um estudo sobre a segurança e a defesa do espaço cibernético

Universidade de Brasília – UNB
Instituto de Ciências Exatas
Departamento de Ciência da Computação – CIC
RAPHAEL MANDARINO JUNIOR
UM ESTUDO SOBRE A SEGURANÇA E A
DEFESA DO ESPAÇO CIBERNÉTICO
BRASILEIRO
Brasília, junho de 2009.
RAPHAEL MANDARINO JUNIOR
UM ESTUDO SOBRE A SEGURANÇA E A DEFESA DO ESPAÇO CIBERNÉTICO
Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a Obtenção do título de Especialista em Ciência da Computação: Gestão
da Segurança da Informação e Comunicações.
JORGE HENRIQUE CABRAL FERNANDES
Orientador
Brasília
Junho/2009
ii
Monografia de Especialização defendida
em 24 de junho de 2009, sob o título “UM
ESTUDO SOBRE A SEGURANÇA E A
DEFESA DO ESPAÇO CIBERNÉTICO”,
por Raphael Mandarino Junior, em Brasília – DF, e aprovada perante a banca examinadora constituída pelos professores
e pesquisadores:
______________________________________________
Prof. Dr. Jorge Henrique Cabral Fernandes, Orientador.
Universidade de Brasília
______________________________________________
Profª Dra. Claudia Lyrio Canongia.
DSIC – GSI (Universidade de Brasília)
______________________________________________
Prof. MSc. João José Costa Gondim
Universidade de Brasília
iii
Dedico este trabalho a pessoas muito
especiais. Algumas me pegaram pela mão e me
conduziram em meus primeiros passos e
letras. Outras são companheiras de jornada,
no melhor e no pior. Outras ainda, me
incentivam a conquistas pelo simples fato de
existirem. Este trabalho e tudo aquilo que já
realizei e ainda realizarei é dedicado ao meu
amor por estas pessoas. Meus Pais Raphael e
Guilhermina, por suas mãos firmes, seguras e
carinhosas. A Georgina,
minha
Esposa,
cúmplice de uma vida vivida e daquela que
ainda vamos viver. E a Mariana e Raphael,
meus Filhos a quem eu sempre quero orgulhar.
iv
AGRADECIMENTOS
Inicio
este
agradecimento
reconhecendo duas pessoas em especial, não
por me ajudarem neste trabalho, mas sim por
tornar um sonho possível. Ao Ministro Jorge
Armando Felix, por seu apoio incondicional,
desde o primeiro momento, à proposta de se
formar
especialistas
em
segurança
da
informação e comunicações na administração
pública federal, ação que extrapola não
apenas os limites de seu Ministério, mas sim
os limites de um governo. É uma ação de
Estado, uma semente, cujos frutos a Nação vai
colher ao longo do tempo. E ao professor
Jorge Henrique Cabral Fernandes, não como
Coordenador
do
Curso,
orientações,
sempre
nem por
oportunas
e
suas
que
melhoram, e muito, este trabalho. Mas o faço
ao companheiro de sonho, que defrontado com
uma idéia ainda não totalmente formulada,
conseguiu com maestria transformá-la em um
produto
acabado,
com
enorme
valor
acadêmico e de vital importância para a
administração publica federal. Agradeço aos
v
meus colegas de curso, alunos e professores,
pois profissionais reconhecidos e experientes
não
se
recusaram
a
serem
pioneiros,
arriscando as suas reputações em um projeto
em construção e ainda não consolidado e que,
por isso mesmo transformaram-se também em
“fazedores” deste sonho. Agradeço aos chefes
e colegas de GSI, por todo o apoio ao
Departamento de Segurança da Informação e
Comunicações – DSIC, desde a sua fase
embrionária e agora em sua de primeira
infância. Agradeço também aos meus colegas
de DSIC, todos os que lá estão e que por lá
passaram. Somos o laboratório vivo do sonho
aqui referido, construindo juntos um órgão
público que chega ao seu terceiro ano de vida
reconhecido, nacional e internacionalmente,
mérito que divido com orgulho com todos os
“DSICqueiros”.
vi
“Si vis pacem para bellum”
Flavius Vegetius Renatus na obra
Epitoma Rei Militaris (Século IV)
vii
RESUMO
Com o advento da Internet, parte da humanidade se viu inserida, quase que sem perceber,
na chamada Sociedade da Informação. As modificações introduzidas nos valores sociais, profissionais, políticos ou econômicos até então presentes foram absorvidas sem maiores questionamentos. Várias informações geradas e armazenadas em diferentes lugares do planeta passaram a trafegar livremente, ultrapassando fronteiras e continentes fazendo com que o acesso
a elas e aos conhecimentos ocorresse de forma inimaginável até pouco tempo. Por um certo
período acreditou-se, romanticamente, que a Internet permitiria o romper de barreiras econômicas, culturais e até quem sabe religiosas entre os povos, constituindo-se no ideal filosófico
de democracia da antiga Grécia. Mas a realidade acabou por demonstrar que esses tempos românticos eram uma utopia. A nova fronteira constituída, o Espaço Cibernético, à semelhança
de qualquer novo espaço ainda não perfeitamente demarcado, como o antigo “velho oeste”,
atraiu também pessoas mal intencionadas, que buscam vantagens e ganhos ilícitos, explorando
a falta de regras e sendo acobertadas pela distância e pelo aparente anonimato. Assim, a questão da proteção das informações ganhou destaque. Como a informação é um bem incorpóreo,
intangível, os seus ativos- os meios de armazenagem; de transmissão, de processamento, os
sistemas, interconexões e as pessoas que os usam, passaram a ser o foco da atenção da Segurança Informação. A um subconjunto desses ativos de informação, aqueles que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade, denominamos Infraestrutura Crítica de Informação, crítica para a existência do Espaço Cibernético.
Apesar da impossibilidade de definição clara dos limites das suas fronteiras, o Espaço Cibernético se constitui em verdadeiro Estado-Nação, que, embora virtual, se confunde com Estado
Real, pois reúne as três características de formação de um Estado: o povo - caracterizado pela
Sociedade da Informação que o habita; o território – que é o próprio espaço cibernético; e a
soberania – a capacidade de controlar e de ter poder sobre este espaço. Como cabe ao Estado o
monopólio do uso legítimo da força e da produção legislativa, cabe-lhe também a proteção
desse Estado-Nação virtual, e de suas Infraestruturas Críticas. Propomos nesta monografia,
ações que em seu conjunto se constituem em uma Estratégia de Segurança Cibernética, entendida como a arte de assegurar a existência e a continuidade da Sociedade da Informação de
uma nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas
infraestruturas críticas.
Palavras-chave: sociedade da informação, estratégia, segurança cibernética, segurança da
informação e comunicações, espaço cibernético, defesa.
viii
ABSTRACT
With the Internet advent, part of humanity has been introduced, almost without realizing,
in the so called Information Society. The changes in social, professional, political or economic
values were absorbed without further questioning. Several information generated and stored
all over the world began to be transferred freely, trespassing borders and continents so that
access to them and to the knowledge generated took placed in unimaginable way until recently. For a certain time people believed, romantically, that Internet would break the economic and cultural barriers, and perhaps even religious, becoming the philosophical ideal of
the ancient Greece democracy. But the reality has finally shown that these romantic times
were a utopia. The new constituted frontier, the Cyberspace, like any new space not wholly
delimited yet, as the “Wild West”, also attracted malicious people, who look for benefits and
illicit profits by exploring the deficit rules and covering by distance and the apparent anonymity. Thus the issue of information protection gained prominence. As information is an immaterial and intangible property, their assets: the resources of storage, transmission, processing, the
systems, the interconnections and also the people who use them, became the attentions focus
of the Security Information. A subset of these information assets, those that directly affects the
achievement of mission and continuity of the State and the safety of society, we call the Critical Infrastructure of Information, critical for Cyberspace existence. Despite of inability to
clearly define the limits of its borders, the Cyberspace establishes like a real nation-state, that,
although virtual, is confused with the Real State, because it gathers the tree characteristics of a
State: People – characterized by information society that inhabit; the Territory – which is the
Cyberspace itself, and Sovereignty – the capability to control and have power over this space.
As well, it is a State monopoly the legitimate use of power and legislates; it is also responsible
for protection of this virtual nation-state, and its critical infrastructure. We propose on this
monograph, actions that whole trough constitute a Cyber Security Strategy, understood as the
art of ensuring the existence and continuity of nation information society, guaranteeing and
protecting, in Cyberspace, their information assets and critical infrastructure.
Keywords: information society, strategy, cyber security, information security and communications, cyberspace, defense.
ix
LISTA DE FIGURAS
Figura 1 - Imagem do defacement no sítio da 12ª Região Militar do Exército Brasileiro. ......50
Figura 2 – Sofisticação dos ataques cibernéticos x conhecimento técnico do atacante. ..........52
Figura 3 - Interações do CTIR/Gov.. ......................................................................................105
Figura 4 - Modelo de Segurança e Defesa no Espaço Cibernético Brasileiro. .......................112
Figura 5 – Círculos Concêntricos de Atuação em Segurança e Defesa Cibernética.. ............113
Figura 6 – Proposta de Cones da Atuação em Segurança e Defesa........................................116
Figura 7 Alvos, Atores e Crimes Cibernéticos.. .....................................................................121
Figura 8 – Visão da Importância Atribuída à SIC por Dirigentes na APF.. ...........................151
Figura 9 – Competências dos órgãos da CREDEN.. ..............................................................154
Figura 10 – Órgãos vinculados à Segurança do Espaço Cibernético Brasileiro.....................155
x
LISTA DE TABELAS
Tabela 1 – Tipos e Definições Sobre Guerra da Informação....................................................68
Tabela 2 – Quadro de atores, seus papéis e ações na segurança e na defesa cibernética........109
Tabela 3 - Seminários Segurança da Informação e Comunicações – SEMSIC......................141
Tabela 4 – SEMSIC - Resultado das avaliações: Conhecimento Prévio................................142
Tabela 5 – SEMSIC - Resultado das avaliações: Conhecimentos adquiridos........................143
Tabela 6 – Questionário sobre SIC encaminhado a Autoridades da APF.: ............................147
Tabela 7 - Quadro Resumo: Percepção das Altas Autoridades sobre SIC. ............................147
Tabela 8 – Quadro Resumo: Respostas das Altas Autoridades sobre a SIC. .........................149
xi
SUMÁRIO
1
Introdução ..........................................................................................................14
1.1
Sociedade da Informação ........................................................................................... 14
1.2
Segurança da Sociedade da Informação .................................................................... 17
1.3
Infraestruturas Críticas................................................................................................ 19
1.4
Espaço Cibernético, Estado Real e Estado Virtual...................................................... 22
1.5
Segurança Cibernética ............................................................................................... 26
1.6
Informática e Segurança na APF ................................................................................ 29
1.7
Proposta do Trabalho.................................................................................................. 37
2
O Problema.........................................................................................................39
2.1
Pressupostos .............................................................................................................. 39
2.2
Desafios à Proteção de Espaços Cibernéticos............................................................ 41
3
Requisitos Pré-Pesquisa...................................................................................44
3.1
Objetivo Geral............................................................................................................. 44
3.2
Objetivos Específicos.................................................................................................. 44
3.3
Justificativas e Metodologia da Pesquisa.................................................................... 45
3.3.1 Justificativas da Pesquisa .............................................................................................................45
3.3.2 Metodologia da Pesquisa ..............................................................................................................56
4
Ameaças, Ataques, Segurança, Defesa e Guerra Cibernética .......................57
4.1
Segurança da Informação e Comunicações ............................................................... 58
4.2
Espaço Cibernético ou Ciberespaço ........................................................................... 60
4.2.1 Aspectos Gerais ............................................................................................................................60
4.2.2 Delimitando Fronteiras no Espaço Cibernético .............................................................................62
4.2.2.1 Os Contornos do Espaço Cibernético Brasileiro ........................................................................63
4.2.2.2 Alguns Conceitos Similares ........................................................................................................64
4.2.2.3 Quais as Fronteiras do Espaço Cibernético Brasileiro? .............................................................66
4.3
Ameaças e Conflitos no Espaço Cibernético ou Ciberespaço..................................... 67
4.4
Hackers e Outros Agentes de Ameaça Cibernética .................................................... 76
xii
4.5
Uma Proposta de Enquadramento de Ações Antagônicas.......................................... 95
4.5.1 Alvo da Ação ..................................................................................................................................95
4.5.2 Autor da Ação ................................................................................................................................95
4.5.3 Abrangência da Ação.....................................................................................................................96
5
5.1
Órgãos e Atores de Segurança e Defesa Cibernética ....................................98
Atores e Órgãos........................................................................................................ 100
5.1.1 Conselho de Defesa Nacional (CDN)..........................................................................................100
5.1.2 Câmara de Relações Exteriores e Defesa Nacional (CREDEN) ................................................100
5.1.3 Casa Civil.....................................................................................................................................102
5.1.4 Gabinete de Segurança Institucional da Presidência da República (GSI/PR) ............................103
5.1.5 Ministério da Defesa (MD) e Forças Armadas ............................................................................106
5.1.6 Ministério da Justiça (MJ)............................................................................................................107
5.2
Atuação Coordenada para a Segurança e Defesa Cibernética ..................................110
5.3
Escopo de uma Doutrina de Segurança e Defesa Cibernética ..................................116
6
Discussão e Propostas ................................................................................... 119
6.1
Princípios para Garantir a Segurança Cibernética .................................................... 125
6.2
Esboço de uma Estratégia de Segurança Cibernética .............................................. 125
6.2.1 Conhecer Vulnerabilidades..........................................................................................................126
6.2.2 Adotar Medidas Preventivas ........................................................................................................127
6.2.3 Delegação de Tarefas..................................................................................................................127
6.2.4 Marco Legal.................................................................................................................................128
6.2.5 Programas de Cooperação .........................................................................................................129
6.2.6 Capacitação e Recrutamento ......................................................................................................129
6.2.7 Desenho e Implementação de Medidas de Segurança ..............................................................130
6.2.8 Ações Pontuais ............................................................................................................................131
6.3
7
Construindo uma Estratégia de Segurança............................................................... 132
Conclusões ......................................................................................................133
7.1
Revisão Bibliográfica ................................................................................................ 134
7.2
Contornos do Espaço Cibernético............................................................................. 134
7.3
Atores de Segurança Cibernética ............................................................................. 134
7.4
Estratégia de Segurança Cibernética........................................................................ 134
7.5
Esboço de uma Doutrina .......................................................................................... 135
ANEXO A - Levantamento Sobre a Cultura de Segurança da Informação e
Comunicações na Administração Pública Federal ............................................140
ANEXO B - Engajamento da Alta Administração da Administração Pública
Federal em Assuntos de Segurança da Informação e Comunicações.............144
ANEXO C - Ações para Incrementar a Sinergia em SIC na APF .......................153
xiii
1
INTRODUÇÃO
Há décadas, a parte da humanidade que tem acesso a algum nível de desenvolvimento econômico acostumou-se, em decorrência desse acesso, a facilidades em seu cotidiano para, de
forma natural, realizar atividades como assistir televisão ou a um filme, falar ao telefone ou
corresponder-se com amigos, estudar ou fazer pesquisas em bibliotecas, conferir o extrato ou
o saldo bancário, pagar tributos ou duplicatas, comprar discos ou livros, etc. Mesmo aqueles
que passam ao largo dos chamados valores ocidentais, têm hábitos cotidianos ancestrais como
conversar com amigos, desenhar ou fazer artesanatos. Quaisquer destas atividades dependem
de garantias de acesso à informação, em maior ou menor escala.
Com o advento da Internet, percebemos que muitas daquelas mesmas atividades podem
agora ser realizadas mais rapidamente de forma eletrônica, por meio das tecnologias de informação e comunicação – TICs. Acostumando-se a cada dia com a independência e conforto
que as TICs lhes proporcionam, as pessoas passam a realizar atividades cotidianas em qualquer hora e de qualquer lugar, seja de sua própria casa ou local de trabalho. Assim, quase sem
perceber e aparentemente sem maiores questionamentos ou dificuldades, parte da humanidade
vem sendo inserida na chamada Sociedade da Informação.
1.1
Sociedade da Informação
O termo Sociedade da Informação não é novo. Decorrente da estratégia de reorganização
econômica do pós-guerra, surgiu como fruto da acelerada industrialização experimentada nos
últimos 50 anos, que estabeleceu alterações profundas na relação homem x tecnologia, como
nos ensina (MATTELART apud Oliveira e Bazi, 2007, p7): “a noção de sociedade global da
informação é resultado de uma construção geopolítica”.
14
Mais especificamente, o termo “Sociedade da Informação” tem suas primeiras referências na década de 1970, especialmente no EUA e Japão, a partir de discussões sobre o que seria a “sociedade pós-industrial” e quais seriam suas principais características (TAKAHASHI,
2002, p.2 apud OLIVEIRA e BAZI, 2007). A sociedade da informação compreende, portanto,
a informação desempenhando um papel cada vez mais relevante na vida econômica, política e
social das pessoas, empresas e nações.
Apesar disso, não se conhece uma definição para o termo Sociedade da Informação, ou
para o seu sentido, que seja universalmente aceita. Para fins deste estudo a expressão Sociedade da Informação veicula como idéia principal o fato de que a evolução tecnológica permitiu a penetração das tecnologias da informação e comunicação no cotidiano das pessoas e nações, transformando-o. Esta abordagem encontra amparo em GIANNASI (1999)
“os avanços no processamento, recuperação e transmissão da informação permitiram
aplicação das tecnologias de informação em todos os cantos da sociedade, devido à
redução dos custos dos computadores, seu aumento prodigioso de capacidade de
memória, e sua aplicação em todo e qualquer lugar, a partir da convergência e imbricação da computação e das telecomunicações.”
Ou ainda em DANTAS (1998) que nos ensina, com uma visão mais econômica e política
que:
“A Sociedade da Informação caracteriza uma etapa alcançada pelo desenvolvimento
capitalista contemporâneo, no qual as atividades humanas determinantes para a vida
econômica e social organizam-se em torno da produção, processamento e disseminação da informação através das tecnologias eletrônicas.”
Temos ainda o amparo de CASTELLS (2000), quando afirma que:
“O registro histórico das revoluções tecnológicas (...) mostra que todas são caracterizadas por sua penetrabilidade, ou seja, por sua penetração em todos os domínios da
atividade humana, não como fonte exógena de impacto, mas como o tecido em que
essa atividade é exercida.”
Assim, essa nova Sociedade que surgiu fruto principalmente do barateamento e convergência de novas tecnologias de informação e comunicação, posta à sua disposição no pósguerra, acelerou processos produtivos e de consumo, gerando o desenvolvimento econômico
e, em especial, a disseminação da informação e do conhecimento em volumes nunca antes imaginados. Estamos hoje vivendo em pleno período de revolução. Embora esteja reservado
aos computadores e às telecomunicações um papel importante nessas mudanças revolucionárias, é importante entender que as mudanças não são apenas tecnológicas, mas também são:
15
econômicas, cuja melhor caracterização se dá pelo surgimento do comércio eletrônico; sociais, expressas, por exemplo, nos sítios de relacionamento; culturais, ao facilitarem a troca de
informações, permitindo o aprofundamento dos conhecimentos sobre usos e costumes entre os
povos; políticas, ao permitirem um contato direto entre eleitor e eleito; religiosas, quando percebemos a especial atenção que igrejas das mais variadas orientações dão às mídias eletrônicas na propagação de sua fé; institucionais, cuja melhor expressão talvez esteja nas diversas
iniciativas do governo eletrônico, uso das TIC em proveito do cidadão; e até mesmo filosóficas, pois mudam a maneira de ver o mundo, como pode ser exemplificado com a abordagem
dos Não Lugares de AUGE (1994) discutindo os impactos antropológicos, “frutos da supermodernidade”, advindos dessa revolução que estamos vivendo.
Encontram-se em TOFFLER (1980) as premissas da Sociedade da Informação, no que ele
chamou de nova civilização, resultante do terceiro grande fluxo de mudança na história da
humanidade – a Terceira Onda – que impõe um novo código de comportamento:
"Essa nova civilização traz consigo novos estilos de família; modos de trabalhar,
amar e viver diferentes; uma nova economia; novos conflitos políticos; e além de tudo isso igualmente uma consciência alterada.”
Segundo TOFFLER apenas em duas outras vezes na história, a humanidade viu-se frente
a mudanças semelhantes que alteraram seu modo de vida de forma tão profunda e ampla.
A primeira vez se deu há cerca de 10 mil anos, quando a espécie humana passou de uma
civilização eminentemente nômade para uma civilização sedentária, a partir do domínio das
tecnologias agrícolas.
A segunda vez se deu há cerca de 330 anos, quando a espécie humana deixou de ser uma
civilização predominantemente agrícola para tornar-se uma civilização industrial, ao dominar
novas tecnologias de fabricação de bens de consumo, em especial as máquinas a vapor.
Ressalte-se que a distinção básica entre uma e outra onda é o surgimento de novas formas
de se criar riquezas, sempre acompanhadas de transformações profundas nos modelos sociais,
culturais, políticos, filosóficos, econômicos e institucionais.
Apesar de algumas regiões ainda não terem atingido nem o segundo estágio de desenvolvimento, a Terceira Onda está acontecendo agora, mesmo nesses lugares.
16
Essa Nova Era, caracterizada pelo surgimento da Internet, trouxe, ao lado daquelas atividades simples e corriqueiras já conhecidas, outras formas de comunicação e de troca de informações, em um extenso leque de possibilidades, como mensagens instantâneas ou trabalhos colaborativos a distância, mesmo para aqueles que ainda não integram a chamada nova
economia. Tudo isso a velocidades inimagináveis há poucos anos e suportado por uma miríade de equipamentos e softwares distribuídos e operados por pessoas, empresas e governos.
Por algum tempo essas facilidades proporcionaram a esperança romântica e utópica de
que a Internet criaria as condições para re-estabelecimento da democracia plena, na melhor
das tradições gregas, ao permitir a participação universal e igualitária de todas as raças, credos
e culturas, eliminando as fronteiras, as barreiras sociais, culturais, políticas, econômicas e até,
quem sabe, as religiosas, entre os povos. A realidade demonstra que a utopia desses tempos
românticos acabou.
1.2
Segurança da Sociedade da Informação
Toda a mudança de comportamento nas práticas diárias trazida pela Sociedade da Infor-
mação fez com que fossem aceitas alterações significativas nos valores sociais, profissionais e
econômicos, sem uma clara percepção das suas conseqüências nos médio e longo prazos.
Dentre essas conseqüências destaca-se a necessidade de garantir que essa quantidade enorme de informações que trafegam e são armazenadas em volumes crescentes e imensuráveis, esteja segura.
Tornou-se rotina ler, ouvir e até mesmo falar sobre o tema Segurança da Informação no
cotidiano do indivíduo participante da Sociedade da Informação.
Uma simples consulta pela Internet ao sítio da empresa AMAZON1 relacionou 8.084 livros contendo a expressão “Information Security” em seus títulos, sendo que desse total
1.253 referentes a gestão (Business Management). A mesma consulta feita no sítio da LI-
1 http://www.amazon.com realizada em 20 de outubro de 2008, às 15:19 horas de Brasília
17
VRARIA SARAIVA2, na mesma data, nos apresentou como resultado 17 títulos em português
e 43 em língua inglesa.
No GOOGLE ACADÊMICO3, uma pesquisa sobre o tema “segurança da informação”,
retorna 1.150 referências a páginas de artigos em português, catalogados como artigos acadêmicos.
Outra consulta, no sítio do periódico eletrônico, IDGNOW4, na mesma data, agora sobre
reportagens sob o título de “Segurança” e na categoria “Ataque e Ameaças”, retornou cerca de
80 artigos escritos e publicados no período de maio a outubro de 2008, apenas nesse periódico
especializado em Tecnologia da Informação.
O assunto é efervescente e o interesse nele está demonstrado também pela quantidade de
seminários e congressos realizados sobre o tema. Em um período menor que 30 dias em 2008,
foram realizados, no Brasil, 3 eventos tradicionais onde segurança é o tema: de 22 a 24 de setembro, o 17º Congresso Nacional de Auditoria de Sistemas, Segurança da Informação e Governança – CNASI, em São Paulo; de 24 a 26 de setembro a V Conferência Internacional de
Perícias em Crimes Cibernéticos - ICCYBER 2008, no Rio de Janeiro; e de 14 a 15 de outubro o II Congresso de Segurança de Informação e Comunicações para a Administração Pública Federal - SICGov 2008, em Brasília. Esse último reuniu cerca de 450 servidores públicos
de 8 Estados da Federação, que por dois dias (14 e 15 de outubro de 2008) debateram questões específicas de Gestão da Segurança da Informação e Comunicações no âmbito do Governo Federal. A importância que o tema desperta ainda pode ser aferida pela presença de 2 Ministros de Estado e do Presidente do Tribunal de Contas da União na cerimônia de abertura do
SICGov 2008, todos com direito a fala.
Do ponto de vista econômico, a relevância da segurança da informação também pode ser
constatada pelo enorme mercado gerado em redor da questão. Segundo o jornal O GLOBO, de
28 de fevereiro de 2008, citando pesquisa realizada pela consultoria Frost & Sullivan, o mercado de segurança de rede na América Latina movimentou US$ 186,1 milhões em 2007 e alcançará US$ 598,4 milhões em 2013. O Brasil é o país com maior participação na receita da
2 http://www.saraiva.com.br realizada em 20 de outubro de 2008
3 http://scholar.google.com.br/schhp?hl=p-BR realizada em 20 de outubro de 2008
4 http://idgnow.uol.com.br realizada em 20 de outubro de 2008
18
região, com 33,5%.
Entretanto, o assunto “Segurança da Informação” está longe de ser consensual e compreendido em toda a sua abrangência e conseqüências, seja pela sociedade, por profissionais ou
pela academia.
Com o incremento da chamada Internet comercial em meados da década de 90, a questão
de manipulação de informações e de sua segurança ganha maior ênfase, pois a grande rede e
seus protocolos, especialmente a família TCP/IP, foram construídos sem muita preocupação
com a confidencialidade, integridade, disponibilidade e autenticidade.
À semelhança do que ocorre em qualquer novo espaço aberto e pouco regulado no mundo
físico, como o antigo “velho oeste” ou regiões de fronteiras ou bordas de expansão agrícola,
ainda não perfeitamente demarcada, pessoas mal intencionadas sempre buscam obter vantagens ilícitas ou socialmente inaceitáveis explorando a falta de regras.
Assim ocorre na Internet, onde, acobertadas pela distância e pelo anonimato, pessoas e
grupos tentam burlar a segurança dos equipamentos e sistemas informatizados de qualquer
empresa, governo ou indivíduo, e extrair benefícios indevidos da exploração deste bem chamado “Informação”.
A segurança da informação, definida como uma “área de conhecimento dedicada à proteção de ativos de informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade” (SÊMOLA, 2003), surge como uma nova especialidade, responsável por assegurar que as informações, sejam elas de caráter pessoal, institucional ou corporativo, estejam preservadas.
1.3
Infraestruturas Críticas
Como a informação é um bem incorpóreo, intangível e volátil, os ativos de informação
tornam-se naturalmente os principais focos de atenção da Segurança da Informação. São exemplos de ativos de informação: os meios de armazenamento, transmissão e processamento
da informação; os equipamentos necessários a isso, como computadores, equipamentos de
comunicações e de interconexão; os sistemas utilizados para tal; os locais onde se encontram
esses meios, e também os recursos humanos que a eles têm acesso. Os ativos de informação
19
confundem-se, de certa forma, com a própria Sociedade da Informação.
Podemos também entender que um subconjunto desses ativos forma a base, a infraestrutura de informação, que suporta a Sociedade da Informação, se interpretarmos o entendimento
de Morais SILVA (1961) para a expressão Infraestrutura como “estrutura das partes inferiores”.
Com o advento da Sociedade da Informação, onde as tecnologias de informação e comunicação têm papel preponderante nas infraestruturas de uma nação e na interação entre elas,
percebe-se que as infraestruturas de informação são críticas porque não podem sofrer solução
de continuidade. Se elas param, a sociedade da informação também pára, com graves conseqüências para a sociedade real.
Há que se considerar ainda que apesar dessas infraestruturas, por suas características, estarem acessíveis e utilizáveis de forma pulverizada pela sociedade, não cabe apenas aos indivíduos, às empresas ou ao governo protegê-las de forma individualizada e descentralizada,
pois se tratam de um bem comum.
A definição mais usual de infraestrutura crítica é aquela que, uma vez prejudicada por fenômenos de causas naturais, como terremotos ou inundações ou por ações intencionais de sabotagem ou terrorismo, traz grandes reflexos negativos para toda uma nação e sua sociedade.
São exemplos clássicos de infraestruturas críticas: as redes de telefonia, os sistemas de captação e distribuição de água, e as fontes geradoras e as redes de distribuição de energia. 5
O Gabinete de Segurança Institucional da Presidência da República – GSI/PR, no âmbito
de suas atribuições, define como infraestruturas críticas as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico,
político, internacional ou à segurança do Estado e da sociedade.
Vale notar que, com relação à proteção da Sociedade da Informação ou à Segurança da
Informação e Comunicações, encontramos duas visões que se complementam ao estudarmos o
cenário internacional: a proteção da Infraestrutura Crítica da Informação e a proteção da Infra-
5 International Critical Information Infrastructures Protection Handbook 2008/2009 – Center for Security Studies, ETH Zurich, p 36 e 37 –
apud Canongia, março2009.
20
estrutura da Informação Crítica que caracterizamos a seguir:
A primeira busca identificar e proteger a infraestrutura: hardware, software, dados e serviços, que suportam uma ou mais infraestruturas críticas e que uma vez afetadas causam sérios problemas àquelas infraestruturas críticas. Uma definição que reforça essa visão encontramos em um trabalho publicado pelo Centro de Estudos para a Segurança de Zurich
(2008/2009) :
“CRITICAL INFORMATION INFRASTRUCTURE (CII) is that part of the
global or national information infrastructure that is essentially necessary for the continuity of a country’s critical infrastructure services. The CII, to a large degree, consists of, but is not fully congruent with, the information and telecommunications sector, and includes components such as telecommunications, computers / software, the
internet, satellites, fiber-optics, etc. The term is also used for the totality of interconnected computers and networks and their critical information flows.”
A segunda busca identificar e proteger as informações consideradas críticas, tais como:
planos, relação de vulnerabilidades etc., de uma infraestrutura crítica. Essa visão foi proposta
na Lei Americana de proteção da infraestrutura crítica de 20026:
“CRITICAL INFRASTRUCTURE INFORMATION (CII) means information
not customarily in the public domain and related to the security of critical infrastructure or protected systems: (A) actual, potential, or threatened interference with, attack on, compromise of, or incapacitation of critical infrastructure or protected systems by either physical or computer-based attack or other similar conduct (including
the misuse of or unauthorized access to all types of communications and data transmission systems) that violates Federal, State, or local law, harms interstate commerce
of the United States, or threatens public health or safety; (B) the ability of any critical infrastructure or protected system to resist such interference, compromise, or incapacitation, including any planned or past assessment, projection, or estimate of the
vulnerability of critical infrastructure or a protected system, including security testing, risk evaluation thereto, risk management planning, or risk audit; or (C) any
planned or past operational problem or solution regarding critical infrastructure or
protected systems, including repair, recovery, reconstruction, insurance, or continuity, to the extent it is related to such interference, compromise, or incapacitation.”
Como no Brasil este assunto é relativamente novo e pouco estudado, não se conhecendo
na medida exata o grau de interdependência e conectividade das nossas infraestruturas críticas, bem como, da mesma forma, não podemos assegurar que todas as informações críticas a
respeito de uma infraestrutura crítica estejam protegidas corretamente, o autor, com base nessa
realidade, e nas proposições anteriores, define para fins deste estudo que:
6 Critical Infrastructure Information (CII) Act 2002, Information Analysis and Infrastructure Protection, Critical Infrastructure Information,
H. R. 5005—17 apud Canongia, Claudia, março 2009.
21
Infraestrutura Crítica da Informação é o subconjunto dos ativos de informação que afetam
diretamente a consecução e a continuidade da missão do Estado e a segurança da Sociedade.
1.4
Espaço Cibernético, Estado Real e Estado Virtual
As informações trafegam por uma infinidade de interconexões entre computadores, servi-
dores, roteadores e switches conectados por milhares de quilômetros de fibras óticas, cabos
especiais ou via satélite, os quais formam uma complexa malha de comunicação. É assim que
as residências se conectam aos bancos, às empresas públicas ou privadas e aos diversos níveis
de governo. Todos esses, por sua vez, também interconectados, fazem uso dessa extensa malha que cobre todo o país e interligam-se com outros países e em todos os continentes.
O conjunto das pessoas, empresas, equipamentos e suas interconexões, dos sistemas de
informação e das informações que por eles trafegam pode ser também denominado, no entendimento do autor, de espaço cibernético. Esse espaço cibernético, a princípio auto-regulado e
autônomo, permite a troca informações das mais variadas formas, por pessoas e equipamentos, que fazem uso de toda essa infraestrutura crítica de informações, sem maiores conhecimentos técnicos de como esta troca se processa e sem uma clara percepção das suas conseqüências, como já referenciado.
Na medida em que a sociedade da informação vai se estabelecendo em um país, inicia-se
um processo de construção de uma verdadeira “nação” virtual que é constituída no que denominamos espaço cibernético.
Aqui, a exemplo do espaço real, também são estabelecidas relações sociais e políticas, no
tempo e no espaço, a partir das quais o povo passa a tomar decisões sobre como “construir”
parte de suas vidas, permitindo que alguns passem a trabalhar exclusivamente ou não neste
novo espaço, desfrutem de suas amizades, gerenciem seus interesses financeiros da forma como entendam correta etc.
Assim percebemos que nesse espaço convivem três características, chamadas centrais pela maioria dos autores, que são elementos importantes na formação de um Estado: povo + território + soberania.
O povo, que pode ser caracterizado pela sociedade da informação; território, caracteriza22
do pelo próprio espaço cibernético; e soberania a capacidade de controlar, de ter poder de decisão sobre este espaço.
Como em MARTINEZ (2006)7
“Pode-se dizer que é até uma questão de lógica que se defina o Estado a partir
das relações estabelecidas entre Povo, Território e Soberania. Pois é preciso que haja
um mínimo de organização social e política para que as instituições tenham um sentido claro e vivido, e é óbvio, então, que é por obra desse mesmo povo ou de seus líderes que existem tais instituições. Também é de se esperar que esse povo ocupe ou
habite um determinado território”.
A existência desse Estado virtual se confunde e se complementa com o Estado real. Assim, a exemplo do que ocorre na sociedade real, percebemos ser necessária, na sociedade virtual, a existência de normas e regras, de governo enfim, para um convívio socialmente aceitável nesse espaço e para a sua própria proteção assegurando-se desta foram a sua existência. E
cabe ao Estado real, estabelecer estas regras, pois só ele detém este poder. A questão de regulação do estado virtual é complexa e merece aprofundamento em pesquisas futuras.
Quanto a Estado encontramos em CARVALHO (1998), o conceito de que:
“O Estado corresponde à sociedade devidamente organizada politicamente, fixada em um território, havendo jurisdição e poder de coerção por parte de um poder
soberano. Pode-se concluir também que a sociedade é a base para a formação do Estado”
Essa necessidade de marco legal no Estado Virtual é fundamental para que o Estado Real
possa exercer a soberania interna e externa ao seu espaço cibernético, apesar de não haver ainda o reconhecimento consensual de que a sua existência é fato, caracterizando-o como parte
do Estado / Nação.
Não se conhecem ainda iniciativas de discussões internacionais a esse respeito, talvez pelas dificuldades que a questão da delimitação de fronteiras no Espaço Cibernético apresente,
mantendo este assunto ainda em aberto, apesar de ser comum encontrarmos afirmações de que
o avanço tecnológico, a Sociedade da Informação, a interconexão das redes informatizadas ou
a WEB, aboliram as fronteiras territoriais.
7 http://jus2.uol.com.br/doutrina/texto.asp?id=8453 acessado em 12 de novembro de 2008
23
Para este estudo, a questão do como se estabelecer os limites físicos onde se dará a segurança e a defesa cibernética de um Estado é pertinente, se não, fundamental.
Pode parecer um paradoxo falar em espaço físico para uma atividade que se dá em essência no Espaço Cibernético – que se caracteriza como um lugar que pode ser acessado sem controle algum, de forma autônoma e independente; para uma atividade onde não existe uma identidade real, pois neste espaço cada um pode ser o que desejar ser, não havendo necessidade
de respeitar as suas raízes, locais de origem ou qualquer outro dado que possa ser realmente
comprovado. É o lugar onde quem dele queira participar pode se comunicar, exercer seus sonhos e fantasias apenas assumindo um apelido ou nickname. Não há interação física ou proximidade semelhante àquela experimentada pelos indivíduos reais. Assim podemos dizer, recorrendo a AUGE (1994), mais uma vez, que o ciberespaço é um não-lugar: sem fronteiras,
sem raízes, sem história.
Como então identificar as ciberfronteiras do território nacional? Se lembrarmos que a interconexão com outros Estados se dá por meio de cabos óticos submarinos transoceânicos que
adentram o território nacional pelo litoral ou pelo espectro eletroeletrônico através de conexões de satélites, que tipo de fronteira se deve proteger? As fronteiras dos mares territoriais, as
fronteiras terrestres ou as do espaço aéreo?
“Situar as fronteiras cibernéticas é um desafio que intriga por sua virtualidade, pois à
medida que áreas diferentes do globo são postas em interconexão umas com as outras, ondas de transformação social atingem virtualmente toda a superfície da terra”
Giddens (1990) apud Hall (2004).
