um estudo sobre a segurança e a defesa do espaço cibernético
Transcrição
um estudo sobre a segurança e a defesa do espaço cibernético
Universidade de Brasília – UNB Instituto de Ciências Exatas Departamento de Ciência da Computação – CIC RAPHAEL MANDARINO JUNIOR UM ESTUDO SOBRE A SEGURANÇA E A DEFESA DO ESPAÇO CIBERNÉTICO BRASILEIRO Brasília, junho de 2009. RAPHAEL MANDARINO JUNIOR UM ESTUDO SOBRE A SEGURANÇA E A DEFESA DO ESPAÇO CIBERNÉTICO Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a Obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. JORGE HENRIQUE CABRAL FERNANDES Orientador Brasília Junho/2009 ii Monografia de Especialização defendida em 24 de junho de 2009, sob o título “UM ESTUDO SOBRE A SEGURANÇA E A DEFESA DO ESPAÇO CIBERNÉTICO”, por Raphael Mandarino Junior, em Brasília – DF, e aprovada perante a banca examinadora constituída pelos professores e pesquisadores: ______________________________________________ Prof. Dr. Jorge Henrique Cabral Fernandes, Orientador. Universidade de Brasília ______________________________________________ Profª Dra. Claudia Lyrio Canongia. DSIC – GSI (Universidade de Brasília) ______________________________________________ Prof. MSc. João José Costa Gondim Universidade de Brasília iii Dedico este trabalho a pessoas muito especiais. Algumas me pegaram pela mão e me conduziram em meus primeiros passos e letras. Outras são companheiras de jornada, no melhor e no pior. Outras ainda, me incentivam a conquistas pelo simples fato de existirem. Este trabalho e tudo aquilo que já realizei e ainda realizarei é dedicado ao meu amor por estas pessoas. Meus Pais Raphael e Guilhermina, por suas mãos firmes, seguras e carinhosas. A Georgina, minha Esposa, cúmplice de uma vida vivida e daquela que ainda vamos viver. E a Mariana e Raphael, meus Filhos a quem eu sempre quero orgulhar. iv AGRADECIMENTOS Inicio este agradecimento reconhecendo duas pessoas em especial, não por me ajudarem neste trabalho, mas sim por tornar um sonho possível. Ao Ministro Jorge Armando Felix, por seu apoio incondicional, desde o primeiro momento, à proposta de se formar especialistas em segurança da informação e comunicações na administração pública federal, ação que extrapola não apenas os limites de seu Ministério, mas sim os limites de um governo. É uma ação de Estado, uma semente, cujos frutos a Nação vai colher ao longo do tempo. E ao professor Jorge Henrique Cabral Fernandes, não como Coordenador do Curso, orientações, sempre nem por oportunas e suas que melhoram, e muito, este trabalho. Mas o faço ao companheiro de sonho, que defrontado com uma idéia ainda não totalmente formulada, conseguiu com maestria transformá-la em um produto acabado, com enorme valor acadêmico e de vital importância para a administração publica federal. Agradeço aos v meus colegas de curso, alunos e professores, pois profissionais reconhecidos e experientes não se recusaram a serem pioneiros, arriscando as suas reputações em um projeto em construção e ainda não consolidado e que, por isso mesmo transformaram-se também em “fazedores” deste sonho. Agradeço aos chefes e colegas de GSI, por todo o apoio ao Departamento de Segurança da Informação e Comunicações – DSIC, desde a sua fase embrionária e agora em sua de primeira infância. Agradeço também aos meus colegas de DSIC, todos os que lá estão e que por lá passaram. Somos o laboratório vivo do sonho aqui referido, construindo juntos um órgão público que chega ao seu terceiro ano de vida reconhecido, nacional e internacionalmente, mérito que divido com orgulho com todos os “DSICqueiros”. vi “Si vis pacem para bellum” Flavius Vegetius Renatus na obra Epitoma Rei Militaris (Século IV) vii RESUMO Com o advento da Internet, parte da humanidade se viu inserida, quase que sem perceber, na chamada Sociedade da Informação. As modificações introduzidas nos valores sociais, profissionais, políticos ou econômicos até então presentes foram absorvidas sem maiores questionamentos. Várias informações geradas e armazenadas em diferentes lugares do planeta passaram a trafegar livremente, ultrapassando fronteiras e continentes fazendo com que o acesso a elas e aos conhecimentos ocorresse de forma inimaginável até pouco tempo. Por um certo período acreditou-se, romanticamente, que a Internet permitiria o romper de barreiras econômicas, culturais e até quem sabe religiosas entre os povos, constituindo-se no ideal filosófico de democracia da antiga Grécia. Mas a realidade acabou por demonstrar que esses tempos românticos eram uma utopia. A nova fronteira constituída, o Espaço Cibernético, à semelhança de qualquer novo espaço ainda não perfeitamente demarcado, como o antigo “velho oeste”, atraiu também pessoas mal intencionadas, que buscam vantagens e ganhos ilícitos, explorando a falta de regras e sendo acobertadas pela distância e pelo aparente anonimato. Assim, a questão da proteção das informações ganhou destaque. Como a informação é um bem incorpóreo, intangível, os seus ativos- os meios de armazenagem; de transmissão, de processamento, os sistemas, interconexões e as pessoas que os usam, passaram a ser o foco da atenção da Segurança Informação. A um subconjunto desses ativos de informação, aqueles que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade, denominamos Infraestrutura Crítica de Informação, crítica para a existência do Espaço Cibernético. Apesar da impossibilidade de definição clara dos limites das suas fronteiras, o Espaço Cibernético se constitui em verdadeiro Estado-Nação, que, embora virtual, se confunde com Estado Real, pois reúne as três características de formação de um Estado: o povo - caracterizado pela Sociedade da Informação que o habita; o território – que é o próprio espaço cibernético; e a soberania – a capacidade de controlar e de ter poder sobre este espaço. Como cabe ao Estado o monopólio do uso legítimo da força e da produção legislativa, cabe-lhe também a proteção desse Estado-Nação virtual, e de suas Infraestruturas Críticas. Propomos nesta monografia, ações que em seu conjunto se constituem em uma Estratégia de Segurança Cibernética, entendida como a arte de assegurar a existência e a continuidade da Sociedade da Informação de uma nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infraestruturas críticas. Palavras-chave: sociedade da informação, estratégia, segurança cibernética, segurança da informação e comunicações, espaço cibernético, defesa. viii ABSTRACT With the Internet advent, part of humanity has been introduced, almost without realizing, in the so called Information Society. The changes in social, professional, political or economic values were absorbed without further questioning. Several information generated and stored all over the world began to be transferred freely, trespassing borders and continents so that access to them and to the knowledge generated took placed in unimaginable way until recently. For a certain time people believed, romantically, that Internet would break the economic and cultural barriers, and perhaps even religious, becoming the philosophical ideal of the ancient Greece democracy. But the reality has finally shown that these romantic times were a utopia. The new constituted frontier, the Cyberspace, like any new space not wholly delimited yet, as the “Wild West”, also attracted malicious people, who look for benefits and illicit profits by exploring the deficit rules and covering by distance and the apparent anonymity. Thus the issue of information protection gained prominence. As information is an immaterial and intangible property, their assets: the resources of storage, transmission, processing, the systems, the interconnections and also the people who use them, became the attentions focus of the Security Information. A subset of these information assets, those that directly affects the achievement of mission and continuity of the State and the safety of society, we call the Critical Infrastructure of Information, critical for Cyberspace existence. Despite of inability to clearly define the limits of its borders, the Cyberspace establishes like a real nation-state, that, although virtual, is confused with the Real State, because it gathers the tree characteristics of a State: People – characterized by information society that inhabit; the Territory – which is the Cyberspace itself, and Sovereignty – the capability to control and have power over this space. As well, it is a State monopoly the legitimate use of power and legislates; it is also responsible for protection of this virtual nation-state, and its critical infrastructure. We propose on this monograph, actions that whole trough constitute a Cyber Security Strategy, understood as the art of ensuring the existence and continuity of nation information society, guaranteeing and protecting, in Cyberspace, their information assets and critical infrastructure. Keywords: information society, strategy, cyber security, information security and communications, cyberspace, defense. ix LISTA DE FIGURAS Figura 1 - Imagem do defacement no sítio da 12ª Região Militar do Exército Brasileiro. ......50 Figura 2 – Sofisticação dos ataques cibernéticos x conhecimento técnico do atacante. ..........52 Figura 3 - Interações do CTIR/Gov.. ......................................................................................105 Figura 4 - Modelo de Segurança e Defesa no Espaço Cibernético Brasileiro. .......................112 Figura 5 – Círculos Concêntricos de Atuação em Segurança e Defesa Cibernética.. ............113 Figura 6 – Proposta de Cones da Atuação em Segurança e Defesa........................................116 Figura 7 Alvos, Atores e Crimes Cibernéticos.. .....................................................................121 Figura 8 – Visão da Importância Atribuída à SIC por Dirigentes na APF.. ...........................151 Figura 9 – Competências dos órgãos da CREDEN.. ..............................................................154 Figura 10 – Órgãos vinculados à Segurança do Espaço Cibernético Brasileiro.....................155 x LISTA DE TABELAS Tabela 1 – Tipos e Definições Sobre Guerra da Informação....................................................68 Tabela 2 – Quadro de atores, seus papéis e ações na segurança e na defesa cibernética........109 Tabela 3 - Seminários Segurança da Informação e Comunicações – SEMSIC......................141 Tabela 4 – SEMSIC - Resultado das avaliações: Conhecimento Prévio................................142 Tabela 5 – SEMSIC - Resultado das avaliações: Conhecimentos adquiridos........................143 Tabela 6 – Questionário sobre SIC encaminhado a Autoridades da APF.: ............................147 Tabela 7 - Quadro Resumo: Percepção das Altas Autoridades sobre SIC. ............................147 Tabela 8 – Quadro Resumo: Respostas das Altas Autoridades sobre a SIC. .........................149 xi SUMÁRIO 1 Introdução ..........................................................................................................14 1.1 Sociedade da Informação ........................................................................................... 14 1.2 Segurança da Sociedade da Informação .................................................................... 17 1.3 Infraestruturas Críticas................................................................................................ 19 1.4 Espaço Cibernético, Estado Real e Estado Virtual...................................................... 22 1.5 Segurança Cibernética ............................................................................................... 26 1.6 Informática e Segurança na APF ................................................................................ 29 1.7 Proposta do Trabalho.................................................................................................. 37 2 O Problema.........................................................................................................39 2.1 Pressupostos .............................................................................................................. 39 2.2 Desafios à Proteção de Espaços Cibernéticos............................................................ 41 3 Requisitos Pré-Pesquisa...................................................................................44 3.1 Objetivo Geral............................................................................................................. 44 3.2 Objetivos Específicos.................................................................................................. 44 3.3 Justificativas e Metodologia da Pesquisa.................................................................... 45 3.3.1 Justificativas da Pesquisa .............................................................................................................45 3.3.2 Metodologia da Pesquisa ..............................................................................................................56 4 Ameaças, Ataques, Segurança, Defesa e Guerra Cibernética .......................57 4.1 Segurança da Informação e Comunicações ............................................................... 58 4.2 Espaço Cibernético ou Ciberespaço ........................................................................... 60 4.2.1 Aspectos Gerais ............................................................................................................................60 4.2.2 Delimitando Fronteiras no Espaço Cibernético .............................................................................62 4.2.2.1 Os Contornos do Espaço Cibernético Brasileiro ........................................................................63 4.2.2.2 Alguns Conceitos Similares ........................................................................................................64 4.2.2.3 Quais as Fronteiras do Espaço Cibernético Brasileiro? .............................................................66 4.3 Ameaças e Conflitos no Espaço Cibernético ou Ciberespaço..................................... 67 4.4 Hackers e Outros Agentes de Ameaça Cibernética .................................................... 76 xii 4.5 Uma Proposta de Enquadramento de Ações Antagônicas.......................................... 95 4.5.1 Alvo da Ação ..................................................................................................................................95 4.5.2 Autor da Ação ................................................................................................................................95 4.5.3 Abrangência da Ação.....................................................................................................................96 5 5.1 Órgãos e Atores de Segurança e Defesa Cibernética ....................................98 Atores e Órgãos........................................................................................................ 100 5.1.1 Conselho de Defesa Nacional (CDN)..........................................................................................100 5.1.2 Câmara de Relações Exteriores e Defesa Nacional (CREDEN) ................................................100 5.1.3 Casa Civil.....................................................................................................................................102 5.1.4 Gabinete de Segurança Institucional da Presidência da República (GSI/PR) ............................103 5.1.5 Ministério da Defesa (MD) e Forças Armadas ............................................................................106 5.1.6 Ministério da Justiça (MJ)............................................................................................................107 5.2 Atuação Coordenada para a Segurança e Defesa Cibernética ..................................110 5.3 Escopo de uma Doutrina de Segurança e Defesa Cibernética ..................................116 6 Discussão e Propostas ................................................................................... 119 6.1 Princípios para Garantir a Segurança Cibernética .................................................... 125 6.2 Esboço de uma Estratégia de Segurança Cibernética .............................................. 125 6.2.1 Conhecer Vulnerabilidades..........................................................................................................126 6.2.2 Adotar Medidas Preventivas ........................................................................................................127 6.2.3 Delegação de Tarefas..................................................................................................................127 6.2.4 Marco Legal.................................................................................................................................128 6.2.5 Programas de Cooperação .........................................................................................................129 6.2.6 Capacitação e Recrutamento ......................................................................................................129 6.2.7 Desenho e Implementação de Medidas de Segurança ..............................................................130 6.2.8 Ações Pontuais ............................................................................................................................131 6.3 7 Construindo uma Estratégia de Segurança............................................................... 132 Conclusões ......................................................................................................133 7.1 Revisão Bibliográfica ................................................................................................ 134 7.2 Contornos do Espaço Cibernético............................................................................. 134 7.3 Atores de Segurança Cibernética ............................................................................. 134 7.4 Estratégia de Segurança Cibernética........................................................................ 134 7.5 Esboço de uma Doutrina .......................................................................................... 135 ANEXO A - Levantamento Sobre a Cultura de Segurança da Informação e Comunicações na Administração Pública Federal ............................................140 ANEXO B - Engajamento da Alta Administração da Administração Pública Federal em Assuntos de Segurança da Informação e Comunicações.............144 ANEXO C - Ações para Incrementar a Sinergia em SIC na APF .......................153 xiii 1 INTRODUÇÃO Há décadas, a parte da humanidade que tem acesso a algum nível de desenvolvimento econômico acostumou-se, em decorrência desse acesso, a facilidades em seu cotidiano para, de forma natural, realizar atividades como assistir televisão ou a um filme, falar ao telefone ou corresponder-se com amigos, estudar ou fazer pesquisas em bibliotecas, conferir o extrato ou o saldo bancário, pagar tributos ou duplicatas, comprar discos ou livros, etc. Mesmo aqueles que passam ao largo dos chamados valores ocidentais, têm hábitos cotidianos ancestrais como conversar com amigos, desenhar ou fazer artesanatos. Quaisquer destas atividades dependem de garantias de acesso à informação, em maior ou menor escala. Com o advento da Internet, percebemos que muitas daquelas mesmas atividades podem agora ser realizadas mais rapidamente de forma eletrônica, por meio das tecnologias de informação e comunicação – TICs. Acostumando-se a cada dia com a independência e conforto que as TICs lhes proporcionam, as pessoas passam a realizar atividades cotidianas em qualquer hora e de qualquer lugar, seja de sua própria casa ou local de trabalho. Assim, quase sem perceber e aparentemente sem maiores questionamentos ou dificuldades, parte da humanidade vem sendo inserida na chamada Sociedade da Informação. 1.1 Sociedade da Informação O termo Sociedade da Informação não é novo. Decorrente da estratégia de reorganização econômica do pós-guerra, surgiu como fruto da acelerada industrialização experimentada nos últimos 50 anos, que estabeleceu alterações profundas na relação homem x tecnologia, como nos ensina (MATTELART apud Oliveira e Bazi, 2007, p7): “a noção de sociedade global da informação é resultado de uma construção geopolítica”. 14 Mais especificamente, o termo “Sociedade da Informação” tem suas primeiras referências na década de 1970, especialmente no EUA e Japão, a partir de discussões sobre o que seria a “sociedade pós-industrial” e quais seriam suas principais características (TAKAHASHI, 2002, p.2 apud OLIVEIRA e BAZI, 2007). A sociedade da informação compreende, portanto, a informação desempenhando um papel cada vez mais relevante na vida econômica, política e social das pessoas, empresas e nações. Apesar disso, não se conhece uma definição para o termo Sociedade da Informação, ou para o seu sentido, que seja universalmente aceita. Para fins deste estudo a expressão Sociedade da Informação veicula como idéia principal o fato de que a evolução tecnológica permitiu a penetração das tecnologias da informação e comunicação no cotidiano das pessoas e nações, transformando-o. Esta abordagem encontra amparo em GIANNASI (1999) “os avanços no processamento, recuperação e transmissão da informação permitiram aplicação das tecnologias de informação em todos os cantos da sociedade, devido à redução dos custos dos computadores, seu aumento prodigioso de capacidade de memória, e sua aplicação em todo e qualquer lugar, a partir da convergência e imbricação da computação e das telecomunicações.” Ou ainda em DANTAS (1998) que nos ensina, com uma visão mais econômica e política que: “A Sociedade da Informação caracteriza uma etapa alcançada pelo desenvolvimento capitalista contemporâneo, no qual as atividades humanas determinantes para a vida econômica e social organizam-se em torno da produção, processamento e disseminação da informação através das tecnologias eletrônicas.” Temos ainda o amparo de CASTELLS (2000), quando afirma que: “O registro histórico das revoluções tecnológicas (...) mostra que todas são caracterizadas por sua penetrabilidade, ou seja, por sua penetração em todos os domínios da atividade humana, não como fonte exógena de impacto, mas como o tecido em que essa atividade é exercida.” Assim, essa nova Sociedade que surgiu fruto principalmente do barateamento e convergência de novas tecnologias de informação e comunicação, posta à sua disposição no pósguerra, acelerou processos produtivos e de consumo, gerando o desenvolvimento econômico e, em especial, a disseminação da informação e do conhecimento em volumes nunca antes imaginados. Estamos hoje vivendo em pleno período de revolução. Embora esteja reservado aos computadores e às telecomunicações um papel importante nessas mudanças revolucionárias, é importante entender que as mudanças não são apenas tecnológicas, mas também são: 15 econômicas, cuja melhor caracterização se dá pelo surgimento do comércio eletrônico; sociais, expressas, por exemplo, nos sítios de relacionamento; culturais, ao facilitarem a troca de informações, permitindo o aprofundamento dos conhecimentos sobre usos e costumes entre os povos; políticas, ao permitirem um contato direto entre eleitor e eleito; religiosas, quando percebemos a especial atenção que igrejas das mais variadas orientações dão às mídias eletrônicas na propagação de sua fé; institucionais, cuja melhor expressão talvez esteja nas diversas iniciativas do governo eletrônico, uso das TIC em proveito do cidadão; e até mesmo filosóficas, pois mudam a maneira de ver o mundo, como pode ser exemplificado com a abordagem dos Não Lugares de AUGE (1994) discutindo os impactos antropológicos, “frutos da supermodernidade”, advindos dessa revolução que estamos vivendo. Encontram-se em TOFFLER (1980) as premissas da Sociedade da Informação, no que ele chamou de nova civilização, resultante do terceiro grande fluxo de mudança na história da humanidade – a Terceira Onda – que impõe um novo código de comportamento: "Essa nova civilização traz consigo novos estilos de família; modos de trabalhar, amar e viver diferentes; uma nova economia; novos conflitos políticos; e além de tudo isso igualmente uma consciência alterada.” Segundo TOFFLER apenas em duas outras vezes na história, a humanidade viu-se frente a mudanças semelhantes que alteraram seu modo de vida de forma tão profunda e ampla. A primeira vez se deu há cerca de 10 mil anos, quando a espécie humana passou de uma civilização eminentemente nômade para uma civilização sedentária, a partir do domínio das tecnologias agrícolas. A segunda vez se deu há cerca de 330 anos, quando a espécie humana deixou de ser uma civilização predominantemente agrícola para tornar-se uma civilização industrial, ao dominar novas tecnologias de fabricação de bens de consumo, em especial as máquinas a vapor. Ressalte-se que a distinção básica entre uma e outra onda é o surgimento de novas formas de se criar riquezas, sempre acompanhadas de transformações profundas nos modelos sociais, culturais, políticos, filosóficos, econômicos e institucionais. Apesar de algumas regiões ainda não terem atingido nem o segundo estágio de desenvolvimento, a Terceira Onda está acontecendo agora, mesmo nesses lugares. 16 Essa Nova Era, caracterizada pelo surgimento da Internet, trouxe, ao lado daquelas atividades simples e corriqueiras já conhecidas, outras formas de comunicação e de troca de informações, em um extenso leque de possibilidades, como mensagens instantâneas ou trabalhos colaborativos a distância, mesmo para aqueles que ainda não integram a chamada nova economia. Tudo isso a velocidades inimagináveis há poucos anos e suportado por uma miríade de equipamentos e softwares distribuídos e operados por pessoas, empresas e governos. Por algum tempo essas facilidades proporcionaram a esperança romântica e utópica de que a Internet criaria as condições para re-estabelecimento da democracia plena, na melhor das tradições gregas, ao permitir a participação universal e igualitária de todas as raças, credos e culturas, eliminando as fronteiras, as barreiras sociais, culturais, políticas, econômicas e até, quem sabe, as religiosas, entre os povos. A realidade demonstra que a utopia desses tempos românticos acabou. 1.2 Segurança da Sociedade da Informação Toda a mudança de comportamento nas práticas diárias trazida pela Sociedade da Infor- mação fez com que fossem aceitas alterações significativas nos valores sociais, profissionais e econômicos, sem uma clara percepção das suas conseqüências nos médio e longo prazos. Dentre essas conseqüências destaca-se a necessidade de garantir que essa quantidade enorme de informações que trafegam e são armazenadas em volumes crescentes e imensuráveis, esteja segura. Tornou-se rotina ler, ouvir e até mesmo falar sobre o tema Segurança da Informação no cotidiano do indivíduo participante da Sociedade da Informação. Uma simples consulta pela Internet ao sítio da empresa AMAZON1 relacionou 8.084 livros contendo a expressão “Information Security” em seus títulos, sendo que desse total 1.253 referentes a gestão (Business Management). A mesma consulta feita no sítio da LI- 1 http://www.amazon.com realizada em 20 de outubro de 2008, às 15:19 horas de Brasília 17 VRARIA SARAIVA2, na mesma data, nos apresentou como resultado 17 títulos em português e 43 em língua inglesa. No GOOGLE ACADÊMICO3, uma pesquisa sobre o tema “segurança da informação”, retorna 1.150 referências a páginas de artigos em português, catalogados como artigos acadêmicos. Outra consulta, no sítio do periódico eletrônico, IDGNOW4, na mesma data, agora sobre reportagens sob o título de “Segurança” e na categoria “Ataque e Ameaças”, retornou cerca de 80 artigos escritos e publicados no período de maio a outubro de 2008, apenas nesse periódico especializado em Tecnologia da Informação. O assunto é efervescente e o interesse nele está demonstrado também pela quantidade de seminários e congressos realizados sobre o tema. Em um período menor que 30 dias em 2008, foram realizados, no Brasil, 3 eventos tradicionais onde segurança é o tema: de 22 a 24 de setembro, o 17º Congresso Nacional de Auditoria de Sistemas, Segurança da Informação e Governança – CNASI, em São Paulo; de 24 a 26 de setembro a V Conferência Internacional de Perícias em Crimes Cibernéticos - ICCYBER 2008, no Rio de Janeiro; e de 14 a 15 de outubro o II Congresso de Segurança de Informação e Comunicações para a Administração Pública Federal - SICGov 2008, em Brasília. Esse último reuniu cerca de 450 servidores públicos de 8 Estados da Federação, que por dois dias (14 e 15 de outubro de 2008) debateram questões específicas de Gestão da Segurança da Informação e Comunicações no âmbito do Governo Federal. A importância que o tema desperta ainda pode ser aferida pela presença de 2 Ministros de Estado e do Presidente do Tribunal de Contas da União na cerimônia de abertura do SICGov 2008, todos com direito a fala. Do ponto de vista econômico, a relevância da segurança da informação também pode ser constatada pelo enorme mercado gerado em redor da questão. Segundo o jornal O GLOBO, de 28 de fevereiro de 2008, citando pesquisa realizada pela consultoria Frost & Sullivan, o mercado de segurança de rede na América Latina movimentou US$ 186,1 milhões em 2007 e alcançará US$ 598,4 milhões em 2013. O Brasil é o país com maior participação na receita da 2 http://www.saraiva.com.br realizada em 20 de outubro de 2008 3 http://scholar.google.com.br/schhp?hl=p-BR realizada em 20 de outubro de 2008 4 http://idgnow.uol.com.br realizada em 20 de outubro de 2008 18 região, com 33,5%. Entretanto, o assunto “Segurança da Informação” está longe de ser consensual e compreendido em toda a sua abrangência e conseqüências, seja pela sociedade, por profissionais ou pela academia. Com o incremento da chamada Internet comercial em meados da década de 90, a questão de manipulação de informações e de sua segurança ganha maior ênfase, pois a grande rede e seus protocolos, especialmente a família TCP/IP, foram construídos sem muita preocupação com a confidencialidade, integridade, disponibilidade e autenticidade. À semelhança do que ocorre em qualquer novo espaço aberto e pouco regulado no mundo físico, como o antigo “velho oeste” ou regiões de fronteiras ou bordas de expansão agrícola, ainda não perfeitamente demarcada, pessoas mal intencionadas sempre buscam obter vantagens ilícitas ou socialmente inaceitáveis explorando a falta de regras. Assim ocorre na Internet, onde, acobertadas pela distância e pelo anonimato, pessoas e grupos tentam burlar a segurança dos equipamentos e sistemas informatizados de qualquer empresa, governo ou indivíduo, e extrair benefícios indevidos da exploração deste bem chamado “Informação”. A segurança da informação, definida como uma “área de conhecimento dedicada à proteção de ativos de informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade” (SÊMOLA, 2003), surge como uma nova especialidade, responsável por assegurar que as informações, sejam elas de caráter pessoal, institucional ou corporativo, estejam preservadas. 1.3 Infraestruturas Críticas Como a informação é um bem incorpóreo, intangível e volátil, os ativos de informação tornam-se naturalmente os principais focos de atenção da Segurança da Informação. São exemplos de ativos de informação: os meios de armazenamento, transmissão e processamento da informação; os equipamentos necessários a isso, como computadores, equipamentos de comunicações e de interconexão; os sistemas utilizados para tal; os locais onde se encontram esses meios, e também os recursos humanos que a eles têm acesso. Os ativos de informação 19 confundem-se, de certa forma, com a própria Sociedade da Informação. Podemos também entender que um subconjunto desses ativos forma a base, a infraestrutura de informação, que suporta a Sociedade da Informação, se interpretarmos o entendimento de Morais SILVA (1961) para a expressão Infraestrutura como “estrutura das partes inferiores”. Com o advento da Sociedade da Informação, onde as tecnologias de informação e comunicação têm papel preponderante nas infraestruturas de uma nação e na interação entre elas, percebe-se que as infraestruturas de informação são críticas porque não podem sofrer solução de continuidade. Se elas param, a sociedade da informação também pára, com graves conseqüências para a sociedade real. Há que se considerar ainda que apesar dessas infraestruturas, por suas características, estarem acessíveis e utilizáveis de forma pulverizada pela sociedade, não cabe apenas aos indivíduos, às empresas ou ao governo protegê-las de forma individualizada e descentralizada, pois se tratam de um bem comum. A definição mais usual de infraestrutura crítica é aquela que, uma vez prejudicada por fenômenos de causas naturais, como terremotos ou inundações ou por ações intencionais de sabotagem ou terrorismo, traz grandes reflexos negativos para toda uma nação e sua sociedade. São exemplos clássicos de infraestruturas críticas: as redes de telefonia, os sistemas de captação e distribuição de água, e as fontes geradoras e as redes de distribuição de energia. 