No entanto, a retenção pode ser um recurso deliberado , na forma de um buffer de desfazer , histórico de revisão, "lata de lixo", backups ou semelhantes. Por exemplo, programas de processamento de texto como o Microsoft Word às vezes serão usados ​​para editar as informações confidenciais. Infelizmente, esses produtos nem sempre mostram ao usuário todas as informações armazenadas em um arquivo, portanto, é possível que um arquivo ainda contenha informações confidenciais. Em outros casos, usuários inexperientes usam métodos ineficazes que não conseguem higienizar o documento. As ferramentas de remoção de metadados são projetadas para higienizar documentos de forma eficaz, removendo informações potencialmente confidenciais.

Em maio de 2005, os militares dos EUA publicaram um relatório sobre a morte de Nicola Calipari , um agente secreto italiano, em um posto de controle militar dos EUA no Iraque. A versão publicada do relatório estava em formato PDF e havia sido editada incorretamente usando ferramentas de software comerciais. Pouco depois, os leitores descobriram que as partes bloqueadas podiam ser recuperadas copiando-as e colando-as em um processador de texto.

Da mesma forma, em 24 de maio de 2006, os advogados do provedor de serviços de comunicação AT&T entraram com um documento legal a respeito de sua cooperação com a escuta telefônica doméstica da NSA. O texto nas páginas 12 a 14 do documento PDF foi editado incorretamente e o texto coberto pode ser recuperado usando recortar e colar.

No final de 2005, a NSA divulgou um relatório com recomendações sobre como higienizar com segurança um documento do Microsoft Word.

Problemas como esses dificultam a implementação confiável de sistemas de segurança de vários níveis , nos quais os usuários de computador com diferentes habilitações de segurança podem compartilhar documentos. O desafio da segurança multinível dá um exemplo de falha de sanitização causada por comportamento inesperado no recurso de controle de alterações do Microsoft Word.

Os dois erros mais comuns para a edição incorreta de um documento são adicionar uma camada de imagem sobre o texto confidencial sem remover o texto subjacente e definir a cor de fundo para corresponder à cor do texto. Em ambos os casos, o material redigido ainda existe no documento sob a aparência visível e está sujeito a pesquisa e até mesmo extração simples de copiar e colar. Ferramentas e procedimentos de redação adequados devem ser usados ​​para remover permanentemente as informações confidenciais. Isso geralmente é realizado em um fluxo de trabalho multiusuário, onde um grupo de pessoas marca seções do documento como propostas a serem editadas, outro grupo verifica se as propostas de edição estão corretas e um grupo final opera a ferramenta de edição para remover permanentemente os itens propostos.

Veja também

Referências

  1. ^ ' Redaction Toolkit, Guidelines for the Edit of Ispt Information from Documents Before to Release
  2. ^ "Redação de arquivos PDF usando Adobe Acrobat Professional X" (PDF) . Guia de configuração de segurança . Direcção de Garantia de Informação da Agência de Segurança Nacional.
  3. ^ Relatório da BBC (2 de maio de 2005). "Leitores 'desclassificam' documento dos EUA" . BBC.
  4. ^ [1]
  5. ^ Declan McCullagh (26 de maio de 2006). "AT&T vaza informações confidenciais em traje NSA" . CNet News. Arquivado do original em 17 de julho de 2012.
  6. ^ NSA SNAC (13 de dezembro de 2005). "Redação com confiança: como publicar com segurança relatórios higienizados convertidos de Word em PDF" (PDF) . Relatório # I333-015R-2005. Information Assurance Directorate, National Security Agency, via Federation of American Scientists . Página visitada em 29/05/2006 . Citar diário requer |journal=( ajuda )
  7. ^ Rick Smith (2003). O desafio da segurança multinível (PDF) . Conferência Federal Black Hat . Arquivado do original (PDF) em 06-01-2009.

Links externos