A questão jurisdicional sobre um determinado espaço cibernético ocupa um limbo jurídico, sobretudo em função da impossibilidade prática em se estabelecer, pelo menos no atual
estado da arte, de forma clara e objetiva, as fronteiras nos espaços cibernéticos – base do Estado Moderno segundo alguns autores. Mas a inexistência desSas fronteiras não descaracteriza
a existência no Espaço Cibernético, do Estado Virtual ou da Sociedade da Informação que aí
vive, a exemplo do que ocorre no mundo real. Em DALLARI, 1998, encontramos amparo para essa afirmação em um estudo sobre o aparecimento do Estado:
“24. Sob o ponto de vista da época do aparecimento do Estado, as inúmeras teorias
existentes podem ser reduzidas a três posições fundamentais:
a) Para muitos autores, o Estado, assim como a própria sociedade, existiu sempre,
pois desde que o homem vive sobre a Terra acha-se integrado numa organização social, dotada de poder e com autoridade para determinar o comportamento de todo o
24
grupo. Entre os que adotam essa posição destacam-se EDUARD MEYER, historiador das sociedades antigas, e WILHELM KOPPERS, etnólogo, ambos afirmando
que o Estado é um elemento universal na organização social humana. MEYER define mesmo o Estado como o princípio organizador e unificador em toda organização
social da Humanidade, considerando-o, por isso, onipresente na sociedade humana.
b) Uma segunda ordem de autores admite que a sociedade humana existiu sem o Estado durante um certo período. Depois, por motivos diversos, que serão indicados
quando tratarmos das causas que levaram à formação do Estado, este foi constituído
para atender às necessidades ou às conveniências dos grupos sociais. Segundo esses
autores, que, no seu conjunto, representam ampla maioria, não houve concomitância
na formação do Estado em diferentes lugares, uma vez que este foi aparecendo de
acordo com as condições concretas de cada lugar. EDUARD MEYER expõe seu
pensamento a respeito deste assunto em sua História da Antiguidade, publicada entre
1921 e 1925. A sustentação dessa tese por WILHELM KOPPERS é mais recente,
constando de seu trabalho L´Origine de État, apresentado ao VI Congresso Internacional de Ciências Antropológicas e Etnológicas, realizado em Paris, no ano de
1960. Veja-se, a respeito do pensamento desses autores, A Formação do Estado, de
LAWRENCE KRADER, págs. 26 e 167. HERMANN HELLER condena a amplitude dada por MEYER ao conceito de Estado, dizendo que, com tão ilimitada extensão, o conceito histórico de Estado se desnatura por completo e se torna de impossível utilização (Teoría dei Estado, pág. 145).
c) A terceira posição é a que já foi referida: a dos autores que só admitem como Estado a sociedade política dotada de certas características muito bem definidas. Justificando seu ponto de vista, um dos adeptos dessa tese, KARL SCHMIDT, diz que o
conceito de Estado não é um conceito geral válido para todos os tempos, mas é um
conceito histórico concreto, que surge quando nascem a idéia e a prática da soberania, o que só ocorreu no século XVII. Outro defensor desse ponto de vista, BALLADORE PALLIERI, indica mesmo, com absoluta precisão, o ano do nascimento do
Estado, escrevendo que "a data oficial em que o mundo ocidental se apresenta organizado em Estados é a de 1648, ano em que foi assinada a paz de Westfália". Entre
os autores brasileiros adeptos dessa teoria salienta-se ATALIBA NOGUEIRA, que,
mencionando a pluralidade de autonomias existentes no mundo medieval, sobretudo
o feudalismo, as autonomias comunais e as corporações, ressalta que a luta entre elas
foi um dos principais fatores determinantes da constituição do Estado, o qual, "com
todas as suas características, já se apresenta por ocasião da paz de Westfália". A paz
de Westfália, que esses autores indicam como o momento culminante na criação do
Estado, e que muitos outros consideram o ponto de separação entre o Estado Medieval e o Estado Moderno, foi consubstanciada em dois tratados, assinados nas cidades
westfalianas de Munster e Onsbruck. Pelos tratados de Westfália, assinados no ano
de 1648, foram fixados os limites territoriais resultantes das guerras religiosas, principalmente da Guerra dos Trinta Anos, movida pela França e seus aliados contra a
Alemanha. A França, governada então pelo Rei Luiz XIV, consolidou por aqueles
tratados inúmeras aquisiçõesterritoriais, inclusive a Alsácia. A Alemanha, territorialmente prejudicada, beneficiou-se, entretanto, como todos os demais Estados, pelo
reconhecimento de limites dentro dos quais teria poder soberano.”
Assim, o marco na celebração da Paz de Westfália (1648) como a data de nascimento do
Estado Moderno, decorre do fato de que nessa data a Alemanha e França estabeleceram as
respectivas regiões limítrofes e assim passaram a indicar o território como elemento ou componente formal dos dois Estados, havendo assim a fixação formal do território e da soberania.
Decorrente dessa delimitação, também se estabelece e legitima uma determinada ordem de
25
comando, que, quando exercida internamente a cada território, recebe o nome de soberania
interna (que se dirige ao povo, aos cidadãos do Estado em questão) em complemento à soberania externa, endereçada aos outros países – daí a conotação de independência.
Para Weber, é o Estado que possui o monopólio do uso legítimo da força física e da produção legislativa:
“Dominação legal em virtude de estatuto. Seu tipo mais puro é a dominação burocrática. Sua idéia básica é: qualquer direito pode ser criado e modificado mediante
um estatuto sancionado corretamente quanto à forma (...) Obedece-se não à pessoa
em virtude de seu direito próprio, mas à regra estatuída, que estabelece ao mesmo
tempo a quem e em que medida se deve obedecer. Também quem ordena obedece,
ao emitir uma ordem, a uma regra: à "lei" ou "regulamento" de uma norma formalmente abstrata (...) Seu ideal é: proceder sine ira et studio, ou seja, sem a menor influência de motivos pessoais e sem influências sentimentais de espécie alguma, livre
de arbítrio e capricho e, particularmente, "sem consideração da pessoa", de modo estritamente formal segundo regras racionais ou, quando elas falham, segundo pontos
de vista de conveniência objetiva." WEBER, MAX (1989) apud BOBBIO
(2000).
De qualquer forma, tudo o que existe e se constrói nessa nova Sociedade, mesmo as construções físicas como as infraestruturas, e as pessoas que as operam e que são seus usuários,
podem ser entendidos como coexistindo em um Espaço Cibernético.
1.5
Segurança Cibernética
Para responder, ainda que tangencialmente, à questão de base que apóia este estudo- co-
mo estabelecer os limites onde se darão à segurança e a defesa cibernética do Estado Brasileiro- buscamos esclarecer nos parágrafos seguintes como as nações estão olhando para esse
problema.
Apenas dois exemplos se destacaram nesse estudo como as melhores referências encontradas. O pequeno número encontrado decorre do fato de se tratar de um tópico de pesquisa
muito novo. As visões a seguir expostas, refletem, grosso modo, duas formas de se olhar para
o problema, sendo uma proposta pelo Governo Americano e outra pelos governos da União
Européia.
26
Para a International Telecomunication Union – ITU 8, que reflete a visão européia, segurança cibernética significa basicamente prover proteção contra acesso, manipulação, e destruição não autorizada de recursos críticos e bens. Tais recursos e bens variam e dependem do
nível de desenvolvimento dos países. Dependem, também, do que cada país considera como
sendo recurso crítico, os esforços que podem e estão dispostos a realizar, bem como do grau
de risco que estão dispostos a aceitar em consequência das inadequadas medidas de segurança
cibernética. Adicionalmente, para certo número de países desenvolvidos, há outras ameaças
tais como fraude, ações contra a proteção do consumidor e contra a privacidade, as quais consideram também como objeto das medidas de cybersecurity de forma de proteger e manter a
integridade das infraestruturas críticas nos setores financeiro, de saúde, da energia, do transporte, da telecomunicação, da defesa e de outros:
“Cybersecurity is basically about providing protection against unauthorized access, manipulation and destruction of critical resources and assets. These resources
and assets, and the related issues to be addressed, vary and depend on the level of
development of countries. They also depend on what they consider to be a critical resource, the efforts they are willing and able to make and their assessment of the risks
they are willing to accept as a result of inadequate cybersecurity measures. 9
Já para o Department Homeland Security –DHS do Governo dos Estados Unidos da América, segurança cibernética inclui a prevenção a danos causados pelo uso não autorizado da
informação eletrônica e de sistemas de comunicações e respectiva informação neles contida,
visando assegurar a confidencialidade, integridade e disponibilidade,incluindo ainda ações
para restaurar a informação eletrônica e os sistemas de comunicações no caso de um ataque
terrorista ou de um desastre natural:
“Cybersecurity includes preventing damage to, unauthorized use of, or exploitation of electronic information and communications systems and the information
contained therein to ensure confidentiality, integrity, and availability. Cybersecurity
also includes restoring electronic information and communications systems in the
event of a terrorist attack or natural disaster.”10
Percebemos que essas visões misturam em suas proposições conceitos e definições de
proteção das infraestruturas críticas de informação, com segurança da informação e comuni-
8 http://iut.int acessado em 30 de outubro de 2008
9 ITU Global Cybersecurity Agenda (GCA): Framework for International Cooperation in Cybersecurity. ITU, 2007. p. 10. apud Canongia,
Claudia, março 2009.
10 National Infrastructure Protection Plan: Partnering to enhance protection and resiliency, DHS, 2009. p.12. apud Canongia, Claudia,
março2009.
27
cações, de combate ao crime organizado, de atuação de equipes de resposta a incidente de redes, e prevenção de desastres, dentre outras.
No estudo publicado por SUND11 (2008) esse entrelaçamento de idéias fica mais explícito, pois a pesquisadora alinha a visão dos países da Europa:
“According ITU, the focus areas in OECD countries to promote cybersecurity
are: a) Areas of high attention: combating cybercrime; creating national
CERTs/CSIRTs (Computer Emergency Response Teams/Computer Security Incident
Response Teams); engaging in cybersecurity awareness raising activities, and fostering education; b) Areas with less attention: research and development; evaluation
and assessment, and outreach to small and medium sized enterprises (SMEs).
No entender do autor, uma Estratégia de Segurança Cibernética de Estado deve ir além
disso. Acredito que deve congregar todas aquelas propostas, bem como proteger a privacidade
de pessoas físicas e jurídicas, as infraestruturas críticas em um sentido mais amplo. Proteger,
enfim, tudo aquilo que forma a Sociedade da Informação do país, sendo que essa proteção é
papel do Estado, como, aliás, a própria a International Telecomunication Union – ITU reconhece em seu estudo ao afirmar que:
“(…) quite a number of developed countries, in addition to other threats such as
online fraud, consumer protection and privacy, also consider cybersecurity solutions
as a way to protect and maintain the integrity of critical infrastructures in the financial, health, energy, transportation, telecommunication, defense, and other sectors.”
ITU (2007)
Com esse conceito em mente, o autor procurou uma definição que sistematizasse essa visão. A construção da proposta teve a seguinte evolução:
•
Segurança Cibernética deve ser entendida como a ciência e a arte de desenvolver e
utilizar a informação que trafega em meio eletromagnético como recurso ou arma
com vistas à preservação do Estado Brasileiro.
•
Segurança Cibernética dever ser entendida como a arte de garantir a existência do
espaço cibernético brasileiro pela adoção de ações que assegurem disponibilidade,
integridade, confidencialidade e autenticidade das informações de interesse do Estado brasileiro.
11 ITU Global Cybersecurity Agenda (GCA): Framework for International Cooperation in Cybersecurity. ITU, 2007. p. 10. apud Canongia,
Claudia, março 2009.
28
Fica fácil perceber que essas propostas, que ora se confundiam com as definições de Segurança da Informação e Comunicações, ora com ações meramente de defesa do Estado, eram
extremamente reducionistas e restritivas, pois tinham enfoque e ênfase nas informações, não
referenciando diretamente as infraestruturas críticas, por exemplo.
Finalmente o autor chegou à definição a seguir e a propõe como síntese do entendimento
do que seja uma Estratégia de Segurança Cibernética para um Estado:
Estratégia de Segurança Cibernética é a arte de assegurar a existência e a continuidade da Sociedade da Informação de uma nação, garantindo e protegendo, no Espaço
Cibernético, seus ativos de informação e suas infraestruturas críticas.
Para tanto, o desenho de uma Estratégia para a Segurança Cibernética para a Nação brasileira deve projetar e dimensionar os esforços necessários para proteger seus ativos de informação, suas infraestruturas críticas de informação, suas informações críticas, desenhar planos
para recuperação de informações frente a desastres naturais ou não, capacitar recursos humanos para responder pronta e competentemente a incidentes nas redes, garantir a privacidade
das pessoas e empresas presentes na Sociedade da Informação, e, como grande diferencial, ter
capacidade de desenvolver ferramentas de defesa, utilizando a informação como recursos ou
arma para assegurar a preservação do Estado Brasileiro.
A dimensão Segurança não deve existir sem estar complementada pela dimensão Defesa,
como veremos no Capítulo 6.
1.6
Informática e Segurança na APF
A Organização da Administração Pública Federal, como hoje a conhecemos, foi estabele-
cida pelo Decreto-Lei 200 de 25 de fevereiro de 1967, e se rege pelos princípios fundamentais
do planejamento, da coordenação, da descentralização e da delegação de competências. Destaque-se em seu artigo 30 que as atividades que mereçam a coordenação central devem ser
organizadas em forma de sistemas:
“ ...
TÍTULO V
DOS SISTEMAS DE ATIVIDADES AUXILIARES
Art. 30. Serão organizadas sob a forma de sistema as atividades de pessoal, orçamento, estatística, administração financeira, contabilidade e auditoria, e serviços gerais,
29
além de outras atividades auxiliares comuns a todos os órgãos da Administração que,
a critério do Poder Executivo, necessitem de coordenação central.”
Percebe-se que a Informática ou o Processamento de Dados, como era chamado, nos idos
de 1967, não foi configurado como um Sistema, haja vista que em seus primórdios, o uso do
computador ainda não era muito complexo e, portanto sua utilização não modificava os processos administrativos, pois eram usados como equipamentos que aceleravam a produção de
tarefas pontuais. Quando da elaboração do Decreto-Lei 200, apesar de raros, já existiam computadores em órgãos governamentais. Em 1957 o Governo do Estado de São Paulo adquiriu e
recebeu um Univac-120, o primeiro computador no Brasil, que foi usado para calcular todo o
consumo de água na capital. (MCI, 2000)12. Em 1959, a empresa Anderson Clayton compra
um Ramac 305 (Random Access Method of Accounting and Control - RAMAC) da IBM, sendo
este o primeiro computador do setor privado brasileiro. Existe um registro histórico de uma
reportagem de 18 de agosto de 1959, feita pelo repórter Abram Jagle, da Folha da Tarde, que
contava sua grande surpresa ao ser apresentado a um computador. A máquina tinha sido adquirida recentemente pela empresa Anderson Clayton:
“O operador apertou, no teclado, cinco números e a máquina de escrever (um dos
conjuntos do computador) escreveu: 'apresento as minhas boas vindas à reportagem
das Folhas, Ramac-IBM 305, Anderson Clayton'. ... O cérebro eletrônico vai permitir
um trabalho muito mais rápido e perfeito de controle, por exemplo, de quantidades e
qualidades de algodão produzido na área abrangida pelas atividades da Anderson
Clayton. O prazo da safra de algodão é muito curto.
As informações são recebidas por telefone e anotadas em fichas cujo processamento
não pode ser humanamente tão rápido como já se faz mister, considerando o elevadíssimo número de clientes da empresa. O computador, além dos referidos registros
e cálculos, fará outras tarefas, como faturar, registrar duplicatas, controlar cobranças,
atualizar estoques e créditos.” (MCI, 2000).
Em 1961 chega ao Instituto Tecnológico de Aeronáutica – ITA o computador IBM 1620,
trazido ao Brasil quase que clandestinamente, e que se tornou o primeiro naquele instituto
(PACITTI, 1997). No mesmo ano e no mesmo ITA, surge o que seria o primeiro computador
projetado no Brasil, feito realizado como trabalho de fim de curso de engenharia eletrônica
pelos alunos José Ellis Ripper, Fernando Vieira de Souza, Alfred Wolkmer e Andras Vásárhelyi auxiliados pelo chefe da Divisão de Eletrônica do ITA e professor Richard Wallauschek
O projeto oficialmente batizado pelo pomposo nome de ITA I, ficou consagrado como "Zezinho". (PACITTI, 1997).
12 (http://www.mci.org.br/linhatempo/index.html) acessado em 28 de outubro de 2008
30
O Serviço Federal de Processamento de Dados – SERPRO foi criado em 1964, como uma
empresa pública com a missão de modernizar e agilidade à administração pública. (SERPRO,
2008).13
Comprovando que computadores já faziam parte do dia-a-dia de algumas empresas e órgãos de Governo, vale lembrar que, com o objetivo de trocar informações, facilitar a formação
e a capacitação de mão de obra especializada e, principalmente defender os usuários frente às
poderosas empresas fabricantes de computadores, (leia-se grandes empresas, já que os investimentos para a aquisição de um computador eram proibitivos para as médias e pequenas empresas) foi fundada em 23 de dezembro de 1965, no Rio de Janeiro, a Sociedade de Usuários
de Informática e Telecomunicações – SUCESU, com o nome de Sociedade de Usuários de
Computadores e de Equipamentos Subsidiários, de onde vem sua sigla. Rapidamente em outras partes do Brasil surgiram Sucesu-Regionais: São Paulo (26 de janeiro de 1967), Minas
Gerais (07 de agosto de 1968), Rio Grande do Sul (21 de agosto de 1968). Estas fundaram a
SUCESU – NACIONAL em (09 de junho de 1969). A SUCESU realizou, no Rio de Janeiro,
em 1968, o 1º Congresso Nacional de Informática. (SUCESU, 2008).14
Com o uso cada vez mais complexo da informática na administração pública, e com os
problemas de segurança daí decorrentes, o assunto segurança da informação é abordado especificamente pela primeira vez na legislação federal em 13 de junho de 2000 no Decreto nº.
3.50515, que Instituiu a Política de Segurança da Informação nos Órgãos e Entidades da Administração Pública Federal por iniciativa Conselho de Segurança Nacional – CSN. Note-se
entretanto, que dentre as atribuições que foram citadas para a emissão deste Decreto, encontram-se a Lei nº 8.15916 de 8 de janeiro de 1991 que dispunha sobre a política nacional de arquivos públicos e privados e o Decreto nº 2.91017 de 29 de dezembro de 1998 que estabelecia
normas para salvaguarda de documentos, materiais, áreas e sistemas de informação de nature-
13 www.serpro.gov.br acessado em 28 de outubro de 2008
14 www.sucesu.org.br/historia acessado em 28 de outubro de 2008
15 http://www.planalto.gov.br/ccivil_03/decreto/D3505.htm acessado em 28 de outubro de 2008
16 http://www.planalto.gov.br/ccivil_03/leis/L8159.htm acessado em 28 de outubro de 2008
17 http://www.planalto.gov.br/ccivil_03/decreto/D2910.htm acessado em 28 de outubro de 2008
31
za sigilosos. Em nenhum trecho destas legislações o termo segurança da informação é encontrado, apesar de estar implícito o seu sentido.
Logo após, é editada Medida Provisória - MP nº 2.216-37, de 31 de Agosto De 200118,
publicada em edição extra do Diário Oficial da União - D.O.U. de 1 de setembro de 2001 que
alterou dispositivos da Lei nº 9.64919, de 27 de maio de 1998, dispondo sobre a organização
da Presidência da República e dos Ministérios e citando o termo “segurança da informação”.
Nessa MP, dentre outras alterações, é criado o Gabinete de Segurança Institucional da
Presidência da República que recebe como uma de suas competências a responsabilidade de
coordenar as atividades de segurança da informação na administração pública federal.
A regulamentação do assunto permaneceu inalterada e válida como proposto no Decreto
nº. 3.505/2000 que estabelece em seu artigo 2º o conceito de Segurança da Informação:
“Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a
segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento”.
Nesse conceito, arrojado para a época, percebe-se a preocupação dos legisladores em proteger as informações governamentais de ações de agentes internos e externos, antecipando-se
aos incidentes e problemas de segurança, que hoje chegam à casa dos milhares (CTIR/DSIC,
2008)20 e que são enfrentados diuturnamente.
O Decreto institui também, em seu artigo 6º o Comitê Gestor da Segurança da Informação
- CGSI, com atribuição de:
“Art. 6o Fica instituído o Comitê Gestor da Segurança da Informação, com atribuição
de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na consecução
das diretrizes da Política de Segurança da Informação nos órgãos e nas entidades da
Administração Pública Federal, bem como na avaliação e análise de assuntos relativos aos objetivos estabelecidos neste Decreto.”
18 http://www.planalto.gov.br/ccivil_03/MPV/2216-37.htm#art1 acessado em 28 de outubro de 2008
19 http://www.planalto.gov.br/ccivil_03/Leis/L9649cons.htm acessado em 28 de outubro de 2008
20 Estatísticas de invasões nas redes federais - ano 2008– www.ctir.gov.br acessado em 10 de fevereiro de 2009,
32
O CGSI, composto por representantes de 16 Ministérios é, de fato, um órgão de assessoramento, cabendo à Secretaria-Executiva do Conselho de Defesa Nacional – SE/CDN a responsabilidade de coordenar as atividades de segurança da informação da administração pública federal. Percebe-se, entretanto, no texto do decreto, uma incompreensível superposição de
competências, por exemplo, no artigo 4º, entre as diretrizes possíveis de adoção pela SE/CDN,
encontra-se a seguinte:
“IV - estabelecer normas relativas à implementação da Política Nacional de Telecomunicações, inclusive sobre os serviços prestados em telecomunicações, para assegurar, de modo alternativo, a permanente disponibilização dos dados e das informações de interesse para a defesa nacional;”
Ocorre que em 16 de julho de 1997, data anterior à promulgação do Decreto 3505, foi
sancionada a Lei nº. 9.47221, que dispunha sobre a organização dos serviços de telecomunicações, a criação e funcionamento de um órgão regulador da área: a Agência Nacional de Telecomunicações, com competência e poderes muito maiores e superpostos àquela diretriz.
Talvez, decorrente das superposições de competências e das inúmeras atividades sob a
responsabilidade daquela secretaria-executiva, somado ao momento político à época, fez-se
com que algumas ações fossem priorizadas, como, por exemplo, a criação do modelo e implementação das infraestruturas de chaves públicas e de certificação digital do país.
Ocorre que o incremento das TICs por toda a administração pública federal, e a falta de
um órgão executivo de coordenasse de fato as ações de SIC, fez com que as atividades relativas à segurança da informação fossem implementadas, não como promulgadas naquele decreto, mas sim, de acordo com a visão sobre a sua importância de cada administrador nos órgãos
e entidades da Administração Pública Federal (APF).
O Estado Brasileiro, diante da necessidade de exercer a coordenação efetiva das atividades de segurança da informação, entendeu que esta competência deveria permanecer concentrada em uma só organização, e, com a promulgação da Lei nº 10.683, de 29 de maio de 2003,
que dispõe sobre a organização da Presidência da República e dos Ministérios do novo Governo, manteve essa atribuição no Gabinete de Segurança Institucional da Presidência da República – GSI/PR, estruturando ainda um órgão subordinado ao GSI/PR para exercer especifi-
21 http://www.planalto.gov.br/ccivil_03/Leis/L9472.htm acessado em 28 de outubro de 2008
33
camente essa atividade, regulamentando aquela Lei com a edição do Decreto Presidencial Nº
5.77222 de 8 de maio de 2006, que criou o Departamento de Segurança da Informação e Comunicações – DSIC, com as seguintes competências:
“Art. 8o Ao Departamento de Segurança da Informação e Comunicações compete:
I - adotar as medidas necessárias e coordenar a implantação e o funcionamento do
Sistema de Segurança e Credenciamento - SISC, de pessoas e empresas, no trato de
assuntos, documentos e tecnologia sigilosos;
II - planejar e coordenar a execução das atividades de segurança da informação e
comunicações na administração pública federal;
III - definir requisitos metodológicos para implementação da segurança da informação e comunicações pelos órgãos e entidades da administração pública federal;
IV - operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos
nas redes de computadores da administração pública federal;
V - estudar legislações correlatas e implementar as propostas sobre matérias relacionadas à segurança da informação e comunicações; e
VI - avaliar tratados, acordos ou atos internacionais relacionados à segurança da informação e comunicações.”
Em 13 de junho de 2008, o DSIC, depois de demorados estudos e negociações no âmbito
do CGSI, consegue consenso para fazer publicar a Instrução Normativa nº 001/GSI23 que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta.
Importante destacar, como registro histórico, que o entendimento sobre a necessidade de
se legislar sobre o assunto segurança da informação tem se mostrado uma ação de Estado, pois
ultrapassa os limites temporais de governos.
Apesar de toda a legislação existente, como já referenciado, a necessidade dessa medida
fica comprovada por uma pesquisa realizada pelo Tribunal de Contas da União – TCU, que se
transformou no Acórdão nº 1602 de 15 de agosto de 2008 (TCU, 2008)24 sobre segurança da
22 http://www.planalto.gov.br/ccivil_03/_Ato2004-2006/2006/Decreto/D5772.htm acessado em 28 de outubro de 2008
23 http://dsic..planalto.gov.br/dsic/legislacaodsic/52 acessado em 28 de outubro de 2008
24 Acórdão 1603 – 15/08/08 – www.tcu.gov.br acessado em 28 de outubro de 2008
34
informação nos órgãos e entidades da administração pública federal, e que aponta as seguintes impropriedades no que concerne à prática da segurança da informação e comunicações na
APF.
“Da totalidade de órgãos da APF:
48% não possuem procedimentos de controle de acesso;
64% não têm política de segurança da informação;
64% não têm área específica de segurança da informação;
75% não adotam análise de riscos;
76% não têm gestão de incidentes;
80% não classificam as informações;
88% não têm Plano de Continuidade de Negócio.”
Entretanto, como já vimos, não basta existir a legislação. É preciso que os órgãos interajam entre si. Para a correta consecução dessas medidas é necessário a coordenação das atividades bem como a articulação e estreita colaboração dos órgãos e entidades públicas ou privadas.
Em função da sensibilidade de algumas informações com que lida a administração pública federal, assegurar que estas informações estejam em segurança de acordo com os preceitos
que já vimos: disponibilidade, integridade, confidencialidade e autenticidade, além da transparência e ainda protegidas contra ameaças internas e externas, requer entender a questão da segurança da informação e comunicações – SIC e por extensão à segurança cibernética, como
conceituada neste trabalho, como uma função típica de Estado.
De acordo com o mandato legal, cabe ao Gabinete de Segurança Institucional – GSI, em
articulação com os demais órgãos e entidades da administração pública federal, exercer a coordenação da função SIC em três dimensões, (i) na presidência da Câmara de Governo de Relações Exteriores e Defesa Nacional – CREDEN, elaborar as propostas de diretrizes estratégicas de segurança cibernética brasileira; (ii) como Secretaria do Conselho de Defesa Nacional –
35
CDN, estimular as discussões no âmbito do Comitê Gestor de Segurança da Informação –
CGSI, entidade que preside, do detalhamento daquelas diretrizes; e, (iii) mediante a ação dos
órgãos que pertencem à sua estrutura, em especial ao Departamento de Segurança da Informação e Comunicações – DSIC, consubstanciada em ações de regulamentação e normatização do
setor, além do seu papel indutor da capacitação dos servidores públicos federais nas questões
de SIC.
As organizações públicas ainda não se adaptaram às mudanças introduzidas pela Sociedade da Informação, apesar do tempo que se utilizam as tecnologias da informação na APF.
Essa adaptação, nos parece,, ainda exigirá um longo caminho, principalmente porque o seu
uso evidencia dois aspectos que impactam sobremaneira o modelo de gestão hierárquico disseminado na APF. Destacamos dois aspectos: o primeiro é o incremento do grau de autonomia
que os escalões inferiores alcançaram, com o uso maciço de TI. Os processos de trabalho circulam velozmente, as clássicas funções gerencias de centralização de decisões e consequentemente de poder, foram subvertidas por processos automatizados; as informações não mais
circulam hierarquicamente, e os subordinados podem delas tomar conhecimento, independentemente de suas chefias. Isso permite aos subordinados um maior grau de autonomia. Por outro lado é “gritante” a diferença da capacitação técnica dos servidores mais jovens no uso das
ferramentas de TI frente aos mais antigos, aí inclusas as chefias.
Em recente pesquisa realizada pelo DSIC, que pode ser encontrada no Anexo B e publicada pela primeira vez, foi avaliado o grau de percepção de autoridades do executivo federal
sobre segurança da informação e comunicações. O índice de respostas, exatos 27,68% do universo pesquisado, foi surpreendente por superar as melhores expectativas, sendo que desse
total, 6 Ministros de Estado responderam, o que representa 12,24% do universo de Ministros
(37), demonstrando, sem sombra de dúvidas, que o assunto desperta interesse.
Como explicitado no Anexo B, na pesquisa preliminar, por amostragem, para a confecção
das questões do formulário de pesquisa, foi constatado que, em média, um Ministro de Estado
brasileiro convive com no mínimo um dispositivo eletrônico de controle de acesso, token ou
cartão com chips e não menos que 10 identificações de usuários, sendo comum o compartilhamento dos dispositivos e das user-ids ou senhas com assessores. Foi possível observar que
nem sempre a Autoridade percebe que, por força do cargo, tem a sua disposição os recursos
36
tecnológicos mais potentes e, por isso mesmo se tornam grandes vulnerabilidades no momento em que dispositivos os de controle de acesso são compartilhados.
No Brasil, o assunto segurança ou defesa do espaço cibernético ainda não despertou a atenção que merece, nem mesmo no meio militar. O mesmo se dá quanto à própria segurança
da informação, pois apenas há cerca de 3 anos, em 8 de maio de 2006, o Governo Federal entendeu ser necessária a criação da estrutura do Departamento de Segurança da Informação e
Comunicações – DSIC, para homogeneizar o entendimento e centralizar as decisões na área.
1.7
Proposta do Trabalho
Diante da constatação do papel do Estado na preservação do Espaço Cibernético associa-
da à dificuldade de plena compreensão a respeito do que seja esse espaço, esta monografia
apresenta elementos de uma Doutrina e de uma Estratégia de Segurança Cibernética para a
proteção da Infraestrutura da Informação do Brasil, a qual é crítica para o Estado e a Sociedade Brasileira.
Necessário se faz definir o contexto que os termos Doutrina e Estratégia são empregados
nesse trabalho, que, por serem adotados com os preceitos da área de Defesa, não se encontram
perfeitamente alinhados com as definições das áreas de Planejamento e Gestão das Ciências
Administrativas.
Entendemos por Doutrina ao “conjunto de preceitos destinados a orientar a ação. Sendo
geralmente uma Normativa explicitando regras de aplicação geral ou específica. São princípios que servem de base a uma Política Pública.” ESG (Manual Básico 1983, Pág. 91).
Já o termo Estratégia é aqui utilizado como “a arte de preparar e empregar os meios do
Poder de uma Nação para superar os obstáculos de toda ordem, que dificultem ou impeçam a
satisfação de seus interesses.” ESG (Manual Básico 1983, Pág. 110).
São pressupostos para a elaboração da Doutrina e sua Estratégia de Segurança Cibernética sem esgotá-los: (i) a crescente dependência de um Estado Moderno relativamente a todas as
infraestruturas críticas das tecnologias de informação e comunicações; (ii) a importância das
informações depositadas sob a guarda do estado e da sociedade; (iii) a atual falta de cultura,
37
normas e ações articuladas de segurança das informações e comunicações no país; (iv) a articulação deficiente dos órgãos de estado responsáveis por prover esta segurança; (v) o apoio
tímido das autoridades no que concerne aos assuntos de segurança cibernética; e (vi) a falta de
marco legal.
Para tanto dividimos este estudo, em três partes: (i) os capítulos 1 a 3 contextualizam o
estudo, apresentando os problemas a serem enfrentados, justificando-o e delineando claramente os objetivos que se quer atingir na construção desta pesquisa; (ii) o capítulo 4 procede à revisão parcial da literatura existente, que associada às pesquisas realizadas pelo Departamento
de Segurança da Informação e Comunicações – DSIC, órgão da Presidência da República, são
aqui apresentadas em primeira mão e pretende contextualizar e comprovar os problemas encontrados e apontados anteriormente; (iii) os capítulos 5 e 6 articulam os resultados que se
pode alcançar a partir das idéias estudadas. Procuramos apontar caminhos por onde seguir na
busca daquele objetivo maior, mapeando objetivos intermediários, possíveis de serem realizados. Nesse contexto apresentam-se propostas de metas e ações que, em seu conjunto, intitulamos Estratégia de Segurança e Defesa Cibernética para a Administração Pública Federal. O
capítulo 7 discute sobre o grau de alcance dos objetivos pretendidos.
38
2
O PROBLEMA
Esta pesquisa é motivada pela constatação prática -decorrente da atividade profissional do
autor25- de que faltam ao país elementos que garantam a Segurança do seu espaço cibernético
de modo que se possa proteger a Sociedade e nortear a ação dos diversos atores que interagem
na grande Rede, especialmente aquela necessária ao desempenho da ação do Estado do Governo na preservação da Sociedade no chamado Espaço Cibernético.
2.1
Pressupostos
É um pressuposto deste trabalho que, por questões práticas, e por falta de marco legal, os
órgãos, entidades e empresas do setor público e do setor privado limitam-se a adotar medidas
de proteção individual apenas para suas redes, seus próprios sistemas e infraestruturas tecnológicas. Do ponto de vista dos modelos de gestão de segurança da informação, cujo desenvolvimento se deu também com uma visão de empresa individual, a perspectiva de proteção também se dá nas redes, infraestruturas tecnologias e sistemas de informação próprios da organização, sejam elas públicas ou privadas.
Ocorre que a proteção individualizada e sem coordenação das diversas redes e infraestruturas prejudica a visão do todo, do bem comum, fragilizando a proteção das infraestruturas
críticas de informações, tão necessárias ao Estado e Sociedade. Na Sociedade da Informação
25 D.O.U de 18 de julho de 2006 nomeação de Raphael Mandarino Junior como o primeiro Diretor do Departamento de Segurança da Informação e Comunicações – DSIC, com a atribuição de coordenar as atividades de Segurança da Informação e Comunicações na Administração Pública Federal
39
todos compartilhamos o mesmo espaço Cibernético. Desta forma, percebe-se que compete
naturalmente ao Estado garantir a proteção do bem comum da sociedade da informação - o
ciberespaço - mediante a construção de Políticas Publicas que apontem o caminho a ser seguido por toda a Sociedade Real.
Em DALLARI, 1998, encontramos amparo para esse caminho quando nos explica que a
institucionalização organizacional que deu causa ao surgimento do Estado tem a ver com a
busca da autorrealização e satisfação das pessoas em processo ordenado, seja tendo em vista o
próprio bem-estar, seja o bem comum. Caracterizando o seu entendimento sobre o que vem a
ser o bem comum, aquele professor vale-se da conceituação do papa João XXIII:
“O bem comum consiste no conjunto de todas as condições de vida social que consintam e favoreçam o desenvolvimento integral da personalidade humana” (Pacem in
Terris [Encíclica], Petrópolis: Ed.Vozes, 1963, apud Dalmo de Abreu Dallari, ob.
cit., p. 12).
O autor julga que a solução passa pelo desenho de uma Política Pública intitulada Estratégia de Segurança e Defesa Cibernética para a Administração Pública Federal.
Para a sua elaboração será necessária a constituição de um Grupo Especial de Trabalho
composto por órgãos públicos e privados, que façam uso intensivo das infraestruturas críticas
da informação, no âmbito do Comitê Gestor de Segurança da Informação – CGSI já que esse
foi instituído com a atribuição de assessor a Secretaria Executiva do Conselho de Defesa Nacional na avaliação e análise de assuntos relativos aos objetivos estabelecidos no Decreto
3505/2000.
Esta pesquisa tem por objetivo identificar alguns atores, propor a forma de articulação
desse conjunto, e levantar métodos, técnicas, princípios e diretrizes de forma a indicar os elementos básicos para a construção de uma estratégia de Segurança e Defesa do Espaço Cibernético Brasileiro.
40
2.2
Desafios à Proteção de Espaços Cibernéticos
Diante da necessidade de exercer a coordenação da segurança e defesa do seu espaço ci-
bernético o Estado Brasileiro vê-se diante, em sua própria estrutura, de uma série de fatores
que corroboram a necessidade de propor uma estratégia, que abrigue um modelo de articulação entre seus órgãos e entidades, para aperfeiçoar os esforços nessa direção.
Essa estratégia deve contemplar a análise de diversos fatores, que vão desde a falta de integração entre órgãos da APF (ver Anexo C)- dada pela ausência de coordenação de ações
conjuntas- passando pela escassez de marcos legais que orientem o administrador público sobre o caminho metodológico seguir, até a inexistência de ações estruturantes que fortaleçam
ou desenvolvam uma cultura de segurança da informação e comunicações na Administração
Pública Federal (ver Anexo A). Essa abordagem materializa-se no conceito de segurança da
informação e comunicações, em desenvolvimento pelo Estado Brasileiro.
Para tanto, é imprescindível a correta compreensão da dimensão do problema e o apoio irrevogável e irrestrito das chefias de todos os níveis, em especial as do primeiro escalão (ver
Anexo B).
Essa necessidade se faz clara quando tomamos como exemplo a situação atual na administração pública que é gerenciada por função, por exemplo: saúde, comunicações, água, educação, segurança e energia. A responsabilidade e o poder de emitir normas sobre a gestão de
diferentes infraestruturas críticas está a cargo dos mais diversos ministérios. Ocorre que estas
infraestruturas não são isoladas, estando na verdade intimamente interligadas. Por exemplo, a
questão da água pode afetar a energia, já que os reservatórios são ao mesmo tempo reservas de
água potável e local onde se abriga o componente (água) que proporciona a força motriz na
geração de energia nas hidroelétricas.
Ao lembrarmos que todas essas infraestruturas se valem das tecnologias da informação e
comunicações para a gestão das suas atividades meio e fim, percebe-se que a quebra na segurança da informação de uma pode influenciar no desempenho de outra.
41
Esse é um problema mundial. Em 15 de março de 2009, o jornal Estado de São Paulo26
deu destaque à inclusão na proposta de orçamento para 2010, feita pelo presidente americano
Barack Obama, de um financiamento de US$ 355 milhões para tornar mais segura a Internet
naquele país. A proposta visa à proteção das redes públicas e privadas do país.