5 O Gabinete de Segurança Institucional da Presidência da República – GSI/PR, no âmbito de suas atribuições, define como infraestruturas críticas as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade. Vale notar que, com relação à proteção da Sociedade da Informação ou à Segurança da Informação e Comunicações, encontramos duas visões que se complementam ao estudarmos o cenário internacional: a proteção da Infraestrutura Crítica da Informação e a proteção da Infra- 5 International Critical Information Infrastructures Protection Handbook 2008/2009 – Center for Security Studies, ETH Zurich, p 36 e 37 – apud Canongia, março2009. 20 estrutura da Informação Crítica que caracterizamos a seguir: A primeira busca identificar e proteger a infraestrutura: hardware, software, dados e serviços, que suportam uma ou mais infraestruturas críticas e que uma vez afetadas causam sérios problemas àquelas infraestruturas críticas. Uma definição que reforça essa visão encontramos em um trabalho publicado pelo Centro de Estudos para a Segurança de Zurich (2008/2009) : “CRITICAL INFORMATION INFRASTRUCTURE (CII) is that part of the global or national information infrastructure that is essentially necessary for the continuity of a country’s critical infrastructure services. The CII, to a large degree, consists of, but is not fully congruent with, the information and telecommunications sector, and includes components such as telecommunications, computers / software, the internet, satellites, fiber-optics, etc. The term is also used for the totality of interconnected computers and networks and their critical information flows.” A segunda busca identificar e proteger as informações consideradas críticas, tais como: planos, relação de vulnerabilidades etc., de uma infraestrutura crítica. Essa visão foi proposta na Lei Americana de proteção da infraestrutura crítica de 20026: “CRITICAL INFRASTRUCTURE INFORMATION (CII) means information not customarily in the public domain and related to the security of critical infrastructure or protected systems: (A) actual, potential, or threatened interference with, attack on, compromise of, or incapacitation of critical infrastructure or protected systems by either physical or computer-based attack or other similar conduct (including the misuse of or unauthorized access to all types of communications and data transmission systems) that violates Federal, State, or local law, harms interstate commerce of the United States, or threatens public health or safety; (B) the ability of any critical infrastructure or protected system to resist such interference, compromise, or incapacitation, including any planned or past assessment, projection, or estimate of the vulnerability of critical infrastructure or a protected system, including security testing, risk evaluation thereto, risk management planning, or risk audit; or (C) any planned or past operational problem or solution regarding critical infrastructure or protected systems, including repair, recovery, reconstruction, insurance, or continuity, to the extent it is related to such interference, compromise, or incapacitation.” Como no Brasil este assunto é relativamente novo e pouco estudado, não se conhecendo na medida exata o grau de interdependência e conectividade das nossas infraestruturas críticas, bem como, da mesma forma, não podemos assegurar que todas as informações críticas a respeito de uma infraestrutura crítica estejam protegidas corretamente, o autor, com base nessa realidade, e nas proposições anteriores, define para fins deste estudo que: 6 Critical Infrastructure Information (CII) Act 2002, Information Analysis and Infrastructure Protection, Critical Infrastructure Information, H. R. 5005—17 apud Canongia, Claudia, março 2009. 21 Infraestrutura Crítica da Informação é o subconjunto dos ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da Sociedade. 1.4 Espaço Cibernético, Estado Real e Estado Virtual As informações trafegam por uma infinidade de interconexões entre computadores, servi- dores, roteadores e switches conectados por milhares de quilômetros de fibras óticas, cabos especiais ou via satélite, os quais formam uma complexa malha de comunicação. É assim que as residências se conectam aos bancos, às empresas públicas ou privadas e aos diversos níveis de governo. Todos esses, por sua vez, também interconectados, fazem uso dessa extensa malha que cobre todo o país e interligam-se com outros países e em todos os continentes. O conjunto das pessoas, empresas, equipamentos e suas interconexões, dos sistemas de informação e das informações que por eles trafegam pode ser também denominado, no entendimento do autor, de espaço cibernético. Esse espaço cibernético, a princípio auto-regulado e autônomo, permite a troca informações das mais variadas formas, por pessoas e equipamentos, que fazem uso de toda essa infraestrutura crítica de informações, sem maiores conhecimentos técnicos de como esta troca se processa e sem uma clara percepção das suas conseqüências, como já referenciado. Na medida em que a sociedade da informação vai se estabelecendo em um país, inicia-se um processo de construção de uma verdadeira “nação” virtual que é constituída no que denominamos espaço cibernético. Aqui, a exemplo do espaço real, também são estabelecidas relações sociais e políticas, no tempo e no espaço, a partir das quais o povo passa a tomar decisões sobre como “construir” parte de suas vidas, permitindo que alguns passem a trabalhar exclusivamente ou não neste novo espaço, desfrutem de suas amizades, gerenciem seus interesses financeiros da forma como entendam correta etc. Assim percebemos que nesse espaço convivem três características, chamadas centrais pela maioria dos autores, que são elementos importantes na formação de um Estado: povo + território + soberania. O povo, que pode ser caracterizado pela sociedade da informação; território, caracteriza22 do pelo próprio espaço cibernético; e soberania a capacidade de controlar, de ter poder de decisão sobre este espaço. Como em MARTINEZ (2006)7 “Pode-se dizer que é até uma questão de lógica que se defina o Estado a partir das relações estabelecidas entre Povo, Território e Soberania. Pois é preciso que haja um mínimo de organização social e política para que as instituições tenham um sentido claro e vivido, e é óbvio, então, que é por obra desse mesmo povo ou de seus líderes que existem tais instituições. Também é de se esperar que esse povo ocupe ou habite um determinado território”. A existência desse Estado virtual se confunde e se complementa com o Estado real. Assim, a exemplo do que ocorre na sociedade real, percebemos ser necessária, na sociedade virtual, a existência de normas e regras, de governo enfim, para um convívio socialmente aceitável nesse espaço e para a sua própria proteção assegurando-se desta foram a sua existência. E cabe ao Estado real, estabelecer estas regras, pois só ele detém este poder. A questão de regulação do estado virtual é complexa e merece aprofundamento em pesquisas futuras. Quanto a Estado encontramos em CARVALHO (1998), o conceito de que: “O Estado corresponde à sociedade devidamente organizada politicamente, fixada em um território, havendo jurisdição e poder de coerção por parte de um poder soberano. Pode-se concluir também que a sociedade é a base para a formação do Estado” Essa necessidade de marco legal no Estado Virtual é fundamental para que o Estado Real possa exercer a soberania interna e externa ao seu espaço cibernético, apesar de não haver ainda o reconhecimento consensual de que a sua existência é fato, caracterizando-o como parte do Estado / Nação. Não se conhecem ainda iniciativas de discussões internacionais a esse respeito, talvez pelas dificuldades que a questão da delimitação de fronteiras no Espaço Cibernético apresente, mantendo este assunto ainda em aberto, apesar de ser comum encontrarmos afirmações de que o avanço tecnológico, a Sociedade da Informação, a interconexão das redes informatizadas ou a WEB, aboliram as fronteiras territoriais. 7 http://jus2.uol.com.br/doutrina/texto.asp?id=8453 acessado em 12 de novembro de 2008 23 Para este estudo, a questão do como se estabelecer os limites físicos onde se dará a segurança e a defesa cibernética de um Estado é pertinente, se não, fundamental. Pode parecer um paradoxo falar em espaço físico para uma atividade que se dá em essência no Espaço Cibernético – que se caracteriza como um lugar que pode ser acessado sem controle algum, de forma autônoma e independente; para uma atividade onde não existe uma identidade real, pois neste espaço cada um pode ser o que desejar ser, não havendo necessidade de respeitar as suas raízes, locais de origem ou qualquer outro dado que possa ser realmente comprovado. É o lugar onde quem dele queira participar pode se comunicar, exercer seus sonhos e fantasias apenas assumindo um apelido ou nickname. Não há interação física ou proximidade semelhante àquela experimentada pelos indivíduos reais. Assim podemos dizer, recorrendo a AUGE (1994), mais uma vez, que o ciberespaço é um não-lugar: sem fronteiras, sem raízes, sem história. Como então identificar as ciberfronteiras do território nacional? Se lembrarmos que a interconexão com outros Estados se dá por meio de cabos óticos submarinos transoceânicos que adentram o território nacional pelo litoral ou pelo espectro eletroeletrônico através de conexões de satélites, que tipo de fronteira se deve proteger? As fronteiras dos mares territoriais, as fronteiras terrestres ou as do espaço aéreo? “Situar as fronteiras cibernéticas é um desafio que intriga por sua virtualidade, pois à medida que áreas diferentes do globo são postas em interconexão umas com as outras, ondas de transformação social atingem virtualmente toda a superfície da terra” Giddens (1990) apud Hall (2004). A questão jurisdicional sobre um determinado espaço cibernético ocupa um limbo jurídico, sobretudo em função da impossibilidade prática em se estabelecer, pelo menos no atual estado da arte, de forma clara e objetiva, as fronteiras nos espaços cibernéticos – base do Estado Moderno segundo alguns autores. Mas a inexistência desSas fronteiras não descaracteriza a existência no Espaço Cibernético, do Estado Virtual ou da Sociedade da Informação que aí vive, a exemplo do que ocorre no mundo real. Em DALLARI, 1998, encontramos amparo para essa afirmação em um estudo sobre o aparecimento do Estado: “24. Sob o ponto de vista da época do aparecimento do Estado, as inúmeras teorias existentes podem ser reduzidas a três posições fundamentais: a) Para muitos autores, o Estado, assim como a própria sociedade, existiu sempre, pois desde que o homem vive sobre a Terra acha-se integrado numa organização social, dotada de poder e com autoridade para determinar o comportamento de todo o 24 grupo. Entre os que adotam essa posição destacam-se EDUARD MEYER, historiador das sociedades antigas, e WILHELM KOPPERS, etnólogo, ambos afirmando que o Estado é um elemento universal na organização social humana. MEYER define mesmo o Estado como o princípio organizador e unificador em toda organização social da Humanidade, considerando-o, por isso, onipresente na sociedade humana. b) Uma segunda ordem de autores admite que a sociedade humana existiu sem o Estado durante um certo período. Depois, por motivos diversos, que serão indicados quando tratarmos das causas que levaram à formação do Estado, este foi constituído para atender às necessidades ou às conveniências dos grupos sociais. Segundo esses autores, que, no seu conjunto, representam ampla maioria, não houve concomitância na formação do Estado em diferentes lugares, uma vez que este foi aparecendo de acordo com as condições concretas de cada lugar. EDUARD MEYER expõe seu pensamento a respeito deste assunto em sua História da Antiguidade, publicada entre 1921 e 1925. A sustentação dessa tese por WILHELM KOPPERS é mais recente, constando de seu trabalho L´Origine de État, apresentado ao VI Congresso Internacional de Ciências Antropológicas e Etnológicas, realizado em Paris, no ano de 1960. Veja-se, a respeito do pensamento desses autores, A Formação do Estado, de LAWRENCE KRADER, págs. 26 e 167. HERMANN HELLER condena a amplitude dada por MEYER ao conceito de Estado, dizendo que, com tão ilimitada extensão, o conceito histórico de Estado se desnatura por completo e se torna de impossível utilização (Teoría dei Estado, pág. 145). c) A terceira posição é a que já foi referida: a dos autores que só admitem como Estado a sociedade política dotada de certas características muito bem definidas. Justificando seu ponto de vista, um dos adeptos dessa tese, KARL SCHMIDT, diz que o conceito de Estado não é um conceito geral válido para todos os tempos, mas é um conceito histórico concreto, que surge quando nascem a idéia e a prática da soberania, o que só ocorreu no século XVII. Outro defensor desse ponto de vista, BALLADORE PALLIERI, indica mesmo, com absoluta precisão, o ano do nascimento do Estado, escrevendo que "a data oficial em que o mundo ocidental se apresenta organizado em Estados é a de 1648, ano em que foi assinada a paz de Westfália". Entre os autores brasileiros adeptos dessa teoria salienta-se ATALIBA NOGUEIRA, que, mencionando a pluralidade de autonomias existentes no mundo medieval, sobretudo o feudalismo, as autonomias comunais e as corporações, ressalta que a luta entre elas foi um dos principais fatores determinantes da constituição do Estado, o qual, "com todas as suas características, já se apresenta por ocasião da paz de Westfália". A paz de Westfália, que esses autores indicam como o momento culminante na criação do Estado, e que muitos outros consideram o ponto de separação entre o Estado Medieval e o Estado Moderno, foi consubstanciada em dois tratados, assinados nas cidades westfalianas de Munster e Onsbruck. Pelos tratados de Westfália, assinados no ano de 1648, foram fixados os limites territoriais resultantes das guerras religiosas, principalmente da Guerra dos Trinta Anos, movida pela França e seus aliados contra a Alemanha. A França, governada então pelo Rei Luiz XIV, consolidou por aqueles tratados inúmeras aquisiçõesterritoriais, inclusive a Alsácia. A Alemanha, territorialmente prejudicada, beneficiou-se, entretanto, como todos os demais Estados, pelo reconhecimento de limites dentro dos quais teria poder soberano.” Assim, o marco na celebração da Paz de Westfália (1648) como a data de nascimento do Estado Moderno, decorre do fato de que nessa data a Alemanha e França estabeleceram as respectivas regiões limítrofes e assim passaram a indicar o território como elemento ou componente formal dos dois Estados, havendo assim a fixação formal do território e da soberania. Decorrente dessa delimitação, também se estabelece e legitima uma determinada ordem de 25 comando, que, quando exercida internamente a cada território, recebe o nome de soberania interna (que se dirige ao povo, aos cidadãos do Estado em questão) em complemento à soberania externa, endereçada aos outros países – daí a conotação de independência. Para Weber, é o Estado que possui o monopólio do uso legítimo da força física e da produção legislativa: “Dominação legal em virtude de estatuto. Seu tipo mais puro é a dominação burocrática. Sua idéia básica é: qualquer direito pode ser criado e modificado mediante um estatuto sancionado corretamente quanto à forma (...) Obedece-se não à pessoa em virtude de seu direito próprio, mas à regra estatuída, que estabelece ao mesmo tempo a quem e em que medida se deve obedecer. Também quem ordena obedece, ao emitir uma ordem, a uma regra: à "lei" ou "regulamento" de uma norma formalmente abstrata (...) Seu ideal é: proceder sine ira et studio, ou seja, sem a menor influência de motivos pessoais e sem influências sentimentais de espécie alguma, livre de arbítrio e capricho e, particularmente, "sem consideração da pessoa", de modo estritamente formal segundo regras racionais ou, quando elas falham, segundo pontos de vista de conveniência objetiva." WEBER, MAX (1989) apud BOBBIO (2000). De qualquer forma, tudo o que existe e se constrói nessa nova Sociedade, mesmo as construções físicas como as infraestruturas, e as pessoas que as operam e que são seus usuários, podem ser entendidos como coexistindo em um Espaço Cibernético. 1.5 Segurança Cibernética Para responder, ainda que tangencialmente, à questão de base que apóia este estudo- co- mo estabelecer os limites onde se darão à segurança e a defesa cibernética do Estado Brasileiro- buscamos esclarecer nos parágrafos seguintes como as nações estão olhando para esse problema. Apenas dois exemplos se destacaram nesse estudo como as melhores referências encontradas. O pequeno número encontrado decorre do fato de se tratar de um tópico de pesquisa muito novo. As visões a seguir expostas, refletem, grosso modo, duas formas de se olhar para o problema, sendo uma proposta pelo Governo Americano e outra pelos governos da União Européia. 26 Para a International Telecomunication Union – ITU 8, que reflete a visão européia, segurança cibernética significa basicamente prover proteção contra acesso, manipulação, e destruição não autorizada de recursos críticos e bens. Tais recursos e bens variam e dependem do nível de desenvolvimento dos países. Dependem, também, do que cada país considera como sendo recurso crítico, os esforços que podem e estão dispostos a realizar, bem como do grau de risco que estão dispostos a aceitar em consequência das inadequadas medidas de segurança cibernética. Adicionalmente, para certo número de países desenvolvidos, há outras ameaças tais como fraude, ações contra a proteção do consumidor e contra a privacidade, as quais consideram também como objeto das medidas de cybersecurity de forma de proteger e manter a integridade das infraestruturas críticas nos setores financeiro, de saúde, da energia, do transporte, da telecomunicação, da defesa e de outros: “Cybersecurity is basically about providing protection against unauthorized access, manipulation and destruction of critical resources and assets. These resources and assets, and the related issues to be addressed, vary and depend on the level of development of countries. They also depend on what they consider to be a critical resource, the efforts they are willing and able to make and their assessment of the risks they are willing to accept as a result of inadequate cybersecurity measures. 9 Já para o Department Homeland Security –DHS do Governo dos Estados Unidos da América, segurança cibernética inclui a prevenção a danos causados pelo uso não autorizado da informação eletrônica e de sistemas de comunicações e respectiva informação neles contida, visando assegurar a confidencialidade, integridade e disponibilidade,incluindo ainda ações para restaurar a informação eletrônica e os sistemas de comunicações no caso de um ataque terrorista ou de um desastre natural: “Cybersecurity includes preventing damage to, unauthorized use of, or exploitation of electronic information and communications systems and the information contained therein to ensure confidentiality, integrity, and availability. Cybersecurity also includes restoring electronic information and communications systems in the event of a terrorist attack or natural disaster.”10 Percebemos que essas visões misturam em suas proposições conceitos e definições de proteção das infraestruturas críticas de informação, com segurança da informação e comuni- 8 http://iut.int acessado em 30 de outubro de 2008 9 ITU Global Cybersecurity Agenda (GCA): Framework for International Cooperation in Cybersecurity. ITU, 2007. p. 10. apud Canongia, Claudia, março 2009. 10 National Infrastructure Protection Plan: Partnering to enhance protection and resiliency, DHS, 2009. p.12. apud Canongia, Claudia, março2009. 27 cações, de combate ao crime organizado, de atuação de equipes de resposta a incidente de redes, e prevenção de desastres, dentre outras. No estudo publicado por SUND11 (2008) esse entrelaçamento de idéias fica mais explícito, pois a pesquisadora alinha a visão dos países da Europa: “According ITU, the focus areas in OECD countries to promote cybersecurity are: a) Areas of high attention: combating cybercrime; creating national CERTs/CSIRTs (Computer Emergency Response Teams/Computer Security Incident Response Teams); engaging in cybersecurity awareness raising activities, and fostering education; b) Areas with less attention: research and development; evaluation and assessment, and outreach to small and medium sized enterprises (SMEs). No entender do autor, uma Estratégia de Segurança Cibernética de Estado deve ir além disso. Acredito que deve congregar todas aquelas propostas, bem como proteger a privacidade de pessoas físicas e jurídicas, as infraestruturas críticas em um sentido mais amplo. Proteger, enfim, tudo aquilo que forma a Sociedade da Informação do país, sendo que essa proteção é papel do Estado, como, aliás, a própria a International Telecomunication Union – ITU reconhece em seu estudo ao afirmar que: “(…) quite a number of developed countries, in addition to other threats such as online fraud, consumer protection and privacy, also consider cybersecurity solutions as a way to protect and maintain the integrity of critical infrastructures in the financial, health, energy, transportation, telecommunication, defense, and other sectors.” ITU (2007) Com esse conceito em mente, o autor procurou uma definição que sistematizasse essa visão. A construção da proposta teve a seguinte evolução: • Segurança Cibernética deve ser entendida como a ciência e a arte de desenvolver e utilizar a informação que trafega em meio eletromagnético como recurso ou arma com vistas à preservação do Estado Brasileiro. • Segurança Cibernética dever ser entendida como a arte de garantir a existência do espaço cibernético brasileiro pela adoção de ações que assegurem disponibilidade, integridade, confidencialidade e autenticidade das informações de interesse do Estado brasileiro. 11 ITU Global Cybersecurity Agenda (GCA): Framework for International Cooperation in Cybersecurity. ITU, 2007. p. 10. apud Canongia, Claudia, março 2009. 28 Fica fácil perceber que essas propostas, que ora se confundiam com as definições de Segurança da Informação e Comunicações, ora com ações meramente de defesa do Estado, eram extremamente reducionistas e restritivas, pois tinham enfoque e ênfase nas informações, não referenciando diretamente as infraestruturas críticas, por exemplo. Finalmente o autor chegou à definição a seguir e a propõe como síntese do entendimento do que seja uma Estratégia de Segurança Cibernética para um Estado: Estratégia de Segurança Cibernética é a arte de assegurar a existência e a continuidade da Sociedade da Informação de uma nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infraestruturas críticas. Para tanto, o desenho de uma Estratégia para a Segurança Cibernética para a Nação brasileira deve projetar e dimensionar os esforços necessários para proteger seus ativos de informação, suas infraestruturas críticas de informação, suas informações críticas, desenhar planos para recuperação de informações frente a desastres naturais ou não, capacitar recursos humanos para responder pronta e competentemente a incidentes nas redes, garantir a privacidade das pessoas e empresas presentes na Sociedade da Informação, e, como grande diferencial, ter capacidade de desenvolver ferramentas de defesa, utilizando a informação como recursos ou arma para assegurar a preservação do Estado Brasileiro. A dimensão Segurança não deve existir sem estar complementada pela dimensão Defesa, como veremos no Capítulo 6. 1.6 Informática e Segurança na APF A Organização da Administração Pública Federal, como hoje a conhecemos, foi estabele- cida pelo Decreto-Lei 200 de 25 de fevereiro de 1967, e se rege pelos princípios fundamentais do planejamento, da coordenação, da descentralização e da delegação de competências. Destaque-se em seu artigo 30 que as atividades que mereçam a coordenação central devem ser organizadas em forma de sistemas: “ ... TÍTULO V DOS SISTEMAS DE ATIVIDADES AUXILIARES Art. 30. Serão organizadas sob a forma de sistema as atividades de pessoal, orçamento, estatística, administração financeira, contabilidade e auditoria, e serviços gerais, 29 além de outras atividades auxiliares comuns a todos os órgãos da Administração que, a critério do Poder Executivo, necessitem de coordenação central.” Percebe-se que a Informática ou o Processamento de Dados, como era chamado, nos idos de 1967, não foi configurado como um Sistema, haja vista que em seus primórdios, o uso do computador ainda não era muito complexo e, portanto sua utilização não modificava os processos administrativos, pois eram usados como equipamentos que aceleravam a produção de tarefas pontuais. Quando da elaboração do Decreto-Lei 200, apesar de raros, já existiam computadores em órgãos governamentais. Em 1957 o Governo do Estado de São Paulo adquiriu e recebeu um Univac-120, o primeiro computador no Brasil, que foi usado para calcular todo o consumo de água na capital. (MCI, 2000)12. Em 1959, a empresa Anderson Clayton compra um Ramac 305 (Random Access Method of Accounting and Control - RAMAC) da IBM, sendo este o primeiro computador do setor privado brasileiro. Existe um registro histórico de uma reportagem de 18 de agosto de 1959, feita pelo repórter Abram Jagle, da Folha da Tarde, que contava sua grande surpresa ao ser apresentado a um computador. A máquina tinha sido adquirida recentemente pela empresa Anderson Clayton: “O operador apertou, no teclado, cinco números e a máquina de escrever (um dos conjuntos do computador) escreveu: 'apresento as minhas boas vindas à reportagem das Folhas, Ramac-IBM 305, Anderson Clayton'. ... O cérebro eletrônico vai permitir um trabalho muito mais rápido e perfeito de controle, por exemplo, de quantidades e qualidades de algodão produzido na área abrangida pelas atividades da Anderson Clayton. O prazo da safra de algodão é muito curto. As informações são recebidas por telefone e anotadas em fichas cujo processamento não pode ser humanamente tão rápido como já se faz mister, considerando o elevadíssimo número de clientes da empresa. O computador, além dos referidos registros e cálculos, fará outras tarefas, como faturar, registrar duplicatas, controlar cobranças, atualizar estoques e créditos.” (MCI, 2000). Em 1961 chega ao Instituto Tecnológico de Aeronáutica – ITA o computador IBM 1620, trazido ao Brasil quase que clandestinamente, e que se tornou o primeiro naquele instituto (PACITTI, 1997). No mesmo ano e no mesmo ITA, surge o que seria o primeiro computador projetado no Brasil, feito realizado como trabalho de fim de curso de engenharia eletrônica pelos alunos José Ellis Ripper, Fernando Vieira de Souza, Alfred Wolkmer e Andras Vásárhelyi auxiliados pelo chefe da Divisão de Eletrônica do ITA e professor Richard Wallauschek O projeto oficialmente batizado pelo pomposo nome de ITA I, ficou consagrado como "Zezinho". (PACITTI, 1997). 12 (http://www.mci.org.br/linhatempo/index.html) acessado em 28 de outubro de 2008 30 O Serviço Federal de Processamento de Dados – SERPRO foi criado em 1964, como uma empresa pública com a missão de modernizar e agilidade à administração pública. (SERPRO, 2008).13 Comprovando que computadores já faziam parte do dia-a-dia de algumas empresas e órgãos de Governo, vale lembrar que, com o objetivo de trocar informações, facilitar a formação e a capacitação de mão de obra especializada e, principalmente defender os usuários frente às poderosas empresas fabricantes de computadores, (leia-se grandes empresas, já que os investimentos para a aquisição de um computador eram proibitivos para as médias e pequenas empresas) foi fundada em 23 de dezembro de 1965, no Rio de Janeiro, a Sociedade de Usuários de Informática e Telecomunicações – SUCESU, com o nome de Sociedade de Usuários de Computadores e de Equipamentos Subsidiários, de onde vem sua sigla. Rapidamente em outras partes do Brasil surgiram Sucesu-Regionais: São Paulo (26 de janeiro de 1967), Minas Gerais (07 de agosto de 1968), Rio Grande do Sul (21 de agosto de 1968). Estas fundaram a SUCESU – NACIONAL em (09 de junho de 1969). A SUCESU realizou, no Rio de Janeiro, em 1968, o 1º Congresso Nacional de Informática. (SUCESU, 2008).14 Com o uso cada vez mais complexo da informática na administração pública, e com os problemas de segurança daí decorrentes, o assunto segurança da informação é abordado especificamente pela primeira vez na legislação federal em 13 de junho de 2000 no Decreto nº. 3.50515, que Instituiu a Política de Segurança da Informação nos Órgãos e Entidades da Administração Pública Federal por iniciativa Conselho de Segurança Nacional – CSN. Note-se entretanto, que dentre as atribuições que foram citadas para a emissão deste Decreto, encontram-se a Lei nº 8.15916 de 8 de janeiro de 1991 que dispunha sobre a política nacional de arquivos públicos e privados e o Decreto nº 2.91017 de 29 de dezembro de 1998 que estabelecia normas para salvaguarda de documentos, materiais, áreas e sistemas de informação de nature- 13 www.serpro.gov.br acessado em 28 de outubro de 2008 14 www.sucesu.org.br/historia acessado em 28 de outubro de 2008 15 http://www.planalto.gov.br/ccivil_03/decreto/D3505.htm acessado em 28 de outubro de 2008 16 http://www.planalto.gov.br/ccivil_03/leis/L8159.htm acessado em 28 de outubro de 2008 17 http://www.planalto.gov.br/ccivil_03/decreto/D2910.htm acessado em 28 de outubro de 2008 31 za sigilosos. Em nenhum trecho destas legislações o termo segurança da informação é encontrado, apesar de estar implícito o seu sentido. Logo após, é editada Medida Provisória - MP nº 2.216-37, de 31 de Agosto De 200118, publicada em edição extra do Diário Oficial da União - D.O.U. de 1 de setembro de 2001 que alterou dispositivos da Lei nº 9.64919, de 27 de maio de 1998, dispondo sobre a organização da Presidência da República e dos Ministérios e citando o termo “segurança da informação”. Nessa MP, dentre outras alterações, é criado o Gabinete de Segurança Institucional da Presidência da República que recebe como uma de suas competências a responsabilidade de coordenar as atividades de segurança da informação na administração pública federal. A regulamentação do assunto permaneceu inalterada e válida como proposto no Decreto nº. 3.505/2000 que estabelece em seu artigo 2º o conceito de Segurança da Informação: “Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento”. Nesse conceito, arrojado para a época, percebe-se a preocupação dos legisladores em proteger as informações governamentais de ações de agentes internos e externos, antecipando-se aos incidentes e problemas de segurança, que hoje chegam à casa dos milhares (CTIR/DSIC, 2008)20 e que são enfrentados diuturnamente. O Decreto institui também, em seu artigo 6º o Comitê Gestor da Segurança da Informação - CGSI, com atribuição de: “Art. 6o Fica instituído o Comitê Gestor da Segurança da Informação, com atribuição de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na consecução das diretrizes da Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal, bem como na avaliação e análise de assuntos relativos aos objetivos estabelecidos neste Decreto.” 