Sanitização (informações confidenciais)

Uma página pesadamente redigida de um processo judicial de 2004 movido pela ACLU — American Civil Liberties Union v. Ashcroft [en]

A redação ou a sanitização é o processo de remover informação sensível de um documento para que ele possa ser distribuído a um público mais amplo. Destina-se a permitir a divulgação seletiva de informações. Tipicamente, o resultado é um documento que é adequado para publicação ou para disseminação a outros que não o público-alvo pretendido do documento original.

Quando a intenção é a proteção de segredo, como ao lidar com informação classificada, a redação tenta reduzir o nível de classificação do documento, possivelmente resultando em um documento não classificado. Quando a intenção é a proteção de privacidade, é frequentemente chamada de anonimização de dados [en]. Originalmente, o termo sanitização era aplicado a documentos impressos; desde então, foi estendido para aplicar-se a arquivos de computador e ao problema da remanência de dados.

Segredo governamental

No contexto de documentos governamentais, redação (também chamada de sanitização) geralmente se refere mais especificamente ao processo de remoção de informação sensível ou classificada de um documento antes da sua publicação, durante a desclassificação.

Técnicas seguras de redação de documentos

Um documento do Governo dos Estados Unidos de 1953 sobre o Projeto MKUltra que foi redigido antes de ser divulgado

A redação de material confidencial de um documento em papel antes de seu lançamento público envolve fazer uma fotocópia do documento e, em seguida, sobrescrever segmentos de texto a serem ocultados com uma caneta preta larga, seguida por copiar o resultado novamente. A menos que o documento redigido seja copiado múltiplas vezes, às vezes é possível ler o texto redigido segurando o documento contra a luz. A tinta pode penetrar no papel e obscurecer outras informações que deveriam permanecer visíveis. Finalmente, o resultado frequentemente parece desleixado. Existem também técnicas de redação não destrutivas que podem ser aplicadas diretamente ao documento original antes da fotocópia, como notas post-it ou fita opaca de "cobertura" ou "fita de redação", uma fita adesiva sensível à pressão [en] opaca e removível em várias larguras.[1]

Este é um processo simples com apenas pequenos riscos de segurança. Por exemplo, se a caneta ou fita preta não for larga o suficiente, um exame cuidadoso da fotocópia resultante ainda pode revelar informações parciais sobre o texto, como a diferença entre letras curtas e altas. O comprimento exato do texto removido também permanece reconhecível, o que pode ajudar a adivinhar formulações plausíveis para seções redigidas mais curtas. Onde foram usadas fontes proporcionais geradas por computador, ainda mais informação pode vazar da seção redigida na forma da posição exata dos caracteres visíveis próximos.

O Arquivos Nacionais do Reino Unido publicou um documento, Redaction Toolkit, Guidelines for the Editing of Exempt Information from Documents Prior to Release,[2] "para fornecer orientação sobre a edição de material isento de informações mantidas por órgãos públicos".

A redação segura é mais complicada com arquivos de computador. Formatos de processamento de texto podem salvar um histórico de revisão do texto editado que ainda contém o texto redigido. Em alguns formatos de arquivo, porções não utilizadas da memória são salvas e podem ainda conter fragmentos de versões anteriores do texto. Onde o texto é redigido, nos formatos de documento portátil (PDF) ou de processador de texto, por sobreposição de elementos gráficos (geralmente retângulos pretos) sobre o texto, o texto original permanece no arquivo e pode ser descoberto simplesmente excluindo os gráficos sobrepostos. A redação eficaz de documentos eletrônicos requer a remoção de todos os dados de texto e imagem relevantes do arquivo do documento. Este processo, internamente complexo, pode ser realizado muito facilmente por um usuário com a ajuda de funções de "redação" em software para edição de PDF ou outros arquivos.

A redação pode exigir administrativamente a marcação da área redigida com o motivo pelo qual o conteúdo está sendo restrito. Documentos do governo dos EUA divulgados sob a Lei de Liberdade de Informação são marcados com códigos de isenção que denotam a razão pela qual o conteúdo foi retido.

A Agência de Segurança Nacional (NSA) dos EUA publicou um documento de orientação que fornece instruções para redigir arquivos PDF.[3]

Material impresso

Uma página de um documento classificado que foi sanitizada para lançamento público. Esta é a página 13 de um relatório da Agência de Segurança Nacional dos E.U.A. [1] Arquivado em 2004-03-13 no Wayback Machine sobre o incidente do USS Liberty, que foi desclassificado e divulgado ao público em julho de 2003. Informação classificada foi bloqueada de modo que apenas a informação não classificada está visível. Notações com linhas guia no topo e no fundo citam a autoridade estatutária para não desclassificar certas seções. Clique na imagem para ampliar.

Documentos impressos que contêm informação classificada ou sensível frequentemente contêm uma grande quantidade de informação que é menos sensível. Pode haver a necessidade de liberar as porções menos sensíveis para pessoal sem autorização de segurança. Consequentemente, o documento impresso será sanitizado para obscurecer ou remover a informação sensível. Mapas também foram redigidos pela mesma razão, com áreas altamente sensíveis cobertas com um pedaço de papel branco.

Em alguns casos, a sanitização de um documento classificado remove informação suficiente para reduzir a classificação de um nível superior para um inferior. Por exemplo, relatórios de inteligência brutos podem conter informação altamente classificada, como as identidades de espiões, que é removida antes que os relatórios sejam distribuídos fora da agência de inteligência: o relatório inicial pode ser classificado como ultrassecreto, enquanto o relatório sanitizado pode ser classificado como secreto.