Na mesma matéria são reproduzidas declarações de pesquisadores americanos:
"A infra-estrutura do país é um alvo óbvio para esses ataques", disse Randy Grubb,
diretor o Instituto de Pesquisa para a Segurança Cibernética da Universidade Armstrong Atlantic, no Estado da Geórgia. "A exploração de setores específicos por algum inimigo poderia dar informações privilegiadas referentes ao Exército e à economia dos EUA."
Para o pesquisador Alexander Melikishvili, do Centro James Martin para Estudos da
Não-Proliferação, na Califórnia, os resultados de um ataque cibernético dependem
da integração das estruturas críticas do país à internet. "Quanto mais uma nação estiver integrada tecnologicamente, mais destruidor pode ser um ataque desses", afirmou
o analista. "Hackers poderiam obter dados delicados do governo referentes a tecnologias avançadas e programas de defesa futuros."
Assim para minimizar esses possíveis impactos, mediante ações preventivas conjuntas e
coordenadas incluindo-se a total integração entre órgãos da APF, dentre outras ações, é que se
faz necessário o apoio integral dos dirigentes governamentais, permitindo-se a criação de uma
cultura de segurança da informação na APF.
No fomento dessa cultura dentro dos órgãos e entidades do Governo Federal, é importante
frisar que, mesmo em se tratando de uma questão de Estado, se faz necessário conciliar dois
princípios basilares constitucionais de que se reveste a administração pública: transparência e
publicidade dos atos públicos, em contraponto à necessidade de proteger informações de Estado. Cada situação depende do momento e do objeto em questão.
Um exemplo clássico do que se deve proteger e o que se deve dar publicidade pode ser
visto nas atividades de compra do governo. Enquanto um processo de compra de um serviço
ou produto qualquer não for plenamente definido, não é permitida a divulgação da iminente
aquisição, sob pena de se dar vantagem ilegítima a algum possível concorrente. Os dados devem, portanto, ser mantidos em sigilo. Entretanto, uma vez tomada a decisão, os editais de
compra devem ter ampla divulgação para que qualquer fornecedor em potencial possa deles
26 http://www.estadao.com.br/estadaodehoje/20090315/not_imp339088,0.php
42
tomar ciência. Nesse momento, aqueles dados que estavam sob sigilo passam à situação de
total transparência.
Os procedimentos de compras estão plenamente regulados e fazem parte da cultura do
administrador público, que tem o apoio de um conjunto de regras e procedimentos, pois ao
mesmo tempo que esclarecem e direcionam quanto às decisões a serem tomadas no assunto,
estabelecem quem e como se dará a fiscalização da correta obediência a estes princípios.
O mesmo não ocorre quando tratamos dos procedimentos de segurança cibernética. As
mesmas necessidades de proteção das informações de Estado e publicidade dos atos públicos
podem ser inferidas pelos administradores, mas a ação sem coordenação aliada à inexistência
de regras claras e de legislação específica, mais a velocidade de evolução das tecnologias de
informação e comunicações envolvidas, torna confuso esse entendimento.
Aumentando o desafio, sabemos que quase todos os administradores de primeiro nível foram alfabetizados e se formaram em um paradigma anterior à explosão da computação e do
advento da Internet. Como demonstrar a esses executivos o real perigo que representa a delegação de senhas e controles de acesso aos assessores? Como explicar que os recursos tecnológicos de última geração postos à sua disposição, em seus locais de trabalho, podem trazer embutidos maiores riscos à segurança?
Assim, verifica-se a necessidade premente de repensar o conceito de segurança das infraestruturas críticas de Estado, em especial a de Informação, mediante a construção de uma Estratégia de Segurança Cibernética. O esforço deverá se concentrar em desenhar essa Estratégia, de modo a torná-la escalável e modular, aproveitando os êxitos já alcançados por alguns
Órgãos melhor estruturados no assunto. Tal estratégia também deve ser simples e atraente para a adesão voluntária, tanto por órgãos da administração pública quanto por todas as empresas e pessoas que compõem a Sociedade Brasileira.
43
3
3.1
REQUISITOS PRÉ-PESQUISA
Objetivo Geral
Dada à constatação preliminar de que o país carece de uma estratégia de defesa do seu es-
paço cibernético, e que a necessidade de segurança nesse espaço se mostra cada vez mais próxima à necessidade de segurança do próprio Estado-Nação, e reconhecendo que essa tarefa
transcende a este trabalho, o objetivo geral desta pesquisa é caracterizar alguns elementos
centrais que servirão para a concepção de uma doutrina de estado para segurança e defesa do
espaço cibernético brasileiro, os quais seriam: (i) os agentes de governo participantes e interessados no ciberespaço da Nação Brasileira, (ii) métodos, técnicas, princípios e diretrizes para uma estratégia de segurança cibernética alinhada com a organização do Estado Brasileiro e
(iii) articulações possíveis entre os agentes de defesa cibernética do Estado Brasileiro.
3.2
Objetivos Específicos
São objetivos específicos deste estudo:
a. Apresentar uma revisão bibliográfica dos conceitos subjacentes ao conceito de segurança e defesa cibernética;
b. Considerar os possíveis contornos do espaço cibernético brasileiro e sua influência sobre a segurança e defesa Cibernética;
c. Identificar os principais atores da Administração Pública Federal que devem interagir na segurança cibernética e propor um modelo de interação entre eles;
44
d. Descrever princípios e diretrizes que norteiam o desenho de uma estratégia de segurança cibernética para o Estado Brasileiro;
e. Esboçar caminhos para a construção de uma doutrina de segurança do espaço cibernético brasileiro.
3.3
Justificativas e Metodologia da Pesquisa
A palavra Guerra sempre evoca ser atividade a cargo das Forças Armadas de um país,
pois a preparação para uma guerra é papel preponderante das Forças Armadas e até seu dever
constitucional27 (CONSTITUIÇÃO.1988 - Cap. II Art. 142). Mas devemos lembrar que a decisão sobre participação do Brasil em um confronto bélico cabe ao mais alto nível de gestão
do Estado Brasileiro – à Presidência da Republica, que deve, no mínimo, como previsto na
Constituição Brasileira, convocar e consultar o Conselho de Defesa Nacional.
3.3.1 Justificativas da Pesquisa
Como já descrito, o mundo vive sob a ameaça de uma onda, crescente e silenciosa de ataques cibernéticos. Das pessoas físicas às empresas, de entidades sociais a governos, todos estão expostos a riscos ainda não completamente avaliados se estiverem presentes no espaço
cibernético. As formas de ataque são as mais variadas, indo desde ações simples (mas nem por
isso menos criminosas) de “pixação”de páginas da Web a roubos e adulterações de informações com graves conseqüências para vidas humanas.
Seu desenrolar quase sempre não é precedido de avisos formais ou situações de confrontos explícitos. Em última análise um país, uma empresa ou uma pessoa pode ser vítima de ataques cibernéticos e nem ao menos se dar conta disso.
Em 17 de maio de 2007, o jornal on-line Terra Tecnologia, transcrevendo matéria da
BBC, informava que, naquele dia, o governo da Estônia divulgara que estava sofrendo um a-
27 Constituição Federal. Url: http://www.planalto.gov.br/ccivil_03/Constituicao/Constitui%C3%A7ao.htm. Consulta em 28 de outubro de
2008
45
taque cibernético proveniente de sítios localizados na Rússia.28 A acusação partia do Ministério da Defesa da Estônia para quem os ataques cibernéticos contra os sítios do seu país estariam vindo de todas as partes do mundo, mas que muitos deles estariam vindo de sítios baseados na Rússia. E que, além disso, instruções sobre como realizar os ataques estariam circulando, em língua russa, em sítios russos. A matéria continuava afirmando que:
“O Governo estoniano informou que seus sites e muitos sites de empresas e bancos
do país estão sendo bombardeados por uma enorme quantidade de pedidos de informação, acima da capacidade de processamento dos seus servidores”.
Os ataques começaram ao final de abril, coincidindo com a retirada do monumento
conhecido como Soldado de Bronze.
A estátua, vista como um símbolo da opressão soviética por muitos estonianos, é
considerada um monumento anti-fascismo pela Rússia e pela grande comunidade étnica russa da Estônia, que consideraram a remoção um insulto.
...
O governo diz que, apesar de especialistas da OTAN e de outros países da União Européia estarem ajudando o país a traçar as origens dos ataques, a Rússia não estaria
cooperando com as investigações.
...
A Estônia quer que o episódio, que classifica como uma agressão russa, esteja no topo da agenda da cúpula União Européia - Rússia, que começa na sexta-feira em Samara, na Rússia.
De Samara, o porta-voz do Kremlin Dmitry Peskov negou à BBC que seu governo
tenha qualquer envolvimento com os ataques à Estônia, descrevendo as alegações
como "completamente inverídicas".”
Em 8 de setembro de 2007, o jornal a Gazeta do Povo29, transcreve matéria do jornal
francês Le Monde, que noticiou que a França, a exemplo dos Estados Unidos e Alemanha,
haviam sofrido ataques cibernéticos do governo chinês, conforme a notícia na íntegra:
“A França também foi alvo de ataques cibernéticos chineses, a exemplo do que aconteceu com Estados Unidos e Alemanha, disse no sábado o jornal parisiense Le Monde, citando uma fonte do governo.
28 Estônia acusa Rússia por ataque cibernético ao país. URL: http://tecnologia.terra.com.br/interna/0,,OI1619983-EI4805,00.html. Acesso
28 de outubro de 2008
29 França também sofreu ataque cibernético chinês, diz Le Monde. Url:
http://portal.rpc.com.br/gazetadopovo/mundo/conteudo.phtml?id=694676. Acesso 28 de outubro de 2008.
46
Pequim nega os relatos da imprensa ocidental segundo os quais Hackers chineses invadiram sistemas do Pentágono e do governo alemão, inclusive da chancelaria (sede
do governo).
Francis Delons, secretário-geral de Defesa Nacional da França, ligado ao gabinete
do primeiro-ministro, disse ao Le Monde que seu país também sofreu esse tipo de
invasão.
"Por várias semanas, tive claras indicações de que a França não estava protegida de
ataques (de Hackers chineses)", disse Delon ao Le Monde. "(Temos notado) sinais
de ataques que tocaram serviços controlados pelo governo. Podemos falar de um caso sério, (mas) não estou em posição de dizer que esses ataques partiram do governo
chinês."
O Pentágono disse que os Hackers conseguiram entrar em um sistema de e-mails
não-sigiloso no gabinete do secretário de Defesa dos EUA, Robert Gates. As autoridades norte-americanas não quiseram comentar informações do Financial Times de
que o Exército Chinês seria responsável pela invasão.
O Departamento de Defesa dos EUA disse que não houve ameaça a sistemas sigilosos ou interrupção das operações de defesa.
Na Alemanha, a revista Der Spiegel, noticiou na semana passada que o serviço federal de inteligência disse ao governo em maio que Hackers chineses tinham penetrado
em redes do ministério..”
Mais recentemente, março de 2009, foi divulgado um extenso relatório intitulado Tracking GhostNet: Investigating a Cyber Espionage Network, relativo a uma pesquisa realizada
pelo sítio Information Warfare Monitor30, ligado ao laboratório multidisciplinar Munk Centre
for International Studies, da Universidade de Toronto que aponta ataques cibernéticos em
mais de 100 países e que foi divulgado com exclusividade pelo jornalista John Markoff, do
New York Times31:
The researchers, who are based at the Munk Center for International Studies at the
University of Toronto, had been asked by the office of the Dalai Lama, the exiled Tibetan leader whom China regularly denounces, to examine its computers for signs of
malicious software, or malware.
Their sleuthing opened a window into a broader operation that, in less than two
years, has infiltrated at least 1,295 computers in 103 countries, including many belonging to embassies, foreign ministries and other government offices, as well as the
Dalai Lama’s Tibetan exile centers in India, Brussels, London and New York.
30 http://128.100.171.10/?q=ghostnet
31 Vast Spy System Loots Computers in 103 Countries URL: http://www.nytimes.com/2009/03/29/technology/29spy.html. Acesso em 28
de março de 2009.
47
Outras expressões se fazem presentes na mídia cotidiana, usadas às vezes imprecisamente
como sinônimos para descrever esses ataques cibernéticos: “Guerra da Informação”, “Guerra
Eletrônica”, “Guerra Cibernética” e “Guerra Assimétrica”.
Apesar da constante falta de precisão na utilização do termo, o cidadão comum, sem ter a
real percepção de sua dimensão e alcance, não percebe que elas de fato são factíveis de ocorrer, e assim sendo, entender que todos os participantes da sociedade da informação podem ser
inseridos nelas.
Não é fácil perceber a diferença entre essas expressões, e não há consenso entre autores.
Podemos definir Guerra da Informação, por exemplo, como um conflito onde o alvo é a informação, em uma tradução livre e simplificada do pensamento de SCHWARTAU (1994). Já
LIBICKI (1995) amplia este conceito, introduzindo outras expressões em sua definição para
guerra da informação: “Comando e controle, guerra baseada na inteligência, guerra eletrônica,
guerra psicológica, guerra de hacker e guerra de informações econômica, guerra cibernética”.
LESSA et. alli. (2002) definem guerra cibernética como uma guerra sem território e que
abrange todo o planeta, com repercussões dos pontos de vista bélico, econômico, político e
psicológico.
METZ e JOHNSON. (2001) nos ensinam que no âmbito dos assuntos militares e de segurança nacional, a assimetria implica atuar, organizar e pensar de maneira distinta dos adversários, de forma a maximizar nossas próprias vantagens, explorar as fraquezas do inimigo, obter
a iniciativa ou alcançar uma maior liberdade de ação.
PARKS e DUGGAN (2001) definem Guerra Cibernética como um “subconjunto da guerra da informação, que envolve ações realizadas na Internet e nas redes a ela relacionadas.”.
Já a Guerra Eletrônica é entendida como ações que visam o controle e domínio do espectro eletromagnético para impedir, reduzir ou prevenir seu uso contra os interesses do país,
conforme explicito na Política de Guerra Eletrônica de Defesa do Ministério da Defesa
(2004).
Podemos entender que as infraestruturas críticas de um país são os alvos preferenciais de
uma Guerra da Informação. Deflagrada contra a infraestrutura crítica financeira de um país,
por exemplo, ela será percebida nas atividades típicas da sociedade da informação, pois deli48
beradamente atrapalhará o fluxo das transações comerciais feitas por intermédio da Internet e
se perdurar, causará como conseqüência um recuo das atividades econômicas do Estado sob
ataque.
Esse conceito está contido na teoria da “Guerra além dos limites”, do livro “Unrestricted
Warfare”, lançado em 1999 pelos coronéis Qiao Liang e Wang Xiangsui, do exército da República Popular da China:
“A guerra, que se submeteu às mudanças da moderna tecnologia e do sistema de
mercado, será desencadeada de forma ainda mais atípica. Em outras palavras, enquanto presenciamos uma relativa redução na violência militar, estamos evidenciando, definitivamente, um aumento na violência política, econômica e tecnológica”.
Numa reflexão mais apressada pode-se não perceber qual influência uma ação de Guerra
de Informação poderia ter sobre infraestruturas críticas do país, como estradas ou aeroportos
que são, em essência, construções físicas e reais. Esse entendimento se dá na medida em que
se constata que a sociedade é cada vez mais dependente das tecnologias e que a administração
de toda e qualquer infraestrutura social ocorre, mesmo que em pequena parcela, por intermédio de seus sistemas de gerenciamento, de controle, e das comunicações entre esses sistemas e
entre as pessoas que os operam e dirigem. Essa gerência se dá em grade parte de forma eletrônica, ou seja, ocorre no espaço cibernético, convivendo com ameaças inerentes a esse meio e
expondo vulnerabilidades a todos os que possam estar conectados ao meio em qualquer parte
do mundo.
Conhecer as ameaças e ter uma doutrina e uma estratégia para seguir são relevantes para
que as organizações da Sociedade Brasileira e em especial as da Administração Pública Federal, que tem a seu cargo operacionalizar infraestruturas críticas, possam conhecer e adotar posturas rígidas de defesa, protegendo seus ativos de informação dos possíveis ataques no espaço
cibernético.
As vulnerabilidades naturais de um conjunto complexo de redes informatizadas como a
encontrada na Sociedade Brasileira e em especial na Administração Pública Federal são agravadas por fatores como a pouca cultura em segurança da informação e comunicações, o apoio
tímido da alta administração para o assunto e a baixa articulação entre os órgãos e entidades,
públicos, que têm a responsabilidade de defender contra aqueles ataques a parcela do espaço
49
cibernético sob sua responsabilidade direta. Os Anexos A e B desta monografia oferecem ampla evidência sobre a veracidade desta informação.
Esses ataques se refletem diretamente na perda dos atributos da segurança da informação
e de comunicações - disponibilidade, integridade, confidencialidade e autenticidade - dos serviços ofertados no espaço cibernético. Os conceitos de segurança da informação e de comunicações e seus atributos são apresentados na Seção 4.1 .
Quanto à amplitude do ataque, eles vão do simples - como a descaracterização de uma
página de um sítio da Web (defacement) buscando atingir a imagem e a credibilidade das instituições atacadas, como na Figura 1- aos mais complexos, que buscam incapacitar sistemas
ou afetar a sua funcionalidade, refletindo-se no ambiente físico onde a instituição opera, como
a ocorrida em junho de 2007 em um órgão público brasileiro cuja identificação estamos preservando, na modalidade “seqüestro” onde um invasor invade o sistema, modifica as senhas
dos administradores e deixa uma mensagem estipulando o preço para “venda” da nova senha.
O caso aqui relatado teve um desfecho favorável. Com a ajuda de especialistas a nova senha
foi desvendada e o caso encaminhado às autoridades policiais.
Figura 1 - Imagem do defacement no sítio da 12ª Região Militar do Exército Brasileiro. 32
Vale notar que a complexidade dos ataques cibernéticos vem aumentando no decorrer do
tempo, enquanto a necessidade de conhecimentos técnicos por parte dos atacantes para efetuá-
32
http://www.zone-h.org/mirror/id/8839463. Acesso em 5 de maio de 2009
50
los vem decrescendo. Ataques que no passado buscavam quebrar o código de uma senha necessitavam de um amplo conhecimento técnico de programação e de sistemas operacionais.
Atualmente ferramentas que permitem realizar ataques distribuídos a códigos ou senhas são
encontradas facilmente na Web. O desenvolvimento dessas ferramentas continua a requerer
um alto grau de expertise, mas para o seu uso não são necessárias mais do que alguns conhecimentos rudimentares.
Uma relação entre o aumento da complexidade desses ataques e a diminuição da necessidade do conhecimento para a sua utilização pode ser vista na Figura 2, publicada originalmente pelo Computer Emergency Response Team CERT/CC, da Universidade de Carnegie Mellon.
Em agosto de 2008 o Governo da Geórgia acusou o Governo Russo de incentivar seus cidadãos a contribuir para um ataque de negação de serviço (Denial of Service – DoS) durante o
conflito entre os dois países. O ataque foi tão sério que mesmo antes de qualquer ação hostil
entre os exércitos confrontantes, antes mesmo de o primeiro militar russo cruzar a fronteira
entre os países, todos os sítios do governo da Geórgia, bem como os de empresas estratégicascomo bancos-já estavam fora do ar, sem condições de uso. De forma a vencer o bloqueio, o
governo da Geórgia passou a valer-se de um sítio especializado em abrigar gratuitamente
blogs. Essa situação perdura atualmente. 33
Outro exemplo de que as tecnologias de informação e comunicação – TICs são usadas de
forma maciça, desta vez por terroristas, pode ser comprovada no recente (fevereiro de 2009)
ataque à cidade de Mumbai, conhecida como a capital financeira da Índia. A notícia a seguir
foi publicada no informativo do Comitê Interamericano Contra o Terrorismo – CICTE, órgão
pertencente à estrutura da Organização dos Estados Americanos – OEA.34 Nesse ataque, chama a atenção o uso da telefonia pela Internet para os contatos entre os terroristas, bem como a
utilização de serviços de vários países para dificultar as investigações forenses.
“Ataque en Mumbai planificado en Pakistán por medio de cuentas de teléfono de
Internet
33 Ministry of Foreign Affairs of Georgia. URL: http://georgiamfa.blogspot.com. Acesso 07 de novembro de 2008.
34 Comité Interamericano contra el Terrorismo ((CIICTE - OEA). URL:
http://www.cicte.oas.org/Rev/Es/About/Newsletters/Informe_64_spa.pdf . Acesso 11 de março de 2009.
51
El gobierno pakistaní admitió el jueves 12 de febrero que "alguna parte de la conspiración" detrás de los ataques de noviembre en la capital financiera de India,
Mumbai, ocurrió en Pakistán. "El incidente sucedió en India y parte de la conspiración ha sido planeada en Pakistán y por lo tanto [el cargo] será colaboración con
el terrorismo," dijo Rehman Malik, director del Ministerio del Interior.
De las ocho personas acusadas, seis están detenidas, incluso una persona de Barcelona, España, quién según Malik, pagó para las comunicaciones de teléfono celular
de los atacantes.
Los conspiradores, dijo, se comunicaron a través de cuentas de teléfono de Internet.
"Las llamadas de teléfono de Internet entre los terroristas fueron organizadas por
un militante que actúa desde Barcelona, quien fue atraído más tarde a Pakistán bajo pretexto y detenido", dijo Malik. Los investigadores rastrearon un pago de 238
dólares americanos de una cuenta española para comprar un nombre de dominio
registrado en Houston. El otro fue registrado en Rusia. Un teléfono satélite usado
en los ataques estaba registrado "en un país del Medio Oriente," dijo Malik. Tarjetas SIM austríacas fueron usadas por algunos de los presuntos conspiradores, dijo.”
CICTE (2008)
Figura 2 – Sofisticação dos ataques cibernéticos x conhecimento técnico do atacante. Fonte: CERT/CC
(2007). 35
A Figura 2 demonstra graficamente a evolução na sofisticação dos métodos de ataque
comparando-a com o conhecimento, relativamente baixo, necessário para empregá-los.
35 Overview Incidents anda Vulnerability Trends. CERT/CC URL. http://www.cert.org. Acessado em 26 de outubro de 2008.
52
Com uma linha ascendente intitulada Attack Sophistication, representando a forma como
os ataques foram se sofisticando ao longo do tempo, o gráfico tem como origem a técnica conhecida por password guessin, que nada mais é do que alguém tentar adivinhar a senha do equipamento que está utilizando ou de um outro que esteja tentando acessar remotamente. Esta
técnica, relativamente simples, necessitava de um grande conhecimento técnico à época, para
que fosse utilizada com alguma possibilidade de sucesso. Em uma posição mais elevada, demonstrando que é uma técnica muito mais sofisticada, está, por exemplo, o Cross Site Scripting – XSS, que é um tipo de ataque, altamente popular nos dias de hoje, e que literalmente
pega a maioria dos usuários por estar escondido em páginas que eles acham que não podem
lhes causar problemas. Apesar da sofisticação e do conhecimento necessário para desenvolver
uma ferramenta de ataque deste porte, o seu uso é relativamente simples, já que ferramentas
que exploram este tipo de vulnerabilidade podem ser encontradas com uma simples pesquisa
na Web.36 37
Isso está representado na curva descendente intitulada Intruder Knowledge, que demonstra que para o uso de ferramentas de ataques, modernas e sofisticadas, o conhecimento técnico
requerido está sendo reduzido.
Não se deve ter a impressão errada de que o mesmo se dá com relação ao desenvolvimento de ferramentas de ataque. Este segmento continua a exigir, cada vez mais sólidos conhecimentos de programação e de sistemas operacionais.
Constituir, pois uma doutrina de segurança e de defesa cibernética é assegurar a segurança nacional, aqui entendida em seu sentido mais amplo, como garantia de proteção perante
ameaças ou ações adversas à própria pessoa humana, às instituições ou a bens essenciais, existentes ou pretendidos no país. Ataques perpetrados no espaço cibernético podem refletir no
ambiente físico das infraestruturas críticas de um país, interferindo assim em assuntos internos
ao buscar frustrar ou impedir um dos objetivos fundamentais do Estado brasileiro: a autodeterminação.
36 Cross-Site ScriptingURL: http://www.forum-invaders.com.br/phpBB/viewtopic.php?f=20&t=8542968. Acesso em 28 de março de 2009
37 Como Explorar um XSS (Cross-site scripting) no Orkut. URL: http://www.beijosmeliga.com.br/?pg=orkut/xssorkut. Acesso em 28 de
março de 2009
53
Os movimentos para a construção de estratégias para o enfrentamento dos problemas de
ataques aos espaços cibernéticos guardam semelhança com o que está proposto neste estudo.
Os dois exemplos a seguir ilustram de forma inconteste esta afirmação e demonstram que não
há modelo pronto, já que ambos estão em construção. Vale notar ainda que muitos dos países
cujos exemplos são apresentados, são antagônicos em seus modelos de segurança e defesa,
econômico, social, e, de gestão governamental, o que só enfatiza o fato que os problemas cibernéticos enfrentados hoje são de escala mundial e independem de credos políticos.
Em março de 2009 o Governo dos Estados Unidos da América anunciou que investiria
355 milhões de dólares americanos em um programa de defesa cibernética cujo objetivo é de
tornar mais seguras as redes públicas e privadas daquele país. A notícia foi assim transcrita
pelo jornal O Estado de São Paulo, em 15 de março de 2009:38
“Depois de autorizar o envio de mais de 17 mil soldados para o Afeganistão e anunciar a retirada de todas as tropas de combate americanas do Iraque até agosto do ano
que vem, o presidente dos EUA, Barack Obama, resolveu atacar em outro front: a
Internet. Preocupado em tornar mais seguras as redes públicas e privadas do país,
Obama incluiu na proposta de orçamento para 2010 um financiamento de US$ 355
milhões para a manutenção do setor - essencial para a economia e para a defesa dos
EUA.
Especialistas vêm alertando há anos contra um "Pearl Harbor eletrônico", um "11 de
Setembro digital" ou um "Cibergedom". "A decisão do presidente de injetar mais dinheiro para a segurança na Internet é importante porque um ataque às redes americanas poderia causar danos semelhantes aos de armas de destruição em massa", disse
ao Estado, por telefone, Ravi Sandhu, diretor do Instituto para a Segurança Cibernética da Universidade do Texas, em San Antonio.
Um ataque de grandes proporções poderia fazer com que informações detalhadas
sobre planos militares vazassem para as mãos de grupos ou Estados inimigos, debilitando as estratégias do Exército, além de poder causar o bloqueio de dados bancários
e interferir na bolsa de valores. Sistemas de transporte e de saúde também poderiam
entrar em colapso ao serem violados em um ataque.
Expressões como ciberguerra e ciberataque já causam calafrios aos serviços de inteligência de vários países. Governos ocidentais, EUA à frente, estão convencidos de
que seus inimigos nesse novo campo de batalha estão no Leste, como estavam na
Guerra Fria - mais especificamente, Rússia e China. Um relatório apresentado ao
Congresso americano no fim do ano passado concluiu que a China está expandindo
"agressivamente" sua capacidade de guerra virtual e em breve poderá possuir uma
"vantagem assimétrica". Segundo o relatório, "essas vantagens reduziriam a superioridade dos EUA em guerras convencionais".”
38 EUA investem em defesa cibernética. Url: http://www.estadao.com.br/estadaodehoje/20090315/not_imp339088,0.php . Acesso em 15 de
março de 2009.
54
Em maio de 2009, o Presidente da Rússia, Dmitri Medvedev, anunciou a assinatura de
um decreto sobre “Estratégia da Segurança Nacional da Rússia”, documento que define os
princípios da política interna e externa de seu país até 2020. A lista de assuntos que merecem
prioridade na preparação da estratégia abrange: a ameaça de difusão de armas de destruição
em massa; a sua posse por terroristas; o aperfeiçoamento de formas de atividades ilegal nos
campos da informática e da biotecnologia, e das altas tecnologias.
Destaque do documento, que foi publicado no sítio do Conselho de Segurança da Rússia,
no trecho que faz referência explicita à questão da segurança cibernética, conforme tradução
encontrada no jornal português Gazeta do Minho39: “... o aumento do confronto global no
campo da informação”, dentre outros, trará “ameaças à estabilidade dos países industriais e
em desenvolvimento do mundo, bem como ao seu desenvolvimento socioeconômico e aos
institutos democráticos.”.
Uma diretriz fundamental em uma Doutrina de Segurança e de Defesa Cibernética a ser
desenhada deve ser a de aglutinar os mais diferentes atores que hoje se dedicam à Segurança
das Informações e Comunicações nos mais diversos órgãos e entidades da Administração Pública Federal, de modo que atuem como uma só instituição ou, no mínimo como um só Sistema, aqui entendido em seu conceito mais simples emprestado da Teoria Geral dos Sistemas:
“um conjunto de elementos que interagem ou estão relacionados entre si.” (BERTALANFFY,
1975).
Elaborar uma Estratégia de Segurança Cibernética, pronta para a sua implantação, que seja efetiva, de aplicação prática e que se constitua em um marco legal para a Administração
Pública Federal é ação dependente de decisões políticas, que estão além da capacidade deste
estudo. Dessa forma o assunto será tratado apenas do ponto de vista teórico, apontando-se alguns dos elementos concretos para a composição deste Sistema (principais atores) e referenciado como trabalho futuro sugestões sobre o desenho dos contornos de uma estrutura que dê
uma dinâmica coerente à importância do assunto.
39Rússia: Presidente Medvedev assina Estratégia da Segurança Nacional até 2020 URL:
http://www.correiodominho.pt/noticias.php?id=6963. Acesso em 20 de maio de 2009.
55
Da mesma forma, compreende-se que a elaboração de uma Doutrina de Segurança Cibernética é uma tarefa que transcende, e muito, ao escopo deste trabalho. Assim, o estudo limitarse-á a propor o início da discussão do tema para apontar propostas que serão aglutinadas como
um esboço de uma Estratégia de Segurança Cibernética limitada aos Órgãos e Entidades da
Administração Pública Federal.
3.3.2 Metodologia da Pesquisa
A metodologia adotada nesta pesquisa é composta pela aplicação de quatro métodos: Revisão Bibliográfica, Análise Documental, Pesquisas Específicas e Revisão Crítica.
A pesquisa com uma revisão bibliográfica de termos e conceitos básicos de segurança cibernética tem por objetivo apontar propostas semelhantes e divergentes existentes na literatura.
Posteriormente são estudados e descritos, baseados em análise documental, os principais
agentes no campo da segurança cibernética no país.
Por fim, é esboçada e apresentada uma proposta de Estratégia de Segurança do Espaço
Cibernético Brasileiro, que é analisada mediante uma revisão crítica, por meio do diálogo com
a literatura.
56
4
AMEAÇAS, ATAQUES, SEGURANÇA, DEFESA E
GUERRA CIBERNÉTICA
Para estabelecer a segurança e a defesa do espaço cibernética brasileiro contra antagonismos e pressões de qualquer origem, forma ou natureza que nele se manifestem ou produzam
seus efeitos, é preciso elaborar uma Doutrina e uma Estratégia de Segurança e Defesa Cibernética. Essa construção da doutrina ou da estratégia necessita da caracterização de três elementos:
(i). do espaço cibernético brasileiro, já que a definição de fronteiras cibernéticas ainda é
uma questão aberta, como foi discutido anteriormente;
(ii). das origens desses antagonismos, pressões ou ataques, já que, em razão desse contorno
difuso e das características de interconexão de todas as redes informatizadas nas quais se
apóia a chamada Sociedade da Informação, a clássica análise separada entre ameaças internas e externas não faz tanto sentido; e,
(iii). do tipo de ação antagônica que será respondida, pois a segurança e a defesa cibernética abrangem ações que se desenvolvem ou se originam ou mesmo se encerram no meio virtual.
Esses elementos são abordados neste Capítulo que tem início com a justificativa da importância da segurança da informação e comunicações e sua relevância para a segurança e a
defesa cibernética.
57
4.1
Segurança da Informação e Comunicações
A comunidade acadêmica e a de profissionais ligados à área de segurança da informação
vêm delineando os conceitos de que se reveste essa nova especialidade, sendo consenso que
os atributos disponibilidade, integridade, confidencialidade são os principais e que melhor definem as propriedades da segurança da informação (KRAUSE,1999).
Entretanto, o Comitê Gestor de Segurança da Informação - CGSI, órgão do poder executivo brasileiro, entende que o atributo autenticidade tem a mesma importância que os demais,
quando se trata de definir as propriedades da segurança da informação e comunicações, no
nível da Administração Pública Federal – APF. Assim, em agosto de 2007, em sua VII reunião ordinária daquele ano, chegou ao consenso quanto à definição do conceito sobre segurança
da informação e comunicações, para ser aplicado por todos os órgãos e entidades da administração pública federal:
“Segurança da Informação e Comunicações são ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da Informação e das Comunicações”.
Longe de ser uma inovação, entender a autenticidade como um importante atributo encontra amparo em autores e em normas internacionais adotadas pela Associação Brasileira de
Normas Técnicas – ABNT como na ABNT NBR ISO/IEC 27002:2005 - Código de Prática
para a Gestão da Segurança da Informação, que avançam inclusive em outros atributos como:
não repúdio; Auditoria; Legalidade e Privacidade apresentada em Sêmola (2003).
Apesar de reconhecer que outros autores trabalham com outros atributos, KRAUSE (1999)
prefere manter o foco nesses três:
“Some security experts argue that two other requirements may be added to these
three: utility and authenticity (i.e., accuracy). In this discussion, however, the usefulness and authenticity of information are addressed within the context of the three
basic requirements of security management.”
KRAUSE (1999) define os atributos autenticidade, integridade e confidencialidade da seguinte forma:
“Availability is the assurance that a computer system is accessible by authorized users whenever needed.
Integrity is the protection of system data from intentional or accidental unauthorized
changes.
58
Confidentiality is the protection of information in the system so that unauthorized
persons cannot access it.”
O CGSI, acolhendo as definições de KRAUSE entende que:
A Disponibilidade é a propriedade que assegura que as informações estarão prontas para
o acesso e utilização sempre que requisitadas por indivíduos, sistemas e ou equipamentos devidamente autorizados para requerê-las.
Que a propriedade Integridade assegura que as informações não foram alteradas ou modificadas de forma ilícita em nenhumas das fases de sua existência, desde a sua origem de armazenamento até ao destino.
O CGSI entende ainda por Confidencialidade a propriedade que assegura que as informações não foram acessadas por indivíduos, sistemas e ou equipamentos sem a devida autorização.
Define também a Autenticidade como a propriedade que assegura que as informações foram produzidas, expedidas, modificadas, ou recebidas por determinado indivíduo, sistema ou
equipamento.
Apenas como complemento, ressaltamos que os demais atributos citados têm as seguintes
definições na Norma ABNT NBR ISO/IEC 27002:2005 e em SÊMOLA (2003):
Não repúdio: atributo que garante que não seja possível negar o envio ou recepção de
uma informação ou dado, nem uma operação ou serviço que modificou ou criou uma informação.
Legalidade: atributo que garante a legalidade jurídica da informação assegurando que todos os seus dados estão de acordo com as cláusulas contratuais pactuadas ou a legislação nacional ou internacional vigente.
Privacidade: atributo que garante que uma informação privada só pode ser vista, lida ou
alterada ou disponibilizada para outras pessoas com o conhecimento e autorização prévia de
seu dono.
59
Auditabilidade: atributo que garante a rastreabilidade dos diversos passos de um processo informatizado, identificando os participantes, ações e horários de cada etapa.
O conceito de comunicações introduzido na segurança da informação e comunicações
destaca que o meio, infraestrutura física e lógica, onde as informações trafegam constituem
parte fundamental e que, como tal, merecem a mesma proteção.
Destaque-se ainda que o instrumento legal que estabelece a definição do conceito de Segurança da Informação e Comunicações para a Administração Pública Federal é a Instrução
Normativa 001/GSI de 13 de junho de 200840.
Fica dessa forma constituído o conceito de segurança da informação e comunicações.
4.2
Espaço Cibernético ou Ciberespaço
4.2.1 Aspectos Gerais
A Infraestrutura Crítica da Informação, à qual está vinculada a Segurança da Informação e
Comunicações, compreende, como já vimos, todos os hardwares, softwares e equipamentos
que se interconectam, seja por fibras óticas, seja pelo espectro eletromagnético. Compreende
também os locais de armazenagem, processamento, transmissão de toda a informação, além
da própria informação. As pessoas que interagem com a infraestrutura também são objeto das
medidas de Segurança da Informação e Comunicações. Esse todo forma um conjunto de partes virtuais ou partes físicas. O complexo virtual, aí formado, compõe o chamado cyberspace,
ou ciberespaço ou espaço cibernético.
De imediato ressalva-se que as fronteiras entre o virtual e o físico tornam-se, a cada dia,
mais difusas. Como ensina FRAGOSO (2000), do chamado espaço cibernético, entendido
como o conjunto de informações codificadas binariamente que transita em circuitos digitais e
redes de transmissão, emergem referências a um “espaço informacional”, e que a despeito da
40 Instrução Normativa 001/GSI de 13 de junho de 2008. Publicada no DOU Nº 115, de 18 Jun 2008- Seção 1
60
aparente falta de correspondência com o espaço físico que chamamos de real, possui em comuns as referências à interação, navegação e existência. Concluindo que a abundância de metáforas e sua rápida absorção pela cultura descrevem experiências virtuais em termos espaciais
do mundo real FRAGOSO afirma que existe algum paralelismo “entre a espacialidade de
nossa experiência cotidiana e a percepção que temos da abstração a que denominamos ciberespaço.”. Não estranhamos se ouvimos alguém dizer que antes de comprar um produto na
Internet “viu” o produto na loja eletrônica, ou que “visitou” uma determinada localidade turística. FRAGOSO avança mais ainda, afirmando que:
Diante de uma 'realidade virtual' que dê continuidade às formas de representação
praticadas, por exemplo, no cinema e na televisão, as fronteiras entre o real e o imaginário podem assumir caráter cada vez mais difuso. Também as noções de proximidade e distância, duramente abaladas por tecnologias de transmissão de informação
anteriores, poderiam tornar-se ainda menos significativas em função da extrema aceleração viabilizada pelas tecnologias digitais de comunicação.