18 http://www.planalto.gov.br/ccivil_03/MPV/2216-37.htm#art1 acessado em 28 de outubro de 2008 19 http://www.planalto.gov.br/ccivil_03/Leis/L9649cons.htm acessado em 28 de outubro de 2008 20 Estatísticas de invasões nas redes federais - ano 2008– www.ctir.gov.br acessado em 10 de fevereiro de 2009, 32 O CGSI, composto por representantes de 16 Ministérios é, de fato, um órgão de assessoramento, cabendo à Secretaria-Executiva do Conselho de Defesa Nacional – SE/CDN a responsabilidade de coordenar as atividades de segurança da informação da administração pública federal. Percebe-se, entretanto, no texto do decreto, uma incompreensível superposição de competências, por exemplo, no artigo 4º, entre as diretrizes possíveis de adoção pela SE/CDN, encontra-se a seguinte: “IV - estabelecer normas relativas à implementação da Política Nacional de Telecomunicações, inclusive sobre os serviços prestados em telecomunicações, para assegurar, de modo alternativo, a permanente disponibilização dos dados e das informações de interesse para a defesa nacional;” Ocorre que em 16 de julho de 1997, data anterior à promulgação do Decreto 3505, foi sancionada a Lei nº. 9.47221, que dispunha sobre a organização dos serviços de telecomunicações, a criação e funcionamento de um órgão regulador da área: a Agência Nacional de Telecomunicações, com competência e poderes muito maiores e superpostos àquela diretriz. Talvez, decorrente das superposições de competências e das inúmeras atividades sob a responsabilidade daquela secretaria-executiva, somado ao momento político à época, fez-se com que algumas ações fossem priorizadas, como, por exemplo, a criação do modelo e implementação das infraestruturas de chaves públicas e de certificação digital do país. Ocorre que o incremento das TICs por toda a administração pública federal, e a falta de um órgão executivo de coordenasse de fato as ações de SIC, fez com que as atividades relativas à segurança da informação fossem implementadas, não como promulgadas naquele decreto, mas sim, de acordo com a visão sobre a sua importância de cada administrador nos órgãos e entidades da Administração Pública Federal (APF). O Estado Brasileiro, diante da necessidade de exercer a coordenação efetiva das atividades de segurança da informação, entendeu que esta competência deveria permanecer concentrada em uma só organização, e, com a promulgação da Lei nº 10.683, de 29 de maio de 2003, que dispõe sobre a organização da Presidência da República e dos Ministérios do novo Governo, manteve essa atribuição no Gabinete de Segurança Institucional da Presidência da República – GSI/PR, estruturando ainda um órgão subordinado ao GSI/PR para exercer especifi- 21 http://www.planalto.gov.br/ccivil_03/Leis/L9472.htm acessado em 28 de outubro de 2008 33 camente essa atividade, regulamentando aquela Lei com a edição do Decreto Presidencial Nº 5.77222 de 8 de maio de 2006, que criou o Departamento de Segurança da Informação e Comunicações – DSIC, com as seguintes competências: “Art. 8o Ao Departamento de Segurança da Informação e Comunicações compete: I - adotar as medidas necessárias e coordenar a implantação e o funcionamento do Sistema de Segurança e Credenciamento - SISC, de pessoas e empresas, no trato de assuntos, documentos e tecnologia sigilosos; II - planejar e coordenar a execução das atividades de segurança da informação e comunicações na administração pública federal; III - definir requisitos metodológicos para implementação da segurança da informação e comunicações pelos órgãos e entidades da administração pública federal; IV - operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da administração pública federal; V - estudar legislações correlatas e implementar as propostas sobre matérias relacionadas à segurança da informação e comunicações; e VI - avaliar tratados, acordos ou atos internacionais relacionados à segurança da informação e comunicações.” Em 13 de junho de 2008, o DSIC, depois de demorados estudos e negociações no âmbito do CGSI, consegue consenso para fazer publicar a Instrução Normativa nº 001/GSI23 que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta. Importante destacar, como registro histórico, que o entendimento sobre a necessidade de se legislar sobre o assunto segurança da informação tem se mostrado uma ação de Estado, pois ultrapassa os limites temporais de governos. Apesar de toda a legislação existente, como já referenciado, a necessidade dessa medida fica comprovada por uma pesquisa realizada pelo Tribunal de Contas da União – TCU, que se transformou no Acórdão nº 1602 de 15 de agosto de 2008 (TCU, 2008)24 sobre segurança da 22 http://www.planalto.gov.br/ccivil_03/_Ato2004-2006/2006/Decreto/D5772.htm acessado em 28 de outubro de 2008 23 http://dsic..planalto.gov.br/dsic/legislacaodsic/52 acessado em 28 de outubro de 2008 24 Acórdão 1603 – 15/08/08 – www.tcu.gov.br acessado em 28 de outubro de 2008 34 informação nos órgãos e entidades da administração pública federal, e que aponta as seguintes impropriedades no que concerne à prática da segurança da informação e comunicações na APF. “Da totalidade de órgãos da APF: 48% não possuem procedimentos de controle de acesso; 64% não têm política de segurança da informação; 64% não têm área específica de segurança da informação; 75% não adotam análise de riscos; 76% não têm gestão de incidentes; 80% não classificam as informações; 88% não têm Plano de Continuidade de Negócio.” Entretanto, como já vimos, não basta existir a legislação. É preciso que os órgãos interajam entre si. Para a correta consecução dessas medidas é necessário a coordenação das atividades bem como a articulação e estreita colaboração dos órgãos e entidades públicas ou privadas. Em função da sensibilidade de algumas informações com que lida a administração pública federal, assegurar que estas informações estejam em segurança de acordo com os preceitos que já vimos: disponibilidade, integridade, confidencialidade e autenticidade, além da transparência e ainda protegidas contra ameaças internas e externas, requer entender a questão da segurança da informação e comunicações – SIC e por extensão à segurança cibernética, como conceituada neste trabalho, como uma função típica de Estado. De acordo com o mandato legal, cabe ao Gabinete de Segurança Institucional – GSI, em articulação com os demais órgãos e entidades da administração pública federal, exercer a coordenação da função SIC em três dimensões, (i) na presidência da Câmara de Governo de Relações Exteriores e Defesa Nacional – CREDEN, elaborar as propostas de diretrizes estratégicas de segurança cibernética brasileira; (ii) como Secretaria do Conselho de Defesa Nacional – 35 CDN, estimular as discussões no âmbito do Comitê Gestor de Segurança da Informação – CGSI, entidade que preside, do detalhamento daquelas diretrizes; e, (iii) mediante a ação dos órgãos que pertencem à sua estrutura, em especial ao Departamento de Segurança da Informação e Comunicações – DSIC, consubstanciada em ações de regulamentação e normatização do setor, além do seu papel indutor da capacitação dos servidores públicos federais nas questões de SIC. As organizações públicas ainda não se adaptaram às mudanças introduzidas pela Sociedade da Informação, apesar do tempo que se utilizam as tecnologias da informação na APF. Essa adaptação, nos parece,, ainda exigirá um longo caminho, principalmente porque o seu uso evidencia dois aspectos que impactam sobremaneira o modelo de gestão hierárquico disseminado na APF. Destacamos dois aspectos: o primeiro é o incremento do grau de autonomia que os escalões inferiores alcançaram, com o uso maciço de TI. Os processos de trabalho circulam velozmente, as clássicas funções gerencias de centralização de decisões e consequentemente de poder, foram subvertidas por processos automatizados; as informações não mais circulam hierarquicamente, e os subordinados podem delas tomar conhecimento, independentemente de suas chefias. Isso permite aos subordinados um maior grau de autonomia. Por outro lado é “gritante” a diferença da capacitação técnica dos servidores mais jovens no uso das ferramentas de TI frente aos mais antigos, aí inclusas as chefias. Em recente pesquisa realizada pelo DSIC, que pode ser encontrada no Anexo B e publicada pela primeira vez, foi avaliado o grau de percepção de autoridades do executivo federal sobre segurança da informação e comunicações. O índice de respostas, exatos 27,68% do universo pesquisado, foi surpreendente por superar as melhores expectativas, sendo que desse total, 6 Ministros de Estado responderam, o que representa 12,24% do universo de Ministros (37), demonstrando, sem sombra de dúvidas, que o assunto desperta interesse. Como explicitado no Anexo B, na pesquisa preliminar, por amostragem, para a confecção das questões do formulário de pesquisa, foi constatado que, em média, um Ministro de Estado brasileiro convive com no mínimo um dispositivo eletrônico de controle de acesso, token ou cartão com chips e não menos que 10 identificações de usuários, sendo comum o compartilhamento dos dispositivos e das user-ids ou senhas com assessores. Foi possível observar que nem sempre a Autoridade percebe que, por força do cargo, tem a sua disposição os recursos 36 tecnológicos mais potentes e, por isso mesmo se tornam grandes vulnerabilidades no momento em que dispositivos os de controle de acesso são compartilhados. No Brasil, o assunto segurança ou defesa do espaço cibernético ainda não despertou a atenção que merece, nem mesmo no meio militar. O mesmo se dá quanto à própria segurança da informação, pois apenas há cerca de 3 anos, em 8 de maio de 2006, o Governo Federal entendeu ser necessária a criação da estrutura do Departamento de Segurança da Informação e Comunicações – DSIC, para homogeneizar o entendimento e centralizar as decisões na área. 1.7 Proposta do Trabalho Diante da constatação do papel do Estado na preservação do Espaço Cibernético associa- da à dificuldade de plena compreensão a respeito do que seja esse espaço, esta monografia apresenta elementos de uma Doutrina e de uma Estratégia de Segurança Cibernética para a proteção da Infraestrutura da Informação do Brasil, a qual é crítica para o Estado e a Sociedade Brasileira. Necessário se faz definir o contexto que os termos Doutrina e Estratégia são empregados nesse trabalho, que, por serem adotados com os preceitos da área de Defesa, não se encontram perfeitamente alinhados com as definições das áreas de Planejamento e Gestão das Ciências Administrativas. Entendemos por Doutrina ao “conjunto de preceitos destinados a orientar a ação. Sendo geralmente uma Normativa explicitando regras de aplicação geral ou específica. São princípios que servem de base a uma Política Pública.” ESG (Manual Básico 1983, Pág. 91). Já o termo Estratégia é aqui utilizado como “a arte de preparar e empregar os meios do Poder de uma Nação para superar os obstáculos de toda ordem, que dificultem ou impeçam a satisfação de seus interesses.” ESG (Manual Básico 1983, Pág. 110). São pressupostos para a elaboração da Doutrina e sua Estratégia de Segurança Cibernética sem esgotá-los: (i) a crescente dependência de um Estado Moderno relativamente a todas as infraestruturas críticas das tecnologias de informação e comunicações; (ii) a importância das informações depositadas sob a guarda do estado e da sociedade; (iii) a atual falta de cultura, 37 normas e ações articuladas de segurança das informações e comunicações no país; (iv) a articulação deficiente dos órgãos de estado responsáveis por prover esta segurança; (v) o apoio tímido das autoridades no que concerne aos assuntos de segurança cibernética; e (vi) a falta de marco legal. Para tanto dividimos este estudo, em três partes: (i) os capítulos 1 a 3 contextualizam o estudo, apresentando os problemas a serem enfrentados, justificando-o e delineando claramente os objetivos que se quer atingir na construção desta pesquisa; (ii) o capítulo 4 procede à revisão parcial da literatura existente, que associada às pesquisas realizadas pelo Departamento de Segurança da Informação e Comunicações – DSIC, órgão da Presidência da República, são aqui apresentadas em primeira mão e pretende contextualizar e comprovar os problemas encontrados e apontados anteriormente; (iii) os capítulos 5 e 6 articulam os resultados que se pode alcançar a partir das idéias estudadas. Procuramos apontar caminhos por onde seguir na busca daquele objetivo maior, mapeando objetivos intermediários, possíveis de serem realizados. Nesse contexto apresentam-se propostas de metas e ações que, em seu conjunto, intitulamos Estratégia de Segurança e Defesa Cibernética para a Administração Pública Federal. O capítulo 7 discute sobre o grau de alcance dos objetivos pretendidos. 38 2 O PROBLEMA Esta pesquisa é motivada pela constatação prática -decorrente da atividade profissional do autor25- de que faltam ao país elementos que garantam a Segurança do seu espaço cibernético de modo que se possa proteger a Sociedade e nortear a ação dos diversos atores que interagem na grande Rede, especialmente aquela necessária ao desempenho da ação do Estado do Governo na preservação da Sociedade no chamado Espaço Cibernético. 2.1 Pressupostos É um pressuposto deste trabalho que, por questões práticas, e por falta de marco legal, os órgãos, entidades e empresas do setor público e do setor privado limitam-se a adotar medidas de proteção individual apenas para suas redes, seus próprios sistemas e infraestruturas tecnológicas. Do ponto de vista dos modelos de gestão de segurança da informação, cujo desenvolvimento se deu também com uma visão de empresa individual, a perspectiva de proteção também se dá nas redes, infraestruturas tecnologias e sistemas de informação próprios da organização, sejam elas públicas ou privadas. Ocorre que a proteção individualizada e sem coordenação das diversas redes e infraestruturas prejudica a visão do todo, do bem comum, fragilizando a proteção das infraestruturas críticas de informações, tão necessárias ao Estado e Sociedade. Na Sociedade da Informação 25 D.O.U de 18 de julho de 2006 nomeação de Raphael Mandarino Junior como o primeiro Diretor do Departamento de Segurança da Informação e Comunicações – DSIC, com a atribuição de coordenar as atividades de Segurança da Informação e Comunicações na Administração Pública Federal 39 todos compartilhamos o mesmo espaço Cibernético. Desta forma, percebe-se que compete naturalmente ao Estado garantir a proteção do bem comum da sociedade da informação - o ciberespaço - mediante a construção de Políticas Publicas que apontem o caminho a ser seguido por toda a Sociedade Real. Em DALLARI, 1998, encontramos amparo para esse caminho quando nos explica que a institucionalização organizacional que deu causa ao surgimento do Estado tem a ver com a busca da autorrealização e satisfação das pessoas em processo ordenado, seja tendo em vista o próprio bem-estar, seja o bem comum. Caracterizando o seu entendimento sobre o que vem a ser o bem comum, aquele professor vale-se da conceituação do papa João XXIII: “O bem comum consiste no conjunto de todas as condições de vida social que consintam e favoreçam o desenvolvimento integral da personalidade humana” (Pacem in Terris [Encíclica], Petrópolis: Ed.Vozes, 1963, apud Dalmo de Abreu Dallari, ob. cit., p. 12). O autor julga que a solução passa pelo desenho de uma Política Pública intitulada Estratégia de Segurança e Defesa Cibernética para a Administração Pública Federal. Para a sua elaboração será necessária a constituição de um Grupo Especial de Trabalho composto por órgãos públicos e privados, que façam uso intensivo das infraestruturas críticas da informação, no âmbito do Comitê Gestor de Segurança da Informação – CGSI já que esse foi instituído com a atribuição de assessor a Secretaria Executiva do Conselho de Defesa Nacional na avaliação e análise de assuntos relativos aos objetivos estabelecidos no Decreto 3505/2000. Esta pesquisa tem por objetivo identificar alguns atores, propor a forma de articulação desse conjunto, e levantar métodos, técnicas, princípios e diretrizes de forma a indicar os elementos básicos para a construção de uma estratégia de Segurança e Defesa do Espaço Cibernético Brasileiro. 40 2.2 Desafios à Proteção de Espaços Cibernéticos Diante da necessidade de exercer a coordenação da segurança e defesa do seu espaço ci- bernético o Estado Brasileiro vê-se diante, em sua própria estrutura, de uma série de fatores que corroboram a necessidade de propor uma estratégia, que abrigue um modelo de articulação entre seus órgãos e entidades, para aperfeiçoar os esforços nessa direção. Essa estratégia deve contemplar a análise de diversos fatores, que vão desde a falta de integração entre órgãos da APF (ver Anexo C)- dada pela ausência de coordenação de ações conjuntas- passando pela escassez de marcos legais que orientem o administrador público sobre o caminho metodológico seguir, até a inexistência de ações estruturantes que fortaleçam ou desenvolvam uma cultura de segurança da informação e comunicações na Administração Pública Federal (ver Anexo A). Essa abordagem materializa-se no conceito de segurança da informação e comunicações, em desenvolvimento pelo Estado Brasileiro. Para tanto, é imprescindível a correta compreensão da dimensão do problema e o apoio irrevogável e irrestrito das chefias de todos os níveis, em especial as do primeiro escalão (ver Anexo B). Essa necessidade se faz clara quando tomamos como exemplo a situação atual na administração pública que é gerenciada por função, por exemplo: saúde, comunicações, água, educação, segurança e energia. A responsabilidade e o poder de emitir normas sobre a gestão de diferentes infraestruturas críticas está a cargo dos mais diversos ministérios. Ocorre que estas infraestruturas não são isoladas, estando na verdade intimamente interligadas. Por exemplo, a questão da água pode afetar a energia, já que os reservatórios são ao mesmo tempo reservas de água potável e local onde se abriga o componente (água) que proporciona a força motriz na geração de energia nas hidroelétricas. Ao lembrarmos que todas essas infraestruturas se valem das tecnologias da informação e comunicações para a gestão das suas atividades meio e fim, percebe-se que a quebra na segurança da informação de uma pode influenciar no desempenho de outra. 41 Esse é um problema mundial. Em 15 de março de 2009, o jornal Estado de São Paulo26 deu destaque à inclusão na proposta de orçamento para 2010, feita pelo presidente americano Barack Obama, de um financiamento de US$ 355 milhões para tornar mais segura a Internet naquele país. A proposta visa à proteção das redes públicas e privadas do país. Na mesma matéria são reproduzidas declarações de pesquisadores americanos: "A infra-estrutura do país é um alvo óbvio para esses ataques", disse Randy Grubb, diretor o Instituto de Pesquisa para a Segurança Cibernética da Universidade Armstrong Atlantic, no Estado da Geórgia. "A exploração de setores específicos por algum inimigo poderia dar informações privilegiadas referentes ao Exército e à economia dos EUA." Para o pesquisador Alexander Melikishvili, do Centro James Martin para Estudos da Não-Proliferação, na Califórnia, os resultados de um ataque cibernético dependem da integração das estruturas críticas do país à internet. "Quanto mais uma nação estiver integrada tecnologicamente, mais destruidor pode ser um ataque desses", afirmou o analista. "Hackers poderiam obter dados delicados do governo referentes a tecnologias avançadas e programas de defesa futuros." Assim para minimizar esses possíveis impactos, mediante ações preventivas conjuntas e coordenadas incluindo-se a total integração entre órgãos da APF, dentre outras ações, é que se faz necessário o apoio integral dos dirigentes governamentais, permitindo-se a criação de uma cultura de segurança da informação na APF. No fomento dessa cultura dentro dos órgãos e entidades do Governo Federal, é importante frisar que, mesmo em se tratando de uma questão de Estado, se faz necessário conciliar dois princípios basilares constitucionais de que se reveste a administração pública: transparência e publicidade dos atos públicos, em contraponto à necessidade de proteger informações de Estado. Cada situação depende do momento e do objeto em questão. Um exemplo clássico do que se deve proteger e o que se deve dar publicidade pode ser visto nas atividades de compra do governo. Enquanto um processo de compra de um serviço ou produto qualquer não for plenamente definido, não é permitida a divulgação da iminente aquisição, sob pena de se dar vantagem ilegítima a algum possível concorrente. Os dados devem, portanto, ser mantidos em sigilo. Entretanto, uma vez tomada a decisão, os editais de compra devem ter ampla divulgação para que qualquer fornecedor em potencial possa deles 26 http://www.estadao.com.br/estadaodehoje/20090315/not_imp339088,0.php 42 tomar ciência. Nesse momento, aqueles dados que estavam sob sigilo passam à situação de total transparência. Os procedimentos de compras estão plenamente regulados e fazem parte da cultura do administrador público, que tem o apoio de um conjunto de regras e procedimentos, pois ao mesmo tempo que esclarecem e direcionam quanto às decisões a serem tomadas no assunto, estabelecem quem e como se dará a fiscalização da correta obediência a estes princípios. O mesmo não ocorre quando tratamos dos procedimentos de segurança cibernética. As mesmas necessidades de proteção das informações de Estado e publicidade dos atos públicos podem ser inferidas pelos administradores, mas a ação sem coordenação aliada à inexistência de regras claras e de legislação específica, mais a velocidade de evolução das tecnologias de informação e comunicações envolvidas, torna confuso esse entendimento. Aumentando o desafio, sabemos que quase todos os administradores de primeiro nível foram alfabetizados e se formaram em um paradigma anterior à explosão da computação e do advento da Internet. Como demonstrar a esses executivos o real perigo que representa a delegação de senhas e controles de acesso aos assessores? Como explicar que os recursos tecnológicos de última geração postos à sua disposição, em seus locais de trabalho, podem trazer embutidos maiores riscos à segurança? Assim, verifica-se a necessidade premente de repensar o conceito de segurança das infraestruturas críticas de Estado, em especial a de Informação, mediante a construção de uma Estratégia de Segurança Cibernética. O esforço deverá se concentrar em desenhar essa Estratégia, de modo a torná-la escalável e modular, aproveitando os êxitos já alcançados por alguns Órgãos melhor estruturados no assunto. Tal estratégia também deve ser simples e atraente para a adesão voluntária, tanto por órgãos da administração pública quanto por todas as empresas e pessoas que compõem a Sociedade Brasileira. 43 3 3.1 REQUISITOS PRÉ-PESQUISA Objetivo Geral Dada à constatação preliminar de que o país carece de uma estratégia de defesa do seu es- paço cibernético, e que a necessidade de segurança nesse espaço se mostra cada vez mais próxima à necessidade de segurança do próprio Estado-Nação, e reconhecendo que essa tarefa transcende a este trabalho, o objetivo geral desta pesquisa é caracterizar alguns elementos centrais que servirão para a concepção de uma doutrina de estado para segurança e defesa do espaço cibernético brasileiro, os quais seriam: (i) os agentes de governo participantes e interessados no ciberespaço da Nação Brasileira, (ii) métodos, técnicas, princípios e diretrizes para uma estratégia de segurança cibernética alinhada com a organização do Estado Brasileiro e (iii) articulações possíveis entre os agentes de defesa cibernética do Estado Brasileiro. 3.2 Objetivos Específicos São objetivos específicos deste estudo: a. Apresentar uma revisão bibliográfica dos conceitos subjacentes ao conceito de segurança e defesa cibernética; b. Considerar os possíveis contornos do espaço cibernético brasileiro e sua influência sobre a segurança e defesa Cibernética; c. Identificar os principais atores da Administração Pública Federal que devem interagir na segurança cibernética e propor um modelo de interação entre eles; 44 d. Descrever princípios e diretrizes que norteiam o desenho de uma estratégia de segurança cibernética para o Estado Brasileiro; e. Esboçar caminhos para a construção de uma doutrina de segurança do espaço cibernético brasileiro. 3.3 Justificativas e Metodologia da Pesquisa A palavra Guerra sempre evoca ser atividade a cargo das Forças Armadas de um país, pois a preparação para uma guerra é papel preponderante das Forças Armadas e até seu dever constitucional27 (CONSTITUIÇÃO.1988 - Cap. II Art. 142). Mas devemos lembrar que a decisão sobre participação do Brasil em um confronto bélico cabe ao mais alto nível de gestão do Estado Brasileiro – à Presidência da Republica, que deve, no mínimo, como previsto na Constituição Brasileira, convocar e consultar o Conselho de Defesa Nacional. 3.3.1 Justificativas da Pesquisa Como já descrito, o mundo vive sob a ameaça de uma onda, crescente e silenciosa de ataques cibernéticos. Das pessoas físicas às empresas, de entidades sociais a governos, todos estão expostos a riscos ainda não completamente avaliados se estiverem presentes no espaço cibernético. As formas de ataque são as mais variadas, indo desde ações simples (mas nem por isso menos criminosas) de “pixação”de páginas da Web a roubos e adulterações de informações com graves conseqüências para vidas humanas. Seu desenrolar quase sempre não é precedido de avisos formais ou situações de confrontos explícitos. Em última análise um país, uma empresa ou uma pessoa pode ser vítima de ataques cibernéticos e nem ao menos se dar conta disso. Em 17 de maio de 2007, o jornal on-line Terra Tecnologia, transcrevendo matéria da BBC, informava que, naquele dia, o governo da Estônia divulgara que estava sofrendo um a- 27 Constituição Federal. Url: http://www.planalto.gov.br/ccivil_03/Constituicao/Constitui%C3%A7ao.htm. Consulta em 28 de outubro de 2008 45 taque cibernético proveniente de sítios localizados na Rússia.28 A acusação partia do Ministério da Defesa da Estônia para quem os ataques cibernéticos contra os sítios do seu país estariam vindo de todas as partes do mundo, mas que muitos deles estariam vindo de sítios baseados na Rússia. E que, além disso, instruções sobre como realizar os ataques estariam circulando, em língua russa, em sítios russos. A matéria continuava afirmando que: “O Governo estoniano informou que seus sites e muitos sites de empresas e bancos do país estão sendo bombardeados por uma enorme quantidade de pedidos de informação, acima da capacidade de processamento dos seus servidores”. Os ataques começaram ao final de abril, coincidindo com a retirada do monumento conhecido como Soldado de Bronze. A estátua, vista como um símbolo da opressão soviética por muitos estonianos, é considerada um monumento anti-fascismo pela Rússia e pela grande comunidade étnica russa da Estônia, que consideraram a remoção um insulto. ... O governo diz que, apesar de especialistas da OTAN e de outros países da União Européia estarem ajudando o país a traçar as origens dos ataques, a Rússia não estaria cooperando com as investigações. ... A Estônia quer que o episódio, que classifica como uma agressão russa, esteja no topo da agenda da cúpula União Européia - Rússia, que começa na sexta-feira em Samara, na Rússia. De Samara, o porta-voz do Kremlin Dmitry Peskov negou à BBC que seu governo tenha qualquer envolvimento com os ataques à Estônia, descrevendo as alegações como "completamente inverídicas".” Em 8 de setembro de 2007, o jornal a Gazeta do Povo29, transcreve matéria do jornal francês Le Monde, que noticiou que a França, a exemplo dos Estados Unidos e Alemanha, haviam sofrido ataques cibernéticos do governo chinês, conforme a notícia na íntegra: “A França também foi alvo de ataques cibernéticos chineses, a exemplo do que aconteceu com Estados Unidos e Alemanha, disse no sábado o jornal parisiense Le Monde, citando uma fonte do governo. 28 Estônia acusa Rússia por ataque cibernético ao país. URL: http://tecnologia.terra.com.br/interna/0,,OI1619983-EI4805,00.html. Acesso 28 de outubro de 2008 29 França também sofreu ataque cibernético chinês, diz Le Monde. Url: http://portal.rpc.com.br/gazetadopovo/mundo/conteudo.phtml?id=694676. Acesso 28 de outubro de 2008. 46 Pequim nega os relatos da imprensa ocidental segundo os quais Hackers chineses invadiram sistemas do Pentágono e do governo alemão, inclusive da chancelaria (sede do governo). Francis Delons, secretário-geral de Defesa Nacional da França, ligado ao gabinete do primeiro-ministro, disse ao Le Monde que seu país também sofreu esse tipo de invasão. "Por várias semanas, tive claras indicações de que a França não estava protegida de ataques (de Hackers chineses)", disse Delon ao Le Monde. "(Temos notado) sinais de ataques que tocaram serviços controlados pelo governo. Podemos falar de um caso sério, (mas) não estou em posição de dizer que esses ataques partiram do governo chinês." O Pentágono disse que os Hackers conseguiram entrar em um sistema de e-mails não-sigiloso no gabinete do secretário de Defesa dos EUA, Robert Gates. As autoridades norte-americanas não quiseram comentar informações do Financial Times de que o Exército Chinês seria responsável pela invasão. O Departamento de Defesa dos EUA disse que não houve ameaça a sistemas sigilosos ou interrupção das operações de defesa. Na Alemanha, a revista Der Spiegel, noticiou na semana passada que o serviço federal de inteligência disse ao governo em maio que Hackers chineses tinham penetrado em redes do ministério..” Mais recentemente, março de 2009, foi divulgado um extenso relatório intitulado Tracking GhostNet: Investigating a Cyber Espionage Network, relativo a uma pesquisa realizada pelo sítio Information Warfare Monitor30, ligado ao laboratório multidisciplinar Munk Centre for International Studies, da Universidade de Toronto que aponta ataques cibernéticos em mais de 100 países e que foi divulgado com exclusividade pelo jornalista John Markoff, do New York Times31: The researchers, who are based at the Munk Center for International Studies at the University of Toronto, had been asked by the office of the Dalai Lama, the exiled Tibetan leader whom China regularly denounces, to examine its computers for signs of malicious software, or malware. Their sleuthing opened a window into a broader operation that, in less than two years, has infiltrated at least 1,295 computers in 103 countries, including many belonging to embassies, foreign ministries and other government offices, as well as the Dalai Lama’s Tibetan exile centers in India, Brussels, London and New York. 30 http://128.100.171.10/?q=ghostnet 31 Vast Spy System Loots Computers in 103 Countries URL: http://www.nytimes.com/2009/03/29/technology/29spy.html. Acesso em 28 de março de 2009. 47 Outras expressões se fazem presentes na mídia cotidiana, usadas às vezes imprecisamente como sinônimos para descrever esses ataques cibernéticos: “Guerra da Informação”, “Guerra Eletrônica”, “Guerra Cibernética” e “Guerra Assimétrica”. Apesar da constante falta de precisão na utilização do termo, o cidadão comum, sem ter a real percepção de sua dimensão e alcance, não percebe que elas de fato são factíveis de ocorrer, e assim sendo, entender que todos os participantes da sociedade da informação podem ser inseridos nelas. Não é fácil perceber a diferença entre essas expressões, e não há consenso entre autores. Podemos definir Guerra da Informação, por exemplo, como um conflito onde o alvo é a informação, em uma tradução livre e simplificada do pensamento de SCHWARTAU (1994). Já LIBICKI (1995) amplia este conceito, introduzindo outras expressões em sua definição para guerra da informação: “Comando e controle, guerra baseada na inteligência, guerra eletrônica, guerra psicológica, guerra de hacker e guerra de informações econômica, guerra cibernética”. LESSA et. alli. (2002) definem guerra cibernética como uma guerra sem território e que abrange todo o planeta, com repercussões dos pontos de vista bélico, econômico, político e psicológico. METZ e JOHNSON. (2001) nos ensinam que no âmbito dos assuntos militares e de segurança nacional, a assimetria implica atuar, organizar e pensar de maneira distinta dos adversários, de forma a maximizar nossas próprias vantagens, explorar as fraquezas do inimigo, obter a iniciativa ou alcançar uma maior liberdade de ação. PARKS e DUGGAN (2001) definem Guerra Cibernética como um “subconjunto da guerra da informação, que envolve ações realizadas na Internet e nas redes a ela relacionadas.”. Já a Guerra Eletrônica é entendida como ações que visam o controle e domínio do espectro eletromagnético para impedir, reduzir ou prevenir seu uso contra os interesses do país, conforme explicito na Política de Guerra Eletrônica de Defesa do Ministério da Defesa (2004). Podemos entender que as infraestruturas críticas de um país são os alvos preferenciais de uma Guerra da Informação. Deflagrada contra a infraestrutura crítica financeira de um país, por exemplo, ela será percebida nas atividades típicas da sociedade da informação, pois deli48 beradamente atrapalhará o fluxo das transações comerciais feitas por intermédio da Internet e se perdurar, causará como conseqüência um recuo das atividades econômicas do Estado sob ataque. Esse conceito está contido na teoria da “Guerra além dos limites”, do livro “Unrestricted Warfare”, lançado em 1999 pelos coronéis Qiao Liang e Wang Xiangsui, do exército da República Popular da China: “A guerra, que se submeteu às mudanças da moderna tecnologia e do sistema de mercado, será desencadeada de forma ainda mais atípica. Em outras palavras, enquanto presenciamos uma relativa redução na violência militar, estamos evidenciando, definitivamente, um aumento na violência política, econômica e tecnológica”. Numa reflexão mais apressada pode-se não perceber qual influência uma ação de Guerra de Informação poderia ter sobre infraestruturas críticas do país, como estradas ou aeroportos que são, em essência, construções físicas e reais. Esse entendimento se dá na medida em que se constata que a sociedade é cada vez mais dependente das tecnologias e que a administração de toda e qualquer infraestrutura social ocorre, mesmo que em pequena parcela, por intermédio de seus sistemas de gerenciamento, de controle, e das comunicações entre esses sistemas e entre as pessoas que os operam e dirigem. Essa gerência se dá em grade parte de forma eletrônica, ou seja, ocorre no espaço cibernético, convivendo com ameaças inerentes a esse meio e expondo vulnerabilidades a todos os que possam estar conectados ao meio em qualquer parte do mundo. Conhecer as ameaças e ter uma doutrina e uma estratégia para seguir são relevantes para que as organizações da Sociedade Brasileira e em especial as da Administração Pública Federal, que tem a seu cargo operacionalizar infraestruturas críticas, possam conhecer e adotar posturas rígidas de defesa, protegendo seus ativos de informação dos possíveis ataques no espaço cibernético. As vulnerabilidades naturais de um conjunto complexo de redes informatizadas como a encontrada na Sociedade Brasileira e em especial na Administração Pública Federal são agravadas por fatores como a pouca cultura em segurança da informação e comunicações, o apoio tímido da alta administração para o assunto e a baixa articulação entre os órgãos e entidades, públicos, que têm a responsabilidade de defender contra aqueles ataques a parcela do espaço 49 cibernético sob sua responsabilidade direta. Os Anexos A e B desta monografia oferecem ampla evidência sobre a veracidade desta informação. Esses ataques se refletem diretamente na perda dos atributos da segurança da informação e de comunicações - disponibilidade, integridade, confidencialidade e autenticidade - dos serviços ofertados no espaço cibernético. Os conceitos de segurança da informação e de comunicações e seus atributos são apresentados na Seção 4.1 . Quanto à amplitude do ataque, eles vão do simples - como a descaracterização de uma página de um sítio da Web (defacement) buscando atingir a imagem e a credibilidade das instituições atacadas, como na Figura 1- aos mais complexos, que buscam incapacitar sistemas ou afetar a sua funcionalidade, refletindo-se no ambiente físico onde a instituição opera, como a ocorrida em junho de 2007 em um órgão público brasileiro cuja identificação estamos preservando, na modalidade “seqüestro” onde um invasor invade o sistema, modifica as senhas dos administradores e deixa uma mensagem estipulando o preço para “venda” da nova senha. O caso aqui relatado teve um desfecho favorável. Com a ajuda de especialistas a nova senha foi desvendada e o caso encaminhado às autoridades policiais. Figura 1 - Imagem do defacement no sítio da 12ª Região Militar do Exército Brasileiro. 