Em outros casos, como o relatório da NSA sobre o incidente doUSS Liberty (à direita), o relatório pode ser sanitizado para remover todos os dados sensíveis, de modo que o relatório possa ser divulgado ao público em geral.

Como visto no relatório do USS Liberty, documentos em papel são geralmente sanitizados cobrindo as porções classificadas e sensíveis antes de fotocopiar o documento.

Mídia e arquivos de computador

Ver também: Remanência de dados e Apagamento de dados

Documentos de computador (eletrônicos ou digitais) são mais difíceis de sanitizar. Em muitos casos, quando a informação em um sistema de informação é modificada ou apagada, alguns ou todos os dados permanecem no armazenamento. Isso pode ser um acidente de design, onde o mecanismo de armazenamento subjacente (disco [en], RAM, etc.) ainda permite que a informação seja lida, apesar de seu apagamento nominal. O termo geral para este problema é remanência de dados. Em alguns contextos (notavelmente a NSA, o Departamento de Defesa dos Estados Unidos e organizações relacionadas), "sanitização" tipicamente se refere a combater o problema da remanência de dados.

No entanto, a retenção pode ser um recurso [en] deliberado, na forma de um buffer de desfazer, histórico de revisão, "lixeira", cópias de segurança ou algo semelhante. Por exemplo, programas de processamento de texto como o Microsoft Word às vezes serão usados para editar a informação sensível. Estes produtos não sempre mostram ao usuário toda a informação armazenada em um arquivo, então é possível que um arquivo ainda contenha informação sensível. Em outros casos, usuários inexperientes usam métodos ineficazes que falham em sanitizar o documento. Ferramentas de remoção de metadados são projetadas para sanitizar documentos de forma eficaz, removendo informações potencialmente sensíveis.

Em maio de 2005, os militares dos EUA publicaram um relatório sobre a morte de Nicola Calipari [en], um agente secreto italiano, em um posto de controle militar dos EUA no Iraque. A versão publicada do relatório estava em formato PDF e havia sido incorretamente redigida cobrindo partes sensíveis com blocos opacos no software. Pouco depois, os leitores descobriram que as porções bloqueadas podiam ser recuperadas copiando e colando-as em um processador de texto.[4]

Em 24 de maio de 2006, advogados da provedora de serviços de comunicação AT&T apresentaram um documento legal [en][5] referente à sua cooperação com a escuta telefônica doméstica pela NSA. O texto nas páginas 12 a 14 do documento PDF foi incorretamente redigido, e o texto coberto pôde ser recuperado.[6]

No final de 2005, a NSA divulgou um relatório dando recomendações sobre como sanitizar com segurança um documento do Microsoft Word.[7]

Problemas como estes dificultam a implementação confiável de sistemas de segurança multinível [en], nos quais usuários de computador com diferentes autorizações de segurança podem compartilhar documentos. The Challenge of Multilevel Security dá um exemplo de uma falha de sanitização causada por comportamento inesperado no recurso de controle de alterações do Microsoft Word.[8]

Os dois erros mais comuns para a redação incorreta de um documento são adicionar uma camada de imagem sobre o texto sensível para obscurecê-lo, sem remover o texto subjacente, e definir a cor de fundo para corresponder à cor do texto. Em ambos os casos, o material redigido ainda existe no documento sob a aparência visível e está sujeito a pesquisa e até mesmo a simples extração por cópia e cola. Ferramentas e procedimentos de redação adequados devem ser usados para remover permanentemente a informação sensível. Isso é frequentemente realizado em um fluxo de trabalho multiusuário onde um grupo de pessoas marca seções do documento como propostas a serem redigidas, outro grupo verifica se as propostas de redação estão corretas e um grupo final opera a ferramenta de redação para remover permanentemente os itens propostos.

Ver também

Referências

  1. Gibbons, Paul (2019). The Freedom of Information Officer's Handbook. London: Facet Publishing. p. 196. ISBN 9781783303533 
  2. Redaction Toolkit, Guidelines for the Editing of Exempt Information from Documents Prior to Release
  3. «Redaction of PDF Files Using Adobe Acrobat Professional X» (PDF). Security Configuration Guide. National Security Agency Information Assurance Directorate – via The Sedona Conference 
  4. BBC Report (2 de maio de 2005). «Readers 'declassify' US document». BBC 
  5. «REPLY MEMORANDUM OF DEFENDANT AT&T CORP. IN RESPONSE TO COURT'S MAY 17, 2006 MINUTE ORDER» (PDF). UNITED STATES DISTRICT COURT, NORTHERN DISTRICT OF CALIFORNIA, SAN FRANCISCO DIVISION. 24 de abril de 2006. Case 3:06-cv-00672-VRW, Document 141. Arquivado do original (PDF) em 2 de julho de 2006 – via www.politechbot.com 
  6. Declan McCullagh (26 de maio de 2006). «AT&T leaks sensitive info in NSA suit». CNet News. Arquivado do original em 17 de julho de 2012 
  7. Redacting with Confidence: How to Safely Publish Sanitized Reports Converted From Word to PDF (PDF) (Relatório). Report# I333-015R-2005. Information Assurance Directorate, National Security Agency, via Federation of American Scientists. 13 de dezembro de 2005. Cópia arquivada (PDF) em 24 de maio de 2025 
  8. Rick Smith (2003). The Challenge of Multilevel Security (PDF). Black Hat Federal Conference. Arquivado do original (PDF) em 6 de janeiro de 2009 
Este artigo é emitido por Wikipédia. O texto é licenciado sob Creative Commons Attribution-Share Alike 4.0. Termos adicionais podem ser aplicados aos arquivos de mídia.