A cunhagem do termo cyberspace - uma junção das palavras cybernetics e space - é atribuída ao escritor de ficção científica William Gibson, canadense de nascimento, que o introduz no conto intitulado Burning Chrome no livro de mesmo nome de 1982. A popularização
do termo se dá em 1984 com a publicação do livro Neuromancer do mesmo autor. O trecho
usualmente citado como referência a esta cunhagem do termo é:
“Cyberspace. A consensual hallucination experienced daily by billions of legitimate
operators, in every nation, by children being taught mathematical concepts... A
graphic representation of data abstracted from banks of every computer in the human system. Unthinkable complexity. Lines of light ranged in the nonspace of the
mind, clusters and constellations of data. Like city lights, receding”.
GIBSON (1982) descreve o cyberspace, em essência, como uma alucinação consensual
vivida diariamente por milhões de pessoas em todas as nações, resgatando e consolidando, de
certa forma, a idéia de uma "aldeia global" profetizada por MCLUHAN (1969) na década de
60 já que possibilita a interconexão, em uma complexidade impensável, de pessoas acessando
dados dispostos em qualquer parte, possibilitando a todos os navegantes desta grande rede
participar de um modelo acreditado como democrático e interativo, numa interligação de "todos para todos".
FERNANDES (1998) destaca a importância do ciberespaço na construção de uma consciência coletiva que busca uma humanidade autossustentável.
61
Já o termo cibernética, de onde se origina o prefixo ciber, de ciberespaço, deriva do grego Κυβερνήτης (kybernetes, o que governa o timão ou leme - a mesma raiz de governo). Foi
definido por Norbert Wiener, em seu livro do mesmo título, de 1948, como o “estudo do controle e da comunicação no animal e na máquina”. Essa definição vem sofrendo críticas e recebendo contribuições e aperfeiçoamentos ao longo dos anos. Larry Richards, quando presidente
da American Society for Cybernetics, em 1987, propôs uma compilação de definições sobre
cibernética41 dada à complexidade e à abrangência de sua aplicação.
Destacam-se as definições de André-Marie Ampére, considerado o primeiro a usar o termo cybernetics. Estse físico francês que viveu entre 1775 e 1836 usou o termo em 1834 para
descrever "a ciência da gestão de processos")42. Ampére também se refere ao termo Cibernética “como a arte de governar ou a ciência do governo”43.
Outra definição que se sobressai é a de Stafford Beer, (1959), em seu livro Cybernetics
and Management, pesquisador, intelectual respeitado, considerado o “fundador da cibernética
gerencial”, para quem cibernética é a “ciência da organização eficaz”44.
4.2.2 Delimitando Fronteiras no Espaço Cibernético
Uma questão ainda em aberto acerca da segurança e defesa cibernética é a da delimitação
de fronteiras do espaço cibernético. É comum encontrarmos afirmações de que o avanço tecnológico, a Sociedade da Informação, a interconexão das redes informatizadas ou a Web, aboliram as fronteiras territoriais.
41 American Society for Cybernetics Foundations – Compilação sobre definições de Cibernética. Disponível em: http://www.asccybernetics.org/foundations/definitions.htm . Acesso em 20 jul 2008.
42 American Society for Cybernetics Foundations – Compilação sobre definições de Cibernética.
http://www.managementcybernetics.com/en/fs_mankyb.html. Acesso em 20 jul 2008.
43 American Society for Cybernetics Foundations – Compilação sobre definições de Cibernética. http://www.asccybernetics.org/foundations/definitions.htm. Acesso em 20 jul 2008.
44American Society for Cybernetics Foundations – Compilação sobre definições de Cibernética.
http://www.managementcybernetics.com/en/fs_inst.html. Acesso em 20 jul 2008.
62
Como estabelecer, porém, os limites físicos onde se dará a defesa e a segurança cibernética de um Estado?
Ao redor dessa questão, para a qual, adiantamos, não existirem respostas corretas, é que
apresentamos os argumentos que se seguem.
4.2.2.1 Os Contornos do Espaço Cibernético Brasileiro
Pode parecer um paradoxo falar em espaço físico para uma atividade que se dá em essência no espaço cibernético - um lugar que pode ser acessado de forma autônoma e independente - que serve dentre outras coisas para consultas a uma miríade de dados que podem ser acessados com o uso de equipamentos dispostos nas mais diferentes lugares: de casa, do trabalho,
de hotéis, de bares: o cyber espaço. Espaço onde as identidades são fragmentadas e sem raízes, pois no ciberespaço, qualquer um é aquele que deseja ser. Não há a necessidade da raiz,
do lugar de origem, onde a identidade se constituiu em função da ligação com os referentes ali
existentes. É o lugar onde todos agem, se comunicam, exercem seus devaneios, sonhos e fantasias e são comumente identificados por apelidos ou nicknames. Não interagem fisicamente,
no sentido da proximidade característica daqueles que se reconhecem como indivíduos reais.
Assim podemos dizer, lembrando AUGE (1994), que o ciberespaço é um não-lugar: sem fronteiras, sem raízes, sem história.
Como então, identificar as fronteiras cibernéticas do território nacional? Se lembrarmos
que as interconexões com outros Estados se dá por meio de cabos óticos submarinos transoceânicos, que adentram o território nacional pelo litoral ou pelo espectro eletromagnético através
de conexões de satélites, que tipo de fronteira devemos proteger? As fronteiras dos mares territoriais, as fronteiras terrestres ou as do espaço aéreo?
“Situar as fronteiras cibernéticas é um desafio que intriga por sua virtualidade, pois à
medida que áreas diferentes do globo são postas em interconexão umas com as outras, ondas de transformação social atingem virtualmente toda a superfície da terra”
GIDDENS (1990) apud HALL (2004).
Alertamos, portanto que na criação de uma estratégia de segurança cibernética, que o tema seja discutido e que os contornos do espaço cibernético que se deve defender sejam minimamente delimitados.
63
4.2.2.2 Alguns Conceitos Similares
Na busca de definições de consenso entre as nações acerca dos limites do ciberespaço,
questões de difícil resposta têm que ser enfrentadas. Sem a pretensão de esgotá-las, apresentamos a seguir algumas dessas perguntas que permanecem em aberto na questão da segurança
e da defesa do espaço cibernético:
(i) Podem ser considerados como os limites da fronteira cibernética de um Estado os equipamentos de borda das redes que se encontram nos pontos mais extremos do território de
um pais ou nação? (ii) Ou os limites encontram-se nos pontos físicos dos backbones no momento que eles adentram o território de um Estado pela terra (Fronteiras físicas) ou pelo mar
(Mar Territorial) ou ainda pelo ar (Espaço Aéreo Nacional)? E se a entrada ocorrer pelo espaço sideral (espaço exterior)? (iii) Ou ainda, a fronteira cibernética de um determinado Estado é
dada pelo conjunto de equipamentos que estão em um dado momento ligados ou fazendo uso
da infraestrutura crítica de redes cibernéticas, sem ser importante a sua localização física real?
Para tentar auxiliar na reflexão sobre as possíveis respostas a essas perguntas, apresentamos a seguir dois conceitos45 sobre a questão de limites e fronteiras físicas, que por sua semelhança podem ser utilizados nos estudos que serão desenvolvidos a respeito da questão de
fronteiras no espaço cibernético. Entretanto, vale ressaltar, que mesmo esses, aparentemente
mais simples, não são universalmente aceitos.
Mar Territorial
O mar territorial é, de forma geral, a faixa de mar que se estende desde a linha de base até
a distância que não deve exceder 12 milhas marítimas de largura da costa, medidas a partir da
linha de baixamar do litoral continental e insular de um país, e sobre a qual um Estado exerce
sua soberania, com algumas limitações determinadas pelo Direito Internacional, ACCIOLY
(1996). Também é denominado como domínio marítimo, águas territoriais, mar litoral, mar
adjacente, águas nacionais, litoral flutuante, águas jurisdicionais ou faixa litorânea.
Ou seja, é o mar que banha ou circunda o território continental ou insular das nações e vai
do litoral até alcançar uma linha imaginária - linha de respeito - paralela a esse litoral.
45 Serviu para base deste Anexo um estudo de 2008 da Assessoria Jurídica do Gabinete do Comando da Aeronáutica, a quem agradecemos.
64
Observe-se que a fixação da largura do mar territorial tem se constituído uma das mais
controvertidas questões de direito internacional público e varia de Estado para Estado entre
três, seis, doze e duzentos milhas marítimas.
No Brasil, o mar territorial se estende até 200 milhas marítimas46 medidas desde a linha
de baixo mar47 do litoral brasileiro, continental e insular (Enciclopédia Saraiva do Direito.
Vol. 33).
O Brasil reconhece o direito de passagem inocente (que não ameace à paz, à boa ordem e
à segurança do Brasil) a todos os navios de todas as nacionalidades no mar territorial brasileiro.
A soberania brasileira, para resguardo da política aduaneira, fiscal, sanitária e de imigração do país, bem como de exclusividade na pesca, é exercida dentro dos limites de 200 milhas, compreendidas desde o cabo Orange à foz do Chuí.
Espaço Aéreo
O espaço aéreo brasileiro é a projeção correspondente ao espaço superposto ao território
real da nação brasileira e suas águas adjacentes abrangendo inclusive o mar territorial.
Quanto à sua extensão, apesar de ainda não haver um marco jurídico firmado no âmbito
do direito internacional, é calculada em 80 quilômetros, abrangendo, por conseguinte, o espaço aéreo e todo o ar atmosférico sobre o espaço geográfico nacional, aí incluso o mar territorial.
O Brasil exerce completa e exclusiva soberania sobre o espaço aéreo acima de seu território e respectivas águas jurisdicionais, inclusive a plataforma continental.
De modo complementar, faz-se necessário descrever o conceito de Soberania, bem como
traçar algumas considerações sobre o que vem a ser um estado e suas fronteira, pois ligado a
estes conceitos estão o direto de defesa e de segurança.
46 MILHA MARÍTIMA: corresponde, conforme conferência hidrográfica internacional de l929, a l.852 metros.
47 BAIXA-MAR: é o nível mínimo da curva da maré, ou seja, maré baixa.
65
Soberania Nacional
O todo que compreende: (i) o território continental e o insular, seu subsolo; (ii) o mar territorial, seu leito e subsolo; (iii) e o espaço aéreo sobrejacente correspondente a ambos, é considerado território nacional, que tem como característica ser uno, indivisível, imprescritível e
inalienável, sobre o qual, dentro dessas fronteiras, o Estado Brasileiro exerce o seu poder soberano e discricionário.
Características de um Estado e suas Fronteiras.
A palavra Estado, popularizada por Maquiavel (1513) no final do século XVI, é definida,
de forma simplificada na Geografia, como uma forma política de organização territorial onde
as fronteiras são os limites deste Estado. Mas o aprofundamento da leitura visando caracterizar o que seria modernamente uma fronteira dentro de um contexto teórico do que seria um
Estado demonstra que essa não é uma tarefa simples.
A História comprova que as definições de Estado e fronteira variaram com o tempo. (Ver
seção 1.4 ) No contexto mais simples os limites de um Estado seriam os limites de um reino
apesar desses limites serem indeterminados, freqüentemente temporários face a acordos ou
guerras. Exemplificamos com o Tratado de Tordesilhas, assim denominado por ter sido celebrado na povoação castelhana de Tordesilhas, em 7 de Junho de 1494, entre Portugal e Castela
(parte da atual Espanha), definindo a partilha do chamado Novo Mundo entre ambas as Coroas, um ano e meio após Colombo ter reclamado oficialmente a América para Isabel a Católica,
e que nunca foi integralmente respeitado.
Apenas no século XIX é que se completa a demarcação da maior parte dos limites do
mundo como o conhecemos, inclusive o Brasil. Mesmo assim percebe-se aquela tendência a
variação, como as ocorridas recentemente que alteraram significativamente os desenhos das
fronteiras européias - em decorrência da queda do muro de Berlim em 1989, e das asiáticas em conseqüência de conflitos e guerras localizadas.
4.2.2.3 Quais as Fronteiras do Espaço Cibernético Brasileiro?
O assunto é muito novo e requer muitos e aprofundados estudos antes de haver uma proposta que possa iniciar os diálogos entre as nações na busca de um consenso a seu respeito.
66
Entretanto, dadas às características inovadoras e especiais de que se reveste a Sociedade
da Informação, o ambiente onde ela floresceu e se desenvolve, seu poder inconteste de alterar
definitivamente a forma dos relacionamentos pessoais, profissionais e sociais como atualmente presenciado, faz crer que definir o espaço cibernético, suas fronteiras e a soberania de cada
estado sobre ele, é um esforço necessário e urgente sobre o qual a sociedade organizada deve
se debruçar. Este estudo ainda inconcluso permite emitir, pelo menos, um alerta sobre esta
questão.
4.3
Ameaças e Conflitos no Espaço Cibernético ou Ciberespaço
A respeito de ameaças e de espaço cibernético, HAMRE (1998), então vice-secretário de
Defesa do Governo Americano, falando sobre a necessidade de proteção dos recursos críticos
de informação contra ameaças de qualquer espécie como "um dos mais importantes desafios
da segurança nacional dos próximos anos," afirmou que:
“Para lidar com essas ameaças, primeiro devemos levar em consideração a nossa
mentalidade. Tradicionalmente, os americanos sempre pensaram em segurança como
uma cerca no quintal, definindo os limites e protegendo a área demarcada. Se a cerca
for danificada, ela pode ser reparada, e o local estará seguro novamente. Essa
filosofia funcionava bem nas eras de segurança anteriores, mas não existem
fronteiras no espaço cibernético. A transição para a próxima era deverá ser
caracterizada não por avanços tecnológicos, mas pela flexibilidade de pensamento.
Precisamos nos conscientizar de que a segurança no mundo virtual é tanto um
processo de abordagem gerencial e de atenção quanto de tecnologia”.
A literatura já registrava esse conceito de ameaça sob o título de “Guerra de Informações”, em referências como SCHWARTAU (1994), LIBICKI (1995) e MAHNKEN (1995).
Embora usada com muita frequência, a expressão Guerra de Informações não é de fácil
definição. Quando consultamos autores renomados vê-se que SCHWARTAU (1994), por exemplo, define guerra de informações como "um conflito eletrônico no qual a informação é
um ativo estratégico digno de conquista ou destruição. Computadores e outros sistemas de
comunicação e informação tornam-se os primeiros e mais e atrativos alvos para serem atacados.”.
Contrastando com essa definição, LIBICKI (1995) define guerra da informação de modo
mais amplo, como “Comando e controle, guerra baseada na inteligência, guerra eletrônica,
guerra psicológica, guerra de hacker e guerra de informações econômica, guerra cibernética”.
67
Já MAHNKEN (1995) dá uma singela definição conceitual de Guerra da Informação como “o meio pelo qual um Estado nega ou manipula a inteligência à disposição de um inimigo.".
FRENCH (2002) compila no quadro, apresentado na Tabela 1, as diferentes interpretações do termo Guerra de Informações elaboradas e adotadas por vários autores.48
Tabela 1 – Tipos e Definições Sobre Guerra da Informação, segundo FRENCH (2002).
Interpretação de Guerra da Informação
Aumento (força) do ataque convencional: Novas formas de integrar e organizar as forças convencionais.
Ataque militar baseado em TI: Novos alvos militares para forças
convencionais.
Combate em Rede – Novo alvo militar baseado em novas formas de
organização das forças convencionais
Ataques a alvos civis baseados em TI – Novos alvos civis para
forças cibernéticas (tropas especializadas em guerra cibernética)
Inteligência Perfeita – Usando as informações para prevenir completamente o conflito militar
Autor e Data
(Der Derian, 1994)
(Mahnken, 1995)
(Barnett, 1998)
(Thomas, 1996)
(Arquilla and Ronfeldt, 1993)
(Critchlow, 2000)
(Devost, 1995)
(Harknett, 1996)
(Sullivan, 1994)
(Wheatley and Hayes, 1996)
(Economist 1995)
Em um estudo para a Rand Corporation, intitulado The Advent of Netwar, ARQUILLA e
ROENFELDT (1993) definem que Guerras de Redes "significam tentar romper ou danificar o
que uma população-alvo conhece ou pensa que sabe acerca si mesmo e do mundo a sua volta”. Essa definição descreve ou torna implícitas ações contra a cultura ou religião de um povo.
ARQUILLA e ROENFELDT (1993) esclarecem que para atingirem esse intento, as modernas
forças armadas necessitam de uma “organização em rede, semelhante às utilizadas pelos grupos terroristas ou de insurgentes”.
48 Definitions of Information Warfare. http://www.terrorism.com/modules.php?op=modload&name=News&file=article&sid=5648. Acesso
em 28 de outubro de 2008.
68
Para HARKNETT (1996) a Guerra de Redes torna-se, em essência, um ataque contra registros eletrônicos pessoais, de transações comerciais ou contra a infraestrutura de informações de uma cidade, ou país.
Dada à profusão de definições, para efeitos deste estudo, considera-se Guerra Cibernética
como denominação genérica para todos os tipos de conflitos cujo alvo principal é a informação armazenada nos sistemas informatizados empregados no controle da infraestrutura crítica
de um país, a exemplo da conceituação de LIBICKI (1995).
É necessário registrar que, no entanto, alguns autores ampliam esse conceito, colocando a
Guerra da Informação ou Guerra Cibernética, como uma “arma” de dissuasão.
DER DERIAN (1994) explorou esse conceito, fazendo um paralelo com os tempos da
Guerra Fria, argumentando que a cyber-dissuasão, ou seja, a integração de poderosas forças
armada convencionais com exibicionismo tecnológico e simulações estratégicas desse poder
tecnológico, pode ser tão contundente para outras nações que podem substituir a dissuasão
nuclear.
DER DERIAN (1994) argumenta que, embora os Estados Unidos, por exemplo, realmente empreguem o seu poderio nuclear ou estejam dispostos a se envolver em uma prolongada e
desgastante guerra convencional, um adversário dificilmente duvide que eles não empreguem
uma forma eletrônica de ataque, durante situações de conflito ou de pré-conflito, aí inclusas
munições inteligentes de longo alcance, por exemplo.
Recentemente, no conflito entre Israel e Palestinos, um software foi usado como arma de
guerra. Trata-se da ferramenta Megaphone (GIYUS), que serve para mobilizar internautas pelo mundo dispostos a manobrar opiniões na rede modificando resultados de pesquisas on-line,
gerando inúmeras mensagens eletrônicas destinadas a autoridades e ajudando a protestar contra notícias consideradas desfavoráveis à comunidade israelense. Essa ferramenta encontra-se
disponível no sítios www.giyus.org uma organização pró Israel cujo o nome é uma sigla formada pelas palavras em inglês Give Israel Your United Support.
69
Segundo uma matéria veiculada sobre o assunto na Folha Online49 em 19 de janeiro de
2009, “Redes sociais e sítios colaborativos, como Facebook e YouTube, também estão na mira do software Megaphone (GIYUS). Esse tipo de estratégia, que recebeu o apoio do Ministério das Relações Exteriores de Israel, já forçou o sítios da BBC a tirar uma enquete do ar.”.
MAHNKEN (1995) alargou a idéia de dissuasão com um conceito mais contundente que
chamou de Guerra de Choque, definindo-a como um conflito com base na paralisia estratégica
do adversário, rompendo sua coordenação e cadeia de comando e “esmagando” sua vontade
de resistir. Nesse caso são alvos principais os sistemas de comando e controle, as redes de telecomunicações civis e militares e até mesmo seus líderes. Argumenta ainda que “a préinformação desta ação (conhecimento prévio pelo inimigo acerca desta capacidade) pode levar
à supressão da própria operação”.
O conceito de Paralisia Estratégica foi proposto originalmente pelos coronéis americanos
John Boyd, já falecido e o ainda ativo coronel John Warden III, atualmente na reserva da Força Aérea Norte-Americana. Foi aplicado com sucesso na campanha do Golfo Pérsico, tendo
Warden atuado como um dos planejadores da atuação de forças sob o comando da ONU para
atacar as tropas invasoras do Iraque no emirado do Kuwait.
Pode-se definir Paralisia Estratégica como o uso de alta tecnologia bélica, destinada a
destruir, o mais rapidamente possível, a possibilidade de um governo comandar suas forças
militares pela destruição do próprio centro de governo e de todo o sistema de comunicações,
controle e inteligência do país atacado.
SAMPAIO (2004)50 afirma que a paralisia estratégica é uma evolução da antiga guerra relâmpago (blitzkrieg) da doutrina alemã, que visava a um ataque decisivo contra a frente adversária, destruir o apoio administrativo/logístico e o sistema de comando da força oponente. Agora, trata-se de penetrar no sistema organizacional do país inteiro e provocar o colapso, não
de uma frente, nem a captura de um ou outro corpo de exército, mas a captura de um país inteiro.
49 Software israelense manobra opiniões na internet URL: http://www1.folha.uol.com.br/folha/mundo/ult94u491732.shtml. Acesso em 19
de janeiro de 2009.
50 Reflexões sobre a Paralisia Estratégica nas Campanhas do Golfo e o processo de paz. URL:
http://www.defesanet.com.br/esge/P_Estrat.pdfacessado em 11 de julho de 2009.
70
O conceito de Paralisia Estratégica pode ser entendido como a realização do preceito de
Sun Tzu sobre ganhar as batalhas sem a necessidade de combates, pela dominação moral sobre o adversário. Também pode ser identificado como característico de uma Guerra Assimétrica, pois permite derrotar inimigos militar, numérica e economicamente superiores, desorganizando-os pela destruição dos seus sistemas de comando e controle e de inteligência.
SCHWARTAU (1996), em Information Warfare, identifica três classes de alvos potenciais que dão origem à denominação de distintas formas de Guerra de Informações:
Classe 1 – Guerra de Informações contra Pessoas – onde o ataque tem como objetivo
quebrar a “privacidade eletrônica” do indivíduo, invadindo seus arquivos e registros digitais
particulares para se obter informações essenciais da pessoa ou modificá-las para fins escusos.
Exemplos de ocorrências de Guerra de Informações contra pessoas podem ser caracterizados pelos crimes cibernéticos: fraude ou roubo de identidade ou de dados de cartões de crédito com o objetivo de compras de produtos e serviços em nome do usuário. Estes crimes são
cometidos por quadrilhas muito bem organizadas.
A propósito do assunto, no último Fórum Econômico Mundial, realizado em Davos, em
janeiro de 2009, em um painel sobre crimes cibernéticos, um dos especialistas informou que
nos Estados Unidos um só grupo de criminosos virtuais roubou e redirecionou para a Ucrânia
detalhes de transações de 25 milhões de cartões de crédito. Esses dados foram usados para
compra de inúmeros produtos que agora estão à venda no sítio de leilões eletrônicos eBay51.
Foi afirmado ainda que não se trata mais de vandalismo mas sim de crime organizado, e que
essas ações nada tem a ver com tecnologia e sim com a economia. Esses especialistas apontaram que os custos desses roubos já atingem a cifra anual de 1 trilhão de dólares americanos,
causando prejuízos para toda a Sociedade Mundial.
Classe 2 – Guerra de Informações contra corporações – caracteriza-se por ações de
obtenção de informações à desinformação, à disseminação de informações, falsas ou verdadeiras, prejudiciais à corporação que se quer atingir;
51 Cybercrime threat rising sharply. URL: http://news.bbc.co.uk/2/hi/business/davos/7862549.stm. Acesso em 28 de outubro de 2008.
71
O caso brasileiro mais conhecido de guerra de informação contra uma empresa ocorreu
em 1999, quando o senhor Ricardo Mansur, então em disputa comercial com o Banco Bradesco, iniciou uma campanha de difamação do Banco pela Internet. Sua ação foi a de remessa
pela Internet de inúmeros e-mails para outros bancos e instituições comerciais e financeiras,
divulgando que o Bradesco estaria com um “buraco” na contabilidade de R$ 13 bilhões (treze
bilhões de reais), que teria prejuízos há vários anos e muitos de seus diretores manteriam contas secretas em um banco suíço. O e-mail foi enviado em nome de [email protected],
endereço criado em Londres em um cyber café conforme ficou demonstrado nas investigações
policiais. Ficou ainda comprovada a ligação do Senhor Mansur a esse endereço eletrônico,
pelos acessos feitos à caixa postal de marcosc_c nos dias seguintes pelos computadores da
empresa United Empreendimentos Imobiliários também em Londres, e em escritórios de empresas em São Paulo todas de propriedade daquele senhor.52 O caso teve como desfecho a prisão e a condenação do senhor Ricardo Mansur.
Pelo caráter didático, reproduzimos um trecho de uma sentença exarada pelo Supremo
Tribunal de Justiça negando um pedido de habeas-corpus a favor do réu o senhor Ricardo
Mansur, em 12 de setembro de 2001:
“O empresário continuará preso na Custódia do Departamento de Polícia Federal do
Estado de São Paulo. Em 15 de setembro de 1999, Ricardo Mansur enviou
mensagens eletrônicas, pela Internet, divulgando a várias pessoas e instituições
financeiras informações falsas, incompletas e alarmantes sobre instituição
econômico-financeira do Banco Bradesco S/A, visando afetar a credibilidade do
banco junto a seus acionistas e correntistas e abalar o sistema financeiro nacional
como um todo.” 53
Classe 3 – Guerra de Informações Global – ações desencadeadas contra a infraestrutura
econômica de uma Nação, atingindo o seu conjunto de indústrias e suas forças econômicas
regionais nacionais.
O exemplo mais conhecido e que melhor se caracteriza como uma ação de Guerra de Informações Global, ocorreu há cerca de dois anos. Uma disputa política entre a Rússia e a Estônia deflagrou um maciço ataque de negação de serviço (DoS) contra os sítios de governo,
bancos e plantas industriais de energia elétrica da Estônia. Essa ação foi repetida no ano pas-
52 Veneno por e-mail. URL: http://epoca.globo.com/edic/19991213/neg3.htm. Acesso em 28 de outubro de 2008.
53 STJ mantém Ricardo Mansur preso URL: http://www.direito2.com.br/stj/2001/set/12/stj_mantem_ricardo_mansur_preso. Acesso em 28
de outubro de 2008.
72
sado, quando a infraestrutura de Internet da Geórgia foi derrubada durante o conflito com a
Rússia.
Um dos participantes dos debates sobre ataques cibernéticos no Fórum Econômico Mundial de Davos afirmou que o ano de 2008 pode ser caracterizado como o ano que a Guerra cibernética começou, demonstrando que se pode dominar um país em cerca de minutos.
Outros autores se debruçaram sobre o tema como LIBICKI (1995), que identifica sete
formas distintas de guerra de informações com objetivo de degradar, negar, proteger e ou manipular informações e que podem ser combinadas entre si. São elas:
(i). Guerra de Comando e Controle (Command & Control Warfare - C2W) – é a estratégia militar que implementa a guerra de informações no campo de batalha, com o objetivo de
“decapitar” a estrutura de comando das forças armadas inimigas.
(ii). Guerra Baseada na Inteligência (Intelligence-Based Warfare - IBW) - se caracteriza
pela obtenção e fornecimento de dados de inteligência diretamente para sistemas de armas e
de avaliação de danos.
(iii). Guerra Eletrônica (Electronic Warfare - EW) – é o domínio do espectro eletromagnético do inimigo, impedindo ou degradando a sua capacidade de transferência de informação.
(iv). Guerra Psicológica (Psychological Operations - PSYOPS)- compreende o uso da informação contra a mente dos recursos humanos inimigos, militares ou não. Libicki a divide
em quatro campos:
a. operações contra a população em geral, atacando a vontade nacional do inimigo;
b. operações contra o comandante das forças armadas do inimigo;
c. operações contra a moral das tropas inimigas; e,
d. conflito cultural.
(v). Guerra de Hacker (Hacker Warfare) – consiste na realização de ataques a sistemas
de computadores, levados a efeito através da exploração de falhas conhecidas do sistema de
segurança do alvo designado. Pode ser conduzido por equipes militares ou civis, ou mesmo
73
por simpatizantes, bastando conhecimentos de redes e um simples computador acoplado à rede.
(vi). Guerra de Informações Econômicas (Economical Information Warfare) – baseiase no princípio de que o controle das informações econômicas, sejam fluxo de transações financeiras, ou de acesso a conhecimentos de produção e de tecnologia de ponta, fazem com
que as nações inimigas fiquem sem condições de competir e por isso tornem-se economicamente dominadas, ou mesmo sejam levadas ao colapso econômico. Libicki divide este tipo de
Guerra em duas vertentes, variantes eletrônicas do embargo de bens materiais:
a. bloqueio de informações: Sua lógica consiste em interromper o fluxo de informações produtivas, transações financeiras em tempo real, por exemplo, afetando
as atividades da sociedade atacada;
b. imperialismo de informações: Sua lógica consiste em impedir que as empresas
mais produtivas e lucrativas do inimigo, que teoricamente fazem maior uso das
tecnologias da informação e comunicações e de conhecimentos em seus processos produtivos, tenham o acesso a esse conhecimento e às novas tecnologias impedido o seu desenvolvimento.
(vii). Guerra Cibernética (Cyberwar) – Sua lógica consiste em atacar as informações do
inimigo em qualquer área que faça uso extensivo de recursos informatizados. Para tanto, se
vale de várias formas de ação, do terrorismo à destruição da infraestrutura global de informações.
O Professor Darc Costa, da Escola Superior de Guerra - ESG, em seu trabalho “Visualizações da Guerra Assimétrica” (LESSA, COSTA e EARP, 2002) ensina que existem hoje
quatro diferentes tipos de guerra: i – a guerra convencional; ii - a guerra de destruição em
massa; iii - a guerra irregular; e iv - a guerra assimétrica.
A Guerra Convencional, de metodologia conhecida, tem como ícone a 2ª Grande Guerra.
Nos últimos tempos, em especial durante a guerra fria, os estudos sobre a guerra estavam
centrados na teoria das Guerras de Destruição em Massa (GDM). A possibilidade dessas
74
guerras, em especial a da vertente nuclear, exigiu diferentes planejamentos estratégicos, armamentos, organizações de unidades, além de preparo e adestramento militares. Hoje parece
claro que este tipo de guerra é improvável, o que enseja outros tipos de guerras, principalmente a Guerra Irregular, tipo que enquadra a maioria dos conflitos armados ocorridos após a 2ª
Guerra Mundial. Por isso mesmo ela vem sendo muito estudada nos últimos tempos (LESSA,
COSTA e EARP, 2002).
A Guerra Irregular tem como característica o movimento, o atacar e esconder-se buscando
o elemento surpresa, típico da guerrilha. Seu caráter é nacional ou territorial.
O atentado de 11de setembro de 2001 tornou real um novo tipo de guerra, que era estudado apenas no campo das hipóteses: a guerra assimétrica, que nada mais é que uma guerra irregular travada em escala mundial no dizer de COSTA (2002):
“Após os atentados de onze de setembro, surgiu, contudo, um novo tipo de guerra,
que figurava, exclusivamente, no plano das hipóteses, a guerra assimétrica, que nada mais é que uma guerra irregular travada no espaço mundial. Guerra assimétrica, talvez pudesse ser definida, como foi dito, de guerra irregular em escala mundial, ou como a guerra irregular, que não se cinge a um espaço nacional.”
COSTA (2002) classifica a Guerra Cibernética como uma Guerra Assimétrica.
Neste tipo de guerra podemos ter uma combinação das seguintes assimetrias:
a) poder econômico e financeiro – muitos recursos versus poucos recursos;
b) capacidade bélica – relativa e localizada versus absoluta;
c) estruturação organizacional – hierarquia versus rede;
d) objetivos – imenso número de alvos, quase infinito (militares, civis e instalações do
inimigo mais forte, seus aliados, e organizações que o apóiem) versus poucos alvos
(combatentes e instalações do inimigo mais fraco);
e) resultados – indiferença quanto a resultados a curto e médio prazos versus necessidade
de resultados expressivos a curto prazo. Isto é, o lado mais forte tem que vencer, mas o
lado mais fraco tem apenas que mostrar que está vivo; e
f) comportamentos – não-sujeitos a nenhuma regra, admitindo, inclusive o suicídio na
ação versus o oponente, preso a regras e convenções.
A possibilidade da guerra de informações foi de algum modo antecipada por Alvin e Heidi Toffler, no livro Guerra e Anti-guerra, de 1994. Na obra, as guerras são apresentadas em 3
grandes ondas:
75
(i). a onda das “guerras agrícolas”: típica do período das revoluções agrárias;
(ii). a onda das “guerras industriais”: fruto das revoluções industrias, e
(iii).a onda da “guerra da informação”: como fruto da sociedade da informação.
4.4
Hackers e Outros Agentes de Ameaça Cibernética
Sendo a assimetria de informação a característica marcante da guerra cibernética, faz-se
necessária uma caracterização mais detalhada dos agentes capazes de empreender tais ações,
sendo a expressão hacker a mais usada neste contexto.
A palavra hacker, que tem uma origem histórica controvertida.
Conforme os conceitos introduzido por LEVY (1984) no livro The Hacker Ethic: o hacker deve mover suas ações de forma ética, movido apenas pelo desafio de testar os limites de
seus próprios conhecimentos, segundo os seguintes princípios:
“Access to computers should be unlimited and total.
Always yield to the Hands-On Imperative
All information should be free.
Mistrust authority–promote decentralization.
Hackers should be judged by their hacking.
You can create art and beauty on a computer.
Computers can change your life for the better.”
Variantes dessas regras são adotadas como filosofia por grupos identificados como Hackers éticos ou “do bem” conforme outra expressão usada como autoclassificação.
Segue-se uma definição muito citada, seja por (VIANNA, 2001), seja por (NETO, 2003)
e atribuída a David Casacuberta que se identificava eletronicamente como DA5ID, bem como
a José Luis Martín Más identificado como Marco13 e que seriam autores da publicação Diccionario de ciberderechos Hackers, fundadores e ativistas da Electronic Frontier Foundation
76
da Espanha, um grupo de defesa dos direitos cibernéticos que atuou naquele país entre 1996 e
200054.
“Según la leyenda, el primer uso no "tradicional" del término se debe a alguien que
sabía donde dar el puntapié ("hack") exacto en una máquina de refrescos para conseguir una botella gratis. Ya sea en ese sentido o en el de cortar algo en pedazos, lo
cierto es que el primer uso genuino de hacker en el mundo de la informática era el
de alguien que conocía de forma tan detallada un sistema operativo (lo había "cortado en pedazos" por así decirlo) que podía obtener de él lo que quisiera (como el
señor de la leyenda urbana acerca de una máquina de refrescos). Así, en el sentido
originario, un hacker es simplemente alguien que conoce los sistemas operativos (y
por tanto los ordenadores) como la palma de su mano.
Puesto que, en principio, para poder entrar sin permiso en un ordenador ajeno son
necesarios grandes conocimientos de informática (aunque luego ello no sea así necesariamente), rápidamente el término se extendió en una nueva acepción como intruso o perpetrador informático que accede al control de una máquina en la Red sin
permiso.”
Na língua portuguesa a palavra hacker acabou se consagrando por sua freqüente utilização na mídia, encontrando-se hoje em dicionários (FERREIRA, 1999):
[Ingl., substantivo de agente do v. to hack, 'dar golpes cortantes (para abrir
caminho)', anteriormente aplicado a programadores que trabalhavam por tentativa e
erro.] S. 2 g. Inform. 1. Indivíduo hábil em enganar os mecanismos de segurança de
sistemas de computação e conseguir acesso não autorizado aos recursos destes, ger. a
partir de uma conexão remota em uma rede de computadores; violador de um
sistema de computação.
Ser considerado um hacker é, em alguns círculos, um elogio. De certa forma tenta-se fazer uma distinção de que o Hacker mau, criminoso, um invasor, por exemplo, seja referenciado de outra forma, Cracker.
Segundo este raciocínio, hackers invadem sistemas com o único objetivo de conhecê-lo
melhor e aprimorar suas técnicas, enquanto os crackers invadem sistemas em geral com objetivos financeiros ou simplesmente para causar algum dano ao computador da vítima.
Mas essa diferença é meramente subjetiva já que hackers e crackers invadem sistemas e
violam a privacidade digital alheia, o que já é considerado crime em muitos países.
Para NETO (2003), contribui para essa visão distorcida:
“o perfil criado e amplamente divulgado pela mídia tem o criminoso virtual como
sendo em regra indivíduo do sexo masculino, que trabalha de alguma forma com a
54 The Hacker Story. URL: http://hackstory.net/index.php/Fronteras_Electr%C3%B3nicas Acessado em 2 abr. 2009
77
utilização de computadores e sistemas informáticos, com idade entre 16 e 33 anos de
idade, avesso à violência e possuidor de inteligência acima da média. São
extremamente audaciosos e aventureiros, movidos acima de tudo pelo desejo de
conhecimento e de superação da maquina. Mas hoje delinqüentes são, em geral,
pessoas que trabalham no ramo informático, normalmente empregadas, não tão
jovens nem inteligentes; são insiders, vinculados a empresas (em regra); sua
característica central consiste na pouca motivabilidade em relação à norma
(raramente se sensibilizam com a punição penal); motivos para delinqüir: ânimo de
lucro, perspectiva de promoção, vingança, apenas para chamar a atenção etc.”
STERLING (1994) esclarece que o termo hacker é aplicado nos dias de hoje a qualquer
pessoa que cometa fraude ou crime eletrônico:
“El término hacking se ha usado rutinariamente hoy en día por casi todos los policías, con algún interés profesional en el abuso y el fraude informático. La policía
americana describe casi cualquier crimen cometido con, por, a través, o contra una
computadora, como hacking.”
Para HALLECK (2004) qualquer um pode se denominar hacker, desde crianças burlando
regras e jogos on-line até alguém que usou um script para “pixar” uma página daWeb. Assim,
nem todos são iguais, nem todos são perigosos. HALLECK acredita que a melhor maneira de
conhecê-los é avaliá-los sob 3 aspectos: (i) conhecimento; (ii) intenção; e (iii) motivação.
ROGER (2005) distingue apenas dois aspectos como importantes (i) conhecimento e (ii)
motivação.