32 Vale notar que a complexidade dos ataques cibernéticos vem aumentando no decorrer do tempo, enquanto a necessidade de conhecimentos técnicos por parte dos atacantes para efetuá- 32 http://www.zone-h.org/mirror/id/8839463. Acesso em 5 de maio de 2009 50 los vem decrescendo. Ataques que no passado buscavam quebrar o código de uma senha necessitavam de um amplo conhecimento técnico de programação e de sistemas operacionais. Atualmente ferramentas que permitem realizar ataques distribuídos a códigos ou senhas são encontradas facilmente na Web. O desenvolvimento dessas ferramentas continua a requerer um alto grau de expertise, mas para o seu uso não são necessárias mais do que alguns conhecimentos rudimentares. Uma relação entre o aumento da complexidade desses ataques e a diminuição da necessidade do conhecimento para a sua utilização pode ser vista na Figura 2, publicada originalmente pelo Computer Emergency Response Team CERT/CC, da Universidade de Carnegie Mellon. Em agosto de 2008 o Governo da Geórgia acusou o Governo Russo de incentivar seus cidadãos a contribuir para um ataque de negação de serviço (Denial of Service – DoS) durante o conflito entre os dois países. O ataque foi tão sério que mesmo antes de qualquer ação hostil entre os exércitos confrontantes, antes mesmo de o primeiro militar russo cruzar a fronteira entre os países, todos os sítios do governo da Geórgia, bem como os de empresas estratégicascomo bancos-já estavam fora do ar, sem condições de uso. De forma a vencer o bloqueio, o governo da Geórgia passou a valer-se de um sítio especializado em abrigar gratuitamente blogs. Essa situação perdura atualmente. 33 Outro exemplo de que as tecnologias de informação e comunicação – TICs são usadas de forma maciça, desta vez por terroristas, pode ser comprovada no recente (fevereiro de 2009) ataque à cidade de Mumbai, conhecida como a capital financeira da Índia. A notícia a seguir foi publicada no informativo do Comitê Interamericano Contra o Terrorismo – CICTE, órgão pertencente à estrutura da Organização dos Estados Americanos – OEA.34 Nesse ataque, chama a atenção o uso da telefonia pela Internet para os contatos entre os terroristas, bem como a utilização de serviços de vários países para dificultar as investigações forenses. “Ataque en Mumbai planificado en Pakistán por medio de cuentas de teléfono de Internet 33 Ministry of Foreign Affairs of Georgia. URL: http://georgiamfa.blogspot.com. Acesso 07 de novembro de 2008. 34 Comité Interamericano contra el Terrorismo ((CIICTE - OEA). URL: http://www.cicte.oas.org/Rev/Es/About/Newsletters/Informe_64_spa.pdf . Acesso 11 de março de 2009. 51 El gobierno pakistaní admitió el jueves 12 de febrero que "alguna parte de la conspiración" detrás de los ataques de noviembre en la capital financiera de India, Mumbai, ocurrió en Pakistán. "El incidente sucedió en India y parte de la conspiración ha sido planeada en Pakistán y por lo tanto [el cargo] será colaboración con el terrorismo," dijo Rehman Malik, director del Ministerio del Interior. De las ocho personas acusadas, seis están detenidas, incluso una persona de Barcelona, España, quién según Malik, pagó para las comunicaciones de teléfono celular de los atacantes. Los conspiradores, dijo, se comunicaron a través de cuentas de teléfono de Internet. "Las llamadas de teléfono de Internet entre los terroristas fueron organizadas por un militante que actúa desde Barcelona, quien fue atraído más tarde a Pakistán bajo pretexto y detenido", dijo Malik. Los investigadores rastrearon un pago de 238 dólares americanos de una cuenta española para comprar un nombre de dominio registrado en Houston. El otro fue registrado en Rusia. Un teléfono satélite usado en los ataques estaba registrado "en un país del Medio Oriente," dijo Malik. Tarjetas SIM austríacas fueron usadas por algunos de los presuntos conspiradores, dijo.” CICTE (2008) Figura 2 – Sofisticação dos ataques cibernéticos x conhecimento técnico do atacante. Fonte: CERT/CC (2007). 35 A Figura 2 demonstra graficamente a evolução na sofisticação dos métodos de ataque comparando-a com o conhecimento, relativamente baixo, necessário para empregá-los. 35 Overview Incidents anda Vulnerability Trends. CERT/CC URL. http://www.cert.org. Acessado em 26 de outubro de 2008. 52 Com uma linha ascendente intitulada Attack Sophistication, representando a forma como os ataques foram se sofisticando ao longo do tempo, o gráfico tem como origem a técnica conhecida por password guessin, que nada mais é do que alguém tentar adivinhar a senha do equipamento que está utilizando ou de um outro que esteja tentando acessar remotamente. Esta técnica, relativamente simples, necessitava de um grande conhecimento técnico à época, para que fosse utilizada com alguma possibilidade de sucesso. Em uma posição mais elevada, demonstrando que é uma técnica muito mais sofisticada, está, por exemplo, o Cross Site Scripting – XSS, que é um tipo de ataque, altamente popular nos dias de hoje, e que literalmente pega a maioria dos usuários por estar escondido em páginas que eles acham que não podem lhes causar problemas. Apesar da sofisticação e do conhecimento necessário para desenvolver uma ferramenta de ataque deste porte, o seu uso é relativamente simples, já que ferramentas que exploram este tipo de vulnerabilidade podem ser encontradas com uma simples pesquisa na Web.36 37 Isso está representado na curva descendente intitulada Intruder Knowledge, que demonstra que para o uso de ferramentas de ataques, modernas e sofisticadas, o conhecimento técnico requerido está sendo reduzido. Não se deve ter a impressão errada de que o mesmo se dá com relação ao desenvolvimento de ferramentas de ataque. Este segmento continua a exigir, cada vez mais sólidos conhecimentos de programação e de sistemas operacionais. Constituir, pois uma doutrina de segurança e de defesa cibernética é assegurar a segurança nacional, aqui entendida em seu sentido mais amplo, como garantia de proteção perante ameaças ou ações adversas à própria pessoa humana, às instituições ou a bens essenciais, existentes ou pretendidos no país. Ataques perpetrados no espaço cibernético podem refletir no ambiente físico das infraestruturas críticas de um país, interferindo assim em assuntos internos ao buscar frustrar ou impedir um dos objetivos fundamentais do Estado brasileiro: a autodeterminação. 36 Cross-Site ScriptingURL: http://www.forum-invaders.com.br/phpBB/viewtopic.php?f=20&t=8542968. Acesso em 28 de março de 2009 37 Como Explorar um XSS (Cross-site scripting) no Orkut. URL: http://www.beijosmeliga.com.br/?pg=orkut/xssorkut. Acesso em 28 de março de 2009 53 Os movimentos para a construção de estratégias para o enfrentamento dos problemas de ataques aos espaços cibernéticos guardam semelhança com o que está proposto neste estudo. Os dois exemplos a seguir ilustram de forma inconteste esta afirmação e demonstram que não há modelo pronto, já que ambos estão em construção. Vale notar ainda que muitos dos países cujos exemplos são apresentados, são antagônicos em seus modelos de segurança e defesa, econômico, social, e, de gestão governamental, o que só enfatiza o fato que os problemas cibernéticos enfrentados hoje são de escala mundial e independem de credos políticos. Em março de 2009 o Governo dos Estados Unidos da América anunciou que investiria 355 milhões de dólares americanos em um programa de defesa cibernética cujo objetivo é de tornar mais seguras as redes públicas e privadas daquele país. A notícia foi assim transcrita pelo jornal O Estado de São Paulo, em 15 de março de 2009:38 “Depois de autorizar o envio de mais de 17 mil soldados para o Afeganistão e anunciar a retirada de todas as tropas de combate americanas do Iraque até agosto do ano que vem, o presidente dos EUA, Barack Obama, resolveu atacar em outro front: a Internet. Preocupado em tornar mais seguras as redes públicas e privadas do país, Obama incluiu na proposta de orçamento para 2010 um financiamento de US$ 355 milhões para a manutenção do setor - essencial para a economia e para a defesa dos EUA. Especialistas vêm alertando há anos contra um "Pearl Harbor eletrônico", um "11 de Setembro digital" ou um "Cibergedom". "A decisão do presidente de injetar mais dinheiro para a segurança na Internet é importante porque um ataque às redes americanas poderia causar danos semelhantes aos de armas de destruição em massa", disse ao Estado, por telefone, Ravi Sandhu, diretor do Instituto para a Segurança Cibernética da Universidade do Texas, em San Antonio. Um ataque de grandes proporções poderia fazer com que informações detalhadas sobre planos militares vazassem para as mãos de grupos ou Estados inimigos, debilitando as estratégias do Exército, além de poder causar o bloqueio de dados bancários e interferir na bolsa de valores. Sistemas de transporte e de saúde também poderiam entrar em colapso ao serem violados em um ataque. Expressões como ciberguerra e ciberataque já causam calafrios aos serviços de inteligência de vários países. Governos ocidentais, EUA à frente, estão convencidos de que seus inimigos nesse novo campo de batalha estão no Leste, como estavam na Guerra Fria - mais especificamente, Rússia e China. Um relatório apresentado ao Congresso americano no fim do ano passado concluiu que a China está expandindo "agressivamente" sua capacidade de guerra virtual e em breve poderá possuir uma "vantagem assimétrica". Segundo o relatório, "essas vantagens reduziriam a superioridade dos EUA em guerras convencionais".” 38 EUA investem em defesa cibernética. Url: http://www.estadao.com.br/estadaodehoje/20090315/not_imp339088,0.php . Acesso em 15 de março de 2009. 54 Em maio de 2009, o Presidente da Rússia, Dmitri Medvedev, anunciou a assinatura de um decreto sobre “Estratégia da Segurança Nacional da Rússia”, documento que define os princípios da política interna e externa de seu país até 2020. A lista de assuntos que merecem prioridade na preparação da estratégia abrange: a ameaça de difusão de armas de destruição em massa; a sua posse por terroristas; o aperfeiçoamento de formas de atividades ilegal nos campos da informática e da biotecnologia, e das altas tecnologias. Destaque do documento, que foi publicado no sítio do Conselho de Segurança da Rússia, no trecho que faz referência explicita à questão da segurança cibernética, conforme tradução encontrada no jornal português Gazeta do Minho39: “... o aumento do confronto global no campo da informação”, dentre outros, trará “ameaças à estabilidade dos países industriais e em desenvolvimento do mundo, bem como ao seu desenvolvimento socioeconômico e aos institutos democráticos.”. Uma diretriz fundamental em uma Doutrina de Segurança e de Defesa Cibernética a ser desenhada deve ser a de aglutinar os mais diferentes atores que hoje se dedicam à Segurança das Informações e Comunicações nos mais diversos órgãos e entidades da Administração Pública Federal, de modo que atuem como uma só instituição ou, no mínimo como um só Sistema, aqui entendido em seu conceito mais simples emprestado da Teoria Geral dos Sistemas: “um conjunto de elementos que interagem ou estão relacionados entre si.” (BERTALANFFY, 1975). Elaborar uma Estratégia de Segurança Cibernética, pronta para a sua implantação, que seja efetiva, de aplicação prática e que se constitua em um marco legal para a Administração Pública Federal é ação dependente de decisões políticas, que estão além da capacidade deste estudo. Dessa forma o assunto será tratado apenas do ponto de vista teórico, apontando-se alguns dos elementos concretos para a composição deste Sistema (principais atores) e referenciado como trabalho futuro sugestões sobre o desenho dos contornos de uma estrutura que dê uma dinâmica coerente à importância do assunto. 39Rússia: Presidente Medvedev assina Estratégia da Segurança Nacional até 2020 URL: http://www.correiodominho.pt/noticias.php?id=6963. Acesso em 20 de maio de 2009. 55 Da mesma forma, compreende-se que a elaboração de uma Doutrina de Segurança Cibernética é uma tarefa que transcende, e muito, ao escopo deste trabalho. Assim, o estudo limitarse-á a propor o início da discussão do tema para apontar propostas que serão aglutinadas como um esboço de uma Estratégia de Segurança Cibernética limitada aos Órgãos e Entidades da Administração Pública Federal. 3.3.2 Metodologia da Pesquisa A metodologia adotada nesta pesquisa é composta pela aplicação de quatro métodos: Revisão Bibliográfica, Análise Documental, Pesquisas Específicas e Revisão Crítica. A pesquisa com uma revisão bibliográfica de termos e conceitos básicos de segurança cibernética tem por objetivo apontar propostas semelhantes e divergentes existentes na literatura. Posteriormente são estudados e descritos, baseados em análise documental, os principais agentes no campo da segurança cibernética no país. Por fim, é esboçada e apresentada uma proposta de Estratégia de Segurança do Espaço Cibernético Brasileiro, que é analisada mediante uma revisão crítica, por meio do diálogo com a literatura. 56 4 AMEAÇAS, ATAQUES, SEGURANÇA, DEFESA E GUERRA CIBERNÉTICA Para estabelecer a segurança e a defesa do espaço cibernética brasileiro contra antagonismos e pressões de qualquer origem, forma ou natureza que nele se manifestem ou produzam seus efeitos, é preciso elaborar uma Doutrina e uma Estratégia de Segurança e Defesa Cibernética. Essa construção da doutrina ou da estratégia necessita da caracterização de três elementos: (i). do espaço cibernético brasileiro, já que a definição de fronteiras cibernéticas ainda é uma questão aberta, como foi discutido anteriormente; (ii). das origens desses antagonismos, pressões ou ataques, já que, em razão desse contorno difuso e das características de interconexão de todas as redes informatizadas nas quais se apóia a chamada Sociedade da Informação, a clássica análise separada entre ameaças internas e externas não faz tanto sentido; e, (iii). do tipo de ação antagônica que será respondida, pois a segurança e a defesa cibernética abrangem ações que se desenvolvem ou se originam ou mesmo se encerram no meio virtual. Esses elementos são abordados neste Capítulo que tem início com a justificativa da importância da segurança da informação e comunicações e sua relevância para a segurança e a defesa cibernética. 57 4.1 Segurança da Informação e Comunicações A comunidade acadêmica e a de profissionais ligados à área de segurança da informação vêm delineando os conceitos de que se reveste essa nova especialidade, sendo consenso que os atributos disponibilidade, integridade, confidencialidade são os principais e que melhor definem as propriedades da segurança da informação (KRAUSE,1999). Entretanto, o Comitê Gestor de Segurança da Informação - CGSI, órgão do poder executivo brasileiro, entende que o atributo autenticidade tem a mesma importância que os demais, quando se trata de definir as propriedades da segurança da informação e comunicações, no nível da Administração Pública Federal – APF. Assim, em agosto de 2007, em sua VII reunião ordinária daquele ano, chegou ao consenso quanto à definição do conceito sobre segurança da informação e comunicações, para ser aplicado por todos os órgãos e entidades da administração pública federal: “Segurança da Informação e Comunicações são ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da Informação e das Comunicações”. Longe de ser uma inovação, entender a autenticidade como um importante atributo encontra amparo em autores e em normas internacionais adotadas pela Associação Brasileira de Normas Técnicas – ABNT como na ABNT NBR ISO/IEC 27002:2005 - Código de Prática para a Gestão da Segurança da Informação, que avançam inclusive em outros atributos como: não repúdio; Auditoria; Legalidade e Privacidade apresentada em Sêmola (2003). Apesar de reconhecer que outros autores trabalham com outros atributos, KRAUSE (1999) prefere manter o foco nesses três: “Some security experts argue that two other requirements may be added to these three: utility and authenticity (i.e., accuracy). In this discussion, however, the usefulness and authenticity of information are addressed within the context of the three basic requirements of security management.” KRAUSE (1999) define os atributos autenticidade, integridade e confidencialidade da seguinte forma: “Availability is the assurance that a computer system is accessible by authorized users whenever needed. Integrity is the protection of system data from intentional or accidental unauthorized changes. 58 Confidentiality is the protection of information in the system so that unauthorized persons cannot access it.” O CGSI, acolhendo as definições de KRAUSE entende que: A Disponibilidade é a propriedade que assegura que as informações estarão prontas para o acesso e utilização sempre que requisitadas por indivíduos, sistemas e ou equipamentos devidamente autorizados para requerê-las. Que a propriedade Integridade assegura que as informações não foram alteradas ou modificadas de forma ilícita em nenhumas das fases de sua existência, desde a sua origem de armazenamento até ao destino. O CGSI entende ainda por Confidencialidade a propriedade que assegura que as informações não foram acessadas por indivíduos, sistemas e ou equipamentos sem a devida autorização. Define também a Autenticidade como a propriedade que assegura que as informações foram produzidas, expedidas, modificadas, ou recebidas por determinado indivíduo, sistema ou equipamento. Apenas como complemento, ressaltamos que os demais atributos citados têm as seguintes definições na Norma ABNT NBR ISO/IEC 27002:2005 e em SÊMOLA (2003): Não repúdio: atributo que garante que não seja possível negar o envio ou recepção de uma informação ou dado, nem uma operação ou serviço que modificou ou criou uma informação. Legalidade: atributo que garante a legalidade jurídica da informação assegurando que todos os seus dados estão de acordo com as cláusulas contratuais pactuadas ou a legislação nacional ou internacional vigente. Privacidade: atributo que garante que uma informação privada só pode ser vista, lida ou alterada ou disponibilizada para outras pessoas com o conhecimento e autorização prévia de seu dono. 59 Auditabilidade: atributo que garante a rastreabilidade dos diversos passos de um processo informatizado, identificando os participantes, ações e horários de cada etapa. O conceito de comunicações introduzido na segurança da informação e comunicações destaca que o meio, infraestrutura física e lógica, onde as informações trafegam constituem parte fundamental e que, como tal, merecem a mesma proteção. Destaque-se ainda que o instrumento legal que estabelece a definição do conceito de Segurança da Informação e Comunicações para a Administração Pública Federal é a Instrução Normativa 001/GSI de 13 de junho de 200840. Fica dessa forma constituído o conceito de segurança da informação e comunicações. 4.2 Espaço Cibernético ou Ciberespaço 4.2.1 Aspectos Gerais A Infraestrutura Crítica da Informação, à qual está vinculada a Segurança da Informação e Comunicações, compreende, como já vimos, todos os hardwares, softwares e equipamentos que se interconectam, seja por fibras óticas, seja pelo espectro eletromagnético. Compreende também os locais de armazenagem, processamento, transmissão de toda a informação, além da própria informação. As pessoas que interagem com a infraestrutura também são objeto das medidas de Segurança da Informação e Comunicações. Esse todo forma um conjunto de partes virtuais ou partes físicas. O complexo virtual, aí formado, compõe o chamado cyberspace, ou ciberespaço ou espaço cibernético. De imediato ressalva-se que as fronteiras entre o virtual e o físico tornam-se, a cada dia, mais difusas. Como ensina FRAGOSO (2000), do chamado espaço cibernético, entendido como o conjunto de informações codificadas binariamente que transita em circuitos digitais e redes de transmissão, emergem referências a um “espaço informacional”, e que a despeito da 40 Instrução Normativa 001/GSI de 13 de junho de 2008. Publicada no DOU Nº 115, de 18 Jun 2008- Seção 1 60 aparente falta de correspondência com o espaço físico que chamamos de real, possui em comuns as referências à interação, navegação e existência. Concluindo que a abundância de metáforas e sua rápida absorção pela cultura descrevem experiências virtuais em termos espaciais do mundo real FRAGOSO afirma que existe algum paralelismo “entre a espacialidade de nossa experiência cotidiana e a percepção que temos da abstração a que denominamos ciberespaço.”. Não estranhamos se ouvimos alguém dizer que antes de comprar um produto na Internet “viu” o produto na loja eletrônica, ou que “visitou” uma determinada localidade turística. FRAGOSO avança mais ainda, afirmando que: Diante de uma 'realidade virtual' que dê continuidade às formas de representação praticadas, por exemplo, no cinema e na televisão, as fronteiras entre o real e o imaginário podem assumir caráter cada vez mais difuso. Também as noções de proximidade e distância, duramente abaladas por tecnologias de transmissão de informação anteriores, poderiam tornar-se ainda menos significativas em função da extrema aceleração viabilizada pelas tecnologias digitais de comunicação. A cunhagem do termo cyberspace - uma junção das palavras cybernetics e space - é atribuída ao escritor de ficção científica William Gibson, canadense de nascimento, que o introduz no conto intitulado Burning Chrome no livro de mesmo nome de 1982. A popularização do termo se dá em 1984 com a publicação do livro Neuromancer do mesmo autor. O trecho usualmente citado como referência a esta cunhagem do termo é: “Cyberspace. A consensual hallucination experienced daily by billions of legitimate operators, in every nation, by children being taught mathematical concepts... A graphic representation of data abstracted from banks of every computer in the human system. Unthinkable complexity. Lines of light ranged in the nonspace of the mind, clusters and constellations of data. Like city lights, receding”. GIBSON (1982) descreve o cyberspace, em essência, como uma alucinação consensual vivida diariamente por milhões de pessoas em todas as nações, resgatando e consolidando, de certa forma, a idéia de uma "aldeia global" profetizada por MCLUHAN (1969) na década de 60 já que possibilita a interconexão, em uma complexidade impensável, de pessoas acessando dados dispostos em qualquer parte, possibilitando a todos os navegantes desta grande rede participar de um modelo acreditado como democrático e interativo, numa interligação de "todos para todos". FERNANDES (1998) destaca a importância do ciberespaço na construção de uma consciência coletiva que busca uma humanidade autossustentável. 61 Já o termo cibernética, de onde se origina o prefixo ciber, de ciberespaço, deriva do grego Κυβερνήτης (kybernetes, o que governa o timão ou leme - a mesma raiz de governo). Foi definido por Norbert Wiener, em seu livro do mesmo título, de 1948, como o “estudo do controle e da comunicação no animal e na máquina”. Essa definição vem sofrendo críticas e recebendo contribuições e aperfeiçoamentos ao longo dos anos. Larry Richards, quando presidente da American Society for Cybernetics, em 1987, propôs uma compilação de definições sobre cibernética41 dada à complexidade e à abrangência de sua aplicação. Destacam-se as definições de André-Marie Ampére, considerado o primeiro a usar o termo cybernetics. Estse físico francês que viveu entre 1775 e 1836 usou o termo em 1834 para descrever "a ciência da gestão de processos")42. Ampére também se refere ao termo Cibernética “como a arte de governar ou a ciência do governo”43. Outra definição que se sobressai é a de Stafford Beer, (1959), em seu livro Cybernetics and Management, pesquisador, intelectual respeitado, considerado o “fundador da cibernética gerencial”, para quem cibernética é a “ciência da organização eficaz”44. 4.2.2 Delimitando Fronteiras no Espaço Cibernético Uma questão ainda em aberto acerca da segurança e defesa cibernética é a da delimitação de fronteiras do espaço cibernético. É comum encontrarmos afirmações de que o avanço tecnológico, a Sociedade da Informação, a interconexão das redes informatizadas ou a Web, aboliram as fronteiras territoriais. 41 American Society for Cybernetics Foundations – Compilação sobre definições de Cibernética. Disponível em: http://www.asccybernetics.org/foundations/definitions.htm . Acesso em 20 jul 2008. 42 American Society for Cybernetics Foundations – Compilação sobre definições de Cibernética. http://www.managementcybernetics.com/en/fs_mankyb.html. Acesso em 20 jul 2008. 43 American Society for Cybernetics Foundations – Compilação sobre definições de Cibernética. http://www.asccybernetics.org/foundations/definitions.htm. Acesso em 20 jul 2008. 44American Society for Cybernetics Foundations – Compilação sobre definições de Cibernética. http://www.managementcybernetics.com/en/fs_inst.html. Acesso em 20 jul 2008. 62 Como estabelecer, porém, os limites físicos onde se dará a defesa e a segurança cibernética de um Estado? Ao redor dessa questão, para a qual, adiantamos, não existirem respostas corretas, é que apresentamos os argumentos que se seguem. 4.2.2.1 Os Contornos do Espaço Cibernético Brasileiro Pode parecer um paradoxo falar em espaço físico para uma atividade que se dá em essência no espaço cibernético - um lugar que pode ser acessado de forma autônoma e independente - que serve dentre outras coisas para consultas a uma miríade de dados que podem ser acessados com o uso de equipamentos dispostos nas mais diferentes lugares: de casa, do trabalho, de hotéis, de bares: o cyber espaço. Espaço onde as identidades são fragmentadas e sem raízes, pois no ciberespaço, qualquer um é aquele que deseja ser. Não há a necessidade da raiz, do lugar de origem, onde a identidade se constituiu em função da ligação com os referentes ali existentes. É o lugar onde todos agem, se comunicam, exercem seus devaneios, sonhos e fantasias e são comumente identificados por apelidos ou nicknames. Não interagem fisicamente, no sentido da proximidade característica daqueles que se reconhecem como indivíduos reais. Assim podemos dizer, lembrando AUGE (1994), que o ciberespaço é um não-lugar: sem fronteiras, sem raízes, sem história. Como então, identificar as fronteiras cibernéticas do território nacional? Se lembrarmos que as interconexões com outros Estados se dá por meio de cabos óticos submarinos transoceânicos, que adentram o território nacional pelo litoral ou pelo espectro eletromagnético através de conexões de satélites, que tipo de fronteira devemos proteger? As fronteiras dos mares territoriais, as fronteiras terrestres ou as do espaço aéreo? “Situar as fronteiras cibernéticas é um desafio que intriga por sua virtualidade, pois à medida que áreas diferentes do globo são postas em interconexão umas com as outras, ondas de transformação social atingem virtualmente toda a superfície da terra” GIDDENS (1990) apud HALL (2004). Alertamos, portanto que na criação de uma estratégia de segurança cibernética, que o tema seja discutido e que os contornos do espaço cibernético que se deve defender sejam minimamente delimitados. 63 4.2.2.2 Alguns Conceitos Similares Na busca de definições de consenso entre as nações acerca dos limites do ciberespaço, questões de difícil resposta têm que ser enfrentadas. Sem a pretensão de esgotá-las, apresentamos a seguir algumas dessas perguntas que permanecem em aberto na questão da segurança e da defesa do espaço cibernético: (i) Podem ser considerados como os limites da fronteira cibernética de um Estado os equipamentos de borda das redes que se encontram nos pontos mais extremos do território de um pais ou nação? (ii) Ou os limites encontram-se nos pontos físicos dos backbones no momento que eles adentram o território de um Estado pela terra (Fronteiras físicas) ou pelo mar (Mar Territorial) ou ainda pelo ar (Espaço Aéreo Nacional)? E se a entrada ocorrer pelo espaço sideral (espaço exterior)? (iii) Ou ainda, a fronteira cibernética de um determinado Estado é dada pelo conjunto de equipamentos que estão em um dado momento ligados ou fazendo uso da infraestrutura crítica de redes cibernéticas, sem ser importante a sua localização física real? Para tentar auxiliar na reflexão sobre as possíveis respostas a essas perguntas, apresentamos a seguir dois conceitos45 sobre a questão de limites e fronteiras físicas, que por sua semelhança podem ser utilizados nos estudos que serão desenvolvidos a respeito da questão de fronteiras no espaço cibernético. Entretanto, vale ressaltar, que mesmo esses, aparentemente mais simples, não são universalmente aceitos. Mar Territorial O mar territorial é, de forma geral, a faixa de mar que se estende desde a linha de base até a distância que não deve exceder 12 milhas marítimas de largura da costa, medidas a partir da linha de baixamar do litoral continental e insular de um país, e sobre a qual um Estado exerce sua soberania, com algumas limitações determinadas pelo Direito Internacional, ACCIOLY (1996). Também é denominado como domínio marítimo, águas territoriais, mar litoral, mar adjacente, águas nacionais, litoral flutuante, águas jurisdicionais ou faixa litorânea. Ou seja, é o mar que banha ou circunda o território continental ou insular das nações e vai do litoral até alcançar uma linha imaginária - linha de respeito - paralela a esse litoral. 45 Serviu para base deste Anexo um estudo de 2008 da Assessoria Jurídica do Gabinete do Comando da Aeronáutica, a quem agradecemos. 64 Observe-se que a fixação da largura do mar territorial tem se constituído uma das mais controvertidas questões de direito internacional público e varia de Estado para Estado entre três, seis, doze e duzentos milhas marítimas. No Brasil, o mar territorial se estende até 200 milhas marítimas46 medidas desde a linha de baixo mar47 do litoral brasileiro, continental e insular (Enciclopédia Saraiva do Direito. Vol. 33). O Brasil reconhece o direito de passagem inocente (que não ameace à paz, à boa ordem e à segurança do Brasil) a todos os navios de todas as nacionalidades no mar territorial brasileiro. A soberania brasileira, para resguardo da política aduaneira, fiscal, sanitária e de imigração do país, bem como de exclusividade na pesca, é exercida dentro dos limites de 200 milhas, compreendidas desde o cabo Orange à foz do Chuí. Espaço Aéreo O espaço aéreo brasileiro é a projeção correspondente ao espaço superposto ao território real da nação brasileira e suas águas adjacentes abrangendo inclusive o mar territorial. Quanto à sua extensão, apesar de ainda não haver um marco jurídico firmado no âmbito do direito internacional, é calculada em 80 quilômetros, abrangendo, por conseguinte, o espaço aéreo e todo o ar atmosférico sobre o espaço geográfico nacional, aí incluso o mar territorial. O Brasil exerce completa e exclusiva soberania sobre o espaço aéreo acima de seu território e respectivas águas jurisdicionais, inclusive a plataforma continental. De modo complementar, faz-se necessário descrever o conceito de Soberania, bem como traçar algumas considerações sobre o que vem a ser um estado e suas fronteira, pois ligado a estes conceitos estão o direto de defesa e de segurança. 46 MILHA MARÍTIMA: corresponde, conforme conferência hidrográfica internacional de l929, a l.852 metros. 47 BAIXA-MAR: é o nível mínimo da curva da maré, ou seja, maré baixa. 