O conhecimento (i) para HALLECK varia muito. A maioria da população hacker só é capaz apenas de utilizar um sistema operacional – Windows, e não entende realmente como a
tecnologia funciona. Atuam em suas ações hacker valendo-se de programas maliciosos apanhados na Internet e utilizados sem maiores conhecimentos do seu código e capacidade. São
chamados programas enlatados ou programas receita de bolo. A maioria dos que se intitulam
hackers não são capazes de escrever suas próprias ferramentas de ataque conhecidas como
exploits e são conhecidos na comunidade como Script Kiddies. Mas isso não quer dizer que
não sejam perigosos. Os usos de ferramentas prontas comprometem a segurança dos sistemas,
no mínimo, atrapalhando o tráfego de dados na rede.
Para HALLECH apenas um pequeno grupo de hackers possui grande conhecimento da
tecnologia que foi obtido na educação formal ou como autodidatas. São capazes de operar em
diversos sistemas operacionais e têm pelo menos conhecimentos básicos de programação que
permitem modificar o código fonte de um exploit. Estima-se que apenas 1% ou menos dos
78
hackers em atividade sejam capazes de escrever seus próprios programas maliciosos. Esse é o
grupo responsável pelos ataques mais elaborados.
Quanto às intenções (ii) dos hackers HALLECK aponta três vertentes: os bons que são
aqueles que trabalham com segurança das informações e comunicações; os neutros que são
aqueles movidos pelo desafio de testar os seus conhecimentos; e os destrutivos que são os que
roubam dados, destroem informações, desconfiguram sistemas, picham páginas etc. As posições não são imutáveis. Bons podem ser neutros ou destrutivos em alguns momentos.
Enquanto o conhecimento e a intenção podem ser categorizados, a motivação (iii) não,
pois ela tende a ser única para cada hacker. HALLECK aponta algumas possíveis motivações:
Conhecimento técnico – o objetivo é conhecer melhor e entender como os sistemas operacionais bem como os softwares de proteção funcionam. Essa era a principal razão dos hackers pioneiros.
Adquirir respeito - boa parcela dos hackers, principalmente os mais jovem, busca pichar
páginas e dar publicidade a isso para ficarem conhecidos.
Controle – o desafio aqui é obter algum tipo de controle sobre um servidor. Uma vez obtido, é normal haver uma publicidade do feito, remetendo o hacker mensagens eletrônicas do
servidor dominado para divulgar o controle conseguido.
Ego – alguns são extremamente orgulhosos de seus conhecimentos e aliando a necessidade de adquirir respeito se arriscam em um jogo de gato e rato com os administradores de sistema e autoridades policiais, apenas para dar vazão ao seu ego.
Diversão - uma boa parte dos hackers encara as invasões como jogo e diversão. Essas invasões funcionam como desafio intelectual.
Agenda Moral - posições políticas ou sociais servem de motivação a esses hackers. Há
os Eco hackers, os hackers políticos, os éticos. Empreendem, quase sempre, uma cruzada pessoal defendendo aquilo que acreditam.
Acesso Grátis - buscam ter acesso gratuito à Internet ou à rede telefônica para realizar ligações interurbanas gratuitamente. Nesse caso, são conhecidos como Phreakers. Seus méto-
79
dos variam desde o roubo de senhas de acesso à conta de alguém ao roubo de dados de cartões
de crédito para cometer os seus ilícitos.
Dinheiro - alguns atacam e invadem computadores e sistemas em busca de lucro. Podem
estar a serviço de organizações criminosas, de empresas interessadas em espionar concorrentes, ou, agem isoladamente em busca de lucro pessoal. Suas ações incluem o uso de ferramentas que permitem furtar dados de cartões de credito, de contas bancárias, de senhas, ou de
qualquer tipo de informação que seja vendável.
Tédio - Aqueles que, na falta de desafios em seu trabalho ou escola, passam a ver as invasões como um atrativo para seu dia-a-dia.
HALLECK, baseado nos conceitos: conhecimento (i), intenção (ii) e motivação (iii), descreve os principais perfis dos hackers, esclarecendo que alguns combinam características de
vários perfis55:
Tradicionais (Old School Hacker) - normalmente mais maduros, tanto em idade e personalidade, cujo objetivo é expandir cada vez mais seus conhecimentos. Promulgam a chamada ética hacker. Suas ações são neutras sob o ponto de vista da segurança, mas já passaram
por outros estágios, como Crackers ou Warez e tem ótimos conhecimentos de sistemas operacionais e softwares, sendo excelentes programadores.
Rebeldes – (New School Hacker) - Consideram-se a elite dos hackers, detêm conhecimento inferior aos da velha escola, e em sua maioria conhecem apenas os sistemas Windows
ou Macintosh. Poucos tem domínio do Unix. Possuem egos mais inflamados. Não prezam o
conhecimento e agem destrutivamente sempre que se sentem desafiados.
Script Kiddies - Iniciantes com poucos conhecimentos, utilizam ferramentas prontas em
suas ações. São considerados o primeiro estágio hacker. Agem movidos por curiosidade, tédio, acesso grátis ou dinheiro. São sempre destrutivos.
55 alguns perfis permaneceram grafados em inglês por serem referenciados normalmente neste idioma.
80
Piratas – (Warez Kids) - cujo objetivo é piratear software, na maior parte das vezes de
jogos para PC. Seu maior conhecimento é desenvolver “patches” para burlar proteção de cópias. Agem movidos por dinheiro, pois regra geral, comercializam suas conquistas.
Phreaker – considerados uma espécie especial de hacker. Não gostam de ser denominados como hackers preferindo a denominação Phreaker. A razão é que usam ferramentas hackers apenas para atingir seus objetivos, qual seja, adquirir conhecimento e acesso aos sistemas
e redes de telefonia, já que esses são controlados, quase que exclusivamente por computadores. Suas ações concentram-se na infiltração em redes de telefonia públicas ou privadas para,
obtendo acesso, realizar ligações interurbanas grátis, redirecionar rotas telefônicas ou mesmo
derrubar os sistemas.
Cracker – este termo surge utilizado pelos próprios hackers para buscar diferenciá-los de
criminosos. Enquanto o hacker age de acordo com um código de ética, o cracker é alguém
que sempre tem intenção maliciosa, buscando ganhos pessoais e agindo de forma destrutiva.
Glam Hacker56- (termo inventado por HALLECK) – São aqueles que possuem pouco
conhecimento técnico, mas que querem demonstrar de forma explícita que são hackers, assumindo uma imagem muito divulgada e explorada pela mídia da propaganda e no cinema de
que hackers são pessoas com cabelos coloridos, muitas tatuagens e visual não usual. Ocupam
um pequeno nicho no cenário hacker e, na sua maioria, não realizam ataques.
Hacker Ético57 – usa seus conhecimentos em função de uma causa ética e social. Causas
como a luta contra a pedofilia, discriminação racial, dentre outras, estão no foco desse grupo
que para atingir seus objetivos usa desde a propaganda em sítios na Internet, até ações de invasão e ataque a sistemas.
Lamer - termo depreciativo que designa uma pessoa com poucos conhecimentos técnicos
e que não demonstra vontade de aprender. Outros termos também são usados para designar
esse grupo, sempre de forma depreciativa: Luser, Clueless, Newbie, Cluebie.
56 vem do termo Glamour
57 não confundir com hackers que seguem um código de ética hacker
81
Falso Entendido (Poser) – em qualquer grupo de pessoas com interesse comum sempre
pode surgir alguém que se faça de entendido no assunto de interesse do grupo para ser aceito.
Assim age o Poser, que exagera seus conhecimentos e ações para se fazer aceito em comunidades hacker. São rapidamente detectados por hackers mais experientes e tendem a desaparecer quando questionados sobre seus conhecimentos. Diferem dos charlatães, pois estão apenas
interessados na aceitação pelo grupo.
Charlatão – no mundo atual ter profundos conhecimentos em segurança da informação e
comunicações se tornou uma oportunidade de negócios. Grandes e pequenas empresas contratam e pagam altas somas por consultorias nesta área. Isso atraiu alguns hackers que montaram
empresas de consultoria ou sítios na Internet para vender seus conhecimentos. Os altos valores
envolvidos fizeram surgir charlatães - pessoas com algum conhecimento técnico e com perfeito domínio do jargão da área - que se fazem de especialistas para tirar vantagem da situação e
obter lucros.
Fã - são pessoas interessadas nas ações de grupos hackers ou mesmo indivíduos que cultuam seus feitos e seguem seus passos, agindo como verdadeiros fãs.
Über Hacker – hacker famoso, considerado a elite da elite, o super hacker, um mito.
Espião industrial ou governamental – pessoa ou grupo com excelente formação técnica, que dispõe de suporte financeiro e equipamentos para buscar informações especificas em
redes e sistemas.
Freelancer – indivíduos com sólidos conhecimentos técnicos que se põem à disposição
de uma empresa, governo ou organização criminosa em troca de dinheiro.
Criador de Vírus - denominação genérica para aqueles que desenvolvem ferramentas de
ataque (trojans, worms, exploits ou vírus). É uma categoria à parte, como os Phreaker. São
altamente especializados e conhecem profundamente os sistemas operacionais em que são especialistas. São excelentes programadores e seu desafio é vencer as barreiras tecnológicas e
aprender cada vez mais. Podem ser neutros ou extremamente destrutivos, podem agir por busca de novos conhecimentos ou apenas para testar suas habilidades. Pode estar em busca de
lucros pessoais agindo diretamente ou vendendo seus produtos para organizações criminosas.
82
Black Hat – termo geral que designa o hacker que segue o código de ética ou está envolvido em ações de cracking.
White Hat – termo geral que designa o hacker que segue o código de ética ou está envolvido em ações de segurança das informações e comunicações.
Engenheiro Social – na verdade trata-se de uma habilidade desenvolvida por um hacker.
O engenheiro social explora o ponto mais fraco de um sistema: as pessoas. Age via telefone,
e-mail ou pessoalmente, buscando obter pedaços de informação que possam ser usados para
atacar posteriormente os sistemas computacionais a que as vitimas tem acesso. É um método
barato, rápido e quase sem risco de se obter senhas, dados pessoais, numero de telefone, conhecer as funções das pessoas que trabalham em determinado órgão ou empresa ou qualquer
informação que possa ser útil no desenvolvimento de um plano de ataque.
Ciberpunk (Cypherpunk) - é uma classe separada de hacker. Seu interesse é mais particularmente voltado para criptografia e decriptografia. O ciberpunk também é associado à proteção das liberdades civis e anonimato nas redes.
Podemos concluir que HALLECK entende que a sociedade hacker é extremamente variada e está em constante mudança, recriando a si mesmo. Que a única coisa em comum que encontramos em quase todos os grupos é a dedicação, o amor à tecnologia e, de forma geral, a
necessidade de aprender e de se por à prova, desafiando estes conhecimentos ou os explorando com os mais variados objetivos, que vão do lícito ao ilícito. Que essas necessidades não
são limitada por lei, etiqueta social ou fronteiras transnacionais, apesar do discurso da ética
hacker. O autor nos leva a crer que os hackers podem ser extremamente perigosos ou, quando
devidamente incentivados, agirem como um poderoso indutor de inovações tecnológicas para
um país ou grupo.
ROGERS acredita também que, para se conseguir algum tipo de entendimento sobre as
motivações individuais dos que estão envolvidos no movimento hacker, é necessário subdividir a denominação genérica hacker em categorias.
Para tanto ele propõe um modelo baseado em seus próprios estudos e trabalhos de Furnell
(2002) e Gordon (2001) apud Rogers (2005) para construir uma taxonomia atual baseada em 8
83
categorias58 primárias de hackers59: (i) Iniciante (Novice) – IN; (ii) Ciberpunks (Cyberpunks)– CP; (iii) Internos (Internals) - IT; (iv) Ladrões Menores (Petty Thieves) – LM; (v)
Criadores de Vírus (Virus Writers) – CV; (vi) Hackers da Velha Guarda (Old guard hackers)
– VG; (vii) Criminosos Profissionais (Professional criminals) – CP; e, (viii) Guerreiros da
informação (Information Warriors)- GI.
As categorias têm como hipótese representarem um alicerce para o desenvolvimento de
uma taxonomia baseada nos componentes nível de habilidade e motivação. Tendo no seu mais
baixo nível técnico o grupo iniciante (i) e, no mais alto o grupo de ciberterrorismo (viii).
O modelo adotado que identifica as características de primeira ordem, é consistente com
outros modelos de classificação desenvolvidos para categorizar criminosos financeiros (crimes de colarinho branco) ; fraudadores e pedófilos que usam a Internet (FERRARO & CASEY, 2005; HAYES & PRENZLER, 2003 apud ROGERS, 2005).
As categorias são assim descritas por ROGERS: iniciante IN (i), inclui pessoas com limitado conhecimento técnico de computadores, sistemas operacionais e programação. Utilizam
programas pré-escritos para realizarem os seus ataques. Essa categoria é composta por jovens,
que procuram ser aceitos na comunidade hacker.
A categoria ciberpunk – CP (ii) é composta por pessoas que devem ter melhores conhecimentos de computadores e sistemas operacionais e alguma capacidade de programação. São
capazes de escrever seus próprios softwares, desde que sejam simples. Envolvem-se em ações
maliciosas como pichar páginas Web (defacing); enviar mensagens não solicitadas, conhecidas como spam. Muitos estão envolvidos em roubo de dados de cartões de crédito, senha bancária e fraude em telecomunicações. A motivação deste grupo é atenção da mídia e, em alguns
casos, ganhos financeiros.
Internos (IT) (iii) é o grupo formado por funcionários e ex-funcionários que, valendo-se
de seus conhecimentos das rotinas e do nível de acesso que possuem em função de seus car-
58 Rogers informa que possivelmente exista uma 9 categoria a de ativista político, mas que as discussões sobre o assunto ainda estão na fase
preliminar.
59 O autor procurou atualizar os termos originais usados por ROGERS em sua tradução. A nomenclatura original aparece grafada ao lado
de cada categoria.
84
gos, atacam os sistemas das organizações onde trabalham. Historicamente os Internos são os
que produzem os maiores prejuízos, tanto financeiros quanto de imagem (Randazzo, 2004,
apud Rogers, 2005). A motivação para a fraude mais comumente reportada é a vingança contra a organização ou seus chefes.
O grupo de ladrões menores – LM (iv) consiste de indivíduos avessos a publicidade e
que são atraídos para os crimes tecnológicos porque seus alvos tradicionais, bancos, cartões
créditos e pessoas distraídas, migraram para a grande rede. Aprendem apenas o necessário para cometer seus ilícitos e são motivados por ganhos financeiros e em alguns casos vingança.
O grupo de Criadores de Vírus - CV (v), segundo ROGERS, é uma anormalidade, sendo
difícil determinar seu exato lugar nesta classificação. Foi incluído por sua importância e, de
alguma forma, para referenciar que esse grupo merece maior pesquisa.
Hackers da Velha Guarda - VG (vi). Aparentemente, indivíduos desse grupo não têm
intenções criminosas - abraçam a ideologia da primeira geração de hackers, cujo objetivo era
o aprimoramento intelectual sem fronteiras. Esse grupo tem sólido conhecimento técnicos,
escreve seus próprios códigos e raramente os usam, encorajando indivíduos menos preparados
tecnicamente para experimentá-los. Sua primeira motivação é a curiosidade e a oportunidade
de testar seus conhecimentos.
As categorias dos Criminosos Profissionais – CP (vii) e dos guerreiros da Informação
– GI (viii) são entre todas, as mais perigosas. São compostas por criminosos profissionais e
ex-integrantes de agências de inteligência. São extremamente bem treinados e tem acesso ao
estado da arte da tecnologia. Muito se tem especulado sobre a expansão destes grupos, que
ocorre logo após a dissolução dos serviços de inteligência do leste europeu (Denning, 1998;
Post et al., 1998; Parker, 1998; Post, 1996, apud Rogers, 2005). Apesar do risco potencial advindo desses grupos, muito pouco se conhece a respeito de seus métodos de trabalho.
Os criminosos profissionais – CP (vii), tal como os ladrões menores - LM (vi) dão
continuidade às suas atividades criminosas do mundo real no mundo virtual. São motivados
por dinheiro e ganhos financeiros. Não estão interessados em fama e são orgulhosos de executarem seus ilícitos de forma profissional. Não pretendem ser capturado e portanto, procuram
chamar o mínimo de atenção das autoridades para as suas atividades. Esse grupo é composto
por indivíduos com alta especialização técnica e seus integrantes tendem a ser mais maduros,
85
tanto cronologicamente como psicologicamente. Aglutinam-se em organizações criminosas
tradicionais que reconheceram a potencialidade do uso da tecnologia e da Internet para cometerem ilícito com um menor risco e maior abrangência (Keegan, 2002; Rogers & Ogloff, 2003
apud Rogers, 2005).
Guerreiros da Informação – GI (viii) é a categoria que congrega aqueles indivíduos cujo objetivo é conduzir ou defender ataques destinados a desestabilizar, destruir, corromper, ou
afetar a integridade dos dados ou sistema de informações e comunicações onde as decisões de
comandos e controles estão baseadas. Dentre suas atividades está o acesso e o uso das tecnologias tradicionais ou não, de uso exclusivo de estados, preparadas para ações militares ou de
conflito armado. Esses indivíduos são altamente treinados, possuem alta capacidade e conhecimento técnico e são movidos por patriotismo.
Com ROGERS aprendemos que categorizar os hackers é fundamental para que possamos
entender a motivação dos indivíduos que compõem o movimento hacker, seguramente para
traçarmos estratégias de mitigação dos riscos que cada uma das categorias pode representar.
Entretanto, chama a atenção o fato de ROGER deixar de comentar com mais profundidade a
questão dos grupos de pressão, chamados por ele de ativistas políticos e o fazer de forma tímida quanto aos Estados e aos grupos terroristas, que estão se valendo das tecnologias e da
Internet para atingirem seus objetivos. ROGERS apenas resvala na questão quando tece considerações sobre a classificação Guerreiros da Informação.
Para buscar cobrir estas lacunas e delimitar as ações de mitigação de riscos na estratégia
de segurança e defesa cibernética que propomos neste estudo, elegemos as seguintes categorias de hackers como os autores de ações antagônicas que serão alvo de atenção, classificandoos em 4 grupos distintos:
Invasores de Sistemas – onde enquadramos aqueles criminosos que buscam a invasão de
um sistema como um objetivo em si, nem sempre em busca de lucros Aqui encontram-se os
(i) Script Kids ou Amadores; (ii) Hackers; (iii) Crackers e (iv) Pheakers.
Ativistas Sociais – Uma nova categoria que surge buscando defender seus pontos de vistas e crenças sociais valendo-se de ações na Internet, podendo chegar ao crime. Aqui enquadramos como (v) Grupos de Pressão;
86
Quadrilhas – Nesta categoria estão aqueles que sempre buscam o lucro mediante o cometimento de crimes. Este Grupo de criminosos enquadramos como (vi) Crime Organizado;
Inimigos – São aqueles que buscam incapacitar ou destruir infraestruturas críticas de um
País. São eles os (vii) Terroristas e os (viii) Estados.
A ação de cada Grupo encontra-se detalhada a seguir:
Script Kiddies ou Amadores, Hackers, Crackers e Pheakers são invasores de sistemas. E
recebem subclassificações dependendo do acesso que tenham aos sistemas: (i) Internos, se
tem acesso oficial ao sistema que invadiu; (ii) – Externos, se não tem acesso oficial.
Os Amadores (i), também chamados de Script Kiddies ou Lamers são caracterizados como aprendizes ou como pessoas de poucos conhecimentos técnicos que se valem de scripts programas prontos e receitas “passo-a-passo” , encontrados as dezenas na Internet para tentarem obter vantagens ilícitas. Uma simples consulta feita no sítio do Google60 com o texto “como invadir um sistema com netbus” retornou 11.300 resultados Alguns exemplos de receitas
(scripts) encontradas na Internet:
•
Como invadir um sistema com NETBUS Passo-a-Passo61;
•
Invasão Hacker62;
•
Como invadir o MSM dos outros.63
A prática do ataque amador é apoiada também por livros como os exemplos a seguir ofertados em sítios na Internet64, alguns dos quais trazem CD´s com exercícios práticos:
•
Dossiê Hacker - Acompanha Curso em Cd Rom do prolixo autor Wilson José de
Oliveira (2000 - Digerat Editorial) , com mais de 15 obras sobre linguagens de
60 http://google.com.br Acesso em 26 de outubro de 2008
61 http://ube-164.pop.com.br/repositorio/7968/meusite/invadindosistemacomnetbus.html - Acesso em 26/10/ 2008 as 16:30 hs..
62 http://invasoeshacker.blogspot.com/2009/01/invadindo-com-netbus.html - em 26/10/2008 as 16:18 horas
63 http://usabilidoido.com.br/como_invadir_o_msn_dos_outros.html - em 26/10/2008 as 18:15 horas.
64 Infomática Livros. URL: www.submarino.com.br. Acesso em 26 de outubro de 2008.
87
programação e técnicas de ataque e proteção de redes. Nesse livro, que segundo
o autor é dedicado aos “Ethical Hacker”(profissional que detém conhecimento
de técnicas e modus operandi de um hacker comum mas só usa estes conhecimentos para proteger seu clientes), apresenta, conforme enfatizado pelo autor “as
mais modernas técnicas do hackerismo para ataque e proteção das redes tais como apagamento de pistas de invasões, modos de acessos remotos, uso do SQL
Injectio,; uso de sniffers e spywares...” O CD que acompanha o livro contém
uma miscelânea de exercícios e scripts para uso do leitor.
•
Hacker Invasão e Proteção OLIVEIRA (2000 Visual Books) outro livro do
mesmo autor, onde técnicas e “ensinamentos” semelhantes são repassados aos
leitores.
A categoria hacker (ii) que, segundo VIANNA (2001), se dizem movidos apenas pelo desafio de testar os limites de seus próprios conhecimentos técnicos e a segurança de sistemas
informatizados de grandes companhias e organizações governamentais. Em 26 de agosto de
2008, a BBC divulgou a notícia de que estudantes de pós-graduação da universidade escocesa
Abertay University serão treinados para ser Hackers. Em um curso intitulado Ethical Hacking
and Computer Security (Hacker Ético e Segurança de Computadores, em tradução livre) os
alunos irão aprender métodos usados por criminosos para atacar as redes de computadores, e
como testar os sistemas para encontrar pontos vulneráveis, sendo treinados para protegê-los.65
Ocorre que, como aprendemos em HALLECK, as intenções não são imutáveis, assim
hackers éticos já podem ter sido crackers e nada garante que não possam voltar a ser. Hackers
invadem sistemas e ,por mais nobre que sejam as intenções, isso é crime.
O Cracker (iii), como já afirmado anteriormente, é alguém que sempre tem intenção maliciosa ou busca ganhos pessoais.
DAVID ICOVE, apud Aras (2001) corrobora ao informar que
"Many crackers are also phreakers: they seek ways to make repeated modem connections to computers they are attacking without being charged for those connec-
65 Ethical Hacking Course. URL: www.bbc.com. Acessado em 23 out 2008
88
tions, and in a way that makes it difficult or impossible to trace their calls using
convencional means".
Em setembro de 2008, uma notícia no sítio Terra informando que Crackers invadiram o
sistema de acelerador de partículas, demonstrava, na prática, uma ação destrutiva de criminosos desse tipo:
“Um grupo de crackers gregos conseguiu invadir o sistema do colisor de hádrons
(LHC), danificando um arquivo em um dos quatro detectores que analisam o choque
das partículas no experimento, realizado nesta semana, que recria em parte o Big
Bang.”66 (grifo nosso).
Os Phreakers (iv) são especialistas em fraudes dos sistemas de telecomunicações em especial das linhas telefônicas convencionais e de celulares. Sua motivação é burlar a segurança
desses sistemas para utilizá-lo de forma gratuita, ou imputar os custos a terceiros mediante
fraude.
Em 21 de agosto de 2008 a Associated Press divulgou uma informação sobre fraudes em
ligações telefônicas e dos prejuízos que elas causaram:
“According to the Associated Press report, the Department of Homeland Security DHS admitted that an individual, or a group of people, used a vulnerability in the
newly installed FEMA Private Branch Exchange (PBX) to make about 400 calls to
Afghanistan, Saudi Arabia, India and Yemen, as well as other countries.
The resulting cost, $12,000 USD, is a huge price to pay for failing to act on a vulnerability report issued by the Department of Homeland Security in 2003, warning
of the same sort of attack. “(Associated Press, 2008)67
Com relação aos Ativistas Sociais ou Grupos de Pressão (v) pode-se defini-los como indivíduos organizados em torno de ideais que se utilizam da Internet como arma política para
defender seus pontos de vistas, às vezes, apelando para ações criminosas, como invasões de
sistemas ou desconfiguração de sítios na Web.
Talvez o exemplo mais bem sucedido de um movimento social on-line e que marca este
tipo de ação por seu pioneirismo, seja o da organização não governamental MOVE ON, surgida em setembro de 1998, quando dois empresários do Vale do Silício na Califórnia, Joan Bla-
66 Crackers Invadem Sistema de Acelerador de Partículas. Url: http://tecnologia.terra.com.br/interna/0,,OI3178860-EI4805,00Crackers+invadem+sistema+de+acelerador+de+particulas.html.
Acesso em 12 set. 2008).
67Phreakers take over FEMA phones – thousands lost to overseas calls. http://www.thetechherald.com/article.php/200834/1817/Phreakerstake-over-FEMA-phones-%E2%80%93-thousands-lost-to-overseas-calls. Acesso em 26 de outubro de 2008.
89
des e Wes Boyd, sem nenhuma experiência prévia em política, e frustrados com o que chamaram de “guerra partidária de Washington” e com o “ridículo desperdício de foco da nação americana” com a questão impeachment do Presidente Clinton, propuseram uma petição online intitulada Censure President Clinton and Move On to Pressing Issues Facing the Nation.
Algo como: Censurem o Presidente Clinton e vamos em frente com as questões que realmente
importam. Em pouco tempo, recolheram milhares de assinaturas.
Consultado o sítio da organização MOVE ON em outubro de 2008, encontrou-se uma de
suas ultimas campanhas incentivando as pessoas a votar nas eleições presidenciais americanas
de 2008:
“Make sure all your friends vote. We all know people who might not vote this year.
So we created this funny news video about Obama losing by a single vote. It's a
great, fun, scary way to remind everyone you know to vote. Can you send this video
to your friends? (You can send yourself the video, too.)” (Move On Political
Organization, 2008)68
A categoria Crime Organizado pode ser definida como a migração das quadrilhas existentes no mundo real para atuação no Espaço Cibernético. O crime organizado perpetra ataques à
distância, tirando partido da incipiente legislação acerca do uso da Internet em todo o mundo.
Os crimes no ciberespaço estão crescendo em volume e sofisticação. Nos Estados Unidos
apenas, vítimas reportaram prejuízos de US$ 329 milhões com fraudes on-line em 2007, com
uma perda média de US$ 2,53 mil por vítima. As queixas são registradas em uma linha especial de denúncias operada pelo Serviço Federal de Investigações (FBI) e pelo Centro Nacional
de Crimes de Colarinho Branco, uma organização sem fins lucrativos cuja área de atuação é o
combate ao crime eletrônico. (TERRA ON-LINE, 2008)69
Mas a notícia que mais chama a atenção para a desenvoltura da atuação destes criminosos
e para o sentimento de impunidade que ronda suas ações foi a divulgada pela Agência de notícias Folha Online em maio de 2008, com a seguinte manchete “Piratas virtuais criam sistema
68Sítio Move On. http://www.MoveOn.org/. Acesso em em 26 out 2008.
69 Fraudes na Internet. URL: http://tecnologia.terra.com.br/interna/0,,OI2732629-EI4805,00.html. Acesso em 27 de maio de 2008.
90
de direito autoral na Internet”.70 A reportagem informava que conforme divulgado pela Associeted Press, foi detectado por especialistas da empresa Symantec um contrato de distribuição
de trojans (código malicioso) por quadrilha de criminosos que ao vender o código malicioso
impunha uma espécie de contrato, com penalidades, para evitar que os compradores os comercializassem:
...Para aumentar os lucros, o software analisado pela Symantec continha regras como: "O consumidor não pode revender o produto, analisar seu código secreto, utilizá-lo para controlar outros computadores [zumbis] ou enviá-lo a empresas de segurança e se compromete a pagar uma determinada quantia pela atualização do produto".
Estão previstas também penalidades: "O trato: viole esses termos e nós vamos denunciá-lo a empresas de segurança, dando a eles informações sobre como desmantelar sua rede [zumbi] ou impedi-la de crescer", afirma o contrato feito pelos piratas
virtuais. (SIMANTEC apud Associeted Press, 2008).
O comportamento acima descrito revela o uso de práticas de mercado, como contratos,
para a atividade criminosa virtual demonstrando o grau de sofisticação dessas quadrilhas..
Na categoria Inimigos, enquadramos desde Organizações Terroristas até Estados que patrocinam ações de invasão de sistemas ou espionagem pela Web, mas que ainda não podem
ser caracterizadas como ações de uma guerra formal.
Quanto aos Grupos Terrorista, existem dois tipos de ações que são características desse
grupo: (i) a utilização da Internet como arma de propaganda e treinamento, difundindo seus
conceitos e arregimentando simpatizantes e seguidores; e, (ii) a utilização da alta tecnologia,
das redes de computadores e da Internet como arma.
Para conceituar terrorismo cibernético, neste estudo, será usado o “white paper” Cyberterror Prospects and Implications, (NELSON, CHOI, IACOBUCCI, MITCHEL e GAGNON,
1999) publicado pelo Centro de Estudos do Terrorismo e Guerra Irregular situado em Monterrey na Califórnia, e preparado pela Agência de Inteligência de Defesa do Governo Americano
em outubro de 1999. O artigo é considerado um marco no assunto, e indica que o terrorismo
Cibernético é “o uso calculado de violência ilegal contra qualquer tipo de propriedade digital,
70 Piratas virtuais criam sistema de direito autoral na Internet. URL: http://www1.folha.uol.com.br/folha/informatica/ult124u397618.shtml
Acesso em 26 de outobro de 2008.
91
para intimidar ou exercer coerção contra governos ou a sociedade, em busca de objetivos políticos, religiosos ou ideológicos”.
NELSON, CHOI, IACOBUCCI, MITCHEL e GAGNON (1999) reconhecem que o terrorismo cibernético pode ocorrer de várias formas com três níveis de capacidade: (i) Simples ou
Desestruturadas: com capacidade de conduzir ataques contra sistemas utilizando ferramentas
criadas por outra pessoa. Esse tipo de organização de terrorismo cibernético tem pouca capacidade de análise dos alvos, de comando e controle e de aprendizado; (ii) Avançadas ou Estruturadas: com capacidade de conduzir ataques mais sofisticados contra múltiplos sistemas
de informação ou redes e, possivelmente, apta a modificar ou criar ferramentas básicas de intrusão. Possui uma capacidade elementar de análise de alvos, comando e controlo e capacidade de aprendizagem; (iii) Complexas ou Coordenadas: com capacidade de ataques coordenados que podem causar interrupções em massa contra alvos melhor preparados para sua defesa e que podem utilizar criptografia, por exemplo. Essas organizações de terrorismo cibernético têm capacidade de criação de ferramentas complexas de ataque cibernético, são capazes
de análises sofisticadas de alvos, atuam com comando e controle, e têm plena capacidade de
aprendizagem organizacional.
Em resumo, as organizações de terrorismo cibernético Simples podem usar ferramentas
de ataque conhecidas contra alvos governamentais, na defesa dessas redes. As Avançadas,
podem surpreender pois tem capacidade de modificar códigos de trojans criando novas formas de ataque. As Complexas tem capacidade de derrubar serviços e infraestruturas críticas
em uma larga área geográfica de um País. São as que representam maior perigo.
Fontes públicas de informação sobre ciberterrorismo são abundantes e em sítios de organizações como a Terrorism Research Center, Inc.71, um instituto independente de pesquisa
sobre terrorismo, proteção de infraestruturas críticas e outros aspectos ligados à segurança, se
tem acesso, pago ou gratuito, a livros e artigos sobre o tema. Para exemplificar o tipo de acervo que organismos como esse preserva, apresentamos a seguir 2 exemplo:
71 http://www.terrorism.com/. Acessado em 26 de setembro de 2008.
92
2008-09-03: Cyber: Hackers Attack Iraq's Vulnerable Computers
“Weekly Analysis and Research (WAR) Report: 09/03/2008, Cyber: Hackers Attack
Iraq's Vulnerable Computers Premium Content Excerpt: Highlights - Growth of
computer use in Iraq fuels steady rise in the number of cyber attacks - Iraq’s creation of a national cybercrimes division is a key element in combating future cyber
terrorism - More funding is needed for software, hardware and training to successfully combat cyber attacks Since the US led invasion of Iraq in 2003, the country
has seen a tremendous growth in the use of computers and the Internet among government entities and private citizens. In 2003, Iraq’s Interior Ministry had no computers connected to the Internet, but today has over 5,000”.
O artigo faz um panorama do crescimento do uso do computador no Iraque após a invasão americana em 2003 e chama a atenção para o aumento das atividades de hackers contra as
infraestruturas governamentais daquele país. A notícia corrobora o entendimento de que o terrorismo cibernético é um problema mundial.
2008-07-02: Chinese Hackers Target India
“Weekly Analysis and Research (WAR) Report: 02/07/2008, Cyber: 2008-07-02:
Chinese Hackers Target India Premium Content Excerpt: Highlights - According to
Indian government officials, Chinese Hackers have targeted Indian computer networks - Chinese Hackers have previously been accused of attacking computer networks in the United States, United Kingdom, and Germany - China will likely continue to develop a cyber warfare capability Recent media reports have focused a
great deal of attention onto an ongoing series of cyber attacks against United States
(US) government, military, and private defense contractors. According to these reports, many of these attacks originate from IP addresses hosted in China.”.
A notícia acima descreve ataques a diversos países, originados de endereços IP´s hospedados na China. A notícia, não é explicita, mas deixa o entendimento de que a ação pode ter
partido de hackers ligados ao governo chinês.
Da análise da categoria de autores de ataques cibernéticos chamada Estado, temos a essência da necessidade de se construir uma Doutrina e uma Estratégia de Segurança e de Defesa Cibernética. São Estados legalmente constituídos e reconhecidos que estão preparando ações ofensivas e defensivas de guerra eletrônica, sendo que guerra eletrônica é entendida aqui
em seu conceito mais amplo, como o “conjunto de ações para uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do
adversário baseados em informações, sistemas de informação e redes de computadores. Estas
ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil”
(Ministério da Defesa, 2007).
Vários são os relatos no mundo, a exemplo da notícia acima de julho de 2008 de que hackers chineses atacaram alvos na Índia, que abordam, mesmo que tangencialmente, o uso de
93
ferramentas de ataque cibernético construídas com códigos maliciosos por órgãos públicos de
países ou por organizações suportadas por Estados nacionais. Ocorre que nenhuma dessas ocorrências pode ainda ser formal ou publicamente comprovada, dada à dificuldade de determinação do local preciso de onde partem os ataques. Em 2001, por exemplo, o Governo Canadense acusou grupos de Hackers brasileiros que estariam retaliando o Canadá em protesto
contra as restrições de importação de carne do Brasil e a disputa milionária a entre as empresas Embraer e a Bombardier. Em 2007, um ataque bem sucedido contra as Redes do Pentágono foi atribuído ao Exercito de Libertação Popular da China.
A imprensa, erroneamente, se refere a estes casos de ataque cibernéticos como se fossem
guerra eletrônica ou guerra da informação. Em 14 de agosto de 2008 uma reportagem do Wall
Street Journal (WST, 2008) 72 sobre o caso Rússia versus Geórgia, tratou do assunto de forma
esclarecedora reforçando que o termo “Guerra” não se aplica aos caso conhecidos de ataques
cibernéticos e que a expressão mais adequada é “cyber attacks”, ou “ataques cibernéticos”. De
forma irônica, o WSJ (2008) encerra o artigo esclarecendo que se esse tipo de ataque fosse
interpretado como guerra, os Estados Unidos já teriam declarado guerra à China há muitos
anos.
O caso Rússia versus Geórgia, em agosto de 2008, foi bastante noticiado pela mídia, e os
sítios ZDNet (ZDNet, 2008)73 e da Computerworld (Computerword, 2008) 74 informaram que
ataques sistemáticos causaram colapso na infraestrutura de tecnologia da informação e comunicações estratégicas da Geórgia, impedindo, à época, que a Geórgia disseminasse informações de seu interesse sobre a guerra, tanto para seus cidadãos internamente, como para o restante do mundo.
A mesma reportagem (Computerword, 2008) informava que os ataques estariam partindo
de grupos de Hackers nacionalistas russos, cidadãos comuns (que estariam sendo municiados,
com ferramentas básicas de ataques, por órgãos oficiais do governo russo) e agências de inteligência, tanto russas quanto outras de origem indeterminada. A técnica de ataque usada foi a
chamada DDoS (Distributed Denial of Service, ou Negação de Serviço Distribuída) que faz
72 http://blogs.wsj.com/biztech/2008/08/14/is-a-cyber-attack-and-act-of-war/ Acessado em 14 de setembro de 2008.
73 http://blogs.zdnet.com/security/?p=1670 Acessado em 14 de setembro de 2008.
74 http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9112399&
94
com que milhares de máquinas acessem simultaneamente o servidor do sítio atacado, fazendo
com que ele seja incapaz de responder às consultas. Esclarecia ainda que os sítios atacados
foram os da Presidência, Ministério da Defesa, Parlamento, além dos principais sítios de notícias da Geórgia.
4.5
Uma Proposta de Enquadramento de Ações Antagônicas
O Capítulo 4 até este ponto justificou a importância da segurança da informação e comu-
nicações para o Estado Brasileiro, descreveu algumas atividades hostis, ataques que podem ser
enquadrados sob a denominação de Guerra Cibernética, bem como enumerou propostas de
classificação de agentes capazes de empreender estes ataques.
Na busca de uma caracterização dos espaços e origens desses ataques esta seção propõe
enquadrá-los segundo os elementos: (i) alvo da ação; (ii) autor; e, (iii) abrangência da ação,
explanados a seguir.