65 Soberania Nacional O todo que compreende: (i) o território continental e o insular, seu subsolo; (ii) o mar territorial, seu leito e subsolo; (iii) e o espaço aéreo sobrejacente correspondente a ambos, é considerado território nacional, que tem como característica ser uno, indivisível, imprescritível e inalienável, sobre o qual, dentro dessas fronteiras, o Estado Brasileiro exerce o seu poder soberano e discricionário. Características de um Estado e suas Fronteiras. A palavra Estado, popularizada por Maquiavel (1513) no final do século XVI, é definida, de forma simplificada na Geografia, como uma forma política de organização territorial onde as fronteiras são os limites deste Estado. Mas o aprofundamento da leitura visando caracterizar o que seria modernamente uma fronteira dentro de um contexto teórico do que seria um Estado demonstra que essa não é uma tarefa simples. A História comprova que as definições de Estado e fronteira variaram com o tempo. (Ver seção 1.4 ) No contexto mais simples os limites de um Estado seriam os limites de um reino apesar desses limites serem indeterminados, freqüentemente temporários face a acordos ou guerras. Exemplificamos com o Tratado de Tordesilhas, assim denominado por ter sido celebrado na povoação castelhana de Tordesilhas, em 7 de Junho de 1494, entre Portugal e Castela (parte da atual Espanha), definindo a partilha do chamado Novo Mundo entre ambas as Coroas, um ano e meio após Colombo ter reclamado oficialmente a América para Isabel a Católica, e que nunca foi integralmente respeitado. Apenas no século XIX é que se completa a demarcação da maior parte dos limites do mundo como o conhecemos, inclusive o Brasil. Mesmo assim percebe-se aquela tendência a variação, como as ocorridas recentemente que alteraram significativamente os desenhos das fronteiras européias - em decorrência da queda do muro de Berlim em 1989, e das asiáticas em conseqüência de conflitos e guerras localizadas. 4.2.2.3 Quais as Fronteiras do Espaço Cibernético Brasileiro? O assunto é muito novo e requer muitos e aprofundados estudos antes de haver uma proposta que possa iniciar os diálogos entre as nações na busca de um consenso a seu respeito. 66 Entretanto, dadas às características inovadoras e especiais de que se reveste a Sociedade da Informação, o ambiente onde ela floresceu e se desenvolve, seu poder inconteste de alterar definitivamente a forma dos relacionamentos pessoais, profissionais e sociais como atualmente presenciado, faz crer que definir o espaço cibernético, suas fronteiras e a soberania de cada estado sobre ele, é um esforço necessário e urgente sobre o qual a sociedade organizada deve se debruçar. Este estudo ainda inconcluso permite emitir, pelo menos, um alerta sobre esta questão. 4.3 Ameaças e Conflitos no Espaço Cibernético ou Ciberespaço A respeito de ameaças e de espaço cibernético, HAMRE (1998), então vice-secretário de Defesa do Governo Americano, falando sobre a necessidade de proteção dos recursos críticos de informação contra ameaças de qualquer espécie como "um dos mais importantes desafios da segurança nacional dos próximos anos," afirmou que: “Para lidar com essas ameaças, primeiro devemos levar em consideração a nossa mentalidade. Tradicionalmente, os americanos sempre pensaram em segurança como uma cerca no quintal, definindo os limites e protegendo a área demarcada. Se a cerca for danificada, ela pode ser reparada, e o local estará seguro novamente. Essa filosofia funcionava bem nas eras de segurança anteriores, mas não existem fronteiras no espaço cibernético. A transição para a próxima era deverá ser caracterizada não por avanços tecnológicos, mas pela flexibilidade de pensamento. Precisamos nos conscientizar de que a segurança no mundo virtual é tanto um processo de abordagem gerencial e de atenção quanto de tecnologia”. A literatura já registrava esse conceito de ameaça sob o título de “Guerra de Informações”, em referências como SCHWARTAU (1994), LIBICKI (1995) e MAHNKEN (1995). Embora usada com muita frequência, a expressão Guerra de Informações não é de fácil definição. Quando consultamos autores renomados vê-se que SCHWARTAU (1994), por exemplo, define guerra de informações como "um conflito eletrônico no qual a informação é um ativo estratégico digno de conquista ou destruição. Computadores e outros sistemas de comunicação e informação tornam-se os primeiros e mais e atrativos alvos para serem atacados.”. Contrastando com essa definição, LIBICKI (1995) define guerra da informação de modo mais amplo, como “Comando e controle, guerra baseada na inteligência, guerra eletrônica, guerra psicológica, guerra de hacker e guerra de informações econômica, guerra cibernética”. 67 Já MAHNKEN (1995) dá uma singela definição conceitual de Guerra da Informação como “o meio pelo qual um Estado nega ou manipula a inteligência à disposição de um inimigo.". FRENCH (2002) compila no quadro, apresentado na Tabela 1, as diferentes interpretações do termo Guerra de Informações elaboradas e adotadas por vários autores.48 Tabela 1 – Tipos e Definições Sobre Guerra da Informação, segundo FRENCH (2002). Interpretação de Guerra da Informação Aumento (força) do ataque convencional: Novas formas de integrar e organizar as forças convencionais. Ataque militar baseado em TI: Novos alvos militares para forças convencionais. Combate em Rede – Novo alvo militar baseado em novas formas de organização das forças convencionais Ataques a alvos civis baseados em TI – Novos alvos civis para forças cibernéticas (tropas especializadas em guerra cibernética) Inteligência Perfeita – Usando as informações para prevenir completamente o conflito militar Autor e Data (Der Derian, 1994) (Mahnken, 1995) (Barnett, 1998) (Thomas, 1996) (Arquilla and Ronfeldt, 1993) (Critchlow, 2000) (Devost, 1995) (Harknett, 1996) (Sullivan, 1994) (Wheatley and Hayes, 1996) (Economist 1995) Em um estudo para a Rand Corporation, intitulado The Advent of Netwar, ARQUILLA e ROENFELDT (1993) definem que Guerras de Redes "significam tentar romper ou danificar o que uma população-alvo conhece ou pensa que sabe acerca si mesmo e do mundo a sua volta”. Essa definição descreve ou torna implícitas ações contra a cultura ou religião de um povo. ARQUILLA e ROENFELDT (1993) esclarecem que para atingirem esse intento, as modernas forças armadas necessitam de uma “organização em rede, semelhante às utilizadas pelos grupos terroristas ou de insurgentes”. 48 Definitions of Information Warfare. http://www.terrorism.com/modules.php?op=modload&name=News&file=article&sid=5648. Acesso em 28 de outubro de 2008. 68 Para HARKNETT (1996) a Guerra de Redes torna-se, em essência, um ataque contra registros eletrônicos pessoais, de transações comerciais ou contra a infraestrutura de informações de uma cidade, ou país. Dada à profusão de definições, para efeitos deste estudo, considera-se Guerra Cibernética como denominação genérica para todos os tipos de conflitos cujo alvo principal é a informação armazenada nos sistemas informatizados empregados no controle da infraestrutura crítica de um país, a exemplo da conceituação de LIBICKI (1995). É necessário registrar que, no entanto, alguns autores ampliam esse conceito, colocando a Guerra da Informação ou Guerra Cibernética, como uma “arma” de dissuasão. DER DERIAN (1994) explorou esse conceito, fazendo um paralelo com os tempos da Guerra Fria, argumentando que a cyber-dissuasão, ou seja, a integração de poderosas forças armada convencionais com exibicionismo tecnológico e simulações estratégicas desse poder tecnológico, pode ser tão contundente para outras nações que podem substituir a dissuasão nuclear. DER DERIAN (1994) argumenta que, embora os Estados Unidos, por exemplo, realmente empreguem o seu poderio nuclear ou estejam dispostos a se envolver em uma prolongada e desgastante guerra convencional, um adversário dificilmente duvide que eles não empreguem uma forma eletrônica de ataque, durante situações de conflito ou de pré-conflito, aí inclusas munições inteligentes de longo alcance, por exemplo. Recentemente, no conflito entre Israel e Palestinos, um software foi usado como arma de guerra. Trata-se da ferramenta Megaphone (GIYUS), que serve para mobilizar internautas pelo mundo dispostos a manobrar opiniões na rede modificando resultados de pesquisas on-line, gerando inúmeras mensagens eletrônicas destinadas a autoridades e ajudando a protestar contra notícias consideradas desfavoráveis à comunidade israelense. Essa ferramenta encontra-se disponível no sítios www.giyus.org uma organização pró Israel cujo o nome é uma sigla formada pelas palavras em inglês Give Israel Your United Support. 69 Segundo uma matéria veiculada sobre o assunto na Folha Online49 em 19 de janeiro de 2009, “Redes sociais e sítios colaborativos, como Facebook e YouTube, também estão na mira do software Megaphone (GIYUS). Esse tipo de estratégia, que recebeu o apoio do Ministério das Relações Exteriores de Israel, já forçou o sítios da BBC a tirar uma enquete do ar.”. MAHNKEN (1995) alargou a idéia de dissuasão com um conceito mais contundente que chamou de Guerra de Choque, definindo-a como um conflito com base na paralisia estratégica do adversário, rompendo sua coordenação e cadeia de comando e “esmagando” sua vontade de resistir. Nesse caso são alvos principais os sistemas de comando e controle, as redes de telecomunicações civis e militares e até mesmo seus líderes. Argumenta ainda que “a préinformação desta ação (conhecimento prévio pelo inimigo acerca desta capacidade) pode levar à supressão da própria operação”. O conceito de Paralisia Estratégica foi proposto originalmente pelos coronéis americanos John Boyd, já falecido e o ainda ativo coronel John Warden III, atualmente na reserva da Força Aérea Norte-Americana. Foi aplicado com sucesso na campanha do Golfo Pérsico, tendo Warden atuado como um dos planejadores da atuação de forças sob o comando da ONU para atacar as tropas invasoras do Iraque no emirado do Kuwait. Pode-se definir Paralisia Estratégica como o uso de alta tecnologia bélica, destinada a destruir, o mais rapidamente possível, a possibilidade de um governo comandar suas forças militares pela destruição do próprio centro de governo e de todo o sistema de comunicações, controle e inteligência do país atacado. SAMPAIO (2004)50 afirma que a paralisia estratégica é uma evolução da antiga guerra relâmpago (blitzkrieg) da doutrina alemã, que visava a um ataque decisivo contra a frente adversária, destruir o apoio administrativo/logístico e o sistema de comando da força oponente. Agora, trata-se de penetrar no sistema organizacional do país inteiro e provocar o colapso, não de uma frente, nem a captura de um ou outro corpo de exército, mas a captura de um país inteiro. 49 Software israelense manobra opiniões na internet URL: http://www1.folha.uol.com.br/folha/mundo/ult94u491732.shtml. Acesso em 19 de janeiro de 2009. 50 Reflexões sobre a Paralisia Estratégica nas Campanhas do Golfo e o processo de paz. URL: http://www.defesanet.com.br/esge/P_Estrat.pdfacessado em 11 de julho de 2009. 70 O conceito de Paralisia Estratégica pode ser entendido como a realização do preceito de Sun Tzu sobre ganhar as batalhas sem a necessidade de combates, pela dominação moral sobre o adversário. Também pode ser identificado como característico de uma Guerra Assimétrica, pois permite derrotar inimigos militar, numérica e economicamente superiores, desorganizando-os pela destruição dos seus sistemas de comando e controle e de inteligência. SCHWARTAU (1996), em Information Warfare, identifica três classes de alvos potenciais que dão origem à denominação de distintas formas de Guerra de Informações: Classe 1 – Guerra de Informações contra Pessoas – onde o ataque tem como objetivo quebrar a “privacidade eletrônica” do indivíduo, invadindo seus arquivos e registros digitais particulares para se obter informações essenciais da pessoa ou modificá-las para fins escusos. Exemplos de ocorrências de Guerra de Informações contra pessoas podem ser caracterizados pelos crimes cibernéticos: fraude ou roubo de identidade ou de dados de cartões de crédito com o objetivo de compras de produtos e serviços em nome do usuário. Estes crimes são cometidos por quadrilhas muito bem organizadas. A propósito do assunto, no último Fórum Econômico Mundial, realizado em Davos, em janeiro de 2009, em um painel sobre crimes cibernéticos, um dos especialistas informou que nos Estados Unidos um só grupo de criminosos virtuais roubou e redirecionou para a Ucrânia detalhes de transações de 25 milhões de cartões de crédito. Esses dados foram usados para compra de inúmeros produtos que agora estão à venda no sítio de leilões eletrônicos eBay51. Foi afirmado ainda que não se trata mais de vandalismo mas sim de crime organizado, e que essas ações nada tem a ver com tecnologia e sim com a economia. Esses especialistas apontaram que os custos desses roubos já atingem a cifra anual de 1 trilhão de dólares americanos, causando prejuízos para toda a Sociedade Mundial. Classe 2 – Guerra de Informações contra corporações – caracteriza-se por ações de obtenção de informações à desinformação, à disseminação de informações, falsas ou verdadeiras, prejudiciais à corporação que se quer atingir; 51 Cybercrime threat rising sharply. URL: http://news.bbc.co.uk/2/hi/business/davos/7862549.stm. Acesso em 28 de outubro de 2008. 71 O caso brasileiro mais conhecido de guerra de informação contra uma empresa ocorreu em 1999, quando o senhor Ricardo Mansur, então em disputa comercial com o Banco Bradesco, iniciou uma campanha de difamação do Banco pela Internet. Sua ação foi a de remessa pela Internet de inúmeros e-mails para outros bancos e instituições comerciais e financeiras, divulgando que o Bradesco estaria com um “buraco” na contabilidade de R$ 13 bilhões (treze bilhões de reais), que teria prejuízos há vários anos e muitos de seus diretores manteriam contas secretas em um banco suíço. O e-mail foi enviado em nome de [email protected], endereço criado em Londres em um cyber café conforme ficou demonstrado nas investigações policiais. Ficou ainda comprovada a ligação do Senhor Mansur a esse endereço eletrônico, pelos acessos feitos à caixa postal de marcosc_c nos dias seguintes pelos computadores da empresa United Empreendimentos Imobiliários também em Londres, e em escritórios de empresas em São Paulo todas de propriedade daquele senhor.52 O caso teve como desfecho a prisão e a condenação do senhor Ricardo Mansur. Pelo caráter didático, reproduzimos um trecho de uma sentença exarada pelo Supremo Tribunal de Justiça negando um pedido de habeas-corpus a favor do réu o senhor Ricardo Mansur, em 12 de setembro de 2001: “O empresário continuará preso na Custódia do Departamento de Polícia Federal do Estado de São Paulo. Em 15 de setembro de 1999, Ricardo Mansur enviou mensagens eletrônicas, pela Internet, divulgando a várias pessoas e instituições financeiras informações falsas, incompletas e alarmantes sobre instituição econômico-financeira do Banco Bradesco S/A, visando afetar a credibilidade do banco junto a seus acionistas e correntistas e abalar o sistema financeiro nacional como um todo.” 53 Classe 3 – Guerra de Informações Global – ações desencadeadas contra a infraestrutura econômica de uma Nação, atingindo o seu conjunto de indústrias e suas forças econômicas regionais nacionais. O exemplo mais conhecido e que melhor se caracteriza como uma ação de Guerra de Informações Global, ocorreu há cerca de dois anos. Uma disputa política entre a Rússia e a Estônia deflagrou um maciço ataque de negação de serviço (DoS) contra os sítios de governo, bancos e plantas industriais de energia elétrica da Estônia. Essa ação foi repetida no ano pas- 52 Veneno por e-mail. URL: http://epoca.globo.com/edic/19991213/neg3.htm. Acesso em 28 de outubro de 2008. 53 STJ mantém Ricardo Mansur preso URL: http://www.direito2.com.br/stj/2001/set/12/stj_mantem_ricardo_mansur_preso. Acesso em 28 de outubro de 2008. 72 sado, quando a infraestrutura de Internet da Geórgia foi derrubada durante o conflito com a Rússia. Um dos participantes dos debates sobre ataques cibernéticos no Fórum Econômico Mundial de Davos afirmou que o ano de 2008 pode ser caracterizado como o ano que a Guerra cibernética começou, demonstrando que se pode dominar um país em cerca de minutos. Outros autores se debruçaram sobre o tema como LIBICKI (1995), que identifica sete formas distintas de guerra de informações com objetivo de degradar, negar, proteger e ou manipular informações e que podem ser combinadas entre si. São elas: (i). Guerra de Comando e Controle (Command & Control Warfare - C2W) – é a estratégia militar que implementa a guerra de informações no campo de batalha, com o objetivo de “decapitar” a estrutura de comando das forças armadas inimigas. (ii). Guerra Baseada na Inteligência (Intelligence-Based Warfare - IBW) - se caracteriza pela obtenção e fornecimento de dados de inteligência diretamente para sistemas de armas e de avaliação de danos. (iii). Guerra Eletrônica (Electronic Warfare - EW) – é o domínio do espectro eletromagnético do inimigo, impedindo ou degradando a sua capacidade de transferência de informação. (iv). Guerra Psicológica (Psychological Operations - PSYOPS)- compreende o uso da informação contra a mente dos recursos humanos inimigos, militares ou não. Libicki a divide em quatro campos: a. operações contra a população em geral, atacando a vontade nacional do inimigo; b. operações contra o comandante das forças armadas do inimigo; c. operações contra a moral das tropas inimigas; e, d. conflito cultural. (v). Guerra de Hacker (Hacker Warfare) – consiste na realização de ataques a sistemas de computadores, levados a efeito através da exploração de falhas conhecidas do sistema de segurança do alvo designado. Pode ser conduzido por equipes militares ou civis, ou mesmo 73 por simpatizantes, bastando conhecimentos de redes e um simples computador acoplado à rede. (vi). Guerra de Informações Econômicas (Economical Information Warfare) – baseiase no princípio de que o controle das informações econômicas, sejam fluxo de transações financeiras, ou de acesso a conhecimentos de produção e de tecnologia de ponta, fazem com que as nações inimigas fiquem sem condições de competir e por isso tornem-se economicamente dominadas, ou mesmo sejam levadas ao colapso econômico. Libicki divide este tipo de Guerra em duas vertentes, variantes eletrônicas do embargo de bens materiais: a. bloqueio de informações: Sua lógica consiste em interromper o fluxo de informações produtivas, transações financeiras em tempo real, por exemplo, afetando as atividades da sociedade atacada; b. imperialismo de informações: Sua lógica consiste em impedir que as empresas mais produtivas e lucrativas do inimigo, que teoricamente fazem maior uso das tecnologias da informação e comunicações e de conhecimentos em seus processos produtivos, tenham o acesso a esse conhecimento e às novas tecnologias impedido o seu desenvolvimento. (vii). Guerra Cibernética (Cyberwar) – Sua lógica consiste em atacar as informações do inimigo em qualquer área que faça uso extensivo de recursos informatizados. Para tanto, se vale de várias formas de ação, do terrorismo à destruição da infraestrutura global de informações. O Professor Darc Costa, da Escola Superior de Guerra - ESG, em seu trabalho “Visualizações da Guerra Assimétrica” (LESSA, COSTA e EARP, 2002) ensina que existem hoje quatro diferentes tipos de guerra: i – a guerra convencional; ii - a guerra de destruição em massa; iii - a guerra irregular; e iv - a guerra assimétrica. A Guerra Convencional, de metodologia conhecida, tem como ícone a 2ª Grande Guerra. Nos últimos tempos, em especial durante a guerra fria, os estudos sobre a guerra estavam centrados na teoria das Guerras de Destruição em Massa (GDM). A possibilidade dessas 74 guerras, em especial a da vertente nuclear, exigiu diferentes planejamentos estratégicos, armamentos, organizações de unidades, além de preparo e adestramento militares. Hoje parece claro que este tipo de guerra é improvável, o que enseja outros tipos de guerras, principalmente a Guerra Irregular, tipo que enquadra a maioria dos conflitos armados ocorridos após a 2ª Guerra Mundial. Por isso mesmo ela vem sendo muito estudada nos últimos tempos (LESSA, COSTA e EARP, 2002). A Guerra Irregular tem como característica o movimento, o atacar e esconder-se buscando o elemento surpresa, típico da guerrilha. Seu caráter é nacional ou territorial. O atentado de 11de setembro de 2001 tornou real um novo tipo de guerra, que era estudado apenas no campo das hipóteses: a guerra assimétrica, que nada mais é que uma guerra irregular travada em escala mundial no dizer de COSTA (2002): “Após os atentados de onze de setembro, surgiu, contudo, um novo tipo de guerra, que figurava, exclusivamente, no plano das hipóteses, a guerra assimétrica, que nada mais é que uma guerra irregular travada no espaço mundial. Guerra assimétrica, talvez pudesse ser definida, como foi dito, de guerra irregular em escala mundial, ou como a guerra irregular, que não se cinge a um espaço nacional.” COSTA (2002) classifica a Guerra Cibernética como uma Guerra Assimétrica. Neste tipo de guerra podemos ter uma combinação das seguintes assimetrias: a) poder econômico e financeiro – muitos recursos versus poucos recursos; b) capacidade bélica – relativa e localizada versus absoluta; c) estruturação organizacional – hierarquia versus rede; d) objetivos – imenso número de alvos, quase infinito (militares, civis e instalações do inimigo mais forte, seus aliados, e organizações que o apóiem) versus poucos alvos (combatentes e instalações do inimigo mais fraco); e) resultados – indiferença quanto a resultados a curto e médio prazos versus necessidade de resultados expressivos a curto prazo. Isto é, o lado mais forte tem que vencer, mas o lado mais fraco tem apenas que mostrar que está vivo; e f) comportamentos – não-sujeitos a nenhuma regra, admitindo, inclusive o suicídio na ação versus o oponente, preso a regras e convenções. A possibilidade da guerra de informações foi de algum modo antecipada por Alvin e Heidi Toffler, no livro Guerra e Anti-guerra, de 1994. Na obra, as guerras são apresentadas em 3 grandes ondas: 75 (i). a onda das “guerras agrícolas”: típica do período das revoluções agrárias; (ii). a onda das “guerras industriais”: fruto das revoluções industrias, e (iii).a onda da “guerra da informação”: como fruto da sociedade da informação. 4.4 Hackers e Outros Agentes de Ameaça Cibernética Sendo a assimetria de informação a característica marcante da guerra cibernética, faz-se necessária uma caracterização mais detalhada dos agentes capazes de empreender tais ações, sendo a expressão hacker a mais usada neste contexto. A palavra hacker, que tem uma origem histórica controvertida. Conforme os conceitos introduzido por LEVY (1984) no livro The Hacker Ethic: o hacker deve mover suas ações de forma ética, movido apenas pelo desafio de testar os limites de seus próprios conhecimentos, segundo os seguintes princípios: “Access to computers should be unlimited and total. Always yield to the Hands-On Imperative All information should be free. Mistrust authority–promote decentralization. Hackers should be judged by their hacking. You can create art and beauty on a computer. Computers can change your life for the better.” Variantes dessas regras são adotadas como filosofia por grupos identificados como Hackers éticos ou “do bem” conforme outra expressão usada como autoclassificação. Segue-se uma definição muito citada, seja por (VIANNA, 2001), seja por (NETO, 2003) e atribuída a David Casacuberta que se identificava eletronicamente como DA5ID, bem como a José Luis Martín Más identificado como Marco13 e que seriam autores da publicação Diccionario de ciberderechos Hackers, fundadores e ativistas da Electronic Frontier Foundation 76 da Espanha, um grupo de defesa dos direitos cibernéticos que atuou naquele país entre 1996 e 200054. “Según la leyenda, el primer uso no "tradicional" del término se debe a alguien que sabía donde dar el puntapié ("hack") exacto en una máquina de refrescos para conseguir una botella gratis. Ya sea en ese sentido o en el de cortar algo en pedazos, lo cierto es que el primer uso genuino de hacker en el mundo de la informática era el de alguien que conocía de forma tan detallada un sistema operativo (lo había "cortado en pedazos" por así decirlo) que podía obtener de él lo que quisiera (como el señor de la leyenda urbana acerca de una máquina de refrescos). Así, en el sentido originario, un hacker es simplemente alguien que conoce los sistemas operativos (y por tanto los ordenadores) como la palma de su mano. Puesto que, en principio, para poder entrar sin permiso en un ordenador ajeno son necesarios grandes conocimientos de informática (aunque luego ello no sea así necesariamente), rápidamente el término se extendió en una nueva acepción como intruso o perpetrador informático que accede al control de una máquina en la Red sin permiso.” Na língua portuguesa a palavra hacker acabou se consagrando por sua freqüente utilização na mídia, encontrando-se hoje em dicionários (FERREIRA, 1999): [Ingl., substantivo de agente do v. to hack, 'dar golpes cortantes (para abrir caminho)', anteriormente aplicado a programadores que trabalhavam por tentativa e erro.] S. 2 g. Inform. 1. Indivíduo hábil em enganar os mecanismos de segurança de sistemas de computação e conseguir acesso não autorizado aos recursos destes, ger. a partir de uma conexão remota em uma rede de computadores; violador de um sistema de computação. Ser considerado um hacker é, em alguns círculos, um elogio. De certa forma tenta-se fazer uma distinção de que o Hacker mau, criminoso, um invasor, por exemplo, seja referenciado de outra forma, Cracker. Segundo este raciocínio, hackers invadem sistemas com o único objetivo de conhecê-lo melhor e aprimorar suas técnicas, enquanto os crackers invadem sistemas em geral com objetivos financeiros ou simplesmente para causar algum dano ao computador da vítima. Mas essa diferença é meramente subjetiva já que hackers e crackers invadem sistemas e violam a privacidade digital alheia, o que já é considerado crime em muitos países. Para NETO (2003), contribui para essa visão distorcida: “o perfil criado e amplamente divulgado pela mídia tem o criminoso virtual como sendo em regra indivíduo do sexo masculino, que trabalha de alguma forma com a 54 The Hacker Story. URL: http://hackstory.net/index.php/Fronteras_Electr%C3%B3nicas Acessado em 2 abr. 2009 77 utilização de computadores e sistemas informáticos, com idade entre 16 e 33 anos de idade, avesso à violência e possuidor de inteligência acima da média. São extremamente audaciosos e aventureiros, movidos acima de tudo pelo desejo de conhecimento e de superação da maquina. Mas hoje delinqüentes são, em geral, pessoas que trabalham no ramo informático, normalmente empregadas, não tão jovens nem inteligentes; são insiders, vinculados a empresas (em regra); sua característica central consiste na pouca motivabilidade em relação à norma (raramente se sensibilizam com a punição penal); motivos para delinqüir: ânimo de lucro, perspectiva de promoção, vingança, apenas para chamar a atenção etc.” STERLING (1994) esclarece que o termo hacker é aplicado nos dias de hoje a qualquer pessoa que cometa fraude ou crime eletrônico: “El término hacking se ha usado rutinariamente hoy en día por casi todos los policías, con algún interés profesional en el abuso y el fraude informático. La policía americana describe casi cualquier crimen cometido con, por, a través, o contra una computadora, como hacking.” Para HALLECK (2004) qualquer um pode se denominar hacker, desde crianças burlando regras e jogos on-line até alguém que usou um script para “pixar” uma página daWeb. Assim, nem todos são iguais, nem todos são perigosos. HALLECK acredita que a melhor maneira de conhecê-los é avaliá-los sob 3 aspectos: (i) conhecimento; (ii) intenção; e (iii) motivação. ROGER (2005) distingue apenas dois aspectos como importantes (i) conhecimento e (ii) motivação. O conhecimento (i) para HALLECK varia muito. A maioria da população hacker só é capaz apenas de utilizar um sistema operacional – Windows, e não entende realmente como a tecnologia funciona. Atuam em suas ações hacker valendo-se de programas maliciosos apanhados na Internet e utilizados sem maiores conhecimentos do seu código e capacidade. São chamados programas enlatados ou programas receita de bolo. A maioria dos que se intitulam hackers não são capazes de escrever suas próprias ferramentas de ataque conhecidas como exploits e são conhecidos na comunidade como Script Kiddies. Mas isso não quer dizer que não sejam perigosos. Os usos de ferramentas prontas comprometem a segurança dos sistemas, no mínimo, atrapalhando o tráfego de dados na rede. Para HALLECH apenas um pequeno grupo de hackers possui grande conhecimento da tecnologia que foi obtido na educação formal ou como autodidatas. São capazes de operar em diversos sistemas operacionais e têm pelo menos conhecimentos básicos de programação que permitem modificar o código fonte de um exploit. Estima-se que apenas 1% ou menos dos 78 hackers em atividade sejam capazes de escrever seus próprios programas maliciosos. Esse é o grupo responsável pelos ataques mais elaborados. Quanto às intenções (ii) dos hackers HALLECK aponta três vertentes: os bons que são aqueles que trabalham com segurança das informações e comunicações; os neutros que são aqueles movidos pelo desafio de testar os seus conhecimentos; e os destrutivos que são os que roubam dados, destroem informações, desconfiguram sistemas, picham páginas etc. As posições não são imutáveis. Bons podem ser neutros ou destrutivos em alguns momentos. Enquanto o conhecimento e a intenção podem ser categorizados, a motivação (iii) não, pois ela tende a ser única para cada hacker. HALLECK aponta algumas possíveis motivações: Conhecimento técnico – o objetivo é conhecer melhor e entender como os sistemas operacionais bem como os softwares de proteção funcionam. Essa era a principal razão dos hackers pioneiros. Adquirir respeito - boa parcela dos hackers, principalmente os mais jovem, busca pichar páginas e dar publicidade a isso para ficarem conhecidos. Controle – o desafio aqui é obter algum tipo de controle sobre um servidor. Uma vez obtido, é normal haver uma publicidade do feito, remetendo o hacker mensagens eletrônicas do servidor dominado para divulgar o controle conseguido. Ego – alguns são extremamente orgulhosos de seus conhecimentos e aliando a necessidade de adquirir respeito se arriscam em um jogo de gato e rato com os administradores de sistema e autoridades policiais, apenas para dar vazão ao seu ego. Diversão - uma boa parte dos hackers encara as invasões como jogo e diversão. Essas invasões funcionam como desafio intelectual. Agenda Moral - posições políticas ou sociais servem de motivação a esses hackers. Há os Eco hackers, os hackers políticos, os éticos. Empreendem, quase sempre, uma cruzada pessoal defendendo aquilo que acreditam. Acesso Grátis - buscam ter acesso gratuito à Internet ou à rede telefônica para realizar ligações interurbanas gratuitamente. Nesse caso, são conhecidos como Phreakers. Seus méto- 79 dos variam desde o roubo de senhas de acesso à conta de alguém ao roubo de dados de cartões de crédito para cometer os seus ilícitos. Dinheiro - alguns atacam e invadem computadores e sistemas em busca de lucro. Podem estar a serviço de organizações criminosas, de empresas interessadas em espionar concorrentes, ou, agem isoladamente em busca de lucro pessoal. Suas ações incluem o uso de ferramentas que permitem furtar dados de cartões de credito, de contas bancárias, de senhas, ou de qualquer tipo de informação que seja vendável. Tédio - Aqueles que, na falta de desafios em seu trabalho ou escola, passam a ver as invasões como um atrativo para seu dia-a-dia. HALLECK, baseado nos conceitos: conhecimento (i), intenção (ii) e motivação (iii), descreve os principais perfis dos hackers, esclarecendo que alguns combinam características de vários perfis55: Tradicionais (Old School Hacker) - normalmente mais maduros, tanto em idade e personalidade, cujo objetivo é expandir cada vez mais seus conhecimentos. Promulgam a chamada ética hacker. Suas ações são neutras sob o ponto de vista da segurança, mas já passaram por outros estágios, como Crackers ou Warez e tem ótimos conhecimentos de sistemas operacionais e softwares, sendo excelentes programadores. Rebeldes – (New School Hacker) - Consideram-se a elite dos hackers, detêm conhecimento inferior aos da velha escola, e em sua maioria conhecem apenas os sistemas Windows ou Macintosh. Poucos tem domínio do Unix. Possuem egos mais inflamados. Não prezam o conhecimento e agem destrutivamente sempre que se sentem desafiados. Script Kiddies - Iniciantes com poucos conhecimentos, utilizam ferramentas prontas em suas ações. São considerados o primeiro estágio hacker. Agem movidos por curiosidade, tédio, acesso grátis ou dinheiro. São sempre destrutivos. 55 alguns perfis permaneceram grafados em inglês por serem referenciados normalmente neste idioma. 80 Piratas – (Warez Kids) - cujo objetivo é piratear software, na maior parte das vezes de jogos para PC. Seu maior conhecimento é desenvolver “patches” para burlar proteção de cópias. Agem movidos por dinheiro, pois regra geral, comercializam suas conquistas. Phreaker – considerados uma espécie especial de hacker. Não gostam de ser denominados como hackers preferindo a denominação Phreaker. A razão é que usam ferramentas hackers apenas para atingir seus objetivos, qual seja, adquirir conhecimento e acesso aos sistemas e redes de telefonia, já que esses são controlados, quase que exclusivamente por computadores. Suas ações concentram-se na infiltração em redes de telefonia públicas ou privadas para, obtendo acesso, realizar ligações interurbanas grátis, redirecionar rotas telefônicas ou mesmo derrubar os sistemas. Cracker – este termo surge utilizado pelos próprios hackers para buscar diferenciá-los de criminosos. Enquanto o hacker age de acordo com um código de ética, o cracker é alguém que sempre tem intenção maliciosa, buscando ganhos pessoais e agindo de forma destrutiva. Glam Hacker56- (termo inventado por HALLECK) – São aqueles que possuem pouco conhecimento técnico, mas que querem demonstrar de forma explícita que são hackers, assumindo uma imagem muito divulgada e explorada pela mídia da propaganda e no cinema de que hackers são pessoas com cabelos coloridos, muitas tatuagens e visual não usual. Ocupam um pequeno nicho no cenário hacker e, na sua maioria, não realizam ataques. Hacker Ético57 – usa seus conhecimentos em função de uma causa ética e social. Causas como a luta contra a pedofilia, discriminação racial, dentre outras, estão no foco desse grupo que para atingir seus objetivos usa desde a propaganda em sítios na Internet, até ações de invasão e ataque a sistemas. Lamer - termo depreciativo que designa uma pessoa com poucos conhecimentos técnicos e que não demonstra vontade de aprender. Outros termos também são usados para designar esse grupo, sempre de forma depreciativa: Luser, Clueless, Newbie, Cluebie. 56 vem do termo Glamour 57 não confundir com hackers que seguem um código de ética hacker 81 Falso Entendido (Poser) – em qualquer grupo de pessoas com interesse comum sempre pode surgir alguém que se faça de entendido no assunto de interesse do grupo para ser aceito. Assim age o Poser, que exagera seus conhecimentos e ações para se fazer aceito em comunidades hacker. São rapidamente detectados por hackers mais experientes e tendem a desaparecer quando questionados sobre seus conhecimentos. Diferem dos charlatães, pois estão apenas interessados na aceitação pelo grupo. Charlatão – no mundo atual ter profundos conhecimentos em segurança da informação e comunicações se tornou uma oportunidade de negócios. Grandes e pequenas empresas contratam e pagam altas somas por consultorias nesta área. Isso atraiu alguns hackers que montaram empresas de consultoria ou sítios na Internet para vender seus conhecimentos. Os altos valores envolvidos fizeram surgir charlatães - pessoas com algum conhecimento técnico e com perfeito domínio do jargão da área - que se fazem de especialistas para tirar vantagem da situação e obter lucros. Fã - são pessoas interessadas nas ações de grupos hackers ou mesmo indivíduos que cultuam seus feitos e seguem seus passos, agindo como verdadeiros fãs. Über Hacker – hacker famoso, considerado a elite da elite, o super hacker, um mito. Espião industrial ou governamental – pessoa ou grupo com excelente formação técnica, que dispõe de suporte financeiro e equipamentos para buscar informações especificas em redes e sistemas. Freelancer – indivíduos com sólidos conhecimentos técnicos que se põem à disposição de uma empresa, governo ou organização criminosa em troca de dinheiro. Criador de Vírus - denominação genérica para aqueles que desenvolvem ferramentas de ataque (trojans, worms, exploits ou vírus). É uma categoria à parte, como os Phreaker. São altamente especializados e conhecem profundamente os sistemas operacionais em que são especialistas. São excelentes programadores e seu desafio é vencer as barreiras tecnológicas e aprender cada vez mais. Podem ser neutros ou extremamente destrutivos, podem agir por busca de novos conhecimentos ou apenas para testar suas habilidades. Pode estar em busca de lucros pessoais agindo diretamente ou vendendo seus produtos para organizações criminosas. 82 Black Hat – termo geral que designa o hacker que segue o código de ética ou está envolvido em ações de cracking. White Hat – termo geral que designa o hacker que segue o código de ética ou está envolvido em ações de segurança das informações e comunicações. Engenheiro Social – na verdade trata-se de uma habilidade desenvolvida por um hacker. O engenheiro social explora o ponto mais fraco de um sistema: as pessoas. Age via telefone, e-mail ou pessoalmente, buscando obter pedaços de informação que possam ser usados para atacar posteriormente os sistemas computacionais a que as vitimas tem acesso. É um método barato, rápido e quase sem risco de se obter senhas, dados pessoais, numero de telefone, conhecer as funções das pessoas que trabalham em determinado órgão ou empresa ou qualquer informação que possa ser útil no desenvolvimento de um plano de ataque. Ciberpunk (Cypherpunk) - é uma classe separada de hacker. Seu interesse é mais particularmente voltado para criptografia e decriptografia. O ciberpunk também é associado à proteção das liberdades civis e anonimato nas redes. Podemos concluir que HALLECK entende que a sociedade hacker é extremamente variada e está em constante mudança, recriando a si mesmo. Que a única coisa em comum que encontramos em quase todos os grupos é a dedicação, o amor à tecnologia e, de forma geral, a necessidade de aprender e de se por à prova, desafiando estes conhecimentos ou os explorando com os mais variados objetivos, que vão do lícito ao ilícito. Que essas necessidades não são limitada por lei, etiqueta social ou fronteiras transnacionais, apesar do discurso da ética hacker. O autor nos leva a crer que os hackers podem ser extremamente perigosos ou, quando devidamente incentivados, agirem como um poderoso indutor de inovações tecnológicas para um país ou grupo. ROGERS acredita também que, para se conseguir algum tipo de entendimento sobre as motivações individuais dos que estão envolvidos no movimento hacker, é necessário subdividir a denominação genérica hacker em categorias. Para tanto ele propõe um modelo baseado em seus próprios estudos e trabalhos de Furnell (2002) e Gordon (2001) apud Rogers (2005) para construir uma taxonomia atual baseada em 8 83 categorias58 primárias de hackers59: (i) Iniciante (Novice) – IN; (ii) Ciberpunks (Cyberpunks)– CP; (iii) Internos (Internals) - IT; (iv) Ladrões Menores (Petty Thieves) – LM; (v) Criadores de Vírus (Virus Writers) – CV; (vi) Hackers da Velha Guarda (Old guard hackers) – VG; (vii) Criminosos Profissionais (Professional criminals) – CP; e, (viii) Guerreiros da informação (Information Warriors)- GI. As categorias têm como hipótese representarem um alicerce para o desenvolvimento de uma taxonomia baseada nos componentes nível de habilidade e motivação. Tendo no seu mais baixo nível técnico o grupo iniciante (i) e, no mais alto o grupo de ciberterrorismo (viii). O modelo adotado que identifica as características de primeira ordem, é consistente com outros modelos de classificação desenvolvidos para categorizar criminosos financeiros (crimes de colarinho branco) ; fraudadores e pedófilos que usam a Internet (FERRARO & CASEY, 2005; HAYES & PRENZLER, 2003 apud ROGERS, 2005). As categorias são assim descritas por ROGERS: iniciante IN (i), inclui pessoas com limitado conhecimento técnico de computadores, sistemas operacionais e programação. Utilizam programas pré-escritos para realizarem os seus ataques. Essa categoria é composta por jovens, que procuram ser aceitos na comunidade hacker. A categoria ciberpunk – CP (ii) é composta por pessoas que devem ter melhores conhecimentos de computadores e sistemas operacionais e alguma capacidade de programação. São capazes de escrever seus próprios softwares, desde que sejam simples. Envolvem-se em ações maliciosas como pichar páginas Web (defacing); enviar mensagens não solicitadas, conhecidas como spam. Muitos estão envolvidos em roubo de dados de cartões de crédito, senha bancária e fraude em telecomunicações. A motivação deste grupo é atenção da mídia e, em alguns casos, ganhos financeiros. Internos (IT) (iii) é o grupo formado por funcionários e ex-funcionários que, valendo-se de seus conhecimentos das rotinas e do nível de acesso que possuem em função de seus car- 58 Rogers informa que possivelmente exista uma 9 categoria a de ativista político, mas que as discussões sobre o assunto ainda estão na fase preliminar. 59 O autor procurou atualizar os termos originais usados por ROGERS em sua tradução. A nomenclatura original aparece grafada ao lado de cada categoria. 84 gos, atacam os sistemas das organizações onde trabalham. Historicamente os Internos são os que produzem os maiores prejuízos, tanto financeiros quanto de imagem (Randazzo, 2004, apud Rogers, 2005). A motivação para a fraude mais comumente reportada é a vingança contra a organização ou seus chefes. O grupo de ladrões menores – LM (iv) consiste de indivíduos avessos a publicidade e que são atraídos para os crimes tecnológicos porque seus alvos tradicionais, bancos, cartões créditos e pessoas distraídas, migraram para a grande rede. Aprendem apenas o necessário para cometer seus ilícitos e são motivados por ganhos financeiros e em alguns casos vingança. O grupo de Criadores de Vírus - CV (v), segundo ROGERS, é uma anormalidade, sendo difícil determinar seu exato lugar nesta classificação. Foi incluído por sua importância e, de alguma forma, para referenciar que esse grupo merece maior pesquisa. Hackers da Velha Guarda - VG (vi). Aparentemente, indivíduos desse grupo não têm intenções criminosas - abraçam a ideologia da primeira geração de hackers, cujo objetivo era o aprimoramento intelectual sem fronteiras. Esse grupo tem sólido conhecimento técnicos, escreve seus próprios códigos e raramente os usam, encorajando indivíduos menos preparados tecnicamente para experimentá-los. Sua primeira motivação é a curiosidade e a oportunidade de testar seus conhecimentos. As categorias dos Criminosos Profissionais – CP (vii) e dos guerreiros da Informação – GI (viii) são entre todas, as mais perigosas. São compostas por criminosos profissionais e ex-integrantes de agências de inteligência. São extremamente bem treinados e tem acesso ao estado da arte da tecnologia. Muito se tem especulado sobre a expansão destes grupos, que ocorre logo após a dissolução dos serviços de inteligência do leste europeu (Denning, 1998; Post et al., 1998; Parker, 1998; Post, 1996, apud Rogers, 2005). Apesar do risco potencial advindo desses grupos, muito pouco se conhece a respeito de seus métodos de trabalho. Os criminosos profissionais – CP (vii), tal como os ladrões menores - LM (vi) dão continuidade às suas atividades criminosas do mundo real no mundo virtual. São motivados por dinheiro e ganhos financeiros. Não estão interessados em fama e são orgulhosos de executarem seus ilícitos de forma profissional. Não pretendem ser capturado e portanto, procuram chamar o mínimo de atenção das autoridades para as suas atividades. Esse grupo é composto por indivíduos com alta especialização técnica e seus integrantes tendem a ser mais maduros, 85 tanto cronologicamente como psicologicamente. Aglutinam-se em organizações criminosas tradicionais que reconheceram a potencialidade do uso da tecnologia e da Internet para cometerem ilícito com um menor risco e maior abrangência (Keegan, 2002; Rogers & Ogloff, 2003 apud Rogers, 2005). Guerreiros da Informação – GI (viii) é a categoria que congrega aqueles indivíduos cujo objetivo é conduzir ou defender ataques destinados a desestabilizar, destruir, corromper, ou afetar a integridade dos dados ou sistema de informações e comunicações onde as decisões de comandos e controles estão baseadas. Dentre suas atividades está o acesso e o uso das tecnologias tradicionais ou não, de uso exclusivo de estados, preparadas para ações militares ou de conflito armado. Esses indivíduos são altamente treinados, possuem alta capacidade e conhecimento técnico e são movidos por patriotismo. Com ROGERS aprendemos que categorizar os hackers é fundamental para que possamos entender a motivação dos indivíduos que compõem o movimento hacker, seguramente para traçarmos estratégias de mitigação dos riscos que cada uma das categorias pode representar. Entretanto, chama a atenção o fato de ROGER deixar de comentar com mais profundidade a questão dos grupos de pressão, chamados por ele de ativistas políticos e o fazer de forma tímida quanto aos Estados e aos grupos terroristas, que estão se valendo das tecnologias e da Internet para atingirem seus objetivos. ROGERS apenas resvala na questão quando tece considerações sobre a classificação Guerreiros da Informação. Para buscar cobrir estas lacunas e delimitar as ações de mitigação de riscos na estratégia de segurança e defesa cibernética que propomos neste estudo, elegemos as seguintes categorias de hackers como os autores de ações antagônicas que serão alvo de atenção, classificandoos em 4 grupos distintos: Invasores de Sistemas – onde enquadramos aqueles criminosos que buscam a invasão de um sistema como um objetivo em si, nem sempre em busca de lucros Aqui encontram-se os (i) Script Kids ou Amadores; (ii) Hackers; (iii) Crackers e (iv) Pheakers. Ativistas Sociais – Uma nova categoria que surge buscando defender seus pontos de vistas e crenças sociais valendo-se de ações na Internet, podendo chegar ao crime. Aqui enquadramos como (v) Grupos de Pressão; 86 Quadrilhas – Nesta categoria estão aqueles que sempre buscam o lucro mediante o cometimento de crimes. Este Grupo de criminosos enquadramos como (vi) Crime Organizado; Inimigos – São aqueles que buscam incapacitar ou destruir infraestruturas críticas de um País. São eles os (vii) Terroristas e os (viii) Estados. A ação de cada Grupo encontra-se detalhada a seguir: Script Kiddies ou Amadores, Hackers, Crackers e Pheakers são invasores de sistemas. E recebem subclassificações dependendo do acesso que tenham aos sistemas: (i) Internos, se tem acesso oficial ao sistema que invadiu; (ii) – Externos, se não tem acesso oficial. Os Amadores (i), também chamados de Script Kiddies ou Lamers são caracterizados como aprendizes ou como pessoas de poucos conhecimentos técnicos que se valem de scripts programas prontos e receitas “passo-a-passo” , encontrados as dezenas na Internet para tentarem obter vantagens ilícitas. Uma simples consulta feita no sítio do Google60 com o texto “como invadir um sistema com netbus” retornou 11.300 resultados Alguns exemplos de receitas (scripts) encontradas na Internet: • Como invadir um sistema com NETBUS Passo-a-Passo61; • Invasão Hacker62; • Como invadir o MSM dos outros.63 A prática do ataque amador é apoiada também por livros como os exemplos a seguir ofertados em sítios na Internet64, alguns dos quais trazem CD´s com exercícios práticos: • Dossiê Hacker - Acompanha Curso em Cd Rom do prolixo autor Wilson José de Oliveira (2000 - Digerat Editorial) , com mais de 15 obras sobre linguagens de 60 http://google.com.br Acesso em 26 de outubro de 2008 61 http://ube-164.pop.com.br/repositorio/7968/meusite/invadindosistemacomnetbus.html - Acesso em 26/10/ 2008 as 16:30 hs.. 62 http://invasoeshacker.blogspot.com/2009/01/invadindo-com-netbus.html - em 26/10/2008 as 16:18 horas 63 http://usabilidoido.com.br/como_invadir_o_msn_dos_outros.html - em 26/10/2008 as 18:15 horas. 64 Infomática Livros. URL: www.submarino.com.br. Acesso em 26 de outubro de 2008. 87 programação e técnicas de ataque e proteção de redes. Nesse livro, que segundo o autor é dedicado aos “Ethical Hacker”(profissional que detém conhecimento de técnicas e modus operandi de um hacker comum mas só usa estes conhecimentos para proteger seu clientes), apresenta, conforme enfatizado pelo autor “as mais modernas técnicas do hackerismo para ataque e proteção das redes tais como apagamento de pistas de invasões, modos de acessos remotos, uso do SQL Injectio,; uso de sniffers e spywares...” O CD que acompanha o livro contém uma miscelânea de exercícios e scripts para uso do leitor. • Hacker Invasão e Proteção OLIVEIRA (2000 Visual Books) outro livro do mesmo autor, onde técnicas e “ensinamentos” semelhantes são repassados aos leitores. A categoria hacker (ii) que, segundo VIANNA (2001), se dizem movidos apenas pelo desafio de testar os limites de seus próprios conhecimentos técnicos e a segurança de sistemas informatizados de grandes companhias e organizações governamentais. Em 26 de agosto de 2008, a BBC divulgou a notícia de que estudantes de pós-graduação da universidade escocesa Abertay University serão treinados para ser Hackers. Em um curso intitulado Ethical Hacking and Computer Security (Hacker Ético e Segurança de Computadores, em tradução livre) os alunos irão aprender métodos usados por criminosos para atacar as redes de computadores, e como testar os sistemas para encontrar pontos vulneráveis, sendo treinados para protegê-los.65 Ocorre que, como aprendemos em HALLECK, as intenções não são imutáveis, assim hackers éticos já podem ter sido crackers e nada garante que não possam voltar a ser. Hackers invadem sistemas e ,por mais nobre que sejam as intenções, isso é crime. O Cracker (iii), como já afirmado anteriormente, é alguém que sempre tem intenção maliciosa ou busca ganhos pessoais. DAVID ICOVE, apud Aras (2001) corrobora ao informar que "Many crackers are also phreakers: they seek ways to make repeated modem connections to computers they are attacking without being charged for those connec- 65 Ethical Hacking Course. URL: www.bbc.com. Acessado em 23 out 2008 88 tions, and in a way that makes it difficult or impossible to trace their calls using convencional means". Em setembro de 2008, uma notícia no sítio Terra informando que Crackers invadiram o sistema de acelerador de partículas, demonstrava, na prática, uma ação destrutiva de criminosos desse tipo: “Um grupo de crackers gregos conseguiu invadir o sistema do colisor de hádrons (LHC), danificando um arquivo em um dos quatro detectores que analisam o choque das partículas no experimento, realizado nesta semana, que recria em parte o Big Bang.”66 (grifo nosso). Os Phreakers (iv) são especialistas em fraudes dos sistemas de telecomunicações em especial das linhas telefônicas convencionais e de celulares. Sua motivação é burlar a segurança desses sistemas para utilizá-lo de forma gratuita, ou imputar os custos a terceiros mediante fraude. Em 21 de agosto de 2008 a Associated Press divulgou uma informação sobre fraudes em ligações telefônicas e dos prejuízos que elas causaram: “According to the Associated Press report, the Department of Homeland Security DHS admitted that an individual, or a group of people, used a vulnerability in the newly installed FEMA Private Branch Exchange (PBX) to make about 400 calls to Afghanistan, Saudi Arabia, India and Yemen, as well as other countries. The resulting cost, $12,000 USD, is a huge price to pay for failing to act on a vulnerability report issued by the Department of Homeland Security in 2003, warning of the same sort of attack. “(Associated Press, 2008)67 Com relação aos Ativistas Sociais ou Grupos de Pressão (v) pode-se defini-los como indivíduos organizados em torno de ideais que se utilizam da Internet como arma política para defender seus pontos de vistas, às vezes, apelando para ações criminosas, como invasões de sistemas ou desconfiguração de sítios na Web. Talvez o exemplo mais bem sucedido de um movimento social on-line e que marca este tipo de ação por seu pioneirismo, seja o da organização não governamental MOVE ON, surgida em setembro de 1998, quando dois empresários do Vale do Silício na Califórnia, Joan Bla- 66 Crackers Invadem Sistema de Acelerador de Partículas. Url: http://tecnologia.terra.com.br/interna/0,,OI3178860-EI4805,00Crackers+invadem+sistema+de+acelerador+de+particulas.html. Acesso em 12 set. 2008). 67Phreakers take over FEMA phones – thousands lost to overseas calls. http://www.thetechherald.com/article.php/200834/1817/Phreakerstake-over-FEMA-phones-%E2%80%93-thousands-lost-to-overseas-calls. Acesso em 26 de outubro de 2008. 89 des e Wes Boyd, sem nenhuma experiência prévia em política, e frustrados com o que chamaram de “guerra partidária de Washington” e com o “ridículo desperdício de foco da nação americana” com a questão impeachment do Presidente Clinton, propuseram uma petição online intitulada Censure President Clinton and Move On to Pressing Issues Facing the Nation. Algo como: Censurem o Presidente Clinton e vamos em frente com as questões que realmente importam. Em pouco tempo, recolheram milhares de assinaturas. Consultado o sítio da organização MOVE ON em outubro de 2008, encontrou-se uma de suas ultimas campanhas incentivando as pessoas a votar nas eleições presidenciais americanas de 2008: “Make sure all your friends vote. We all know people who might not vote this year. So we created this funny news video about Obama losing by a single vote. It's a great, fun, scary way to remind everyone you know to vote. Can you send this video to your friends? (You can send yourself the video, too.)” (Move On Political Organization, 2008)68 A categoria Crime Organizado pode ser definida como a migração das quadrilhas existentes no mundo real para atuação no Espaço Cibernético. O crime organizado perpetra ataques à distância, tirando partido da incipiente legislação acerca do uso da Internet em todo o mundo. Os crimes no ciberespaço estão crescendo em volume e sofisticação. Nos Estados Unidos apenas, vítimas reportaram prejuízos de US$ 329 milhões com fraudes on-line em 2007, com uma perda média de US$ 2,53 mil por vítima. As queixas são registradas em uma linha especial de denúncias operada pelo Serviço Federal de Investigações (FBI) e pelo Centro Nacional de Crimes de Colarinho Branco, uma organização sem fins lucrativos cuja área de atuação é o combate ao crime eletrônico. (TERRA ON-LINE, 2008)69 Mas a notícia que mais chama a atenção para a desenvoltura da atuação destes criminosos e para o sentimento de impunidade que ronda suas ações foi a divulgada pela Agência de notícias Folha Online em maio de 2008, com a seguinte manchete “Piratas virtuais criam sistema 68Sítio Move On. http://www.MoveOn.org/. Acesso em em 26 out 2008. 69 Fraudes na Internet. URL: http://tecnologia.terra.com.br/interna/0,,OI2732629-EI4805,00.html. Acesso em 27 de maio de 2008. 90 de direito autoral na Internet”.70 A reportagem informava que conforme divulgado pela Associeted Press, foi detectado por especialistas da empresa Symantec um contrato de distribuição de trojans (código malicioso) por quadrilha de criminosos que ao vender o código malicioso impunha uma espécie de contrato, com penalidades, para evitar que os compradores os comercializassem: ...Para aumentar os lucros, o software analisado pela Symantec continha regras como: "O consumidor não pode revender o produto, analisar seu código secreto, utilizá-lo para controlar outros computadores [zumbis] ou enviá-lo a empresas de segurança e se compromete a pagar uma determinada quantia pela atualização do produto". Estão previstas também penalidades: "O trato: viole esses termos e nós vamos denunciá-lo a empresas de segurança, dando a eles informações sobre como desmantelar sua rede [zumbi] ou impedi-la de crescer", afirma o contrato feito pelos piratas virtuais. (SIMANTEC apud Associeted Press, 2008). O comportamento acima descrito revela o uso de práticas de mercado, como contratos, para a atividade criminosa virtual demonstrando o grau de sofisticação dessas quadrilhas.. Na categoria Inimigos, enquadramos desde Organizações Terroristas até Estados que patrocinam ações de invasão de sistemas ou espionagem pela Web, mas que ainda não podem ser caracterizadas como ações de uma guerra formal. Quanto aos Grupos Terrorista, existem dois tipos de ações que são características desse grupo: (i) a utilização da Internet como arma de propaganda e treinamento, difundindo seus conceitos e arregimentando simpatizantes e seguidores; e, (ii) a utilização da alta tecnologia, das redes de computadores e da Internet como arma. Para conceituar terrorismo cibernético, neste estudo, será usado o “white paper” Cyberterror Prospects and Implications, (NELSON, CHOI, IACOBUCCI, MITCHEL e GAGNON, 1999) publicado pelo Centro de Estudos do Terrorismo e Guerra Irregular situado em Monterrey na Califórnia, e preparado pela Agência de Inteligência de Defesa do Governo Americano em outubro de 1999. O artigo é considerado um marco no assunto, e indica que o terrorismo Cibernético é “o uso calculado de violência ilegal contra qualquer tipo de propriedade digital, 70 Piratas virtuais criam sistema de direito autoral na Internet. URL: http://www1.folha.uol.com.br/folha/informatica/ult124u397618.shtml Acesso em 26 de outobro de 2008. 91 para intimidar ou exercer coerção contra governos ou a sociedade, em busca de objetivos políticos, religiosos ou ideológicos”. NELSON, CHOI, IACOBUCCI, MITCHEL e GAGNON (1999) reconhecem que o terrorismo cibernético pode ocorrer de várias formas com três níveis de capacidade: (i) Simples ou Desestruturadas: com capacidade de conduzir ataques contra sistemas utilizando ferramentas criadas por outra pessoa. Esse tipo de organização de terrorismo cibernético tem pouca capacidade de análise dos alvos, de comando e controle e de aprendizado; (ii) Avançadas ou Estruturadas: com capacidade de conduzir ataques mais sofisticados contra múltiplos sistemas de informação ou redes e, possivelmente, apta a modificar ou criar ferramentas básicas de intrusão. Possui uma capacidade elementar de análise de alvos, comando e controlo e capacidade de aprendizagem; (iii) Complexas ou Coordenadas: com capacidade de ataques coordenados que podem causar interrupções em massa contra alvos melhor preparados para sua defesa e que podem utilizar criptografia, por exemplo. Essas organizações de terrorismo cibernético têm capacidade de criação de ferramentas complexas de ataque cibernético, são capazes de análises sofisticadas de alvos, atuam com comando e controle, e têm plena capacidade de aprendizagem organizacional. Em resumo, as organizações de terrorismo cibernético Simples podem usar ferramentas de ataque conhecidas contra alvos governamentais, na defesa dessas redes. As Avançadas, podem surpreender pois tem capacidade de modificar códigos de trojans criando novas formas de ataque. As Complexas tem capacidade de derrubar serviços e infraestruturas críticas em uma larga área geográfica de um País. São as que representam maior perigo. Fontes públicas de informação sobre ciberterrorismo são abundantes e em sítios de organizações como a Terrorism Research Center, Inc.71, um instituto independente de pesquisa sobre terrorismo, proteção de infraestruturas críticas e outros aspectos ligados à segurança, se tem acesso, pago ou gratuito, a livros e artigos sobre o tema. Para exemplificar o tipo de acervo que organismos como esse preserva, apresentamos a seguir 2 exemplo: 71 http://www.terrorism.com/. Acessado em 26 de setembro de 2008. 92 2008-09-03: Cyber: Hackers Attack Iraq's Vulnerable Computers “Weekly Analysis and Research (WAR) Report: 09/03/2008, Cyber: Hackers Attack Iraq's Vulnerable Computers Premium Content Excerpt: Highlights - Growth of computer use in Iraq fuels steady rise in the number of cyber attacks - Iraq’s creation of a national cybercrimes division is a key element in combating future cyber terrorism - More funding is needed for software, hardware and training to successfully combat cyber attacks Since the US led invasion of Iraq in 2003, the country has seen a tremendous growth in the use of computers and the Internet among government entities and private citizens. In 2003, Iraq’s Interior Ministry had no computers connected to the Internet, but today has over 5,000”. O artigo faz um panorama do crescimento do uso do computador no Iraque após a invasão americana em 2003 e chama a atenção para o aumento das atividades de hackers contra as infraestruturas governamentais daquele país. A notícia corrobora o entendimento de que o terrorismo cibernético é um problema mundial. 2008-07-02: Chinese Hackers Target India “Weekly Analysis and Research (WAR) Report: 02/07/2008, Cyber: 2008-07-02: Chinese Hackers Target India Premium Content Excerpt: Highlights - According to Indian government officials, Chinese Hackers have targeted Indian computer networks - Chinese Hackers have previously been accused of attacking computer networks in the United States, United Kingdom, and Germany - China will likely continue to develop a cyber warfare capability Recent media reports have focused a great deal of attention onto an ongoing series of cyber attacks against United States (US) government, military, and private defense contractors. According to these reports, many of these attacks originate from IP addresses hosted in China.”. A notícia acima descreve ataques a diversos países, originados de endereços IP´s hospedados na China. A notícia, não é explicita, mas deixa o entendimento de que a ação pode ter partido de hackers ligados ao governo chinês. Da análise da categoria de autores de ataques cibernéticos chamada Estado, temos a essência da necessidade de se construir uma Doutrina e uma Estratégia de Segurança e de Defesa Cibernética. São Estados legalmente constituídos e reconhecidos que estão preparando ações ofensivas e defensivas de guerra eletrônica, sendo que guerra eletrônica é entendida aqui em seu conceito mais amplo, como o “conjunto de ações para uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores. Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil” (Ministério da Defesa, 2007). Vários são os relatos no mundo, a exemplo da notícia acima de julho de 2008 de que hackers chineses atacaram alvos na Índia, que abordam, mesmo que tangencialmente, o uso de 93 ferramentas de ataque cibernético construídas com códigos maliciosos por órgãos públicos de países ou por organizações suportadas por Estados nacionais. Ocorre que nenhuma dessas ocorrências pode ainda ser formal ou publicamente comprovada, dada à dificuldade de determinação do local preciso de onde partem os ataques. Em 2001, por exemplo, o Governo Canadense acusou grupos de Hackers brasileiros que estariam retaliando o Canadá em protesto contra as restrições de importação de carne do Brasil e a disputa milionária a entre as empresas Embraer e a Bombardier. Em 2007, um ataque bem sucedido contra as Redes do Pentágono foi atribuído ao Exercito de Libertação Popular da China. A imprensa, erroneamente, se refere a estes casos de ataque cibernéticos como se fossem guerra eletrônica ou guerra da informação. Em 14 de agosto de 2008 uma reportagem do Wall Street Journal (WST, 2008) 72 sobre o caso Rússia versus Geórgia, tratou do assunto de forma esclarecedora reforçando que o termo “Guerra” não se aplica aos caso conhecidos de ataques cibernéticos e que a expressão mais adequada é “cyber attacks”, ou “ataques cibernéticos”. De forma irônica, o WSJ (2008) encerra o artigo esclarecendo que se esse tipo de ataque fosse interpretado como guerra, os Estados Unidos já teriam declarado guerra à China há muitos anos. O caso Rússia versus Geórgia, em agosto de 2008, foi bastante noticiado pela mídia, e os sítios ZDNet (ZDNet, 2008)73 e da Computerworld (Computerword, 2008) 74 informaram que ataques sistemáticos causaram colapso na infraestrutura de tecnologia da informação e comunicações estratégicas da Geórgia, impedindo, à época, que a Geórgia disseminasse informações de seu interesse sobre a guerra, tanto para seus cidadãos internamente, como para o restante do mundo. A mesma reportagem (Computerword, 2008) informava que os ataques estariam partindo de grupos de Hackers nacionalistas russos, cidadãos comuns (que estariam sendo municiados, com ferramentas básicas de ataques, por órgãos oficiais do governo russo) e agências de inteligência, tanto russas quanto outras de origem indeterminada. A técnica de ataque usada foi a chamada DDoS (Distributed Denial of Service, ou Negação de Serviço Distribuída) que faz 72 http://blogs.wsj.com/biztech/2008/08/14/is-a-cyber-attack-and-act-of-war/ Acessado em 14 de setembro de 2008. 73 http://blogs.zdnet.com/security/?p=1670 Acessado em 14 de setembro de 2008. 74 http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9112399& 94 com que milhares de máquinas acessem simultaneamente o servidor do sítio atacado, fazendo com que ele seja incapaz de responder às consultas. Esclarecia ainda que os sítios atacados foram os da Presidência, Ministério da Defesa, Parlamento, além dos principais sítios de notícias da Geórgia. 4.5 Uma Proposta de Enquadramento de Ações Antagônicas O Capítulo 4 até este ponto justificou a importância da segurança da informação e comu- nicações para o Estado Brasileiro, descreveu algumas atividades hostis, ataques que podem ser enquadrados sob a denominação de Guerra Cibernética, bem como enumerou propostas de classificação de agentes capazes de empreender estes ataques. Na busca de uma caracterização dos espaços e origens desses ataques esta seção propõe enquadrá-los segundo os elementos: (i) alvo da ação; (ii) autor; e, (iii) abrangência da ação, explanados a seguir. 4.5.1 Alvo da Ação Quanto ao alvo, propõe-se a adoção dos conceitos de SCHWARTAU (1996), que estabelece, como já visto e exemplificado no Capítulo 5, Classes da Guerra da Informação como: Classe 1 – Guerra de Informações contra Pessoas; Classe 2 – Guerra de Informações contra Corporações; e, Classe 3 – Guerra de Informações Global (ações desencadeadas contra as infraestruturas críticas de uma Nação). 