4.5.1 Alvo da Ação
Quanto ao alvo, propõe-se a adoção dos conceitos de SCHWARTAU (1996), que estabelece, como já visto e exemplificado no Capítulo 5, Classes da Guerra da Informação como:
Classe 1 – Guerra de Informações contra Pessoas; Classe 2 – Guerra de Informações contra
Corporações; e, Classe 3 – Guerra de Informações Global (ações desencadeadas contra as infraestruturas críticas de uma Nação).
4.5.2 Autor da Ação
Quanto ao autor, o mais prudente é que a doutrina de segurança e defesa observe o que
prevê a doutrina do direito quanto ao delito informático, no dizer de ARAS (2001), em um
denso estudo a respeito: “... ainda que não se tenha chegado a um consenso doutrinário sobre
delito informático, os criminosos eletrônicos, ou “ciberdelinquentes” , já foram batizados pela
comunidade cibernética de Hackers, crackers e phreakers.”
Assim, baseados em tudo o que vimos até aqui, e para os objetivos deste estudo, em última instância optamos por propor uma classificação para os autores da ação, que observe os
95
quesitos conhecimento e motivação e ainda o potencial de dano que cada grupo pode causar.
Optamos ainda por incluir entre os autores: os grupos de pressão, o crime organizado, os terroristas e os Estados. Temos, então, como autores: (i) Script Kids ou Amadores; (ii) Hackers;
(iii) Crackers (iv) Pheakers, (v) Grupos de Pressão, (vi) Crime Organizado, (vii) Terroristas e
(viii)Estados.
4.5.3 Abrangência da Ação
Na busca de uma caracterização para os elementos que definem os espaços e origens de
ataques cibernéticos chega-se à abrangência da ação. Valendo-se da Doutrina do Direito encontramos em ARAS (2001) que cita DAMÁSIO acerca de “na doutrina brasileira, tem-se asseverado que os crimes informáticos podem ser puros (próprios) e impuros (impróprios). Serão puros ou próprios, aqueles que sejam praticados por computador e se realizam ou se consumam também em meio eletrônico. Neles, a informática (segurança dos sistemas, titularidade
das informações e integridade dos dados, da máquina e periféricos) é o objeto jurídico tutelado. Já os crimes eletrônicos impuros ou impróprios são aqueles em que o agente se vale do
computador como meio para produzir resultado naturalístico, que ofenda o mundo físico ou o
espaço "real", ameaçando ou lesando outros bens, não-computacionais ou diversos da informática.”
Assim de (DAMÁSIO apud ARAS, 2001) depreende-se que:
1. Crimes Cibernéticos Impróprios são aqueles em que o meio eletrônico é apenas
uma via para o seu cometimento que pode ser também praticado no mundo real
como, por exemplo, crimes contra a honra, pornografia infantil e fraudes.
2. Crimes Cibernéticos Próprios são aqueles que só podem ser cometidos por meio
eletrônico e que não existem em outros meios, por exemplo, acesso não autorizado a bases de dados ou sistemas, cópia ilegal de software e disseminação de códigos maliciosos.
Falta, entretanto, identificar uma categoria de crime onde o próprio computador ou seu
processamento é o alvo, por exemplo, sabotagem e terrorismo cibernético. Aqui se recorre a
Malta (2007) e encontra-se a classificação de Crimes Cibernéticos Propriamente Ditos:
96
3. Crimes Cibernéticos Propriamente Ditos são aqueles onde o próprio computador ou seu processamento é o alvo, por exemplo, sabotagem e terrorismo cibernético.
Em resumo, pode-se estabelecer que ,em uma Doutrina e na Estratégia de Segurança e
Defesa do Espaço Cibernético Brasileiro, as ações antagônicas, que são entendidas neste estudo como aquelas que vão desde a tentativa de uma desconfiguração de página Web, até ações
que podem ser caracterizadas como Guerra da Informação, terão como:
a) Alvo da Ação: as Pessoas, as Corporações e as Infraestruturas Críticas de
Estado.
b) |Autor da Ação: Invasores (amadores, hackers, crackers, pheakers), Ativistas
Sociais (grupos de pressão), Quadrilhas (crime organizado) e Inimigos (terroristas
cibernéticos ou não e Estados).
c) Abrangência da Ação: crimes cometidos e tipificados como: Impróprios;
Próprios e os Propriamente Ditos.
97
5
ÓRGÃOS E ATORES DE SEGURANÇA E DEFESA CIBERNÉTICA
De posse de uma caracterização dos elementos antagônicos à defesa cibernética cabe agora estabelecer, na Estratégia de Segurança Cibernética, quais são os atores e órgãos que devem
ser acionados em cada uma das inúmeras possibilidades que se abrem.
Este trabalho divide as atuações dos principais atores e órgãos em duas vertentes: (i) Segurança Cibernética contemplando ações que podem compreender aspectos e atitudes tanto
preventivas ou repressivas (ESG, 1983) 75; e (ii) Defesa Cibernética, contemplando ações operacionais, de caráter eminentemente ofensivo, caracterizadas por ataques cibernéticos. Este
capítulo apresenta apenas os órgãos relacionados direta ou indiretamente à segurança e defesa
cibernética.
Para uma perfeita compreensão dos conceitos, entenda-se por medidas preventivas aquelas que evitam que ações maléficas possam criar danos maiores ou que se perpetue ao longo
do tempo. Abrangem, portanto a criação e a aplicação de metodologias de gestão de risco e o
desenvolvimento de planos de contingências e continuidade para as infraestruturas críticas e
principais sistemas sensíveis, essenciais ao bom funcionamento do Estado e da Sociedade
Brasileira. Nesses sistemas estão inclusos equipamentos, sistemas de comunicação e softwares, bem como a capacitação dos profissionais encarregados e dos usuários dos diversos sistemas e infraestruturas a serem protegidos. Aqui se encontram também as atividades de: (i)
resposta a incidente de redes, (ii) a coleta, estudo e disseminação de correções contra artefatos
maliciosos e, (iii) a disseminação de boas práticas e medidas de proteção das redes informati-
75
Escola Superior de Guerra – Manual Básico 1983 p217 e 245
98
zadas e de segurança das informações. Caracteriza-se ainda como prevenção, conforme previsto na Instrução Normativa 001/2008 do GSI (GSI, 2008) o desenvolvimento de Plano Diretor de Segurança da Informação e das Comunicações, Modelos de Gestão, e a especificação e
o desenvolvimento de algoritmos criptográficos e de softwares e equipamentos de segurança
cibernética como telefones seguros e proteção de VOIP (voz sobre IP), por exemplo. Há que
se criar espaços específicos – Redes para a troca de informações, de forma ágil e pró-ativa,
entre as entidades de governo, as empresas estratégicas e de tecnologia de ponta, de capital e
controle nacionais, ou aqui estabelecidas- além do meio acadêmico.
Por medidas repressivas entenda-se o trabalho de identificação e combate de toda conduta
criminosa caracterizada como crime cibernético seja ele: Impróprio, Próprio, ou Propriamente
Dito. Nesse último caso encontram-se as medidas contra o terrorismo cibernético e a sabotagem, desde que ainda não caracterizadas como Guerra Cibernética, quando seriam tratadas no
contexto de Defesa Cibernética.
Esse modelo de atuação é real, e foi estabelecido em 9 de outubro de 2008, como resultado de uma reunião da Câmara de Relações Exteriores e Defesa Nacional – CREDEN, órgão
de governo estabelecido pela Lei nº 10.683, de 29 de maio de 2003, convocada para discutir o
tema Segurança e Defesa Cibernética.
Naquela ocasião ficou decidida a criação, no âmbito do Comitê Gestor de Segurança da
Informação – CGSI, de um Grupo de Trabalho intitulado Segurança Cibernética, com o objetivo de elaborar estudos de segurança da informação e comunicações e esboçar propostas de
segurança e de defesa das infraestruturas críticas de informação. Esse grupo contará com representantes de cada um dos ministérios presentes àquela reunião, não exclusivamente, e estará aberta a todos os órgãos que queiram participar. Poderá contar ainda com representantes da
academia e do setor privado.
Ficou ainda decidido que a questão da defesa cibernética, por estar na esfera de um estado
de beligerância entre o País e uma força hostil, não foi objeto de deliberação, já que decisões
deste escopo cabem ao Conselho de Defesa Nacional, órgão que tem suas atribuições previstas
na Constituição. Cabe ressaltar que as diretrizes de defesa cibernética devem buscar o pronto
restabelecimento da condição de segurança cibernética, consoante com a política de relações
exteriores adotada pelo Brasil, de não agressão e não-intervencionista. Note-se ainda que no
caso de ser necessário acionar mecanismos de defesa cibernética esse há que ser feito no nível
99
mais estratégico da gestão governamental – Presidência da República, tendo em vista as suas
implicações. Maiores detalhes dessas decisões encontram-se no Anexo C.
5.1
Atores e Órgãos
As subseções seguintes apresentam uma lista de órgãos, sem esgotá-la, os quais têm em
algum grau, por suas competências ou pelas competências das entidades a eles vinculadas,
importância na elaboração e funcionamento de uma Estratégia de Defesa Cibernética.
5.1.1 Conselho de Defesa Nacional (CDN)
O Conselho de Defesa Nacional é um órgão de consulta do Presidente da República nos
assuntos relacionados à soberania nacional e à defesa do Estado democrático76. Suas competências constitucionais são (CONSTITUIÇÃO, 1988):
“I - opinar nas hipóteses de declaração de guerra e de celebração da paz, nos termos
desta Constituição;
II - opinar sobre a decretação do estado de defesa, do estado de sítio e da intervenção federal;
III - propor os critérios e condições de utilização de áreas indispensáveis à segurança
do território nacional e opinar sobre seu efetivo uso, especialmente na faixa de fronteira e nas relacionadas com a preservação e a exploração dos recursos naturais de
qualquer tipo;
IV - estudar, propor e acompanhar o desenvolvimento de iniciativas necessárias a garantir a independência nacional e a defesa do Estado democrático.”
A adaptação de tais competências constitucionais na esfera do ciberespaço certamente é
um desafio. O próprio conceito de soberania no ciberespaço ainda não foi plenamente esclarecido. Entretanto dada à sua importância estratégica o CDN deve manter-se como o palco para
as decisões estratégicas relativas às ações de segurança e defesa cibernética.
5.1.2 Câmara de Relações Exteriores e Defesa Nacional (CREDEN)
A CREDEN é um órgão de assessoramento do Presidente da República nos assuntos pertinentes às relações exteriores e de defesa nacional. (Lei nº 10.683, 2003). Por tratar-se de um
76 Conforme o Art. 91 da Constituição da República Federativa do Brasil de 1988.
100
órgão de Governo, sua existência não está assegurada no próximo Governo. Atualmente lhe é
reservada um papel importante, e, portanto esta instância de poder pode assegurar agilidade na
construção de diretrizes estratégicas para a segurança das informações e comunicações, bem
como para a segurança cibernética, já que o assunto está dentro de suas atribuições (ver grifo
nas atribuições). Ela é formada pelos seguintes Ministros de Estado:
“I - Chefe do Gabinete de Segurança Institucional da Presidência da República, que
a preside
II - Chefe da Casa Civil da Presidência da República;
III - Justiça;
IV - Defesa;
V - Relações Exteriores;
VI - Planejamento, Orçamento e Gestão; e
VII - Meio Ambiente.
São convidados, em caráter permanente, os comandantes das Forças Armadas.”
E suas atribuições incluem:
“Formular políticas públicas e diretrizes de matérias relacionada com a área das
relações exteriores e defesa nacional do Governo Federal;
Aprovar, promover a articulação e acompanhar a implementação dos programas
e ações estabelecidos, no âmbito de ações cujo escopo ultrapasse a competência
de um único Ministério, inclusive aquelas pertinentes a cooperação internacional
em assuntos de segurança e defesa;
Integração fronteiriça;
Populações indígenas;
Direitos humanos;
Operações de paz;
Narcotráfico e a outros delitos de configuração internacional;
Imigração;
Segurança da Informação; e, (grifo do autor)
Atividade de inteligência.”
101
5.1.3 Casa Civil
A Casa Civil é um órgão essencial da Presidência da República, e de suas competências
extraímos aquelas que interagem com os assuntos segurança cibernética e segurança da informação:
“I - Assistência e assessoramento direto e imediato ao Presidente da República no
desempenho de suas atribuições, em especial nos assuntos relacionados com a coordenação e na integração das ações do Governo;
II - Verificação prévia da constitucionalidade e legalidade dos atos presidenciais;
VIII - Execução das atividades de apoio necessárias ao exercício da competência do
Conselho Superior de Cinema (Concine) e do Conselho Deliberativo do Sistema de
Proteção da Amazônia (Consipam);
IX - Operacionalização do Sistema de Proteção da Amazônia (Sipam); e
X - Execução das políticas de certificados e normas técnicas e operacionais, aprovadas pelo Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileiras (ICPBrasil).”
Compõem a estrutura da Casa Civil, três órgãos que são atores importantes na elaboração
das normas e regulamentos da segurança da informação e comunicações e na segurança cibernética: (i) ITI, por sua própria missão, (ii) DIRTI e (iii) DITEL, pela posição estratégica que
ocupam, pois seus serviços atendem ao primeiro mandatário.
Instituto Nacional de Tecnologia da Informação (ITI)
O ITI é uma autarquia federal vinculada à Casa Civil da Presidência da República, cujo
objetivo é manter a InfraEstrutura de Chaves Públicas Brasileira – ICP-Brasil, sendo a primeira autoridade da cadeia de certificação – AC Raiz.
Compete ainda ao ITI estimular e articular projetos de pesquisa científica e de desenvolvimento tecnológico voltados à ampliação da cidadania digital. Nesse vetor, o ITI tem como
sua principal linha de ação a popularização da certificação digital e a inclusão digital, atuando
sobre questões como sistemas criptográficos, software livre e hardware, compatíveis com padrões abertos e universais, convergência digital de mídias, entre outras.
Diretoria de Tecnologia da Informação (DIRTI)
102
A DIRTI é parte integrante da Casa Civil da Presidência da República e é responsável pelo desenvolvimento, manutenção e acompanhamento de todos os sistemas informatizados utilizados na Presidência da República.
Diretoria de Telecomunicações (DITEL)
A DITEL é parte integrante da Casa Civil da Presidência da República e é responsável pela instalação, manutenção e acompanhamento de todos os sistemas de comunicações utilizados na Presidência da República.
5.1.4 Gabinete de Segurança Institucional da Presidência da República
(GSI/PR)
O GSI/PR é um órgão essencial da Presidência da República que possui, dentre outras, as
seguintes competências77 que dizem respeito ao assunto deste estudo:
“I - Prevenção da ocorrência e articulação do gerenciamento de crises, em caso de
grave e iminente ameaça à estabilidade institucional;
II - Assessoramento pessoal ao Presidente da República em assuntos militares e de
segurança;
III - Coordenação das atividades de inteligência federal e de segurança da informação;
IV - Supervisionar, coordenar e executar as atividades do Sistema Nacional Antidrogas – SISNAD;
V - Executar as atividades permanentes, técnicas e de apoio administrativo necessárias ao exercício da competência do Conselho de Defesa Nacional – CDN;
VI - Exercer as atividades de Presidente da Câmara de Relações Exteriores e Defesa
Nacional, do Conselho de Governo, de conformidade com regulamentação específica; e
VII - Promover o intercâmbio de experiências com órgãos estrangeiros que tratam de
segurança institucional .”
Do acima exposto vê-se que o GSI/PR tem a responsabilidade pelo gerenciamento de crises graves envolvendo a APF ou o Estado brasileiro, coordenar a inteligência e segurança da
informação, além de compor o Conselho de Defesa Nacional e a CREDEN do Conselho de
77 PRESIDÊNCIA DA REPÚBLICA – GSI. Brasília, atualizada pela Presidência da República, 2008. Apresenta as carac-
terísticas do GSI e órgãos a ele subordinados. Disponível em:
<http://www.presidencia.gov.br/estrutura_presidencia/gsi/sobre>. Acesso em: 26 maio 2008.
103
Governo. Tais atribuições o transformam em engrenagem principal para a coordenação da estratégia da segurança cibernética do país. A competência sobre o SISNAD foi destacada porque o tráfico de entorpecentes é um dos maiores financiadores do crime organizado e o ciberespaço é um meio no qual o tráfico tende a se expandir.
Da estrutura do GSIPR destacam-se os órgãos a seguir, cujas atividades por eles desenvolvidas os inserem no esforço de construção da estratégia de segurança cibernética.
Departamento de Segurança da Informação e Comunicações (DSIC)
O DSIC é um órgão subordinado ao GSI/PR, que tem como atribuição operacionalizar as
atividades de segurança da informação e comunicações – SIC na administração pública federal, nos seguintes aspectos: (i) regulamentar a segurança da informação e comunicações para
toda a APF, (ii) capacitar todos os servidores públicos federais, bem como os terceirizados,
sobre SIC, (iii) realizar acordos internacionais de troca de informações sigilosas; (iv) operar o
sistema de credenciamento de pessoas e entidades no trato de informações sigilosas, (v) ser o
ponto de contato junto à OEA para assuntos de terrorismo cibernético, (vi) manter o centro de
tratamento e resposta a incidentes nas redes de computadores da APF – CTIR.Gov. Destacamos de sua estrutura do DSIC o CTIR.Gov.
CTIR.Gov
O Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal foi criado em portaria publicada no Diário Oficial da União de 30
de junho de 2003 e hoje integra a estrutura do DSIC. Seu objetivo é responder por incidentes
de redes e pela busca do intercâmbio de informações necessárias à solução dos incidentes com
outras redes e demais centros, no Brasil e no exterior.
Os serviços prestados pelo CTIR.Gov podem ser de caráter reativo e pró-ativo. Em ambos
os casos, o Centro tem condições de determinar tendências e padrões das ameaças no ciberespaço que afetam não só a APF, mas, trabalhando em conjunto com os demais Centros, também as instituições que compõem as infraestruturas críticas de Estado. A Figura 3 ilustra as
interações entre o CTIR.Gov e outros órgãos.
104
Figura 3 - Interações do CTIR/Gov. Fonte: CTIR Gov(2007)78.
Agência Brasileira de Inteligência (ABIN)79
A ABIN é o órgão central do Sistema Brasileiro de Inteligência - SISBIN, e é subordinado ao GSI/PR e tem como objetivo estratégico “desenvolver atividades de Inteligência voltadas para a defesa do Estado Democrático de Direito, da sociedade, da eficácia do poder público e da soberania nacional”. Atua nas vertentes inteligência e contra-inteligência em prol do
Estado e tem como competência, dentre outras, a que interessa especificamente ao tema deste
trabalho: “Avaliar as ameaças, internas e externas, à ordem constitucional.” Em defesa e segurança cibernética a percepção de ameaças em tempo útil permite que se construam mecanismos de defesa das redes brasileira de forma mais eficiente. Compõe ainda a estrutura da ABIN, o CEPESC, que é o órgão com papel fundamental nas questões de criptografia.
Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações
(CEPESC)
78 Disponível em: <http://www.ctir.gov.br/interacoes.html. Acesso em: 14 jun. 2008.
79 ABIN. Brasília, atualizada pela ABIN, 2008. Apresenta as características institucionais da Agência em questão. Disponível em:
<http://www.abin.gov.br/modules/mastop_publish/?tac=Institucional#missao>. Acesso em: 26 maio 2008.
105
O CEPESC de acordo com (ABIN, 2008)80 “foi criado, em 19 de maio de 1982, para sanar a flagrante deficiência do Brasil em salvaguardar o sigilo das transmissões oficiais”. Dentre outras atribuições, busca promover a pesquisa científica e tecnológica aplicada a projetos
de segurança das comunicações. Sua importância, no contexto deste trabalho, é a sua capacidade de programar soluções criptológicas construindo algoritmos de estado. Não se pode falar
em segurança cibernética sem ter a capacidade de desenvolver suas próprias soluções de criptografia e de equipamentos de proteção e de transmissão de informações. Nesses tópicos o
CEPESC tem reconhecimento nacional.
5.1.5 Ministério da Defesa (MD) e Forças Armadas
O MD tem como missão exercer a direção superior das Forças Armadas e relaciona em
sua página eletrônica vinte e três tecnologias de interesse da defesa nacional, dentre as quais
destacam-se como pertinentes ao presente trabalho: (i) Fusão de dados; (ii) Sistemas de informação; (iii) Inteligência de máquinas e robótica; (iv) Sensores ativos e passivos; (v) Controle de Assinaturas; e (vi) Integração de sistemas. Da estrutura do Ministério da Defesa, destaca-se, a Marinha do Brasil, o Exército brasileiro e a Força Aérea Brasileira :
Marinha do Brasil (MB)
A MB já possui órgãos vocacionados para tratar do assunto em questão. Além do EstadoMaior da Armada e do Centro de Inteligência da Marinha (CIM). A MB conta com o Centro
de Apoio a Sistemas Operativos (CASOP) que possui pessoal altamente especializado inclusive em atividades de guerra eletrônica (conforme consta de suas missões em sua página eletrônica) além do Centro de Análises de Sistemas Navais (CASNAV), cuja missão tem plena
correlação com o desenvolvimento de uma doutrina de defesa cibernética.
Exército Brasileiro (EB)
80 ABIN – CEPESC. Brasília, atualizada pela ABIN, 2008. Apresenta peculiaridades do CEPESC. Disponível em:
<http://www.abin.gov.br/modules/mastop_publish/?tac=CEPESC>. Acesso em: 15 set. 2008.
106
O EB, além do Estado-Maior do Exército (EME) e do Centro de Inteligência do Exército
(CIE), conta com o Departamento de Ciência e Tecnologia (DCT), um órgão de direção setorial que engloba determinados vetores de modernidade. Ao referido Departamento subordinase o Centro de Desenvolvimento de Sistemas (CDS) e o Centro Integrado de Guerra Eletrônica (CIGE), organizações militares altamente especializadas e possuidoras de pessoal bastante
capacitado a trabalhar com tal tema. Há ainda o Grupo Finalístico de Segurança da Informação, grupo este constituído por militares de organizações militares distintas e que tem diversas
atribuições em instruções reguladoras do EB que tratam de segurança da informação.
Além dos órgãos supracitados, o Instituto Militar de Engenharia (IME) é outro órgão que
deve estar vinculado ao sistema em questão por ser um centro de referência nacional no que
tange ao ensino e tratar de atividades de natureza técnico-científicas, tendo também, um viés
de pesquisa.
Força Aérea Brasileira (FAB)
A FAB, além do Estado-Maior da Aeronáutica (EMAER) e do Centro de Inteligência da
Aeronáutica (CIAER), conta com o Centro de Estudo e Avaliação da Guerra Aérea (CEAGAR) e Centro de Computação da Aeronáutica (CCA).
Assim como o IME no EB, a Força Aérea dispõe de um centro de excelência na área de
ensino e pesquisa que é o Instituto Tecnológico da Aeronáutica (ITA).
5.1.6 Ministério da Justiça (MJ)
O MJ tem por missão garantir e promover a cidadania, a justiça e a segurança pública, através de uma ação conjunta entre o Estado e a sociedade. Tem como área de competência,
dentre outros, os seguintes assuntos que interessam ao escopo deste trabalho: Polícia Judiciária e Prevenção e repressão à lavagem de dinheiro e cooperação jurídica internacional. Da estrutura do Ministério da Justiça, destaca-se a Polícia Federal:
Polícia Federal (PF)
A PF é órgão permanente, organizado e mantido pela União, conforme o texto constitucional, e que tem as seguintes atribuições:
107
a) Apurar infrações penais contra a ordem política e social ou em detrimento de bens,
serviços e interesses da União ou de suas entidades autárquicas e empresas públicas,
assim como outras infrações cuja prática tenha repercussão interestadual ou internacional e exija repressão uniforme, segundo se dispuser em lei;
b) Prevenir e reprimir o tráfico ilícito de entorpecentes e drogas afins, o contrabando e o
descaminho, sem prejuízo da ação fazendária e de outros órgãos públicos nas respectivas áreas de competência;
c) Exercer, com exclusividade, as funções de Polícia Judiciária da União.
Do texto constitucional extrai-se que a PF está vocacionada para o emprego na repressão
a crimes que atentem contra “bens, serviços e interesses da União”.
Acerca de participar da estratégia de segurança e defesa do espaço cibernético brasileiro,
outros órgãos poderiam ser relacionados. Na verdade, em uma leitura mais ampla, todos os
órgãos e entidades, todos os servidores públicos federais, todas a empresas públicas ou privadas pertencentes a setores que compõem o que se convencionou chamar de infraestrutura crítica do Estado brasileiro podem estar aqui listados. Nnão se constrói uma estratégia de segurança cibernética sem a participação de todos os usuários de um determinado espaço cibernético, aqui inclusas pessoas físicas e jurídicas. Limitando a abrangência e o escopo deste trabalho, apontamos apenas alguns órgãos públicos diretamente envolvidos com a questão, enfatizando que todos são importantes, devem estar presentes na construção real dessa estratégia de
segurança e defesa cibernética para o Estado brasileiro.
A Tabela 2 resume a participação dos atores listados quanto ao seu papel na estratégia de
defesa e de segurança cibernética e que ação se espera deles.
De forma esquemática, o papel de cada ator é subdividido em 3 níveis: (i) Estratégico,
onde espera-se que o ator construa diretrizes que servirão de guia para os demais órgãos atuarem em caso de uma necessidade; (ii) Tático, onde espera-se que o ator, de posse das diretrizes desenhadas anteriormente, possa desenvolver ações táticas que resultem em ações de segurança e de defesa cibernética; (iii) operacional, onde espera-se que o ator aqui enquadrado
possa desenvolver as ações estabelecidas.
108
Tabela 2 – Quadro de atores, seus papéis e ações na segurança e na defesa cibernética. Fonte: MANDARINO (2009)
Órgão
Nome/Subordinação
Papel
Estratégico
CND / Constituição
X
CREDEN
X
Casa Civil – CC
X
ITI / CC
Tático
Ação
Operacional
X
Preventiva
Repressiva
Defensiva
X
X
X
X
X
X
X
X
X
DIRTI / CC
X
X
DITEL / CC
X
X
GSI
X
X
X
DSIC / GSI
X
X
X
CTIR/DSIC/GSI
X
X
X
X
X
ABIN / GSI
X
X
X
DEFESA - DF
X
X
MARINHA / DF
X
X
X
X
EXERCITO / DF
X
X
X
X
FAB / DF
X
X
X
X
MJ
X
X
X
X
PF / MJ
X
X
X
X
Quanto às ações que se espera de cada ator, essas também se encontram subdivididas em
3 níveis, sendo que as preventivas e repressivas dizem respeito à segurança cibernética, ou
seja, crimes cometidos por computador, ações de quadrilhas organizadas, terrorismo cibernético que não caracterizem uma guerra cibernética. A guerra cibernética nesse caso está representada por ações de defesa, representando a tradição brasileira que envolve tanto ações defensivas como ofensivas. Com um pouco mais de detalhes espera-se que na ação (i) Preventiva, os atores protejam suas redes, desenvolvendo ações de capacitação de seu pessoal, que tenham submetido os seus ativos a um processo de gestão de risco e que tenham plano de contingência, por exemplo; (ii) Repressiva, sejam desenvolvidas as vertentes detecção e detenção,
onde na ação de detecção cabe ao ator, valendo-se de seus conhecimentos, impedir que um
ataque cibernético prospere nas redes nacionais, agindo em conjunto com outros centros de
resposta a incidentes, para identificar o agressor e repassar a informação para a Policia Federal; enquanto na ação de detenção, cabe à Policia Federal atuar, e apenas ela, em qualquer ação que se caracterize como ilícito contra as redes da Administração Pública Federal ; (iii) Defensiva sejam empregadas ações ofensivas e defensivas, que os atores irão executar em função
de uma guerra cibernética. Vale notar que os órgãos CDN e CREDEN aparecem nas ações nos
109
3 níveis, apesar de não serem entidades operacionais. Isto se deve, pelo entendimento do autor, ao fato de que em qualquer ação que cause um sério impacto nas redes da Administração
Pública Federal ou nas infraestruturas críticas do Estado Brasileiro, essas instâncias sejam
mobilizadas e passem a atuar de forma permanente, em suas funções de órgãos de consulta da
mais alta autoridade do país.
5.2
Atuação Coordenada para a Segurança e Defesa Cibernética
A inteligência, de acordo com o Glossário das Forças Armadas (2007), pode ser definida
como o “ramo da Atividade de Inteligência voltado para a obtenção e a análise de dados e para
a produção e a disseminação de conhecimentos de Inteligência, dentro e fora do território nacional, sobre fatos e situações de imediata ou potencial influência sobre o processo decisório e
a ação governamental e sobre a salvaguarda da sociedade e do Estado”. Ela possui diversos
ramos tais como inteligência de comunicações, de imagens e de sinais. 81
Fernandes (2008) alega que determinadas áreas do conhecimento como a informática ou
ciência da computação influenciaram ou sofreram influência da cibernética. Tal assertiva fica
bastante clara com o advento da sociedade da informação: o conceito de redes de computadores controlando e comunicando-se com outras redes e gerando efeitos no mundo físico.
De acordo com o Glossário das Forças Armadas (2007), o termo segurança pode ser entendido como:
Condição que permite ao País a preservação da soberania e da integridade territorial,
a realização dos seus interesses nacionais, livre de pressões e ameaças de qualquer
natureza, e a garantia aos cidadãos do exercício dos direitos e deveres
constitucionais.
81 A redação dos significados de alguns destes conceitos foram em parte desenvolvidos em um esforço conjunto entre o autor e Marcelo
Fontenelle, para a uma apresentação sobre o assunto feita em outubro de 2008 para a Câmara de Relações Exteriores e Defesa Nacional
– CREDEN.
110
O termo defesa deve ser entendido como “o ato ou conjunto de atos realizados para obter,
resguardar ou recompor a condição reconhecida como de segurança” ou ainda a “reação contra qualquer ataque ou agressão real ou iminente”. 82
Considerando que um dos objetivos da defesa é “recompor a condição reconhecida como
segurança”, pode-se concluir que as atividades de segurança e defesa são complementares,
tendo esta última uma postura mais enérgica em relação à anterior. Derivando os conceitos de
segurança e defesa ao espaço cibernético, teremos os conceitos de segurança cibernética e defesa cibernética.
Ambos os conceitos compõem a Segurança do Espaço Cibernético Brasileiro e requerem
a definição de uma estratégia para serem implementadas de forma coordenada. Cabe ao CDN
a formulação da estratégia de defesa cibernética.
A estratégia de segurança cibernética pode ser entendida como: “a arte de utilizar o espaço cibernético pela adoção de ações que assegurem disponibilidade, integridade, confidencialidade e autenticidade das informações de interesse do Estado brasileiro”.
A segurança do espaço cibernético brasileiro na visão do presente trabalho, tem por missão resguardar a interação entre órgãos vinculados à APF brasileira, bem como suas manifestações individuais no campo do ciberespaço permitindo e produção de conhecimento de inteligência para otimizar o processo decisório em nível estratégico.
A Figura 4 propõe uma relação entre Segurança do Espaço Cibernético Brasileiro, Segurança Cibernética, Defesa Cibernética e determinados órgãos da APF, considerados prioritários ao tema; apresenta uma visão do autor quanto ao relacionamento entre atores e ao fluxo
das informações em situações de prevenção e de repressão de incidentes de segurança cibernética e foi utilizada em apresentação aos membros do CREDEN, em outubro de 2008;sintetiza
o conceito de que a segurança cibernética deve ser alvo da preocupação dos: (i) atores ali apresentados: CDN; CREDEN; GSI e seus órgãos DSIC e ABIN representada pelo CEPESC;
Ministério da Justiça representado pela Policia Federal (PF); Ministério da Defesa, representado pelas Forças Armadas (FFAA) ; (ii) as ações destes atores sub-divididas em Segurança e
82 BRASIL. Ministério da Defesa. Glossário das Forças Armadas – MD35-G-01. Apresenta definições de termos comuns às Forças Armadas. Acesso em: 19 jul. 2008.
111
Defesa, lembrando que Segurança incorpora as ações de prevenção (incidentes) e repressão;
enquanto a Defesa abrange ações ofensivas e defensivas.
Figura 4 - Modelo de Segurança e Defesa no Espaço Cibernético Brasileiro. Fonte: MANDARINO (2008)
A Figura 4 não trata dos papéis de cada ator, conforme definido na Tabela 2, mas apresenta como a ação estratégica do fluxo das informações se dá. Repare-se que as informações
sobre incidentes (prevenção) são comunicadas à repressão, representada pela Policia Federal
(seta menor à esquerda), e são também encaminhadas a uma nova entidade, identificada como
P&D – Cepesc / FFAA (seta de dupla direção). Essa entidade é um laboratório de análise de
malware para o qual as informações sobre os incidentes são encaminhadas para estudo e propostas de soluções para neutralização (por isso as duas direções da seta). A seta pontilhada
indica que o conhecimento adquirido nesse laboratório para a prevenção de acidentes pode
gerar conhecimento para a construção de produtos que podem ser usados em caso de guerra
cibernética.
Ao seu exame, percebe-se que o uso do conhecimento está direcionado para uma nova entidade DCI/FFAA, uma outra instância formada pelo Departamento de Contra-Inteligência da
ABIN e por frações específicas do Ministério da Defesa, por intermédio das Forças Armadas,
com foco nas ações de defesa.
O aprofundamento das relações entre esses atores está fora do escopo deste trabalho.
112
A Figura 5 ilustra outros conceitos e atores já estudados neste trabalho e também serviu
para a apresentação do autor sobre conceitos de segurança e defesa cibernética em construção
no DSIC/GSI para a CREDEN (MANDARINO (2008).
O objetivo é demonstrar graficamente a evolução, em círculos concêntricos, das ações
que os atores empreendem e que vão desde medidas de capacitação e troca de informações até
a preparação para uma situação de guerra cibernética.
Por capacitação e troca de informações, podemos exemplificar com o círculo da Comunidades de Práticas (circulo mais externo), onde já estão sendo testadas, com a implantação ainda em caráter experimental da RENASIC – Rede Nacional de Segurança da Informação e
Criptografia, uma rede de troca de informações para a qual foram convidadas a participar pesquisadores e profissionais com interesse nas mais diversas áreas que ela pode abranger, que
vai desde segurança da informação até criptografia pós-quântica- por isso o título tão pretensioso.
Figura 5 – Círculos Concêntricos de Atuação em Segurança e Defesa Cibernética. Fonte: MANDARINO
(2008).
Podemos explicar a figura informando que o circulo intitulado Comunidade de Compras
refere-se a ações para exercer o poder de compra do Estado, definindo padrões e requisitos
mínimos de segurança que devem ser observados, nas especificações de compras de produtos
113
e serviços, visando à proteção das informações de governo e dos equipamentos onde essas informações estão abrigadas. Algumas ações já podem ser incluídas neste círculo, como as normativas do E-ping, ou como a recente Instrução Normativa 04 do SLTI/ MPOG, disciplinando, entre outros assuntos, que a gestão da segurança da informação nos órgãos públicos da
administração direta federal não pode mais ser objeto de terceirização de pessoal.
O círculo representando a Segurança Cibernética mostra algumas ações que já estão em
andamento para aplicação na APF: desenvolvimento de conceitos e normas de segurança da
informação, desenvolvimento de regras para a montagem de centros de resposta a incidentes
de redes, normas de gestão de riscos ou a montagem do laboratório já explicado na Figura 4.
Por fim o círculo Defesa Cibernética (círculo menor em vermelho) que se entende ser o
último estágio, trata de guerra eletrônica e está fora do escopo deste trabalho.
Após a apresentação, o autor percebeu que uma figura de círculos concêntricos talvez não
fosse a representação mais clara da idéia que se quis passar. A imagem remete à teoria dos
conjuntos e poder-se-ia pensar que o que está contido no círculo Defesa Cibernética também
estaria contido no círculo Comunidade de Compras, o que não corresponde à realidade, pois
na prática, ocorre o inverso.
Mesmo não sendo objeto deste trabalho explorar as ações esperadas e as atividades inerentes à questão, sabemos que um País ao preparar uma Estratégia de Defesa Cibernética está,
em outras palavras, se preparando para enfrentar uma situação de conflito grave, ou mais precisamente uma guerra cibernética. Nesse momento, todos os esforços de uma nação estarão
voltados para a situação de emergência, bem como os esforços das Comunidades de Compras
e de Práticas, estarão voltados para atender às demandas e requisitos daquele esforço de Guerra. Na prática suas atividades estão contidas na Defesa Cibernética.
O que se queria expressar com a Figura 5 era a evolução das ações que todos os atores na
Sociedade da Informação empreendem e que vão desde medidas de capacitação e troca de informações até a preparação para uma situação de guerra cibernética.
Para melhor representar, graficamente, essa idéia, recorremos a uma sucessão de segmentos de cones que mantém correlação entre si, como apresentado na Figura 6.
114
Parece-nos claro que essas ações, para serem efetivas, devem ser coordenadas de forma a
que os esforços despendidos tenham sinergia e guardem coerência entre si.
Merecem destaque os seguintes pontos: (i) não existem apenas aquelas comunidades que
foram nomeadas na Figura 5. Uma sucessão de outros Grupos tem contribuições a dar, como o
Setor financeiro ou a Academia, por exemplo. Na verdade os segmentos se sucedem sem um
limite definido até abranger toda a Sociedade da Informação; (ii) as trocas entre os segmentos
são dinâmicas. Para que uma Estratégia de Segurança ou Defesa Cibernética, seja efetiva, requer recursos e expertise, por exemplo. Essa demanda é suprida pelo conhecimento que é gerado nos segmentos superiores e que flui para tornar sólida e robusta aquela Estratégia; (iii) da
mesma forma, novos desafios surgem a cada instante, fazendo com que as camadas mais inferiores da figura, demandem por ajuda às propondo desafios e requisitos aos Grupos melhor
preparados para resolvê-los; (iv) todos os segmentos se comunicam e interagem entre si, formando um Sistema.
115
Figura 6 – Proposta de Cones da Atuação em Segurança e Defesa
5.3
Escopo de uma Doutrina de Segurança e Defesa Cibernética
Para se aprofundar o escopo de uma Doutrina de Segurança e Defesa Cibernética para o
Estado brasileiro algumas questões precisão ser respondidas, dentre elas a seguinte: Algum
país possui doutrina semelhante?
Documento emitido pela Casa Branca em fevereiro de 2003 sob o título de “The National Strategy to Secure Cyberspace”
83
e editado sob os auspícios do Departamento de Segu-
rança Interna (Departament of Homeland Security - DHS) dentro de um programa intitulado
Estratégia Nacional para a Proteção Física de Infraestruturas Críticas e Ativos Chaves (National Strategy for the Physical Protection of Crítical Infrastructures na Key Assets) tem o propósito de engajar e exortar os americanos a manterem a segurança da porção do espaço cibernético que eles possuem, operam, controlam ou com o qual eles interagem. Já em seu preâmbulo o documento assegura que proteger o espaço cibernético é um desafio que requer esforço
e foco coordenados de toda a sociedade americana, seja do governo, em todos os seus níveis:
federal, estadual e municipal; das empresas privadas e do povo em geral.
Impossível discordar dessas propostas e não questionar acerca da autoridade do País sobre
a qual recai essa atribuição. Como não há em nosso arcabouço jurídico uma figura como o
Departamento de Segurança Interna, a responsabilidade sobre essa função encontra-se pulverizada entre vários órgãos de subordinações e níveis hierárquicos diferentes, dificultando uma
sinergia de esforços e até mesmo de entendimento do problema, visto sob um ângulo de proteção do espaço cibernético brasileiro.
Acreditamos que uma doutrina de segurança do espaço cibernético de um Estado deve ser
construída a partir da dimensão Segurança das Informações. Nesse contexto, na estrutura legal
do governo brasileiro o único lugar onde a função segurança da informação é explicitada de
forma clara e objetiva é na Lei nº 10.683, de 29 de maio de 2003, que atribui a responsabili-
83 National Cyberspace Strategy. http://www.dhs.gov/xlibrary/assets/National_Cyberspace_Strategy.pdf Acessado em 4 de abril de 2009
116
dade de sua coordenação ao Gabinete de Segurança da informação – GSI, órgão essencial da
Presidência da República, para toda a Administração Pública Brasileira.
Outras questões pertinentes à elaboração de uma doutrina são: o que vamos proteger? A
infraestrutura física? A lógica? Os dados? Todo esse conjunto?
O DHS (2003), aponta como seus objetivos estratégicos, em primeiro lugar: prevenir contra ataques cibernéticos as infraestruturas críticas norte-americanas; em segundo lugar, reduzir
a vulnerabilidade nacional (norte-americana) a ataques cibernéticos e em terceiro lugar minimizar as perdas e o tempo de recuperação no caso de ataques cibernéticos. Esses são objetivos
genéricos que se aplica a qualquer Estado.
Uma ressalva é necessária face ao caráter menos exposto das infraestruturas nacionais.
Essa menor exposição se dá na dimensão política e de relações exteriores. O Brasil é reconhecido como um país que mantém, tradicionalmente, um excelente relacionamento internacional, sem intenções hegemônicas e que mantém suas forças armadas e seus programas de aparelhamento militar, dentro dos limites ditados por sua necessidade de defesa. Desta forma, nos
parece lógica a inversão de prioridades dando maior ênfase e prioridade à questão da redução
das vulnerabilidades das redes brasileiras aos ataques cibernéticos, sem entretanto abandonar
aquela questão.
À medida que o mundo fica mais dependente da tecnologia e do ciberespaço, também fica
exposto às suas ameaças e vulnerabilidades. Faz-se mister o emprego judicioso da defesa cibernética e, por que não, o desenvolvimento de uma doutrina militar de ataque cibernético,
para fins dissuasórios, ou quiçá, para emprego real, , para que a nação defenda sua soberania,
até mesmo na esfera do ciberespaço.
Há que se estabelecer uma distinção entre segurança cibernética e defesa cibernética. A
segurança cibernética, conforme explanada na seção anterior, é um conceito que abrange a
APF como um todo.
Tomando por base que a guerra é um negócio típico de Estado e sua declaração é responsabilidade do Conselho de Defesa Nacional, a defesa cibernética brasileira deverá ser sua responsabilidade e suas atividades conduzidas pela Presidência da República, não diminuindo a
importância das estruturas de Defesa.
117
A segurança cibernética, por ter correlação direta com soberania e segurança da informação e comunicações, também pode constituir-se como valiosa ferramenta de produção de conhecimentos de inteligência sobre grupos ou países que se utilizam da furtividade do ciberespaço para realizar ou patrocinar atividades criminosas, terroristas ou que atentem contra a soberania nacional. Nessa linha de pensamento, a realização de exercícios de defesa cibernética
(Cyberstorm) tem-se confirmado como um exemplo de iniciativa para testar e validar a segurança e defesa cibernética vigente e estreitar laços entre órgãos do governo, o meio acadêmico
e as infraestruturas críticas de Estado e da sociedade civil.
118
6
DISCUSSÃO E PROPOSTAS
A presente monografia apresentou situações nas quais a sociedade brasileira, em especial
a APF e infraestruturas críticas de Estado, podem sofrer ante as mais variadas formas de ataques que uma guerra da informação, em seus múltiplos vetores, pode infligir.
Como vimos, nos últimos anos, têm sido crescentes os ataques cibernéticos perpetrados
pelos mais diferentes atores, movidos por diferentes motivações, lançados contra alvos que
vão da pessoa física às infraestruturas de informação de sociedades e estados, com o objetivo
de minar o funcionamento dos sistemas de informação de setores público e privado.
A Figura 7 , representação gráfica de eixos coordenados, propõe um modelo que ilustra a
capacidade dos atores em perpetrar crimes nos diferentes alvos possíveis. O eixo vertical representa o grau de vulnerabilidade que um ator pode conhecer e explorar para ameaçar um
alvo. O eixo horizontal representa a capacidade de pesquisa e de disponibilidade de recursos,
financeiros e cibernéticos que podem ser aplicados por um ator em sua intenção de atacar um
alvo.
Tendo sua origem na confluência dos dois eixos, e em um ângulo de 45 graus, encontramse dispostos os atores, conforme exposto na seção 4.5.2 O ator intitulado AMADOR está representado na posição mais baixa desta escala. Sua posição representa graficamente que o ator
AMADOR tem pouca capacidade de pesquisa e de disponibilidade de recursos financeiros e
cibernéticos para causar dano a um alvo, bem como o seu o grau de conhecimento sobre vulnerabilidades que podem ser exploradas para ameaçar um alvo é relativamente pequeno. Na
outra ponta da escala está o ator ESTADO, que dispõe de enorme capacidade de recursos e
conhece bem as vulnerabilidades que podem ser exploradas para perpetrar um ataque contra
um alvo.
119
Na Figura 7 os alvos estão representados em Classes, como ensinado por SCHWARTAU
(1994), conforme explicado na seção 4.5.1 Sendo a Classe I – Pessoas: representada cor verde,
a Classe II - Corporações na cor azul e, na Classe III - Estados, pela cor Amarelo (Ver a legenda no canto superior esquerdo da Figura 7 ).
A capacidade ou intenção de um autor em causar danos aos alvos está representada por
níveis. Para uma melhor visualização, os diferentes níveis de severidade têm a seguinte significação: o nível 1, faixa mais estreita, caracteriza que o autor tem baixa capacidade de causar
danos ao alvo. No nível 2, largura, média, intermediária, o grau de danos que poderá ser causado já é considerado de grau médio. O nível 3, faixa mais larga, representa uma alta capacidade de causar danos. (Ver a legenda na parte de baixo da Figura 7 imediatamente sobre a
linha horizontal).
Assim, o ator CRIME ORGANIZADO, está representado com uma faixa de largura média na cor amarela indicando que ele tem capacidade ou intenção média de ataque contra Estados (cor amarela). As duas faixas largas nas cores azul e verde indicam que ele tem grande
capacidade e intenção de atacar Corporações (cor azul) e Pessoas (cor verde). Pela posição
relativamente alta que ocupa no eixo dos atores, indica que o ator CRIME ORGANIZADO
tem um grau de conhecimento sobre vulnerabilidades que podem ser exploradas para ameaçar
um alvo relativamente alto.
Esta mesma figura também apresenta em listas coloridas a tipologia de crime, quanto à
abrangência, conforme vimos no item 4.5.3 : na cor vermelha os crimes Impróprios, aqueles
em que o meio eletrônico é apenas a via para o seu cometimento e que existem também no
mundo real.-pornografia infantil, por exemplo. Na cor verde os crimes chamados Próprios,
aqueles que só podem ser praticados por meio eletrônico e que não existem em outro meio,
por exemplo, acesso não autorizado a bases de dados. E na cor cinza os crimes intitulados
Propriamente Ditos, que são aqueles cujo alvo é o próprio computador, como o terrorismo cibernético.
Novamente o índice de níveis (Ver detalhe desses níveis em traços horizontais na legenda
na parte de baixo da Figura imediatamente sobre a linha horizontal) indica a capacidade do
autor em realizar cada tipo de crime. Na Figura percebe-se que o ator AMADOR tem uma alta
capacidade de cometer crimes tipificados como Impróprios (cor vermelha) e uma baixa capa-
120
cidade quanto aos crimes Próprios (cor cinza) ou Propriamente Ditos (cor verde). Enquanto
que o Autor Crime Organizado, tem alta capacidade de cometer os três tipos.84
Ressalte-se ainda que as intenções variam conforme o autor, como explicitado na seção
4.4 Hackers e Outros Agentes de Ameaça Cibernética1 . O atacante Amador, por exemplo,
está apenas preocupado em demonstrar conhecimento. Caso um ataque seja protagonizado por
um Estado, sua intenção é a de, no mínimo, tornar indisponível uma infraestrutura crítica de
um adversário, ou parte dela.
Figura 7 Alvos, Atores e Crimes Cibernéticos. Fonte: Mandarino (2009).
84
A compilação que permite a criação da Figura 10 parte dos autores citados nos Capítulos 5 e 6 bem como da experiência
do autor desta pesquisa.
121
Dois incidentes de ataques cibernéticos disputam na preferência dos especialistas o triste
privilégio de figurar como o marco zero, o marco inicial de uma nova era, onde as preocupações com a Segurança Cibernética abandonam definitivamente a categoria de previsão catastrófica para se tornarem realidade. Em 2007, figurando como o primeiro ataque cibernético
que se tem notícia contra um país inteiro (Estônia) , parece ser este, no entender de alguns,
aquele marco. Em 2008, o ataque cibernético sofrido pela Geórgia, ocorrido quando da deflagração do conflito bélico com a Rússia, parece a outros ser mais próprio para simbolizar esta
mudança de visão.
No nosso entender ambos os incidentes se configuraram como um atentado à segurança
cibernética dos Estados atacados, e podem, por seus contornos e características, ser enquadrados, em maior ou menor grau, em qualquer das categorias de Guerra da Informação proposta
por LIBICKI (1995) ou mesmo em qualquer das classes propostas por SCHARTAU (1996).
Isso demonstra que não há uma fórmula clara para se caracterizar os conflitos dessa ordem
sem levarmos em conta 3 outros fatos que vão além das características de Categoria ou da
Classe: o alvo, o autor e a sua intenção e a abrangência do ataque.
De qualquer forma, atualmente não há duvidas quanto à necessidade de se pensar e estruturar a segurança do espaço cibernético de um Estado, visando à proteção dos sistemas de informação críticos e de suas infraestruturas críticas, com o mesmo rigor e requisitos e em patamares semelhantes aos adotados nos planejamentos tradicionais, quando o assunto é o interesse da Segurança de Estado.
Vimos que essa é uma preocupação global, pelas notícias de que ações concretas nesse
sentido estão sendo adotadas por países de visões políticas divergentes, como os Estados Unidos e a Rússia.
Voltando aos casos Estônia e Geórgia, o que se viu foi um método de ataque semelhante,
que logrou sobrecarregar os computadores e os sistemas que controlavam as infraestruturas
críticas, em especial os seus sistemas financeiros e de telecomunicações, e as agências governamentais.
No caso da Estônia, houve o reconhecimento público das autoridades daquele País de que
as medidas de proteção de seus sistemas críticos de gestão de infraestruturas adotadas até o
122
início dos ataques lhes pareciam robustas, mas não foram suficientes para garantir a necessária
proteção àqueles meios.
Entendemos assim que o Brasil precisa estar preparado para proteger o seu patrimônio cibernético, quer de governo quer da sociedade, entendido aqui como o somatório de seus ativos
de informação, suas informações críticas, seus sistemas de informação, suas infraestruturas
críticas incluindo a de informação, tudo aquilo enfim que pode ser identificado como componente da Sociedade da Informação, presente no Espaço Cibernético. Para tanto será necessário
adotar medidas para a proteção mediante a elaboração de Doutrina e a construção de Estratégias de Segurança e de Defesa do Espaço Cibernético Brasileiro, sendo ambos os conceitos
complementares.
A primeira, Estratégia de Segurança Cibernética pode ser entendida como a arte de assegurar a existência e a continuidade da Sociedade da Informação de uma nação, garantindo e
protegendo, no Espaço Cibernético, seus ativos de informação e suas infraestruturas críticas.
A estratégia deve projetar e dimensionar os esforços necessários para, dentre outros, proteger seus ativos de informação, suas infraestruturas críticas de informação, suas informações
críticas, desenhar planos para recuperação de informações frente a desastres naturais ou não,
capacitar recursos humanos para responder pronta e competentemente a incidentes nas redes e
garantir a privacidade das pessoas e empresas que compõem a sua Sociedade da Informação.
A Estratégia de Segurança Cibernética deve assegurar, dentre outros aspectos, a disponibilidade, integridade, confidencialidade e autenticidade das informações de interesse do Estado brasileiro.
A segunda, Estratégia de Defesa Cibernética deve ser entendida como as ações que buscam a prevenção ou a reação contra ataques e hostilidades perpetradas contra as infraestruturas críticas, usando a informação como recurso ou arma. Tratam-se, portanto de ações de Defesa Nacional.
Este trabalho propõe que seja no âmbito da Presidência da República a Coordenação dos
estudos para a formulação da Doutrina de Segurança Cibernética. Neste caso identifica-se o
Gabinete de Segurança Institucional, por suas competências legais, como o mais apropriado
para conduzi-lo, posto que as atividades que a asseguram estão totalmente relacionadas com
123
as atribuições legais do GSI.
Este trabalho entende que o desenho dos contornos de uma Estratégia de Segurança Cibernética para a APF é uma missão do Departamento de Segurança da Informação e Comunicações – DSIC.
A manutenção da Defesa Cibernética é responsabilidade, por atribuição legal, do Conselho de Defesa Nacional, por intermédio do Ministério da Defesa e das Forças Armadas, posto
que envolve atividades vinculadas à preservação da Soberania Nacional, e não é alvo deste
estudo.
Mas por serem complementares e de certa forma indissolúveis, essas estratégias devem
ser construídas de forma escalonável, de modo a que a Segurança do Espaço Cibernético Brasileiro seja o objetivo primeiro buscado por todos, em especial na APF, onde, respeitando-se
as atribuições legais, cada órgão e cada servidor público, tenha as suas responsabilidades estabelecidas e conhecidas.
Sendo necessário o desencadear de atividades de Defesa, aqueles órgãos com responsabilidades e atribuições legais específicas já estarão envolvidos, e em ação, o que contribuirá para
diminuir as possibilidades de soluções de continuidade.
Estar preparado para enfrentar esse cenário de ameaças, conhecendo as vulnerabilidades e
riscos existentes sobre a Infraestrutura Crítica da Informação da Administração Pública Federal é a essência deste estudo.
Assim, nos itens a seguir, sugere-se uma série de propostas de ações que devem ser adotadas pelo Governo Federal, de forma preventiva, como garantia para assegurar a segurança de
seu espaço cibernético, minimizando as conseqüências, no caso de sofrer um ataque na chamada guerra de informações. A este conjunto de ações intitulamos Estratégia de Segurança
Cibernética.
Como já explicitado, as questões de Defesa Cibernética não são aprofundadas neste estudo mas ressalta-se a sua importância e o seu caráter complementar às ações de Segurança Cibernética.
124
6.1
Princípios para Garantir a Segurança Cibernética
São dois os princípios básicos que devem ser observados para se garantir a Segurança do
Ciberespaço brasileiro85: (i) reduzir as vulnerabilidades no ciberespaço brasileiro, impedindo
ou dificultando ataques cibernéticos; (ii) e, em caso de ataque, garantir uma rápida recuperação e funcionamento dos sistemas de informação e infraestruturas críticas atacadas.
Dada à total integração das redes públicas e privadas, nesse esforço de proteção devem
estar envolvidos todos os setores da nossa Sociedade da Informação, pois de nada adianta proteger apenas as redes públicas sem se assegurar o mesmo nível de proteção às redes privadas
ou aos usuários de bandas largas, por exemplo, que integram o Espaço Cibernético Nacional.
Todos precisam estar conscientes sobre as ameaças no ciberespaço, partilhando das mesmas preocupações e tendo uma clara e eficiente definição dos papéis e responsabilidades atribuídos a cada um dos atores na prevenção de possíveis ataques.
Há que se buscar conscientizar a todos os atores envolvidos que existem riscos associados
à utilização de sistemas de informação. Esse risco deve ser ponderado entre as vulnerabilidades advindas do uso cada vez maior que se faz das tecnologias da informação com as vantagens da inserção na economia global, um dos adventos proporcionado pela sociedade da informação.
Cabe-nos, portanto mitigar aqueles riscos com ações institucionais, como as a seguir propostas, além de ações preventivas que evitem ou minimizem os ataques cibernéticos identificando e protegendo os possíveis alvos, identificando os possíveis autores e antecipando as suas intenções e construindo um marco legal que permita punir com rigor cada ataque conforme
a sua abrangência.
6.2
Esboço de uma Estratégia de Segurança Cibernética
Ao propormos a definição para Estratégia de Segurança Cibernética escolhemos inicia-la
com a palavra arte tendo em mente que se tratava de uma tarefa única. Não existem modelos
85 Os princípios propostos estão baseados em iniciativas semelhantes da OCDE e do DHS, já estudados no Capítulo 1.
125
a serem seguidos, pois são poucas as nações que se debruçaram sobre o tema e aquelas que o
fizeram ainda estão construindo seus referenciais teóricos e práticos. Mesmo se houvessem
referências elas não ajudariam, pois essa tarefa que exige muita criatividade e tem que ser
construída baseada, sobretudo em muito conhecimento de nossas características próprias, como Estado e Sociedade. Assim, para que a arte de assegurar a existência e a continuidade da
Sociedade da Informação da nação brasileira, garantindo e protegendo, no Espaço Cibernético, nossos ativos de informação e nossas infraestruturas críticas, seja efetiva, deve-se:
6.2.1 Conhecer Vulnerabilidades
Faz-se necessário conhecer o grau de vulnerabilidade do país em relação aos seus
sistemas de informação e as suas infraestruturas críticas de informação.
Para tanto é preciso identificar as principais infraestruturas críticas que se quer proteger,
seus atores, e estabelecer um diálogo franco e aprofundado sobre as reais necessidades e capacidades, analisando o risco de cada um, frente aos interesses de Estado na questão de Segurança Cibernética, estabelecendo medidas de proteção às suas infraestruturas críticas de informação, envolvendo:
(i)
Identificar serviços críticos. O objetivo é identificar os serviços essenciais da
infraestrutura de informações para o funcionamento da infraestrutura crítica;
(ii)
Determinar a interdependência. O objetivo é determinar o grau de dependên-
cia dos serviços das infraestruturas críticas de informações sobre as infraestruturas
críticas;
(iii)
Avaliação da infraestrutura crítica de informação. O objetivo é desenvolver
uma metodologia comum para avaliar a vulnerabilidade das infraestruturas críticas
de informação dos seus sistemas e de seus serviços;
(iv)
Elaboração de uma metodologia para avaliações de risco em segurança ci-
bernética. O objetivo consiste em acompanhar as informações sobre a atual situação
no ciberespaço, de forma a antecipar as ações preventivas, identificar as contramedidas necessárias para enfrentar ataques à segurança cibernética. Avaliações de risco periódicas, elaboradas em estudos sobre o risco das infraestruturas críticas, deve126
rão integrar esse processo, melhorando as possibilidades de adoção de ações de garantia da segurança.
6.2.2 Adotar Medidas Preventivas
Faz-se necessário conceber um sistema de medidas preventivas contra ataques cibernéticos.
Por um sistema de medidas preventivas entenda-se uma coleção de ações que buscam fortalecer o Espaço Cibernético brasileiro e aumentar a capacidade do Estado de resistir a ataques. Essas ações podem variar desde a elaborações de normas e procedimentos que visam a
disciplinar e minorar a exposição de sistemas informatizados a ataques cibernéticos até a adoção padronizada de produtos visando a proteção das infraestruturas críticas de informação.
Faz-se necessário compreender que a segurança cibernética só se dará plenamente se, na
informatização de seus sistemas críticos, os conceitos de segurança de informações forem observados de forma eficiente isso significa que todos os proprietários ou usuários de sistemas
de informações devem estar conscientes de suas responsabilidades, fazendo uso prudente destes sistemas e se assegurando de que todas as medidas de segurança necessárias para gerir os
riscos identificados foram tomadas.
A mesma preocupação deve-se ter com relação às aquisições de produtos e serviços usados em sistemas críticos. É premente que uma comunidade de compras disponha de um laboratório para que programas e produtos sejam testados de forma a obter certificado de conformidade identificando o produto como seguro para uso na APF em sistemas críticos. Nesse
modelo, identifica-se a Secretaria de Logística e Tecnologia da Informação – SLTI do Ministério do Planejamento como o órgão que tem a competência e a responsabilidade de construir
as referências e estabelecer os padrões para que os produtos de TICs possam ser testados e
assegurados para uso na APF.
6.2.3 Delegação de Tarefas
Faz-se necessário delegar tarefas relativas à gestão da segurança cibernética, no nível nacional.
127
Entendemos que cabe ao Gabinete de Segurança Institucional – GSI, por intermédio do
Departamento de Segurança da Informação e Comunicações – DSIC liderar o processo de
construção da Estratégia de Segurança Cibernética na APF, por competência legal.
Na Seção 5.1 foi apresentada a relação dos Órgãos e Atores identificados para interagir
com o DSIC compondo um Grupo Gestor para a elaboração e execução dessa estratégia.
Temos convicção de que o esforço deve ter início no setor público, mas não pode ficar aí
restrito. É importante notar que a segurança cibernética deve ser buscada através dos esforços
coordenados de todos os atores envolvidos, sejam do setor público ou do setor privado, bem
como da sociedade civil, e que a cooperação eficaz entre estes atores terá como meta o aprimoramento da proteção às infraestruturas críticas de informação.
Desta forma é necessária a instituição, no âmbito do Comitê Gestor de Segurança da Informação – CGSI, de um Grupo de Trabalho - GT permanente que se dedique a estudar a
questão da segurança da infraestrutura de informação nacional. Esse grupo deverá ter em sua
composição, representação (i) dos órgãos públicos mais informatizados; (ii) dos gestores de
cada uma das infraestruturas críticas; (iii) dos órgãos de segurança; (iv) dos órgãos de inteligência; (v) da academia; (vi) dos segmentos sociais mais informatizados; (vii) das infraestruturas críticas privadas. No modelo pensado neste estudo esse GT trabalhará com reuniões plenárias para nivelamento de idéias e conhecimento e se sub-dividirá em grupos distintos, permitindo o aprofundamento dos estudos em assuntos específicos de cada segmento. Por exemplo: (i) Grupo Gestor da APF – composto apenas pelos integrantes de Governo; (ii) Grupo Infraestrutura – que pensaria nas estratégia de proteção e de contingência das infraestruturas físicas é lógicas; (iii) Grupo Legislação – que proporia normas e regulamentações instituindo as
premissas para a construção do marco legal; (iv) Grupo Prospecção, que acompanharia as evoluções da tecnologia empregada nos ataques e nas soluções de defesa.
6.2.4 Marco Legal
Faz-se necessário construir o marco legal contra ataques cibernéticos.
Com o apoio do Grupo Legislação proposto em 6.2.3 o Governo Federal deve estudar as
legislações de outros países e fomentar a construção de um marco legal que permita fomentar
o desenvolvimento tecnológico, bem como assegurar que ataques contra o Espaço Cibernético
128
Brasileiro, a partir do território nacional, não fiquem impunes, e fomentar programa de cooperação com outros países para as questões legais. Especial atenção deve ser dada às questões de
defesa dos direitos humanos, da proteção aos dados pessoais e da identidade;
6.2.5 Programas de Cooperação
Faz-se necessário estabelecer programas de cooperação entre Governo e Sociedade,
bem como com governos e a comunidade internacional.
O maior perigo dos ataques cibernéticos está na capacidade dos atacantes de provocarem
com o mínimo de recursos e à distância, danos consideráveis às nossas infraestruturas criticas
e sistemas de informação.
A possibilidade real do uso do espaço cibernético por organizações terroristas, pelo crime
organizado ou, como vimos, por Estados em caso de conflito, representa uma grave ameaça à
segurança mundial.
Identificar as ameaças e sua origem é uma tarefa difícil e fica ainda mais complicada
quando lembramos da impossibilidade de definição clara da questão de soberania territorial
para determinação, de questões jurídicas tais como local de ocorrência e julgamento das ações, Isso ocorre porque no espaço cibernético as ameaças são globais, por natureza, e estão
em constante evolução tecnológica. A luta para conhecer essas evoluções exige um alto nível
de formação, um avançado arcabouço jurídico, além de muita cooperação internacional.
Assim a Estratégia de Segurança Cibernética deve fomentar a cooperação estreita com
organizações internacionais e outros países, fator que consideramos fundamental para aumentar a segurança cibernética de forma global.
6.2.6 Capacitação e Recrutamento
Faz-se necessário desenvolver programas de capacitação e recrutamento.
Por competência legal, cabe ao Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República – DSIC/GSIPR fomentar a construção de uma consciência nacional sobre as ameaças no ciberespaço e do estado
de prontidão necessário para enfrentá-las, mediante ambicioso programa de capacitação que
129
consiga sensibilizar e conscientizar a todos os integrantes da Administração Pública Federal APF.
Esse é um dos pontos chaves para o sucesso da Estratégia de Segurança Cibernética aqui
proposta. Entretanto, essa capacitação não pode ficar restrita apenas à APF, já que cada membro da Sociedade da Informação também é responsável por uma parcela da segurança do Espaço Cibernético brasileiro, devendo atuar, pelo menos, na proteção dos equipamentos ou sistemas de que faz uso, seja individualmente ou de forma compartilhada.
O programa de capacitação deve ainda ser desdobrado em programas de capacitação conforme o disposto no Anexo A, e de especialização como os que vêm sendo hoje desenvolvido
pelo DSIC.
Destaque-se que o Curso de Especialização em Gestão da Segurança da Informação e
Comunicações – CEGSIC, vem sendo oferecido e coordenado pelo Departamento de Ciência
da Computação – CIC, da Universidade de Brasília – UNB em Convênio com o Gabinete de
Segurança Institucional da Presidência da República – GSI/PR Em pleno funcionamento e atendendo a sua 2ª turma, talvez seja uma das mais importantes iniciativas, pois qualifica e aperfeiçoa um contingente de Servidores Públicos Federais, que se tornarão os generais nesta
batalha de Segurança e de Defesa do Espaço Cibernético do Estado Brasileiro.
Vale notar que a formação nessa área de expertise não é fácil e nem barata, requerendo,
além do preparo acadêmico um grande número de horas trabalhadas para a aquisição de experiência. Entendendo-se que Segurança Cibernética é uma ação de estado em benefício de toda
a sociedade, um caminho legal deve ser estudado para permitir que a APF possa buscar recursos humanos já treinados na sociedade e que os órgãos que estão à frente do processo de implantar as ações de segurança cibernética possam requisitar servidores de outras áreas, contornando as amarras burocráticas hoje existentes.
6.2.7 Desenho e Implementação de Medidas de Segurança
Faz-se necessário o desenvolvimento e implementação de um modelo de sistema de
medidas de segurança.
130
Os órgãos públicos que compõem a APF têm diferentes níveis de conhecimento a respeito
de segurança. Dessa forma o GT proposto em 6.2.3 deverá ter como um de suas metas elaborar um modelo de sistema de medidas de segurança, que deverão ser implementadas por toda a
APF.
Esse sistema, cujo objetivo é garantir a continuidade das atividades de TI e, caso necessário, ter estabelecido os processos necessários para a recuperação dos sistemas de informação e
das medidas correlatas (eletricidade, por exemplo), deverá incluir, dentre outras, as seguintes
atividades:
(i)
Elaboração, revisão e alteração das medidas de segurança mantendo as nor-
mas de segurança atualizadas;
(ii)
Determinar a funcionalidade mínima necessária para a infraestrutura de in-
formação e estabelecer medidas para garantir a sua capacidade operativa em situação de crise;
(iii)
Determinar quais contramedidas serão autorizadas para utilização em uma
situação de emergência, em que a infraestrutura crítica esteja sob ataque;
(iv)
Estudar medidas economicamente viáveis para garantir a segurança da in-
formação e determinar as ações necessárias para sua implementação;
(v)
Desenvolver bateria de testes para auditar os procedimentos de segurança e
determinar os passos necessários para aplicá-los.
6.2.8 Ações Pontuais
Destaque-se dentre as ações pontuais que complementam este esboço de Estratégia
de Segurança Cibernética:
(i)
Fomentar a criação, nos órgãos da APF, de um grupo de trabalho especiali-
zado, com a responsabilidade de identificar as lacunas na segurança da informação,
propondo medidas de correção e de aprimoramento da segurança operacional;
(ii)
Fomentar o intercâmbio de informações de segurança da informação;
131
(iii)
Fomentar o aumento da capacidade de análise dos incidentes de segurança da
informação e cibernética;
(iv)
Fomentar o desenvolvimento de propostas de alterações à legislação de segu-
rança da informação e cibernética, nacional e internacional;
(v)
Fomentar a aumento da competência nacional em segurança da informação e
cibernética;
(vi)
Fomentar a pesquisa e o desenvolvimento em segurança da informação e ci-
bernética;
(vii)
Fomentar a participação de órgãos da APF em organismos de cooperação in-
ternacional sobre segurança da informação e cibernética.
6.3
Construindo uma Estratégia de Segurança
Os primeiros passos da construção de uma Estratégia de Segurança Cibernética também
estão sendo dados pelo DSIC. O modelo que preconizamos nesta monografia, contempla: medidas de proteção, o desenvolvimento de capacidade de dissuasão e um amplo programa de
capacitação, que se inicia nas ações de conscientização e tem seu auge no preparo específico e
aprofundado de todos que têm responsabilidade pela gestão da infraestrutura crítica de informação na APF.
Esperamos que essa iniciativa pioneira encontre eco rapidamente, pois temos a convicção
de que quanto mais retardar a disseminação das ações voltadas para a segurança cibernética
por toda a APF, maiores serão as dificuldades para se adequar as organizações públicas civis
ou militares na segurança e na defesa do Espaço Cibernético nacional, e, conseqüentemente,
maiores serão os riscos a que estamos expostos.
132
7
CONCLUSÕES
Esta pesquisa tinha por objetivo a caracterização de alguns elementos que pudessem servir de base para a concepção de uma doutrina de estado para segurança e defesa do espaço cibernético brasileiro. Enumeramos, nos objetivos gerais da pesquisa, os três elementos que
procuraríamos caracterizar: (i) os agentes de governo participantes e interessados no ciberespaço da Nação Brasileira, os (ii) métodos, técnicas, princípios e diretrizes para uma estratégia
de segurança cibernética alinhada com a organização do Estado Brasileiro e (iii) as articulações possíveis entre os agentes de defesa cibernética do Estado Brasileiro.
Partiu-se da premissa de que o país carecia de uma estratégia de defesa do seu espaço cibernético, pois acreditávamos que a necessidade de segurança neste espaço se mostrava cada
vez mais próxima à necessidade de segurança do próprio Estado-Nação.
Com o avançar dos estudos, consolida-se a certeza da necessidade urgente de se discutir
esse tema e construir essa Doutrina, mas, ao mesmo tempo, percebemos claramente os contornos da dificuldade e grandeza da tarefa, o que nos levou a pragmaticamente a buscar objetivos mais modestos.
Apesar dessa decisão, consideramos apropriado manter o título inicial da proposta: UM
ESTUDO SOBRE A SEGURANÇA E A DEFESA DO ESPAÇO CIBERNÉTICO BRASILEIRO, quer por sua abrangência, que em nada compromete os novos objetivos quer como
um farol que aponta desafiante a direção e o curso que devemos seguir, em trabalhos futuros.
Discutiremos a seguir o cumprimento dos objetivos específicos propostos.
133
7.1
Revisão Bibliográfica
O trabalho conseguiu apresentar uma revisão bibliográfica dos conceitos subjacentes aos
conceitos de segurança e defesa cibernética. Consideramos que atingimos plenamente esse
objetivo e que a revisão da bibliografia nos permitiu elaborar com muito respaldo os conceitos
de segurança e de defesa cibernética.
7.2
Contornos do Espaço Cibernético
Buscamos identificar os contornos do espaço cibernético brasileiro, delimitando as suas
fronteiras. Esse objetivo se mostrou por demais ambicioso. Não identificamos um conjunto
coerente de estudos internacionais a respeito desse assunto, nem mesmo no âmbito de organizações multilaterais, como a Organização das Nações Unidas – ONU, onde seguramente assuntos desta importância são tratados. Entretanto, apresentamos no Anexo C os conceitos que
recolhemos no estudo sobre fronteiras terrestres, marítimas e aéreas, quando buscávamos por
similitude, encontrar alguma proposta.
7.3
Atores de Segurança Cibernética
Conseguimos identificar os principais atores da Administração Pública Federal que de-
vem interagir na segurança cibernética e propor um modelo de interação entre eles. Consideramos esse objetivo plenamente atingido. No Capítulo 5 Órgãos e Atores de Segurança e Defesa Cibernética, apresentamos os órgãos que, a nosso ver, são os principais atores na elaboração e execução de uma Estratégia de Segurança Cibernética.
7.4
Estratégia de Segurança Cibernética
Conseguimos descrever princípios e diretrizes que norteiam o desenho de uma estratégia
de segurança cibernética para o Estado Brasileiro. Consideramos que atendemos plenamente
também a esse objetivo, já que conseguimos identificar na literatura alguns conceitos que foram aproveitados, na proposta de ações que foram apresentadas no Capítulo 6 Discussão e
Propostas.
134
7.5
Esboço de uma Doutrina
Conseguimos esboçar caminhos para a construção de uma doutrina de segurança do espa-
ço cibernético brasileiro. Esse objetivo foi apenas parcialmente atingido. As pesquisas nos
mostraram que existem grandes diferenças entre as ações de Segurança Cibernética e as de
Defesa Cibernética. Os atores são diferentes e as ações se confundem com as preconizadas
pela Doutrina de Defesa Nacional. Por esta razão restringimos nossa pesquisa às ações de Segurança Cibernética.
Merece destaque ainda que talvez se refletindo de um caráter ímpar, este estudo já se encontra parcialmente em execução. Do conjunto de iniciativas ou soluções aqui apresentadas
algumas já foram ou estão sendo implementadas pelo Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República –
DSIC/GSIPR.
No Brasil ainda não temos plenamente mapeadas as vulnerabilidades em nossas infraestruturas críticas de informações. Percebemos que os órgãos públicos e empresas privadas adotam medidas de proteção de seus sistemas de forma individualizada, pois falta ainda ao país
uma Estratégia de Segurança Cibernética nos moldes da que defendemos nesta monografia,
onde as ações de prevenção e reação a ataques estejam previstas de forma coerente e organizadas. Como já vimos, de nada adianta proteger rigorosamente as redes públicas e deixarmos
as redes das empresas permanecerem sem serem cuidadas com o mesmo rigor. Persistindo
nesta linha toda a nossa infraestrutura crítica de informação e a nossa infraestrutura de informação crítica, permanecerão inseguras.
Enquanto não elaborarmos a nossa Estratégia, estaremos expostos a toda a sorte de ameaças cibernéticas que aqui estudamos. Precisamos estar preparados. E como uma mensagem de
alerta, volta-se ao mesmo lembrete da citação inicial deste trabalho, que nos incita a pensar:
“Si vis pacem para bellum” ou, em uma tradução livre: se queres a paz, prepara-te para a
guerra!
135
REFERÊNCIAS BIBLIOGRÁFICAS
ACCIOLY, Hildebrando. Manual de Direito Internacional Publico - Ed. Saraiva, S.Paulo,
1991.
ARQUILLA, J. J., and D. FRONFELDT.. Cyber war is coming. Comparative Strategy, 1993.
AUGE, Marc. Não Lugares: Introdução a uma antropologia da supermodernidade. (Coleção
Travessia do Século) Tradução Maria Lúcia Pereira. Papirus,Campinas, SP, 1994.
AVILA, Fernando Bastos de. Pequena Enciclopédia de Moral e Civismo. Pe. Fernando Bastos
de Avila- MEC, 1967.
BARNETT, R. W.. Information operations, deterrence, and the use of force. Naval War College Review,1998.
BECKER, Fernando, FARINA, Sérgio, SCHEID, Urbano. Apresentação de trabalhos escolares. Orientação para datilografia e digitação. Multilivro,Porto Alegre, 2000.
BERTALANFFY, Ludwig Von, Teoria Geral dos Sistemas. Ed. Vozes; São Paulo,1975.
CARVALHO, Jeferson Moreira de, - Poder Constituinte - Funções e Limites, Editora Oliveira
Mendes, 1998.
CHEMIN, Beatriz Francisca. Guia Prático da UNIVATES para trabalhos acadêmicos. Lajeado:
UNIVATES, 2005.
CRIMES Cibernéticos: manual prático de investigação. Comitê Gestor da Internet Brasil e
Ministério Público Federal. São Paulo, 2006.
CRITCHLOW, R. D.. Whom the gods would destroy: An information warfare alternative for
deterrence and compellence. Naval War College Review, 2000.