4.5.2 Autor da Ação Quanto ao autor, o mais prudente é que a doutrina de segurança e defesa observe o que prevê a doutrina do direito quanto ao delito informático, no dizer de ARAS (2001), em um denso estudo a respeito: “... ainda que não se tenha chegado a um consenso doutrinário sobre delito informático, os criminosos eletrônicos, ou “ciberdelinquentes” , já foram batizados pela comunidade cibernética de Hackers, crackers e phreakers.” Assim, baseados em tudo o que vimos até aqui, e para os objetivos deste estudo, em última instância optamos por propor uma classificação para os autores da ação, que observe os 95 quesitos conhecimento e motivação e ainda o potencial de dano que cada grupo pode causar. Optamos ainda por incluir entre os autores: os grupos de pressão, o crime organizado, os terroristas e os Estados. Temos, então, como autores: (i) Script Kids ou Amadores; (ii) Hackers; (iii) Crackers (iv) Pheakers, (v) Grupos de Pressão, (vi) Crime Organizado, (vii) Terroristas e (viii)Estados. 4.5.3 Abrangência da Ação Na busca de uma caracterização para os elementos que definem os espaços e origens de ataques cibernéticos chega-se à abrangência da ação. Valendo-se da Doutrina do Direito encontramos em ARAS (2001) que cita DAMÁSIO acerca de “na doutrina brasileira, tem-se asseverado que os crimes informáticos podem ser puros (próprios) e impuros (impróprios). Serão puros ou próprios, aqueles que sejam praticados por computador e se realizam ou se consumam também em meio eletrônico. Neles, a informática (segurança dos sistemas, titularidade das informações e integridade dos dados, da máquina e periféricos) é o objeto jurídico tutelado. Já os crimes eletrônicos impuros ou impróprios são aqueles em que o agente se vale do computador como meio para produzir resultado naturalístico, que ofenda o mundo físico ou o espaço "real", ameaçando ou lesando outros bens, não-computacionais ou diversos da informática.” Assim de (DAMÁSIO apud ARAS, 2001) depreende-se que: 1. Crimes Cibernéticos Impróprios são aqueles em que o meio eletrônico é apenas uma via para o seu cometimento que pode ser também praticado no mundo real como, por exemplo, crimes contra a honra, pornografia infantil e fraudes. 2. Crimes Cibernéticos Próprios são aqueles que só podem ser cometidos por meio eletrônico e que não existem em outros meios, por exemplo, acesso não autorizado a bases de dados ou sistemas, cópia ilegal de software e disseminação de códigos maliciosos. Falta, entretanto, identificar uma categoria de crime onde o próprio computador ou seu processamento é o alvo, por exemplo, sabotagem e terrorismo cibernético. Aqui se recorre a Malta (2007) e encontra-se a classificação de Crimes Cibernéticos Propriamente Ditos: 96 3. Crimes Cibernéticos Propriamente Ditos são aqueles onde o próprio computador ou seu processamento é o alvo, por exemplo, sabotagem e terrorismo cibernético. Em resumo, pode-se estabelecer que ,em uma Doutrina e na Estratégia de Segurança e Defesa do Espaço Cibernético Brasileiro, as ações antagônicas, que são entendidas neste estudo como aquelas que vão desde a tentativa de uma desconfiguração de página Web, até ações que podem ser caracterizadas como Guerra da Informação, terão como: a) Alvo da Ação: as Pessoas, as Corporações e as Infraestruturas Críticas de Estado. b) |Autor da Ação: Invasores (amadores, hackers, crackers, pheakers), Ativistas Sociais (grupos de pressão), Quadrilhas (crime organizado) e Inimigos (terroristas cibernéticos ou não e Estados). c) Abrangência da Ação: crimes cometidos e tipificados como: Impróprios; Próprios e os Propriamente Ditos. 97 5 ÓRGÃOS E ATORES DE SEGURANÇA E DEFESA CIBERNÉTICA De posse de uma caracterização dos elementos antagônicos à defesa cibernética cabe agora estabelecer, na Estratégia de Segurança Cibernética, quais são os atores e órgãos que devem ser acionados em cada uma das inúmeras possibilidades que se abrem. Este trabalho divide as atuações dos principais atores e órgãos em duas vertentes: (i) Segurança Cibernética contemplando ações que podem compreender aspectos e atitudes tanto preventivas ou repressivas (ESG, 1983) 75; e (ii) Defesa Cibernética, contemplando ações operacionais, de caráter eminentemente ofensivo, caracterizadas por ataques cibernéticos. Este capítulo apresenta apenas os órgãos relacionados direta ou indiretamente à segurança e defesa cibernética. Para uma perfeita compreensão dos conceitos, entenda-se por medidas preventivas aquelas que evitam que ações maléficas possam criar danos maiores ou que se perpetue ao longo do tempo. Abrangem, portanto a criação e a aplicação de metodologias de gestão de risco e o desenvolvimento de planos de contingências e continuidade para as infraestruturas críticas e principais sistemas sensíveis, essenciais ao bom funcionamento do Estado e da Sociedade Brasileira. Nesses sistemas estão inclusos equipamentos, sistemas de comunicação e softwares, bem como a capacitação dos profissionais encarregados e dos usuários dos diversos sistemas e infraestruturas a serem protegidos. Aqui se encontram também as atividades de: (i) resposta a incidente de redes, (ii) a coleta, estudo e disseminação de correções contra artefatos maliciosos e, (iii) a disseminação de boas práticas e medidas de proteção das redes informati- 75 Escola Superior de Guerra – Manual Básico 1983 p217 e 245 98 zadas e de segurança das informações. Caracteriza-se ainda como prevenção, conforme previsto na Instrução Normativa 001/2008 do GSI (GSI, 2008) o desenvolvimento de Plano Diretor de Segurança da Informação e das Comunicações, Modelos de Gestão, e a especificação e o desenvolvimento de algoritmos criptográficos e de softwares e equipamentos de segurança cibernética como telefones seguros e proteção de VOIP (voz sobre IP), por exemplo. Há que se criar espaços específicos – Redes para a troca de informações, de forma ágil e pró-ativa, entre as entidades de governo, as empresas estratégicas e de tecnologia de ponta, de capital e controle nacionais, ou aqui estabelecidas- além do meio acadêmico. Por medidas repressivas entenda-se o trabalho de identificação e combate de toda conduta criminosa caracterizada como crime cibernético seja ele: Impróprio, Próprio, ou Propriamente Dito. Nesse último caso encontram-se as medidas contra o terrorismo cibernético e a sabotagem, desde que ainda não caracterizadas como Guerra Cibernética, quando seriam tratadas no contexto de Defesa Cibernética. Esse modelo de atuação é real, e foi estabelecido em 9 de outubro de 2008, como resultado de uma reunião da Câmara de Relações Exteriores e Defesa Nacional – CREDEN, órgão de governo estabelecido pela Lei nº 10.683, de 29 de maio de 2003, convocada para discutir o tema Segurança e Defesa Cibernética. Naquela ocasião ficou decidida a criação, no âmbito do Comitê Gestor de Segurança da Informação – CGSI, de um Grupo de Trabalho intitulado Segurança Cibernética, com o objetivo de elaborar estudos de segurança da informação e comunicações e esboçar propostas de segurança e de defesa das infraestruturas críticas de informação. Esse grupo contará com representantes de cada um dos ministérios presentes àquela reunião, não exclusivamente, e estará aberta a todos os órgãos que queiram participar. Poderá contar ainda com representantes da academia e do setor privado. Ficou ainda decidido que a questão da defesa cibernética, por estar na esfera de um estado de beligerância entre o País e uma força hostil, não foi objeto de deliberação, já que decisões deste escopo cabem ao Conselho de Defesa Nacional, órgão que tem suas atribuições previstas na Constituição. Cabe ressaltar que as diretrizes de defesa cibernética devem buscar o pronto restabelecimento da condição de segurança cibernética, consoante com a política de relações exteriores adotada pelo Brasil, de não agressão e não-intervencionista. Note-se ainda que no caso de ser necessário acionar mecanismos de defesa cibernética esse há que ser feito no nível 99 mais estratégico da gestão governamental – Presidência da República, tendo em vista as suas implicações. Maiores detalhes dessas decisões encontram-se no Anexo C. 5.1 Atores e Órgãos As subseções seguintes apresentam uma lista de órgãos, sem esgotá-la, os quais têm em algum grau, por suas competências ou pelas competências das entidades a eles vinculadas, importância na elaboração e funcionamento de uma Estratégia de Defesa Cibernética. 5.1.1 Conselho de Defesa Nacional (CDN) O Conselho de Defesa Nacional é um órgão de consulta do Presidente da República nos assuntos relacionados à soberania nacional e à defesa do Estado democrático76. Suas competências constitucionais são (CONSTITUIÇÃO, 1988): “I - opinar nas hipóteses de declaração de guerra e de celebração da paz, nos termos desta Constituição; II - opinar sobre a decretação do estado de defesa, do estado de sítio e da intervenção federal; III - propor os critérios e condições de utilização de áreas indispensáveis à segurança do território nacional e opinar sobre seu efetivo uso, especialmente na faixa de fronteira e nas relacionadas com a preservação e a exploração dos recursos naturais de qualquer tipo; IV - estudar, propor e acompanhar o desenvolvimento de iniciativas necessárias a garantir a independência nacional e a defesa do Estado democrático.” A adaptação de tais competências constitucionais na esfera do ciberespaço certamente é um desafio. O próprio conceito de soberania no ciberespaço ainda não foi plenamente esclarecido. Entretanto dada à sua importância estratégica o CDN deve manter-se como o palco para as decisões estratégicas relativas às ações de segurança e defesa cibernética. 5.1.2 Câmara de Relações Exteriores e Defesa Nacional (CREDEN) A CREDEN é um órgão de assessoramento do Presidente da República nos assuntos pertinentes às relações exteriores e de defesa nacional. (Lei nº 10.683, 2003). Por tratar-se de um 76 Conforme o Art. 91 da Constituição da República Federativa do Brasil de 1988. 100 órgão de Governo, sua existência não está assegurada no próximo Governo. Atualmente lhe é reservada um papel importante, e, portanto esta instância de poder pode assegurar agilidade na construção de diretrizes estratégicas para a segurança das informações e comunicações, bem como para a segurança cibernética, já que o assunto está dentro de suas atribuições (ver grifo nas atribuições). Ela é formada pelos seguintes Ministros de Estado: “I - Chefe do Gabinete de Segurança Institucional da Presidência da República, que a preside II - Chefe da Casa Civil da Presidência da República; III - Justiça; IV - Defesa; V - Relações Exteriores; VI - Planejamento, Orçamento e Gestão; e VII - Meio Ambiente. São convidados, em caráter permanente, os comandantes das Forças Armadas.” E suas atribuições incluem: “Formular políticas públicas e diretrizes de matérias relacionada com a área das relações exteriores e defesa nacional do Governo Federal; Aprovar, promover a articulação e acompanhar a implementação dos programas e ações estabelecidos, no âmbito de ações cujo escopo ultrapasse a competência de um único Ministério, inclusive aquelas pertinentes a cooperação internacional em assuntos de segurança e defesa; Integração fronteiriça; Populações indígenas; Direitos humanos; Operações de paz; Narcotráfico e a outros delitos de configuração internacional; Imigração; Segurança da Informação; e, (grifo do autor) Atividade de inteligência.” 101 5.1.3 Casa Civil A Casa Civil é um órgão essencial da Presidência da República, e de suas competências extraímos aquelas que interagem com os assuntos segurança cibernética e segurança da informação: “I - Assistência e assessoramento direto e imediato ao Presidente da República no desempenho de suas atribuições, em especial nos assuntos relacionados com a coordenação e na integração das ações do Governo; II - Verificação prévia da constitucionalidade e legalidade dos atos presidenciais; VIII - Execução das atividades de apoio necessárias ao exercício da competência do Conselho Superior de Cinema (Concine) e do Conselho Deliberativo do Sistema de Proteção da Amazônia (Consipam); IX - Operacionalização do Sistema de Proteção da Amazônia (Sipam); e X - Execução das políticas de certificados e normas técnicas e operacionais, aprovadas pelo Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileiras (ICPBrasil).” Compõem a estrutura da Casa Civil, três órgãos que são atores importantes na elaboração das normas e regulamentos da segurança da informação e comunicações e na segurança cibernética: (i) ITI, por sua própria missão, (ii) DIRTI e (iii) DITEL, pela posição estratégica que ocupam, pois seus serviços atendem ao primeiro mandatário. Instituto Nacional de Tecnologia da Informação (ITI) O ITI é uma autarquia federal vinculada à Casa Civil da Presidência da República, cujo objetivo é manter a InfraEstrutura de Chaves Públicas Brasileira – ICP-Brasil, sendo a primeira autoridade da cadeia de certificação – AC Raiz. Compete ainda ao ITI estimular e articular projetos de pesquisa científica e de desenvolvimento tecnológico voltados à ampliação da cidadania digital. Nesse vetor, o ITI tem como sua principal linha de ação a popularização da certificação digital e a inclusão digital, atuando sobre questões como sistemas criptográficos, software livre e hardware, compatíveis com padrões abertos e universais, convergência digital de mídias, entre outras. Diretoria de Tecnologia da Informação (DIRTI) 102 A DIRTI é parte integrante da Casa Civil da Presidência da República e é responsável pelo desenvolvimento, manutenção e acompanhamento de todos os sistemas informatizados utilizados na Presidência da República. Diretoria de Telecomunicações (DITEL) A DITEL é parte integrante da Casa Civil da Presidência da República e é responsável pela instalação, manutenção e acompanhamento de todos os sistemas de comunicações utilizados na Presidência da República. 5.1.4 Gabinete de Segurança Institucional da Presidência da República (GSI/PR) O GSI/PR é um órgão essencial da Presidência da República que possui, dentre outras, as seguintes competências77 que dizem respeito ao assunto deste estudo: “I - Prevenção da ocorrência e articulação do gerenciamento de crises, em caso de grave e iminente ameaça à estabilidade institucional; II - Assessoramento pessoal ao Presidente da República em assuntos militares e de segurança; III - Coordenação das atividades de inteligência federal e de segurança da informação; IV - Supervisionar, coordenar e executar as atividades do Sistema Nacional Antidrogas – SISNAD; V - Executar as atividades permanentes, técnicas e de apoio administrativo necessárias ao exercício da competência do Conselho de Defesa Nacional – CDN; VI - Exercer as atividades de Presidente da Câmara de Relações Exteriores e Defesa Nacional, do Conselho de Governo, de conformidade com regulamentação específica; e VII - Promover o intercâmbio de experiências com órgãos estrangeiros que tratam de segurança institucional .” Do acima exposto vê-se que o GSI/PR tem a responsabilidade pelo gerenciamento de crises graves envolvendo a APF ou o Estado brasileiro, coordenar a inteligência e segurança da informação, além de compor o Conselho de Defesa Nacional e a CREDEN do Conselho de 77 PRESIDÊNCIA DA REPÚBLICA – GSI. Brasília, atualizada pela Presidência da República, 2008. Apresenta as carac- terísticas do GSI e órgãos a ele subordinados. Disponível em: <http://www.presidencia.gov.br/estrutura_presidencia/gsi/sobre>. Acesso em: 26 maio 2008. 103 Governo. Tais atribuições o transformam em engrenagem principal para a coordenação da estratégia da segurança cibernética do país. A competência sobre o SISNAD foi destacada porque o tráfico de entorpecentes é um dos maiores financiadores do crime organizado e o ciberespaço é um meio no qual o tráfico tende a se expandir. Da estrutura do GSIPR destacam-se os órgãos a seguir, cujas atividades por eles desenvolvidas os inserem no esforço de construção da estratégia de segurança cibernética. Departamento de Segurança da Informação e Comunicações (DSIC) O DSIC é um órgão subordinado ao GSI/PR, que tem como atribuição operacionalizar as atividades de segurança da informação e comunicações – SIC na administração pública federal, nos seguintes aspectos: (i) regulamentar a segurança da informação e comunicações para toda a APF, (ii) capacitar todos os servidores públicos federais, bem como os terceirizados, sobre SIC, (iii) realizar acordos internacionais de troca de informações sigilosas; (iv) operar o sistema de credenciamento de pessoas e entidades no trato de informações sigilosas, (v) ser o ponto de contato junto à OEA para assuntos de terrorismo cibernético, (vi) manter o centro de tratamento e resposta a incidentes nas redes de computadores da APF – CTIR.Gov. Destacamos de sua estrutura do DSIC o CTIR.Gov. CTIR.Gov O Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal foi criado em portaria publicada no Diário Oficial da União de 30 de junho de 2003 e hoje integra a estrutura do DSIC. Seu objetivo é responder por incidentes de redes e pela busca do intercâmbio de informações necessárias à solução dos incidentes com outras redes e demais centros, no Brasil e no exterior. Os serviços prestados pelo CTIR.Gov podem ser de caráter reativo e pró-ativo. Em ambos os casos, o Centro tem condições de determinar tendências e padrões das ameaças no ciberespaço que afetam não só a APF, mas, trabalhando em conjunto com os demais Centros, também as instituições que compõem as infraestruturas críticas de Estado. A Figura 3 ilustra as interações entre o CTIR.Gov e outros órgãos. 104 Figura 3 - Interações do CTIR/Gov. Fonte: CTIR Gov(2007)78. Agência Brasileira de Inteligência (ABIN)79 A ABIN é o órgão central do Sistema Brasileiro de Inteligência - SISBIN, e é subordinado ao GSI/PR e tem como objetivo estratégico “desenvolver atividades de Inteligência voltadas para a defesa do Estado Democrático de Direito, da sociedade, da eficácia do poder público e da soberania nacional”. Atua nas vertentes inteligência e contra-inteligência em prol do Estado e tem como competência, dentre outras, a que interessa especificamente ao tema deste trabalho: “Avaliar as ameaças, internas e externas, à ordem constitucional.” Em defesa e segurança cibernética a percepção de ameaças em tempo útil permite que se construam mecanismos de defesa das redes brasileira de forma mais eficiente. Compõe ainda a estrutura da ABIN, o CEPESC, que é o órgão com papel fundamental nas questões de criptografia. Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações (CEPESC) 78 Disponível em: <http://www.ctir.gov.br/interacoes.html. Acesso em: 14 jun. 2008. 79 ABIN. Brasília, atualizada pela ABIN, 2008. Apresenta as características institucionais da Agência em questão. Disponível em: <http://www.abin.gov.br/modules/mastop_publish/?tac=Institucional#missao>. Acesso em: 26 maio 2008. 105 O CEPESC de acordo com (ABIN, 2008)80 “foi criado, em 19 de maio de 1982, para sanar a flagrante deficiência do Brasil em salvaguardar o sigilo das transmissões oficiais”. Dentre outras atribuições, busca promover a pesquisa científica e tecnológica aplicada a projetos de segurança das comunicações. Sua importância, no contexto deste trabalho, é a sua capacidade de programar soluções criptológicas construindo algoritmos de estado. Não se pode falar em segurança cibernética sem ter a capacidade de desenvolver suas próprias soluções de criptografia e de equipamentos de proteção e de transmissão de informações. Nesses tópicos o CEPESC tem reconhecimento nacional. 5.1.5 Ministério da Defesa (MD) e Forças Armadas O MD tem como missão exercer a direção superior das Forças Armadas e relaciona em sua página eletrônica vinte e três tecnologias de interesse da defesa nacional, dentre as quais destacam-se como pertinentes ao presente trabalho: (i) Fusão de dados; (ii) Sistemas de informação; (iii) Inteligência de máquinas e robótica; (iv) Sensores ativos e passivos; (v) Controle de Assinaturas; e (vi) Integração de sistemas. Da estrutura do Ministério da Defesa, destaca-se, a Marinha do Brasil, o Exército brasileiro e a Força Aérea Brasileira : Marinha do Brasil (MB) A MB já possui órgãos vocacionados para tratar do assunto em questão. Além do EstadoMaior da Armada e do Centro de Inteligência da Marinha (CIM). A MB conta com o Centro de Apoio a Sistemas Operativos (CASOP) que possui pessoal altamente especializado inclusive em atividades de guerra eletrônica (conforme consta de suas missões em sua página eletrônica) além do Centro de Análises de Sistemas Navais (CASNAV), cuja missão tem plena correlação com o desenvolvimento de uma doutrina de defesa cibernética. Exército Brasileiro (EB) 80 ABIN – CEPESC. Brasília, atualizada pela ABIN, 2008. Apresenta peculiaridades do CEPESC. Disponível em: <http://www.abin.gov.br/modules/mastop_publish/?tac=CEPESC>. Acesso em: 15 set. 2008. 106 O EB, além do Estado-Maior do Exército (EME) e do Centro de Inteligência do Exército (CIE), conta com o Departamento de Ciência e Tecnologia (DCT), um órgão de direção setorial que engloba determinados vetores de modernidade. Ao referido Departamento subordinase o Centro de Desenvolvimento de Sistemas (CDS) e o Centro Integrado de Guerra Eletrônica (CIGE), organizações militares altamente especializadas e possuidoras de pessoal bastante capacitado a trabalhar com tal tema. Há ainda o Grupo Finalístico de Segurança da Informação, grupo este constituído por militares de organizações militares distintas e que tem diversas atribuições em instruções reguladoras do EB que tratam de segurança da informação. Além dos órgãos supracitados, o Instituto Militar de Engenharia (IME) é outro órgão que deve estar vinculado ao sistema em questão por ser um centro de referência nacional no que tange ao ensino e tratar de atividades de natureza técnico-científicas, tendo também, um viés de pesquisa. Força Aérea Brasileira (FAB) A FAB, além do Estado-Maior da Aeronáutica (EMAER) e do Centro de Inteligência da Aeronáutica (CIAER), conta com o Centro de Estudo e Avaliação da Guerra Aérea (CEAGAR) e Centro de Computação da Aeronáutica (CCA). Assim como o IME no EB, a Força Aérea dispõe de um centro de excelência na área de ensino e pesquisa que é o Instituto Tecnológico da Aeronáutica (ITA). 5.1.6 Ministério da Justiça (MJ) O MJ tem por missão garantir e promover a cidadania, a justiça e a segurança pública, através de uma ação conjunta entre o Estado e a sociedade. Tem como área de competência, dentre outros, os seguintes assuntos que interessam ao escopo deste trabalho: Polícia Judiciária e Prevenção e repressão à lavagem de dinheiro e cooperação jurídica internacional. Da estrutura do Ministério da Justiça, destaca-se a Polícia Federal: Polícia Federal (PF) A PF é órgão permanente, organizado e mantido pela União, conforme o texto constitucional, e que tem as seguintes atribuições: 107 a) Apurar infrações penais contra a ordem política e social ou em detrimento de bens, serviços e interesses da União ou de suas entidades autárquicas e empresas públicas, assim como outras infrações cuja prática tenha repercussão interestadual ou internacional e exija repressão uniforme, segundo se dispuser em lei; b) Prevenir e reprimir o tráfico ilícito de entorpecentes e drogas afins, o contrabando e o descaminho, sem prejuízo da ação fazendária e de outros órgãos públicos nas respectivas áreas de competência; c) Exercer, com exclusividade, as funções de Polícia Judiciária da União. Do texto constitucional extrai-se que a PF está vocacionada para o emprego na repressão a crimes que atentem contra “bens, serviços e interesses da União”. Acerca de participar da estratégia de segurança e defesa do espaço cibernético brasileiro, outros órgãos poderiam ser relacionados. Na verdade, em uma leitura mais ampla, todos os órgãos e entidades, todos os servidores públicos federais, todas a empresas públicas ou privadas pertencentes a setores que compõem o que se convencionou chamar de infraestrutura crítica do Estado brasileiro podem estar aqui listados. Nnão se constrói uma estratégia de segurança cibernética sem a participação de todos os usuários de um determinado espaço cibernético, aqui inclusas pessoas físicas e jurídicas. Limitando a abrangência e o escopo deste trabalho, apontamos apenas alguns órgãos públicos diretamente envolvidos com a questão, enfatizando que todos são importantes, devem estar presentes na construção real dessa estratégia de segurança e defesa cibernética para o Estado brasileiro. A Tabela 2 resume a participação dos atores listados quanto ao seu papel na estratégia de defesa e de segurança cibernética e que ação se espera deles. De forma esquemática, o papel de cada ator é subdividido em 3 níveis: (i) Estratégico, onde espera-se que o ator construa diretrizes que servirão de guia para os demais órgãos atuarem em caso de uma necessidade; (ii) Tático, onde espera-se que o ator, de posse das diretrizes desenhadas anteriormente, possa desenvolver ações táticas que resultem em ações de segurança e de defesa cibernética; (iii) operacional, onde espera-se que o ator aqui enquadrado possa desenvolver as ações estabelecidas. 108 Tabela 2 – Quadro de atores, seus papéis e ações na segurança e na defesa cibernética. Fonte: MANDARINO (2009) Órgão Nome/Subordinação Papel Estratégico CND / Constituição X CREDEN X Casa Civil – CC X ITI / CC Tático Ação Operacional X Preventiva Repressiva Defensiva X X X X X X X X X DIRTI / CC X X DITEL / CC X X GSI X X X DSIC / GSI X X X CTIR/DSIC/GSI X X X X X ABIN / GSI X X X DEFESA - DF X X MARINHA / DF X X X X EXERCITO / DF X X X X FAB / DF X X X X MJ X X X X PF / MJ X X X X Quanto às ações que se espera de cada ator, essas também se encontram subdivididas em 3 níveis, sendo que as preventivas e repressivas dizem respeito à segurança cibernética, ou seja, crimes cometidos por computador, ações de quadrilhas organizadas, terrorismo cibernético que não caracterizem uma guerra cibernética. A guerra cibernética nesse caso está representada por ações de defesa, representando a tradição brasileira que envolve tanto ações defensivas como ofensivas. Com um pouco mais de detalhes espera-se que na ação (i) Preventiva, os atores protejam suas redes, desenvolvendo ações de capacitação de seu pessoal, que tenham submetido os seus ativos a um processo de gestão de risco e que tenham plano de contingência, por exemplo; (ii) Repressiva, sejam desenvolvidas as vertentes detecção e detenção, onde na ação de detecção cabe ao ator, valendo-se de seus conhecimentos, impedir que um ataque cibernético prospere nas redes nacionais, agindo em conjunto com outros centros de resposta a incidentes, para identificar o agressor e repassar a informação para a Policia Federal; enquanto na ação de detenção, cabe à Policia Federal atuar, e apenas ela, em qualquer ação que se caracterize como ilícito contra as redes da Administração Pública Federal ; (iii) Defensiva sejam empregadas ações ofensivas e defensivas, que os atores irão executar em função de uma guerra cibernética. Vale notar que os órgãos CDN e CREDEN aparecem nas ações nos 109 3 níveis, apesar de não serem entidades operacionais. Isto se deve, pelo entendimento do autor, ao fato de que em qualquer ação que cause um sério impacto nas redes da Administração Pública Federal ou nas infraestruturas críticas do Estado Brasileiro, essas instâncias sejam mobilizadas e passem a atuar de forma permanente, em suas funções de órgãos de consulta da mais alta autoridade do país. 5.2 Atuação Coordenada para a Segurança e Defesa Cibernética A inteligência, de acordo com o Glossário das Forças Armadas (2007), pode ser definida como o “ramo da Atividade de Inteligência voltado para a obtenção e a análise de dados e para a produção e a disseminação de conhecimentos de Inteligência, dentro e fora do território nacional, sobre fatos e situações de imediata ou potencial influência sobre o processo decisório e a ação governamental e sobre a salvaguarda da sociedade e do Estado”. Ela possui diversos ramos tais como inteligência de comunicações, de imagens e de sinais. 81 Fernandes (2008) alega que determinadas áreas do conhecimento como a informática ou ciência da computação influenciaram ou sofreram influência da cibernética. Tal assertiva fica bastante clara com o advento da sociedade da informação: o conceito de redes de computadores controlando e comunicando-se com outras redes e gerando efeitos no mundo físico. De acordo com o Glossário das Forças Armadas (2007), o termo segurança pode ser entendido como: Condição que permite ao País a preservação da soberania e da integridade territorial, a realização dos seus interesses nacionais, livre de pressões e ameaças de qualquer natureza, e a garantia aos cidadãos do exercício dos direitos e deveres constitucionais. 81 A redação dos significados de alguns destes conceitos foram em parte desenvolvidos em um esforço conjunto entre o autor e Marcelo Fontenelle, para a uma apresentação sobre o assunto feita em outubro de 2008 para a Câmara de Relações Exteriores e Defesa Nacional – CREDEN. 110 O termo defesa deve ser entendido como “o ato ou conjunto de atos realizados para obter, resguardar ou recompor a condição reconhecida como de segurança” ou ainda a “reação contra qualquer ataque ou agressão real ou iminente”. 82 Considerando que um dos objetivos da defesa é “recompor a condição reconhecida como segurança”, pode-se concluir que as atividades de segurança e defesa são complementares, tendo esta última uma postura mais enérgica em relação à anterior. Derivando os conceitos de segurança e defesa ao espaço cibernético, teremos os conceitos de segurança cibernética e defesa cibernética. Ambos os conceitos compõem a Segurança do Espaço Cibernético Brasileiro e requerem a definição de uma estratégia para serem implementadas de forma coordenada. Cabe ao CDN a formulação da estratégia de defesa cibernética. A estratégia de segurança cibernética pode ser entendida como: “a arte de utilizar o espaço cibernético pela adoção de ações que assegurem disponibilidade, integridade, confidencialidade e autenticidade das informações de interesse do Estado brasileiro”. A segurança do espaço cibernético brasileiro na visão do presente trabalho, tem por missão resguardar a interação entre órgãos vinculados à APF brasileira, bem como suas manifestações individuais no campo do ciberespaço permitindo e produção de conhecimento de inteligência para otimizar o processo decisório em nível estratégico. A Figura 4 propõe uma relação entre Segurança do Espaço Cibernético Brasileiro, Segurança Cibernética, Defesa Cibernética e determinados órgãos da APF, considerados prioritários ao tema; apresenta uma visão do autor quanto ao relacionamento entre atores e ao fluxo das informações em situações de prevenção e de repressão de incidentes de segurança cibernética e foi utilizada em apresentação aos membros do CREDEN, em outubro de 2008;sintetiza o conceito de que a segurança cibernética deve ser alvo da preocupação dos: (i) atores ali apresentados: CDN; CREDEN; GSI e seus órgãos DSIC e ABIN representada pelo CEPESC; Ministério da Justiça representado pela Policia Federal (PF); Ministério da Defesa, representado pelas Forças Armadas (FFAA) ; (ii) as ações destes atores sub-divididas em Segurança e 82 BRASIL. Ministério da Defesa. Glossário das Forças Armadas – MD35-G-01. Apresenta definições de termos comuns às Forças Armadas. Acesso em: 19 jul. 2008. 111 Defesa, lembrando que Segurança incorpora as ações de prevenção (incidentes) e repressão; enquanto a Defesa abrange ações ofensivas e defensivas. Figura 4 - Modelo de Segurança e Defesa no Espaço Cibernético Brasileiro. Fonte: MANDARINO (2008) A Figura 4 não trata dos papéis de cada ator, conforme definido na Tabela 2, mas apresenta como a ação estratégica do fluxo das informações se dá. Repare-se que as informações sobre incidentes (prevenção) são comunicadas à repressão, representada pela Policia Federal (seta menor à esquerda), e são também encaminhadas a uma nova entidade, identificada como P&D – Cepesc / FFAA (seta de dupla direção). Essa entidade é um laboratório de análise de malware para o qual as informações sobre os incidentes são encaminhadas para estudo e propostas de soluções para neutralização (por isso as duas direções da seta). A seta pontilhada indica que o conhecimento adquirido nesse laboratório para a prevenção de acidentes pode gerar conhecimento para a construção de produtos que podem ser usados em caso de guerra cibernética. Ao seu exame, percebe-se que o uso do conhecimento está direcionado para uma nova entidade DCI/FFAA, uma outra instância formada pelo Departamento de Contra-Inteligência da ABIN e por frações específicas do Ministério da Defesa, por intermédio das Forças Armadas, com foco nas ações de defesa. O aprofundamento das relações entre esses atores está fora do escopo deste trabalho. 