DALLARI, Dalmo de Abreu. Elementos de Teoria Geral do Estado. Editora Saraiva 2ª Edição,
São Paulo, 1998.
DER DERIAN, J. Cyber-deterrent. Editora Wired; 1994.
136
DEVOST, M. G.. National security in the information age. Thesis. University of Vermont.
Posted on the Web site: www.terrorism.com.Terrorism Research Center, 1995.
ECONOMIST.. The ties that bind. Economist 335:Special Sup, 1995.
Enciclopédia Saraiva do DIREITO. Ed. Saraiva - volume 33, Ed. Saraiva, São Paulo,1997.
ESG, Escola Superior de Guerra, Manual Básico - Volume I Elementos Fundamentais. Rio de
Janeiro, 2008.
ESG, Escola Superior de Guerra, Manual Básico - Volume II Assuntos Específicos. Rio de Janeiro, 2008.
ESG, Escola Superior de Guerra, Manual Básico. ESG. Rio de Janeiro, 1983.
FARINA, Sérgio. Referências bibliográficas e eletrônicas. UNISINOS, São Leopoldo, 1997.
FERNANDES, Jorge H. C. - Ciberespaço: Modelos, Tecnologias, Aplicações e Perspectivas
da Vida Artificial à Busca por uma Humanidade Auto-Sustentável. Url:
http://www.cic.unb.br/~jhcf/ , 1998.
FERREIRA, Aurélio Buarque de Holanda. Dicionário Aurélio eletrônico: século XXI. v.3.0.
Nova Fronteira, Rio de Janeiro, Nov. 1999. CD-ROM.
FRAGOSO, Suely - Espaço, Ciberespaço, Hiperespaço, 2000. URL:
http://www.comunica.unisinos.br/tics/textos/2000/2000_sf.pdf. Acesso em 9 de setembro de
2008
FRENCH, Geoffrey S. Current Literature on Information Warfare and Deterrence. Information Warfare Research Center. Washington DC, 17 out 2002
GIBSON, W. Neuromancer.: Harper-Collins.London, 1993.
HALL, Stuart. A Identidade Cultural na Pós-Modernidade – Tradução Tomáz Tadeu da Silva e
Guacira Lopes Louro - DP&A Editora. RJ, 2004.
HALLECK, Gurney. A Hacker Taxonomy. 2004. URL:
http://www.blackknife.com/Papers/HackerTaxonomy.html . Acessado em 3 de abr. 2009.
HAMRE, John A Garantia da Informação e a Nova Era da Segurança, Revista Eletrônica da
United States Information Agency (USIA) Vol. 3, Nº 4, Novembro de 1998.
HARKNETT, R. J. Information warfare and deterrence. Parameters 1996.
ICOVE, David et al. Computer crime: a crimefigther´s handbook. O´Reilly & Associoates
Inc., 1995.
Joint Chiefs of Staff. Joint Doctrine for Information Operations. Washington D.C.: U.S. Department of Defense,1998.
LESSA, Carlos; COSTA, Darc; EARP, Fábio Sá. Depois do atentado: notícias da guerra assimétrica, a crise internacional e o Brasil. Garamond, 2002.
137
LEVY, Steves. The Hacker Ethic. Editora Penguin, New York, 1984.
LIBICKI, M. What Is Information Warfare? ACIS Paper 3. Washington DC. National Defense
University Press,1995..
LIBICKI, Martin C. What Is Information Warfare?. Estados Unidos, maio 1995. URL:
http://www.dodccrp.org/files/Libicki_What_Is.pdf. Acesso em: 5 maio 2008.
MAHNKEN, T. G.. War in the Information Age. Joint Force Quarterly 1995–96 (Winter),
1995.
MANDARINO, Raphael Jr, Apresentação sobre o tema Segurança e Defesa Cibernética, para
os integrantes da Câmara de Relações Exteriores e de Defesa do Estado – CREDEN,
comunicação pessoal, em 9 out. 2008.
MANDARINO, Raphael Jr, FONTENELLE, Marcelo – Relatório para subsidiar a reunião da
Câmara de Relações Exteriores e de Defesa do Estado – CREDEN, sobre o tema Segurança e
Defesa Cibernética, comunicação pessoal em outubro de 2008.
MANDARINO, Raphael Jr.. Organizando o Caos: os tempos românticos acabaram. URL:
http://www.cgi.br/publicacoes/artigos/artigo24.htm. TCINET. Maio de 2001. Acesso em 5
maio de 2008.
MCLUHAN, Marshall "O meio é a mensagem": Ed. Record. Rio de Janeiro,1969
METZ, Steven; JOHNSON, Douglas V. Assymetry and US Military Strategy: Definition,
Background and Strategic Concepts.: Instituto de Estudos Estratégicos, Escola Superior de
Guerra dos EUA. Carlisle, Pensilvânia, 2001.
Ministério da Defesa – Portaria Nº 333/MD, de 24 de março de 2004. Publicada no DOU 59,
de 26 de março de 2004. Acesso em 11 de julho de 2009.
MORAIS SILVA, Antonio de. Novo Dicionário Compacto da Língua Portuguesa. Editora José
Aguilar Ltda, Lisboa, Dezembro 1961.
NELSON Bill, Major USAF; CHOI Rodney, Major USMC; IACOBUCCI Michael, Major
USA; MITCHEL Mark l, Major USA; GAGNON Greg, Captain USAF, Cyberterror Prospects and Implications. White paper. Defense Intelligence Agency Office for Counterterrorism
Analysis (TWC-1),Monterrey, Califórnia,1999.
NETO, João Araújo Monteiro. Crimes informáticos uma abordagem dinâmica ao direito penal
informático. Pensar, Fortaleza, Vol. 8, fev. 2003. URL: www.unifor.br/notitia/file/1690.pdf
Acessado em 2 abr. 2009.
NUNES, Pedro. Dicionário de Tecnologia Jurídica - Edit. Freitas Bastos S.A, 1999.
O’Hanlon, M.. Technological Change and the Future of Warfare. Brookings Institution Press
Washington - DC, 2000.
OLIVEIRA, Antonio Francisco Maia; BAZI Rogério Eduardo Rodrigues. Revista Digital de
Biblioteconomia e Ciência da Informação,Campinas, Vol 5, n. 2, p.115-131, jul./dez. 2007.
138
PACITTI, Tércio. Do Fortran à Internet. Makron Books, São Paulo,1998.
PARKS, Raymon C; DUGGAN, David P; Principles of the Cyber-Warfare.Proceedings ,
IEEE Workshop on Information Assurance, West Point, NY, 2001. URL:
http://www.periwork.com/peri_db/wr_db/2004_May_11_11_30_41/DOCS%20WEBREVIE
W/PrinciplesCYBER%20WARFARE.pdf Acessado em 11 de julho de 2009.
ROGERS, Marcus K. Computer and Information Technology A Two Dimensional Approach.
Purdue University, 2005. URL:https://www.cerias.purdue.edu/assets/pdf/bibtex_archive/200543.pdf. Acesso em 3 de abril de 2009.
SCHWARTAU, W. Information Warfare: Chaos on the Electronic Superhighway. Thunder’s
Mouth Press, New York,1994.
SCHWARTAU, Winn. Information Warfare. Cyberterrorism: protecting your personal security in the electronic age. Thunder’s Mouth Press, New York, 1996.
STERLING, Bruce. La caza de hacker – livro eletrônico – 1994.
URL:www.tierradelazaro.com/public/libros/lacazadehackers.doc. Acessado em 2 de abr. 2009.
Título original The Hacker Crackdown Bantam Books - USA, 1992.
SULLIVAN, Jr., L.. Meeting the Challenges of Regional Security. Carlisle, Penn.: Strategic
Studies Institute, U.S. Army War College, 1994.
TAKAHASHI, Tadao. Sociedade da Informação no Brasil: Livro Verde. Ministério da Ciência
e Tecnologia, Brasília, 2000.
THOMAS, T. L. Deterring information warfare: A new strategic challenge. Parameters,1996.
THUMS, Jorge. Acesso à realidade: técnicas de pesquisa e construção do conhecimento. Sulina/Ulbra, Porto Alegre, 2000.
TOFFLER, Alvin; TOFFLER, Heidi. Guerra e Anti-Guerra. Livros do Brasil, Lisboa, 1994.
VALLE,Gerson.. Você Conhece Direito Internacional. Coleção Você Conhece. Edit. Rio
Sociedade Cultural Ltda, RJ, 1978.
VIANNA, Tulio Lima. Hackers: um estudo criminólogico .URL:
http://www.buscalegis.ufsc.br/revistas/index.php/buscalegis/article/view/29401/28957. Acesso
em: 02 abr. 2009. Publicado originalmente na Revista do CAAP, a.6, v.10, p. 387-409, Belo
Horizonte, 2001.
VIEIRA, Tatiana Malta. O direito à privacidade na sociedade de informação. Sérgio Antonio
Fabris Ed., Porto Alegre, 2007.
WHEATLEY, G. F., HAYES,R. E... Information Warfare and Deterrence..: National Defense
University Press, Washington D.C, 1996.
139
ANEXO A LEVANTAMENTO SOBRE A CULTURA DE SEGURANÇA DA
INFORMAÇÃO E COMUNICAÇÕES NA ADMINISTRAÇÃO
PÚBLICA FEDERAL
Duas afirmações são constantes em qualquer livro ou texto de norma sobre segurança da
informação. Uma diz respeito à necessidade de apoio da alta administração. A outra ressalva
que a cultura de segurança da informação e comunicações deve ser difundida por toda a organização (ABNT, 2005), SÊMOLA (2003).
Este anexo apresenta análises preliminares de estudos que corroboram a afirmação de que
há uma baixa cultura de segurança da informação e comunicações na administração pública
federal brasileira.
A falta de cultura em segurança da Informação e Comunicações pode ser constatada, ao
longo de 2008 até 20 de 0utubro de 2008, pelo Departamento de Segurança da Informação e
Comunicações – DSIC, quando foram aplicados vários questionários de avaliação, após a realização de Seminários de Conscientização em Segurança da Informação e Comunicações em
várias cidades brasileiras.
Nesse período foram planejados e realizados pelo DSIC: 1 congresso, o SICGOV 2008
com 420 participantes: 03 cursos de capacitação em SIC, com 80 horas que atenderam a um
público de 112 alunos; 4 seminários de conscientização sobre SIC, com 8 horas de duração
cada, atingindo 460 servidores públicos federais. Sob demanda de outros órgãos, que solicitaram a colaboração do DSIC no esforço de difundir cultura de SIC nessas organizações, foram
ainda realizadas: 2 oficinas de tratamento da informação, com duração de 8 horas cada, que
140
treinou 167 alunos; 7 palestras de sensibilização sobre SIC, com 4 horas de duração, atingindo
a um publico de 475 alunos.Neste ano, até 20 de outubro de 2008, foram treinados 1634 servidores públicos, pertencentes a 31 órgãos públicos federais.
Esses números merecem um olhar mais atento. Verifica-se que 39% daquele total de sensibilizados e ou conscientizados não foi planejado. Com as atividades ainda programadas para
o ano de 2008: 1 seminário de conscientização em Campina Grade, PB, com previsão para
150 atendentes; 1 curso de capacitação com previsão para 40 alunos; e, 3 palestras de sensibilização com previsão para 400 atendentes, podemos projetar que este percentual saltará para
47%. Observa-se que não é fruto de um planejamento acanhado, mas sim de uma demanda
dos órgãos públicos, que despertaram para a importância do tema, incentivados pelas ações do
próprio DSIC e pela postura pró-ativa que o Tribunal de Contas da União vem adotando frente
ao tema (Acórdão TCU 04/2008).
Tabela 3 - Seminários Segurança da Informação e Comunicações – SEMSIC. Fonte: DSIC (2008).
Atividade
Seminários de Conscien-
Local
Data
Órgãos
Alunos
Belém-PA
14/04
15
92
Salvador-BA
26/05
14
83
tizarão em Segurança da
Informação
Total
460
Vila Velha-ES
23/06
18
130
Florianópolis-SC
18/08
19
155
Concentrando-se no público que atendeu aos 4 Seminários de Conscientização planejados
para ocorrer e que tiveram ampla divulgação, obtém-se uma amostragem significativa, tanto
pela diversidade de locais de realização (Tabela 3), quanto pela quantidade de órgãos e entidades federais que se fizeram representar, em número de 30.
Após a realização dos seminários, todos os participantes são incentivados a preencher um
questionário de avaliação do evento. Busca-se medir diversos fatores com este instrumento
desde a qualidade das palestras até a adequação do local e horário.
141
Dentre as questões, as respostas a duas, especificamente ,despertam interesse para este estudo: (i) aquela que busca mensurar o conhecimento prévio dos participantes sobre Segurança
da Informação e Comunicações (Tabela 4); (ii) a que tenta verificar se os temas das palestras
acrescentaram algo àquele conhecimento prévio declarado (Tabela 5). Os formulários são anônimos, de modo a permitir que as informações prestadas se aproximem da realidade.
Tabela 4 – SEMSIC - Resultado das avaliações: Conhecimento Prévio. DSIC (2008).
Local
Ótimo
Bom
Regular
Insuficiente
Total
Belém-PA
0
42
40
10
92
Salvador-BA
0
40
34
9
83
Vila Velho-ES
0
63
54
13
130
Florianópolis-SC
0
88
60
7
155
TOTAL
0
224
197
39
460
Com relação ao conhecimento prévio a questão (i) está assim redigida: “Em sua opinião,
o seu conhecimento sobre Segurança da Informação pode ser classificado como: Ótimo, Bom,
Regular ou Insuficiente?”.
As respostas das questões (i) quando tabuladas, mostram que 92 % do universo pesquisado, ou seja a grande maioria, informou que tinha conhecimentos prévios bons ou regulares
sobre o assunto SIC. Curiosamente, ninguém admite ter ótimos conhecimentos prévios sobre
o assunto apesar de reconhecidamente ter-se tido na audiência a presença de profissionais de
incontestável experiência em segurança da informação e comunicações. Declarando que seus
conhecimentos podem ser classificados como insuficientes há 8% dos entrevistados. Neste
critério, Santa Catarina apresenta o público que se diz melhor preparado, 57%, com conhecimentos considerados de nível bom. Empatados, com o maior percentual de “insuficientes’,
11% , estão os participantes dos seminários da Bahia e de Belém”.
Com relação aos conhecimentos adquiridos após a realização do seminário, a questão (ii)
está assim redigida: “Em sua opinião, as informações repassadas durante o Seminário de Sen142
sibilização de Segurança da Informação, com relação ao conhecimento que você já possuía
sobre o assunto, contribuíram para aumentá-lo? Sim Muito; Sim Pouco; Não”.
Tabela 5 – SEMSIC - Resultado das avaliações: Conhecimentos adquiridos. DSIC (2008).
Local
Sim Muito
Sim Pouco
Não
Total
Belém-PA
80
8
4
92
Salvador-BA
69
10
4
83
Vila Velho-ES
99
17
14
130
Florianópolis-SC
125
19
11
155
TOTAL
373
54
33
460
Neste caso observa-se um resultado aparentemente incompatível com as respostas oferecidas na questão (i), de conhecimento prévio. Observe que 49% dos entrevistados se consideravam com conhecimento de nível “bom”. Entretanto, na resposta à questão (ii), 81% dos respondentes indica que os conhecimentos “aumentaram muito”; enquanto 12% informa que
“aumentaram pouco” e 7% informa não ter qualquer ganho de conhecimento.
Os resultados colocam duas perspectivas. Ou os pesquisados, quando confrontados com a
pergunta sobre seus conhecimentos prévios a respeito de segurança da informação e comunicações responderam baseados no senso comum sobre a percepção e entendimento do assunto,
ou para não demonstrarem desconhecimento sobre um assunto reconhecido como importante,
mascararam suas respostas. Como os questionários são anônimos, e na maioria das vezes as
respostas são preenchidas na mesma hora, e como estas duas questões não aparecerem de
forma seqüencial no formulário, acreditamos que as respostas à questão (i) (quanto ao conhecimento prévio) são baseadas no senso comum, enquanto a resposta à questão (ii) (sobre o
aumento do conhecimento) são a constatação de que a cultura da segurança da informação e
comunicações ainda é incipiente, nesse caso em órgãos e entidades da administração pública
federal.
143
ANEXO B Engajamento da Alta Administração da Administração Pública Federal em Assuntos de Segurança da Informação e
Comunicações
Qual o apoio que as principais autoridades governamentais na administração pública federal dão ao assunto segurança da informação e comunicações? É consenso que o apoio da
alta administração está intimamente ligado ao sucesso de qualquer iniciativa sobre o assunto,
conforme a ABNT NBR ISO/IEC 27002 (2005) e SÊMOLA (2003).
Na administração pública federal esse apoio à segurança da informação e comunicações
se reveste de um complicador a mais. Sem julgamento de mérito, os cargos de primeiro nível
no Brasil (e possivelmente na maioria dos governos do mundo) são ocupados por critérios políticos, e nem sempre o ocupante tem uma sólida formação acadêmica ou experiência profissional administrativa nem ainda teve oportunidade de anteriormente ocupar cargos gerenciais
executivos. Como regra geral o ocupante de cargo de primeiro nível foi educado durante os
diversos níveis de ensino em um paradigma anterior ao computador. Ao ser nomeado para as
funções executivas, ele passa a ter à sua disposição os computadores com a melhor configuração de hardware, ligados à Internet com a melhor velocidade de banda disponível, recebe para
uso telefones celulares ou fixos com as mais modernas tecnologias disponíveis na entidade e
se vê à frente dos mais variados dispositivos de segurança para acesso aos vários sistemas
administrativos e estratégicos que passam a fazer parte do seu dia-a-dia. Por amostragem se
sabe que um Ministro de Estado brasileiro é detentor, para desempenho de suas funções de, no
mínimo, 1 tokens ou cartão com chips; e não menos do que 10 identificações de usuários (user-id´s) e uma mesma quantidade senhas (passwords). Essa sobrecarga de tecnologias leva a
144
autoridade, dependendo do seu grau de conhecimento técnico, a optar por anotar as identificações de usuários e suas correspondentes senhas usando processos que variam desde mnemônicos até a grafia em texto em claro ou a dividir a responsabilidade com assessores. A autoridade nem sempre adquire ou desenvolve uma clara percepção de que todos os equipamentos,
tecnologias e sistemas postos à sua disposição passam a ser uma ameaça no momento que
seus dispositivos de proteção de acesso são compartilhados.
Como esta é uma constatação empírica, fruto de uma amostragem de pouco valor científico, o Departamento de Segurança da Informação e Comunicações – DSIC, com o apoio do
Ministro Chefe do Gabinete de Segurança Institucional da Presidência da República, resolveu
efetuar uma pesquisa on-line para medir o grau de percepção sobre segurança da informação e
comunicações dos principais administradores por parte do primeiro escalão da administração
pública federal. O Governo Federal, em outubro de 2008, está estruturado com 37 Ministérios
ou órgãos cujo titular tem status de Ministro, definido na Lei nº. 10.683, de 29 de maio de
2003 e suas alterações.
A Pesquisa
Os cargos escolhidos para pesquisa foram: (i)o do Ministro (principal executivo); (ii) do
Secretário-Executivo (o segundo em linha de comando); (iii) o Chefe de Gabinete (por sua
proximidade com a principal autoridade, e, dependendo do Ministério o Chefe de Gabinete
tem a função equivalente de segundo/terceiro homem em comando); (iv) o Secretário ou Subsecretário de Planejamento, Orçamento e Administração – SPOA, (ser encarregado da função
de Segurança de forma geral); e (v) o Coordenador-Geral de Modernização e Informática –
CGMI (que tem a seu cargo a gestão da Segurança da Informação e das tecnologias da Informação e Comunicações).
Como os cargos têm nomenclaturas variadas, foram identificados nos diversos Ministérios cargos equivalentes aos nominados. Foram identificados, nos 37 Órgãos os Ministros,
Secretários Executivos e Chefes de Gabinetes. Em 4 deles não foram identificadas funções
equivalentes à CGMI e SPOA, o que nos deu um total de 177 autoridades pesquisadas.
A metodologia da pesquisa obedeceu às seguintes fases: 1 – treinamento com a ferramenta; 2 – elaboração do questionário; 3 – aprovação interna no DSIC/GSI; 4 – divulgação da
145
Pesquisa; 5 – recepção das respostas; 6 – análise dos resultados; e 7 – divulgação dos resultados.
As três primeiras fases ocorreram no âmbito do DSIC, sem maiores destaques. Na 4ª fase,
tendo em vista a sensibilidade do tema e das implicações decorrentes, tomou-se a decisão de
comunicar formalmente a realização da pesquisa mediante Aviso (documento oficial de correspondência entre Ministros). Foram expedidos 37 Avisos Ministeriais (Aviso Circular Nº
213/2008-GSI/PR), comunicando aos demais Ministros o objetivo da pesquisa e informando
que autoridades seriam pesquisadas.
Por precaução, cada uma das autoridades pesquisadas recebeu uma mensagem eletrônica
pessoal, informando sobre a pesquisa e seus objetivos, fazendo referência ao Aviso Ministerial e com um link para acesso a pesquisa.
A página endereçada pelo link inicia com orientações a serem seguidas e já apresenta as
questões para serem respondidas. Transcrevemos a seguir as orientações:
“
Orientações para responder à entrevista
Todas as questões devem ser respondidas com base na sua instituição;
O tempo estimado para responder a entrevista é de 5 minutos;
Solicita-se que a entrevista seja respondida pelo próprio destinatário, preferencialmente, por este formulário eletrônico;
Caso seja necessário interromper a entrevista, utilize o botão "Salvar Parcialmente";
Para finalizar e enviar, clique no botão "Salvar e Enviar Respostas";
As respostas serão automaticamente enviadas ao GSIPR.
Caso seja necessário contato direto com a coordenação da pesquisa, poderão ser utilizados os telefones (61) 3411 2953 ou (61) 3411 2112, de segunda à sexta-feira, das
9h às 19h (horário de Brasília), ou pelo seguinte e-mail: [email protected].”
O Instrumento de Pesquisa
As perguntas, em número de 12, foram elaboradas com o objetivo de apreender a percepção das Autoridades com relação ao assunto segurança da informação e comunicações. O
questionário foi composto que ofereciam 3 opções de respostas a saber: pelas perguntas expostas na Tabela 6 (i) Para o conjunto composto pelas perguntas de números 1, 2, 5, 6, 10, 11
146
e 12 era possível responder Sim, Não ou Não Aplicável; (ii) Para as questões 5, 7, 8, e 9 as
respostas possíveis eram Sim, Não ou Não foi considerada necessária na Instituição; e,(iii)
Para a questão 3 as resposta possíveis eram Sim, Não e Não Existe Política de Segurança da
Informação e Comunicações na Instituição.
Tabela 6 – Questionário sobre SIC encaminhado a Autoridades da APF.Fonte: DSIC (2008).
N°
1
2
3
4
5
6
7
8
9
10
11
12
QUESTÃO
Existe algum tipo de planejamento institucional relacionado à gestão de segurança da informação e comunicações?
A instituição possui algum tipo de política de segurança da informação e comunicações?
A política de segurança da informação e comunicações foi amplamente divulgada no âmbito
interno da instituição?
Existe estrutura de segurança da informação e comunicações (gestor designado, comitê instituído, equipe de tratamento de incidentes, etc.) na instituição?
Existem ações no sentido de promover a cultura de segurança da informação e comunicações na
instituição?
Além dos servidores efetivos, as ações de segurança da informação e comunicações da instituição se estendem aos terceirizados e aos prestadores de serviço?
Existem normas institucionais sobre o uso adequado dos recursos de tecnologia da informação
(computador, impressora, senha, e-mail, etc)?
Existem normas institucionais que orientam procedimentos para tratamento e classificação das
informações?
Existe previsão orçamentária para investimentos em segurança da informação e comunicações
na instituição?
Existem planos de contingência na instituição?
As ações de segurança da informação e comunicações na instituição estão baseadas em gestão
de riscos?
A Instrução Normativa GSI Nº 1, de 13 de junho de 2008, apresenta orientações claras e objetivas sobre gestão de segurança da informação e comunicações na instituição?
TOTAIS
Resultados
O prazo para a recepção dos questionários foi encerrado na data prevista, mas algumas
autoridades encaminharam suas respostas fora da data prevista e, dada à importância dessas
informações os dados foram aceitos.
Para efeito deste estudo, estaremos considerando a posição de 20 de outubro de 2008, onde dos 177 questionários enviados, recebeu-se respostas de 49, conforme podemos ver na
Tabela 7.
Tabela 7 - Quadro Resumo: Percepção das Altas Autoridades sobre SIC. Fonte: MANDARINO (2008).
147
Cargo
Emitidos
Não Acessados
Em Aberto
Respondidos
Ministro
37
25
6
6
Sec Exec
37
22
6
9
Ch Gab
37
23
4
10
SPOA
33
26
1
6
CGMI
33
11
4
18
TOTAIS
177
107
21
49
100%
60,45%
11,86%
27,68%
12,24%
18,37%
20,41%
12,24%
36,73%
A soma dos questionários em abertos e respondidos indica que 39,55% dos pesquisados
interessou-se pela pesquisa, sendo que 27,68% do universo pesquisado responderam ou enviaram suas respostas.
Ao mesmo tempo, percebe-se que 60,45%, dos contatados não acessou o questionário.
Além do Aviso Ministerial e da mensagem eletrônica pessoal, foi feita divulgação da pesquisa
nas reuniões do Comitê Gestor de Segurança da Informação – CGSI, foram emitidos comentários a respeito da pesquisa durante os Cursos e Seminários ministrados pelo DSIC entre Setembro e Outubro de 2008, bem como foi comentado de público pelo Diretor do Departamento de Segurança da Informação e Comunicações por ocasião de sua apresentação das ações do
DSIC no dia 22 de setembro de 2008, durante o 17º Congresso Nacional de Auditoria de Sistemas, Segurança da Informação e Governança – CNASI.
Vale destacar que nesse total estão inclusos 15 detentores de cargos de CGMI, que por
força de suas funções têm a obrigação de estar atentos ao assunto.
A pesquisa obteve resposta de 26 Órgãos, ou seja, em 70,27% dos órgãos pesquisados,
pelo menos uma das autoridades consultadas respondeu. Em contrapartida, em 11 casos não
houve qualquer resposta. Em apenas dois órgãos todas as autoridades pesquisadas enviaram as
suas respostas.
Do total de 49 respostas a maioria 18 respostas ou 36,73% foi feita por ocupantes de cargos de CGMI, grupo, em princípio, com formação técnica. Daquele total ainda, destacamos
que 6 respostas ou 12,24% foram encaminhadas por Ministros de Estado contribuindo para a
melhor qualidade dos resultados apurados Tabela 7.
148
Tabela 8 – Quadro Resumo: Respostas das Altas Autoridades sobre a SIC. DSIC (2008).
N°
1
2
3
4
5
6
7
8
9
QUESTÃO
Existe algum tipo de planejamento institucional relacionado à gestão de segurança da informação e comunicações?
A instituição possui algum tipo de política de
segurança da informação e comunicações?
A política de segurança da informação e comunicações foi amplamente divulgada no âmbito interno da instituição?
Existe estrutura de segurança da informação e
comunicações (gestor designado, comitê instituído, equipe de tratamento de incidentes, etc.)
na instituição?
Existem ações no sentido de promover a cultura de segurança da informação e comunicações
na instituição?
Além dos servidores efetivos, as ações de segurança da informação e comunicações da instituição se estendem aos terceirizados e aos
prestadores de serviço?
Existem normas institucionais sobre o uso adequado dos recursos de tecnologia da informação (computador, impressora, senha, e-mail,
etc)?
Existem normas institucionais que orientam
procedimentos para tratamento e classificação
das informações?
Existe previsão orçamentária para investimentos em segurança da informação e comunicações na instituição?
10 Existem planos de contingência na instituição?
As ações de segurança da informação e comunicações na instituição estão baseadas em ges11 tão de riscos?
A Instrução Normativa GSI Nº 1, de 13 de
junho de 2008, apresenta orientações claras e
objetivas sobre gestão de segurança da infor12 mação e comunicações na instituição?
NÃO
SIM
OUTRA
Total
32
65,31%
17
34,69%
0
0,00%
49
35
71,43%
12
24,49%
2
4,08%
49
13
26,53%
28
57,14%
8
16,33%
49
25
51,02%
23
46,94%
1
2,04%
49
35
71,43%
14
28,57%
0
0,00%
49
34
69,39%
5
10,20%
10
20,41%
49
36
73,47%
13
26,53%
0
0,00%
49
18
36,73%
31
63,27%
0
0,00%
49
20
40,82%
29
59,18%
0
0,00%
49
16
32,65%
31
63,27%
2
4,08%
49
16
32,65%
27
55,10%
6
12,24%
49
40
81,63%
6
12,24%
3
6,12%
49
320
54,42%
236
40,14%
32
5,44%
588
TOTAIS
A simples observação dos dados da Tabela 8 nos permite concluir que, das instituições
públicas de primeiro nível pesquisadas, a sua maioria (65,31%) tem um planejamento institucional de segurança da informação e comunicações (questão 1). Que em 71,43% delas existe
alguma forma de política de segurança da informação e comunicações (questão 2), mas que
ela é pouco divulgada (questão 3). Que 71,43% estão trabalhando para reforçar a cultura em
149
SIC (questão 5). Que 73,47% das instituições possuem normas internas sobre o uso dos recursos de Tecnologia da Informação. Mas não é freqüente a existência de normas que orientem
quanto ao tratamento e classificação de informações sensíveis (questão 8) e nem é comum
trabalharem com previsão orçamentária para as questões de SIC (questão 9).
As questões 2 e 3 devem ser analisadas em conjunto. Pode-se verificar que 71,43% das
respostas à questão 2 indicam a existência de Política de Segurança da Informação e Comunicações – PSIC . Entretanto, na questão 3, 26,53% informam que a Política de foi amplamente
divulgada, enquanto que a maioria absoluta, 57,14 % informam que a divulgação foi deficiente.
Enquanto 24,49% dos entrevistados informam que suas Instituições não possuem qualquer tipo de política de segurança da informação e comunicações, a resposta controle, inserida
na questão 3 (note que as possibilidades de resposta eram Sim, Não e Não Existe Política de
Segurança da Informação e Comunicações na Instituição.) esta possibilidade (não existência
de PSIC) recebeu 16,33% de confirmação. A aparente inconsistência se explica pelo teor da
questão: “A política de segurança da informação e comunicações foi amplamente divulgada
no âmbito interno da instituição?” levando muitos a responder como não, já que a não existência de PSIC impede a sua divulgação. A inconsistência se consubstanciaria caso os percentuais fossem invertidos. Destaque–se que 4,08% dos entrevistados acreditam que qualquer
tipo de Política de Segurança da Informação e Comunicações não se aplica as suas Instituições.
A questão 4, propositadamente muito aberta, indica, com suas respostas equilibradas, divididas entre o Sim e o Não, que a questão da Gestão ainda não está bem compreendida. O
que deve ser resolvido com um maior conhecimento da Instrução Normativa 001/GSI de 13 de
junho de 2008, que disciplina a matéria, e por sua recente entrada em vigor – 13 de setembro
de 2008 ainda não teria tempo suficiente para ter sido implementada.
Note pela questão 4 que pelo menos uma autoridade não considera necessária a nomeação
de um Gestor ou responsável pela SIC em sua Instituição.
Das respostas à questão 6 percebe-se que 69,39% das autoridades reconhecem a importância de que o servidor terceirizado precisa também ser treinado nas questões de SIC. Apesar
disso, 10,20% informaram que em suas Instituições os terceirizados não são alvos desta preo150
cupação.
Das respostas às questões 10 e 11, sobre gestão de risco e plano de contingência, verificase que 32,65% das autoridades reconhecem alguma utilização dessas abordagens em suas Instituições.
A questão 12, que buscava saber sobre a clareza da Instrução Normativa GSI Nº 001 que
dispõe sobre a gestão de segurança da informação e comunicações na administração pública
federal, obteve o maior número de respostas positivas 40 sendo que 6 entendem que a IN merece maior orientação para aplicação. A IN GSI 001, que abrange toda a APF, foi considerada
não aplicável por 3 Autoridades.
Fazendo-se uma leitura conjunta dos números totalizados (Figura 8) percebe-se que aproximadamente 55% dos Órgãos da Administração Pública têm alguma forma de controle sobre
o assunto Segurança da Informação e Comunicações. Entretanto, em se tratando de organizações que lidam com informações de Estado e por isso mesmo sensíveis, força-nos a concluir
que os outros 45% merecem a nossa atenção redobrada. Em especial, faz-se urgente sensibilização de seus Dirigentes para a importância da Segurança da Informação e Comunicações.
Figura 8 – Visão da Importância Atribuída à SIC por Dirigentes na APF. Fonte: MANDARINO (2008).
Uma conclusão decorrente da pesquisa é de que não houve nenhum questionamento sobre
a segurança da própria pesquisa, o que nos dá um indicador de que as precauções prévias de
151
encaminhar um Aviso Ministerial e mensagens eletrônicas personalizadas contribuíram para
emprestar credibilidade a um meio sabidamente inseguro.
152
ANEXO C AÇÕES PARA INCREMENTAR A SINERGIA EM SIC NA APF
Não se deve permitir que as ações de segurança da informação e comunicações permaneçam sendo iniciativas isoladas de cada órgão da administração pública federal. A busca de
proteger suas redes e sistemas individualmente, pode resultar em uma perigosa armadilha trazendo falsa sensação de segurança.
A ausência de integração dessas ações entre os diferentes atores da Administração Pública
Federal já se reflete em uma situação crítica e perigosa para a Sociedade Brasileira, ao deixar
exposto e vulnerável o conjunto de redes, equipamentos e sistemas, e, consequentemente, as
informações estratégicas e sensíveis que trafegam em tais sistemas, as quais são tratadas nos
diversos níveis do Estado Brasileiro, mas dada à falta de pesquisas conhecidas a respeito este
é um sentimento empírico.
Entretanto, no caso específico da Administração Pública Federal, podemos comprovar essas afirmações. Em 9 de outubro de 2008, foi convocada pelo Ministro Chefe do Gabinete se
Segurança da Institucional – GSI/PR uma reunião da Câmara de Relações Exteriores e Defesa
Nacional – CREDEN, Órgão de Governo estabelecido pela Lei nº 10.683, de 29 de maio de
2003, que tem como membros permanentes, o Gabinete de Segurança Institucional da Presidência da República, que a preside, a Casa Civil da Presidência da República, o Ministério da
Defesa, o Ministério das Relações Exteriores, o Ministério da Justiça, o Ministério do Planejamento Orçamento e Gestão, o Ministério do Meio Ambiente, o Comando da Marinha, o
Comando do Exército e o Comando da Aeronáutica. Este Colegiado tem por objetivo aprovar
o Plano Nacional de Inteligência, os Projetos de Segurança da Informação, e de Segurança
Institucional das Infraestruturas Críticas do País, dentre outras atividades.
153
O objetivo da reunião era dar ciência e solicitar a apreciação e deliberação sobre essa proposta de Segurança Cibernética. Pela importância e abrangência do tema, além dos membros
titulares, foram convidados ainda o Ministério das Comunicações, Ministério da Ciências e
Tecnologias e o Ministério do Desenvolvimento da Indústria e do Comércio.
Durante a apresentação, o Diretor do DSIC para demonstrar a complexidade e a dificuldade de interação e sinergia entre os Órgãos da Administração Pública Federal, sem uma visão sistêmica e coordenada, quando o assunto é Segurança da Informação, apresentou a Figura
9 que expõe algumas das competências de cada um daqueles órgãos presentes.
Figura 9 – Competências dos órgãos da CREDEN. 86Fonte: MANDARINO (2008).
Em seguida apresentou a Figura 10 com alguns dos Órgãos subordinados aos Ministérios
representados na reunião, que estão ligados de alguma forma ao assunto. Dessa forma, para 10
Ministérios presentes, apontou-se, sem esgotar, 34 órgãos que necessariamente têm que ser
ouvidos e convidados a interagir quando o assunto é Segurança da Informação e Comunicações.
Como na estrutura atual de Governo contamos com 37 Ministérios, mais a Presidência da
República e a Vice-Presidência, pode-se concluir que criar uma sinergia entre todos não é uma
tarefa das mais simples.
86 Órgãos presentes à reunião da em 9 out. 2008da CREDEN.
154
A proposta feita e aprovada por unanimidade na ocasião assegura que as questões de segurança cibernética com o cunho de segurança da informação e comunicações devem ser coordenadas pelo GSI/PR, por ser um órgão essencial da Presidência da República e por ter como atribuição típica (como previsto no próprio nome) a segurança institucional, além de ser o
único órgão com a competência de coordenar a segurança da informação no Governo Federal
(Lei Nr 10.683/2003)
Figura 10 – Órgãos vinculados à Segurança do Espaço Cibernético Brasileiro Fonte: MANDARINO
(2008)
Foi estabelecido ainda criar no âmbito do Comitê Gestor de Segurança da Informação –
CGSI, um Grupo de Trabalho, intitulado Segurança Cibernética com o objetivo de elaborar
estudos de Segurança da Informação e Comunicações e esboçar propostas de Defesa das Infraestrutura Críticas de Informação. Esta proposta contará com representantes de cada um dos
Ministérios presentes àquela reunião, não exclusivamente e estará aberta a todos os Órgãos
que queiram participar, podendo contar ainda com representantes da Academia e do Setor Privado.
A questão da Defesa Cibernética, por esta proposta, está na esfera de um estado de beligerância entre o País e uma força hostil. Dessa forma não foi objeto de deliberação já que decisões deste escopo cabem ao Conselho de Defesa Nacional, Órgão que tem suas atribuições
previstas na Constituição Nacional. Cabe ressaltar que as diretrizes de defesa cibernética devem buscar o pronto restabelecimento da condição de segurança cibernética, consoante a polí-
155
tica de relações exteriores adotada pelo Brasil de não agressão e não-intervencionista. Note-se
ainda que no caso de ser necessário acionar mecanismos de Defesa Cibernética há que ser feito no nível mais estratégico da Gestão Governamental – Presidência da República, tendo em
vista as suas implicações.
156