112 A Figura 5 ilustra outros conceitos e atores já estudados neste trabalho e também serviu para a apresentação do autor sobre conceitos de segurança e defesa cibernética em construção no DSIC/GSI para a CREDEN (MANDARINO (2008). O objetivo é demonstrar graficamente a evolução, em círculos concêntricos, das ações que os atores empreendem e que vão desde medidas de capacitação e troca de informações até a preparação para uma situação de guerra cibernética. Por capacitação e troca de informações, podemos exemplificar com o círculo da Comunidades de Práticas (circulo mais externo), onde já estão sendo testadas, com a implantação ainda em caráter experimental da RENASIC – Rede Nacional de Segurança da Informação e Criptografia, uma rede de troca de informações para a qual foram convidadas a participar pesquisadores e profissionais com interesse nas mais diversas áreas que ela pode abranger, que vai desde segurança da informação até criptografia pós-quântica- por isso o título tão pretensioso. Figura 5 – Círculos Concêntricos de Atuação em Segurança e Defesa Cibernética. Fonte: MANDARINO (2008). Podemos explicar a figura informando que o circulo intitulado Comunidade de Compras refere-se a ações para exercer o poder de compra do Estado, definindo padrões e requisitos mínimos de segurança que devem ser observados, nas especificações de compras de produtos 113 e serviços, visando à proteção das informações de governo e dos equipamentos onde essas informações estão abrigadas. Algumas ações já podem ser incluídas neste círculo, como as normativas do E-ping, ou como a recente Instrução Normativa 04 do SLTI/ MPOG, disciplinando, entre outros assuntos, que a gestão da segurança da informação nos órgãos públicos da administração direta federal não pode mais ser objeto de terceirização de pessoal. O círculo representando a Segurança Cibernética mostra algumas ações que já estão em andamento para aplicação na APF: desenvolvimento de conceitos e normas de segurança da informação, desenvolvimento de regras para a montagem de centros de resposta a incidentes de redes, normas de gestão de riscos ou a montagem do laboratório já explicado na Figura 4. Por fim o círculo Defesa Cibernética (círculo menor em vermelho) que se entende ser o último estágio, trata de guerra eletrônica e está fora do escopo deste trabalho. Após a apresentação, o autor percebeu que uma figura de círculos concêntricos talvez não fosse a representação mais clara da idéia que se quis passar. A imagem remete à teoria dos conjuntos e poder-se-ia pensar que o que está contido no círculo Defesa Cibernética também estaria contido no círculo Comunidade de Compras, o que não corresponde à realidade, pois na prática, ocorre o inverso. Mesmo não sendo objeto deste trabalho explorar as ações esperadas e as atividades inerentes à questão, sabemos que um País ao preparar uma Estratégia de Defesa Cibernética está, em outras palavras, se preparando para enfrentar uma situação de conflito grave, ou mais precisamente uma guerra cibernética. Nesse momento, todos os esforços de uma nação estarão voltados para a situação de emergência, bem como os esforços das Comunidades de Compras e de Práticas, estarão voltados para atender às demandas e requisitos daquele esforço de Guerra. Na prática suas atividades estão contidas na Defesa Cibernética. O que se queria expressar com a Figura 5 era a evolução das ações que todos os atores na Sociedade da Informação empreendem e que vão desde medidas de capacitação e troca de informações até a preparação para uma situação de guerra cibernética. Para melhor representar, graficamente, essa idéia, recorremos a uma sucessão de segmentos de cones que mantém correlação entre si, como apresentado na Figura 6. 114 Parece-nos claro que essas ações, para serem efetivas, devem ser coordenadas de forma a que os esforços despendidos tenham sinergia e guardem coerência entre si. Merecem destaque os seguintes pontos: (i) não existem apenas aquelas comunidades que foram nomeadas na Figura 5. Uma sucessão de outros Grupos tem contribuições a dar, como o Setor financeiro ou a Academia, por exemplo. Na verdade os segmentos se sucedem sem um limite definido até abranger toda a Sociedade da Informação; (ii) as trocas entre os segmentos são dinâmicas. Para que uma Estratégia de Segurança ou Defesa Cibernética, seja efetiva, requer recursos e expertise, por exemplo. Essa demanda é suprida pelo conhecimento que é gerado nos segmentos superiores e que flui para tornar sólida e robusta aquela Estratégia; (iii) da mesma forma, novos desafios surgem a cada instante, fazendo com que as camadas mais inferiores da figura, demandem por ajuda às propondo desafios e requisitos aos Grupos melhor preparados para resolvê-los; (iv) todos os segmentos se comunicam e interagem entre si, formando um Sistema. 115 Figura 6 – Proposta de Cones da Atuação em Segurança e Defesa 5.3 Escopo de uma Doutrina de Segurança e Defesa Cibernética Para se aprofundar o escopo de uma Doutrina de Segurança e Defesa Cibernética para o Estado brasileiro algumas questões precisão ser respondidas, dentre elas a seguinte: Algum país possui doutrina semelhante? Documento emitido pela Casa Branca em fevereiro de 2003 sob o título de “The National Strategy to Secure Cyberspace” 83 e editado sob os auspícios do Departamento de Segu- rança Interna (Departament of Homeland Security - DHS) dentro de um programa intitulado Estratégia Nacional para a Proteção Física de Infraestruturas Críticas e Ativos Chaves (National Strategy for the Physical Protection of Crítical Infrastructures na Key Assets) tem o propósito de engajar e exortar os americanos a manterem a segurança da porção do espaço cibernético que eles possuem, operam, controlam ou com o qual eles interagem. Já em seu preâmbulo o documento assegura que proteger o espaço cibernético é um desafio que requer esforço e foco coordenados de toda a sociedade americana, seja do governo, em todos os seus níveis: federal, estadual e municipal; das empresas privadas e do povo em geral. Impossível discordar dessas propostas e não questionar acerca da autoridade do País sobre a qual recai essa atribuição. Como não há em nosso arcabouço jurídico uma figura como o Departamento de Segurança Interna, a responsabilidade sobre essa função encontra-se pulverizada entre vários órgãos de subordinações e níveis hierárquicos diferentes, dificultando uma sinergia de esforços e até mesmo de entendimento do problema, visto sob um ângulo de proteção do espaço cibernético brasileiro. Acreditamos que uma doutrina de segurança do espaço cibernético de um Estado deve ser construída a partir da dimensão Segurança das Informações. Nesse contexto, na estrutura legal do governo brasileiro o único lugar onde a função segurança da informação é explicitada de forma clara e objetiva é na Lei nº 10.683, de 29 de maio de 2003, que atribui a responsabili- 83 National Cyberspace Strategy. http://www.dhs.gov/xlibrary/assets/National_Cyberspace_Strategy.pdf Acessado em 4 de abril de 2009 116 dade de sua coordenação ao Gabinete de Segurança da informação – GSI, órgão essencial da Presidência da República, para toda a Administração Pública Brasileira. Outras questões pertinentes à elaboração de uma doutrina são: o que vamos proteger? A infraestrutura física? A lógica? Os dados? Todo esse conjunto? O DHS (2003), aponta como seus objetivos estratégicos, em primeiro lugar: prevenir contra ataques cibernéticos as infraestruturas críticas norte-americanas; em segundo lugar, reduzir a vulnerabilidade nacional (norte-americana) a ataques cibernéticos e em terceiro lugar minimizar as perdas e o tempo de recuperação no caso de ataques cibernéticos. Esses são objetivos genéricos que se aplica a qualquer Estado. Uma ressalva é necessária face ao caráter menos exposto das infraestruturas nacionais. Essa menor exposição se dá na dimensão política e de relações exteriores. O Brasil é reconhecido como um país que mantém, tradicionalmente, um excelente relacionamento internacional, sem intenções hegemônicas e que mantém suas forças armadas e seus programas de aparelhamento militar, dentro dos limites ditados por sua necessidade de defesa. Desta forma, nos parece lógica a inversão de prioridades dando maior ênfase e prioridade à questão da redução das vulnerabilidades das redes brasileiras aos ataques cibernéticos, sem entretanto abandonar aquela questão. À medida que o mundo fica mais dependente da tecnologia e do ciberespaço, também fica exposto às suas ameaças e vulnerabilidades. Faz-se mister o emprego judicioso da defesa cibernética e, por que não, o desenvolvimento de uma doutrina militar de ataque cibernético, para fins dissuasórios, ou quiçá, para emprego real, , para que a nação defenda sua soberania, até mesmo na esfera do ciberespaço. Há que se estabelecer uma distinção entre segurança cibernética e defesa cibernética. A segurança cibernética, conforme explanada na seção anterior, é um conceito que abrange a APF como um todo. Tomando por base que a guerra é um negócio típico de Estado e sua declaração é responsabilidade do Conselho de Defesa Nacional, a defesa cibernética brasileira deverá ser sua responsabilidade e suas atividades conduzidas pela Presidência da República, não diminuindo a importância das estruturas de Defesa. 117 A segurança cibernética, por ter correlação direta com soberania e segurança da informação e comunicações, também pode constituir-se como valiosa ferramenta de produção de conhecimentos de inteligência sobre grupos ou países que se utilizam da furtividade do ciberespaço para realizar ou patrocinar atividades criminosas, terroristas ou que atentem contra a soberania nacional. Nessa linha de pensamento, a realização de exercícios de defesa cibernética (Cyberstorm) tem-se confirmado como um exemplo de iniciativa para testar e validar a segurança e defesa cibernética vigente e estreitar laços entre órgãos do governo, o meio acadêmico e as infraestruturas críticas de Estado e da sociedade civil. 118 6 DISCUSSÃO E PROPOSTAS A presente monografia apresentou situações nas quais a sociedade brasileira, em especial a APF e infraestruturas críticas de Estado, podem sofrer ante as mais variadas formas de ataques que uma guerra da informação, em seus múltiplos vetores, pode infligir. Como vimos, nos últimos anos, têm sido crescentes os ataques cibernéticos perpetrados pelos mais diferentes atores, movidos por diferentes motivações, lançados contra alvos que vão da pessoa física às infraestruturas de informação de sociedades e estados, com o objetivo de minar o funcionamento dos sistemas de informação de setores público e privado. A Figura 7 , representação gráfica de eixos coordenados, propõe um modelo que ilustra a capacidade dos atores em perpetrar crimes nos diferentes alvos possíveis. O eixo vertical representa o grau de vulnerabilidade que um ator pode conhecer e explorar para ameaçar um alvo. O eixo horizontal representa a capacidade de pesquisa e de disponibilidade de recursos, financeiros e cibernéticos que podem ser aplicados por um ator em sua intenção de atacar um alvo. Tendo sua origem na confluência dos dois eixos, e em um ângulo de 45 graus, encontramse dispostos os atores, conforme exposto na seção 4.5.2 O ator intitulado AMADOR está representado na posição mais baixa desta escala. Sua posição representa graficamente que o ator AMADOR tem pouca capacidade de pesquisa e de disponibilidade de recursos financeiros e cibernéticos para causar dano a um alvo, bem como o seu o grau de conhecimento sobre vulnerabilidades que podem ser exploradas para ameaçar um alvo é relativamente pequeno. Na outra ponta da escala está o ator ESTADO, que dispõe de enorme capacidade de recursos e conhece bem as vulnerabilidades que podem ser exploradas para perpetrar um ataque contra um alvo. 119 Na Figura 7 os alvos estão representados em Classes, como ensinado por SCHWARTAU (1994), conforme explicado na seção 4.5.1 Sendo a Classe I – Pessoas: representada cor verde, a Classe II - Corporações na cor azul e, na Classe III - Estados, pela cor Amarelo (Ver a legenda no canto superior esquerdo da Figura 7 ). A capacidade ou intenção de um autor em causar danos aos alvos está representada por níveis. Para uma melhor visualização, os diferentes níveis de severidade têm a seguinte significação: o nível 1, faixa mais estreita, caracteriza que o autor tem baixa capacidade de causar danos ao alvo. No nível 2, largura, média, intermediária, o grau de danos que poderá ser causado já é considerado de grau médio. O nível 3, faixa mais larga, representa uma alta capacidade de causar danos. (Ver a legenda na parte de baixo da Figura 7 imediatamente sobre a linha horizontal). Assim, o ator CRIME ORGANIZADO, está representado com uma faixa de largura média na cor amarela indicando que ele tem capacidade ou intenção média de ataque contra Estados (cor amarela). As duas faixas largas nas cores azul e verde indicam que ele tem grande capacidade e intenção de atacar Corporações (cor azul) e Pessoas (cor verde). Pela posição relativamente alta que ocupa no eixo dos atores, indica que o ator CRIME ORGANIZADO tem um grau de conhecimento sobre vulnerabilidades que podem ser exploradas para ameaçar um alvo relativamente alto. Esta mesma figura também apresenta em listas coloridas a tipologia de crime, quanto à abrangência, conforme vimos no item 4.5.3 : na cor vermelha os crimes Impróprios, aqueles em que o meio eletrônico é apenas a via para o seu cometimento e que existem também no mundo real.-pornografia infantil, por exemplo. Na cor verde os crimes chamados Próprios, aqueles que só podem ser praticados por meio eletrônico e que não existem em outro meio, por exemplo, acesso não autorizado a bases de dados. E na cor cinza os crimes intitulados Propriamente Ditos, que são aqueles cujo alvo é o próprio computador, como o terrorismo cibernético. Novamente o índice de níveis (Ver detalhe desses níveis em traços horizontais na legenda na parte de baixo da Figura imediatamente sobre a linha horizontal) indica a capacidade do autor em realizar cada tipo de crime. Na Figura percebe-se que o ator AMADOR tem uma alta capacidade de cometer crimes tipificados como Impróprios (cor vermelha) e uma baixa capa- 120 cidade quanto aos crimes Próprios (cor cinza) ou Propriamente Ditos (cor verde). Enquanto que o Autor Crime Organizado, tem alta capacidade de cometer os três tipos.84 Ressalte-se ainda que as intenções variam conforme o autor, como explicitado na seção 4.4 Hackers e Outros Agentes de Ameaça Cibernética1 . O atacante Amador, por exemplo, está apenas preocupado em demonstrar conhecimento. Caso um ataque seja protagonizado por um Estado, sua intenção é a de, no mínimo, tornar indisponível uma infraestrutura crítica de um adversário, ou parte dela. Figura 7 Alvos, Atores e Crimes Cibernéticos. Fonte: Mandarino (2009). 84 A compilação que permite a criação da Figura 10 parte dos autores citados nos Capítulos 5 e 6 bem como da experiência do autor desta pesquisa. 121 Dois incidentes de ataques cibernéticos disputam na preferência dos especialistas o triste privilégio de figurar como o marco zero, o marco inicial de uma nova era, onde as preocupações com a Segurança Cibernética abandonam definitivamente a categoria de previsão catastrófica para se tornarem realidade. Em 2007, figurando como o primeiro ataque cibernético que se tem notícia contra um país inteiro (Estônia) , parece ser este, no entender de alguns, aquele marco. Em 2008, o ataque cibernético sofrido pela Geórgia, ocorrido quando da deflagração do conflito bélico com a Rússia, parece a outros ser mais próprio para simbolizar esta mudança de visão. No nosso entender ambos os incidentes se configuraram como um atentado à segurança cibernética dos Estados atacados, e podem, por seus contornos e características, ser enquadrados, em maior ou menor grau, em qualquer das categorias de Guerra da Informação proposta por LIBICKI (1995) ou mesmo em qualquer das classes propostas por SCHARTAU (1996). Isso demonstra que não há uma fórmula clara para se caracterizar os conflitos dessa ordem sem levarmos em conta 3 outros fatos que vão além das características de Categoria ou da Classe: o alvo, o autor e a sua intenção e a abrangência do ataque. De qualquer forma, atualmente não há duvidas quanto à necessidade de se pensar e estruturar a segurança do espaço cibernético de um Estado, visando à proteção dos sistemas de informação críticos e de suas infraestruturas críticas, com o mesmo rigor e requisitos e em patamares semelhantes aos adotados nos planejamentos tradicionais, quando o assunto é o interesse da Segurança de Estado. Vimos que essa é uma preocupação global, pelas notícias de que ações concretas nesse sentido estão sendo adotadas por países de visões políticas divergentes, como os Estados Unidos e a Rússia. Voltando aos casos Estônia e Geórgia, o que se viu foi um método de ataque semelhante, que logrou sobrecarregar os computadores e os sistemas que controlavam as infraestruturas críticas, em especial os seus sistemas financeiros e de telecomunicações, e as agências governamentais. No caso da Estônia, houve o reconhecimento público das autoridades daquele País de que as medidas de proteção de seus sistemas críticos de gestão de infraestruturas adotadas até o 122 início dos ataques lhes pareciam robustas, mas não foram suficientes para garantir a necessária proteção àqueles meios. Entendemos assim que o Brasil precisa estar preparado para proteger o seu patrimônio cibernético, quer de governo quer da sociedade, entendido aqui como o somatório de seus ativos de informação, suas informações críticas, seus sistemas de informação, suas infraestruturas críticas incluindo a de informação, tudo aquilo enfim que pode ser identificado como componente da Sociedade da Informação, presente no Espaço Cibernético. Para tanto será necessário adotar medidas para a proteção mediante a elaboração de Doutrina e a construção de Estratégias de Segurança e de Defesa do Espaço Cibernético Brasileiro, sendo ambos os conceitos complementares. A primeira, Estratégia de Segurança Cibernética pode ser entendida como a arte de assegurar a existência e a continuidade da Sociedade da Informação de uma nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infraestruturas críticas. A estratégia deve projetar e dimensionar os esforços necessários para, dentre outros, proteger seus ativos de informação, suas infraestruturas críticas de informação, suas informações críticas, desenhar planos para recuperação de informações frente a desastres naturais ou não, capacitar recursos humanos para responder pronta e competentemente a incidentes nas redes e garantir a privacidade das pessoas e empresas que compõem a sua Sociedade da Informação. A Estratégia de Segurança Cibernética deve assegurar, dentre outros aspectos, a disponibilidade, integridade, confidencialidade e autenticidade das informações de interesse do Estado brasileiro. A segunda, Estratégia de Defesa Cibernética deve ser entendida como as ações que buscam a prevenção ou a reação contra ataques e hostilidades perpetradas contra as infraestruturas críticas, usando a informação como recurso ou arma. Tratam-se, portanto de ações de Defesa Nacional. Este trabalho propõe que seja no âmbito da Presidência da República a Coordenação dos estudos para a formulação da Doutrina de Segurança Cibernética. Neste caso identifica-se o Gabinete de Segurança Institucional, por suas competências legais, como o mais apropriado para conduzi-lo, posto que as atividades que a asseguram estão totalmente relacionadas com 123 as atribuições legais do GSI. Este trabalho entende que o desenho dos contornos de uma Estratégia de Segurança Cibernética para a APF é uma missão do Departamento de Segurança da Informação e Comunicações – DSIC. A manutenção da Defesa Cibernética é responsabilidade, por atribuição legal, do Conselho de Defesa Nacional, por intermédio do Ministério da Defesa e das Forças Armadas, posto que envolve atividades vinculadas à preservação da Soberania Nacional, e não é alvo deste estudo. Mas por serem complementares e de certa forma indissolúveis, essas estratégias devem ser construídas de forma escalonável, de modo a que a Segurança do Espaço Cibernético Brasileiro seja o objetivo primeiro buscado por todos, em especial na APF, onde, respeitando-se as atribuições legais, cada órgão e cada servidor público, tenha as suas responsabilidades estabelecidas e conhecidas. Sendo necessário o desencadear de atividades de Defesa, aqueles órgãos com responsabilidades e atribuições legais específicas já estarão envolvidos, e em ação, o que contribuirá para diminuir as possibilidades de soluções de continuidade. Estar preparado para enfrentar esse cenário de ameaças, conhecendo as vulnerabilidades e riscos existentes sobre a Infraestrutura Crítica da Informação da Administração Pública Federal é a essência deste estudo. Assim, nos itens a seguir, sugere-se uma série de propostas de ações que devem ser adotadas pelo Governo Federal, de forma preventiva, como garantia para assegurar a segurança de seu espaço cibernético, minimizando as conseqüências, no caso de sofrer um ataque na chamada guerra de informações. A este conjunto de ações intitulamos Estratégia de Segurança Cibernética. Como já explicitado, as questões de Defesa Cibernética não são aprofundadas neste estudo mas ressalta-se a sua importância e o seu caráter complementar às ações de Segurança Cibernética. 124 6.1 Princípios para Garantir a Segurança Cibernética São dois os princípios básicos que devem ser observados para se garantir a Segurança do Ciberespaço brasileiro85: (i) reduzir as vulnerabilidades no ciberespaço brasileiro, impedindo ou dificultando ataques cibernéticos; (ii) e, em caso de ataque, garantir uma rápida recuperação e funcionamento dos sistemas de informação e infraestruturas críticas atacadas. Dada à total integração das redes públicas e privadas, nesse esforço de proteção devem estar envolvidos todos os setores da nossa Sociedade da Informação, pois de nada adianta proteger apenas as redes públicas sem se assegurar o mesmo nível de proteção às redes privadas ou aos usuários de bandas largas, por exemplo, que integram o Espaço Cibernético Nacional. Todos precisam estar conscientes sobre as ameaças no ciberespaço, partilhando das mesmas preocupações e tendo uma clara e eficiente definição dos papéis e responsabilidades atribuídos a cada um dos atores na prevenção de possíveis ataques. Há que se buscar conscientizar a todos os atores envolvidos que existem riscos associados à utilização de sistemas de informação. Esse risco deve ser ponderado entre as vulnerabilidades advindas do uso cada vez maior que se faz das tecnologias da informação com as vantagens da inserção na economia global, um dos adventos proporcionado pela sociedade da informação. Cabe-nos, portanto mitigar aqueles riscos com ações institucionais, como as a seguir propostas, além de ações preventivas que evitem ou minimizem os ataques cibernéticos identificando e protegendo os possíveis alvos, identificando os possíveis autores e antecipando as suas intenções e construindo um marco legal que permita punir com rigor cada ataque conforme a sua abrangência. 6.2 Esboço de uma Estratégia de Segurança Cibernética Ao propormos a definição para Estratégia de Segurança Cibernética escolhemos inicia-la com a palavra arte tendo em mente que se tratava de uma tarefa única. Não existem modelos 85 Os princípios propostos estão baseados em iniciativas semelhantes da OCDE e do DHS, já estudados no Capítulo 1. 125 a serem seguidos, pois são poucas as nações que se debruçaram sobre o tema e aquelas que o fizeram ainda estão construindo seus referenciais teóricos e práticos. Mesmo se houvessem referências elas não ajudariam, pois essa tarefa que exige muita criatividade e tem que ser construída baseada, sobretudo em muito conhecimento de nossas características próprias, como Estado e Sociedade. Assim, para que a arte de assegurar a existência e a continuidade da Sociedade da Informação da nação brasileira, garantindo e protegendo, no Espaço Cibernético, nossos ativos de informação e nossas infraestruturas críticas, seja efetiva, deve-se: 6.2.1 Conhecer Vulnerabilidades Faz-se necessário conhecer o grau de vulnerabilidade do país em relação aos seus sistemas de informação e as suas infraestruturas críticas de informação. Para tanto é preciso identificar as principais infraestruturas críticas que se quer proteger, seus atores, e estabelecer um diálogo franco e aprofundado sobre as reais necessidades e capacidades, analisando o risco de cada um, frente aos interesses de Estado na questão de Segurança Cibernética, estabelecendo medidas de proteção às suas infraestruturas críticas de informação, envolvendo: (i) Identificar serviços críticos. O objetivo é identificar os serviços essenciais da infraestrutura de informações para o funcionamento da infraestrutura crítica; (ii) Determinar a interdependência. O objetivo é determinar o grau de dependên- cia dos serviços das infraestruturas críticas de informações sobre as infraestruturas críticas; (iii) Avaliação da infraestrutura crítica de informação. O objetivo é desenvolver uma metodologia comum para avaliar a vulnerabilidade das infraestruturas críticas de informação dos seus sistemas e de seus serviços; (iv) Elaboração de uma metodologia para avaliações de risco em segurança ci- bernética. O objetivo consiste em acompanhar as informações sobre a atual situação no ciberespaço, de forma a antecipar as ações preventivas, identificar as contramedidas necessárias para enfrentar ataques à segurança cibernética. Avaliações de risco periódicas, elaboradas em estudos sobre o risco das infraestruturas críticas, deve126 rão integrar esse processo, melhorando as possibilidades de adoção de ações de garantia da segurança. 6.2.2 Adotar Medidas Preventivas Faz-se necessário conceber um sistema de medidas preventivas contra ataques cibernéticos. Por um sistema de medidas preventivas entenda-se uma coleção de ações que buscam fortalecer o Espaço Cibernético brasileiro e aumentar a capacidade do Estado de resistir a ataques. Essas ações podem variar desde a elaborações de normas e procedimentos que visam a disciplinar e minorar a exposição de sistemas informatizados a ataques cibernéticos até a adoção padronizada de produtos visando a proteção das infraestruturas críticas de informação. Faz-se necessário compreender que a segurança cibernética só se dará plenamente se, na informatização de seus sistemas críticos, os conceitos de segurança de informações forem observados de forma eficiente isso significa que todos os proprietários ou usuários de sistemas de informações devem estar conscientes de suas responsabilidades, fazendo uso prudente destes sistemas e se assegurando de que todas as medidas de segurança necessárias para gerir os riscos identificados foram tomadas. A mesma preocupação deve-se ter com relação às aquisições de produtos e serviços usados em sistemas críticos. É premente que uma comunidade de compras disponha de um laboratório para que programas e produtos sejam testados de forma a obter certificado de conformidade identificando o produto como seguro para uso na APF em sistemas críticos. Nesse modelo, identifica-se a Secretaria de Logística e Tecnologia da Informação – SLTI do Ministério do Planejamento como o órgão que tem a competência e a responsabilidade de construir as referências e estabelecer os padrões para que os produtos de TICs possam ser testados e assegurados para uso na APF. 6.2.3 Delegação de Tarefas Faz-se necessário delegar tarefas relativas à gestão da segurança cibernética, no nível nacional. 127 Entendemos que cabe ao Gabinete de Segurança Institucional – GSI, por intermédio do Departamento de Segurança da Informação e Comunicações – DSIC liderar o processo de construção da Estratégia de Segurança Cibernética na APF, por competência legal. Na Seção 5.1 foi apresentada a relação dos Órgãos e Atores identificados para interagir com o DSIC compondo um Grupo Gestor para a elaboração e execução dessa estratégia. Temos convicção de que o esforço deve ter início no setor público, mas não pode ficar aí restrito. É importante notar que a segurança cibernética deve ser buscada através dos esforços coordenados de todos os atores envolvidos, sejam do setor público ou do setor privado, bem como da sociedade civil, e que a cooperação eficaz entre estes atores terá como meta o aprimoramento da proteção às infraestruturas críticas de informação. Desta forma é necessária a instituição, no âmbito do Comitê Gestor de Segurança da Informação – CGSI, de um Grupo de Trabalho - GT permanente que se dedique a estudar a questão da segurança da infraestrutura de informação nacional. Esse grupo deverá ter em sua composição, representação (i) dos órgãos públicos mais informatizados; (ii) dos gestores de cada uma das infraestruturas críticas; (iii) dos órgãos de segurança; (iv) dos órgãos de inteligência; (v) da academia; (vi) dos segmentos sociais mais informatizados; (vii) das infraestruturas críticas privadas. No modelo pensado neste estudo esse GT trabalhará com reuniões plenárias para nivelamento de idéias e conhecimento e se sub-dividirá em grupos distintos, permitindo o aprofundamento dos estudos em assuntos específicos de cada segmento. Por exemplo: (i) Grupo Gestor da APF – composto apenas pelos integrantes de Governo; (ii) Grupo Infraestrutura – que pensaria nas estratégia de proteção e de contingência das infraestruturas físicas é lógicas; (iii) Grupo Legislação – que proporia normas e regulamentações instituindo as premissas para a construção do marco legal; (iv) Grupo Prospecção, que acompanharia as evoluções da tecnologia empregada nos ataques e nas soluções de defesa. 6.2.4 Marco Legal Faz-se necessário construir o marco legal contra ataques cibernéticos. Com o apoio do Grupo Legislação proposto em 6.2.3 o Governo Federal deve estudar as legislações de outros países e fomentar a construção de um marco legal que permita fomentar o desenvolvimento tecnológico, bem como assegurar que ataques contra o Espaço Cibernético 128 Brasileiro, a partir do território nacional, não fiquem impunes, e fomentar programa de cooperação com outros países para as questões legais. Especial atenção deve ser dada às questões de defesa dos direitos humanos, da proteção aos dados pessoais e da identidade; 6.2.5 Programas de Cooperação Faz-se necessário estabelecer programas de cooperação entre Governo e Sociedade, bem como com governos e a comunidade internacional. O maior perigo dos ataques cibernéticos está na capacidade dos atacantes de provocarem com o mínimo de recursos e à distância, danos consideráveis às nossas infraestruturas criticas e sistemas de informação. A possibilidade real do uso do espaço cibernético por organizações terroristas, pelo crime organizado ou, como vimos, por Estados em caso de conflito, representa uma grave ameaça à segurança mundial. Identificar as ameaças e sua origem é uma tarefa difícil e fica ainda mais complicada quando lembramos da impossibilidade de definição clara da questão de soberania territorial para determinação, de questões jurídicas tais como local de ocorrência e julgamento das ações, Isso ocorre porque no espaço cibernético as ameaças são globais, por natureza, e estão em constante evolução tecnológica. A luta para conhecer essas evoluções exige um alto nível de formação, um avançado arcabouço jurídico, além de muita cooperação internacional. Assim a Estratégia de Segurança Cibernética deve fomentar a cooperação estreita com organizações internacionais e outros países, fator que consideramos fundamental para aumentar a segurança cibernética de forma global. 6.2.6 Capacitação e Recrutamento Faz-se necessário desenvolver programas de capacitação e recrutamento. Por competência legal, cabe ao Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República – DSIC/GSIPR fomentar a construção de uma consciência nacional sobre as ameaças no ciberespaço e do estado de prontidão necessário para enfrentá-las, mediante ambicioso programa de capacitação que 129 consiga sensibilizar e conscientizar a todos os integrantes da Administração Pública Federal APF. Esse é um dos pontos chaves para o sucesso da Estratégia de Segurança Cibernética aqui proposta. Entretanto, essa capacitação não pode ficar restrita apenas à APF, já que cada membro da Sociedade da Informação também é responsável por uma parcela da segurança do Espaço Cibernético brasileiro, devendo atuar, pelo menos, na proteção dos equipamentos ou sistemas de que faz uso, seja individualmente ou de forma compartilhada. O programa de capacitação deve ainda ser desdobrado em programas de capacitação conforme o disposto no Anexo A, e de especialização como os que vêm sendo hoje desenvolvido pelo DSIC. Destaque-se que o Curso de Especialização em Gestão da Segurança da Informação e Comunicações – CEGSIC, vem sendo oferecido e coordenado pelo Departamento de Ciência da Computação – CIC, da Universidade de Brasília – UNB em Convênio com o Gabinete de Segurança Institucional da Presidência da República – GSI/PR Em pleno funcionamento e atendendo a sua 2ª turma, talvez seja uma das mais importantes iniciativas, pois qualifica e aperfeiçoa um contingente de Servidores Públicos Federais, que se tornarão os generais nesta batalha de Segurança e de Defesa do Espaço Cibernético do Estado Brasileiro. Vale notar que a formação nessa área de expertise não é fácil e nem barata, requerendo, além do preparo acadêmico um grande número de horas trabalhadas para a aquisição de experiência. Entendendo-se que Segurança Cibernética é uma ação de estado em benefício de toda a sociedade, um caminho legal deve ser estudado para permitir que a APF possa buscar recursos humanos já treinados na sociedade e que os órgãos que estão à frente do processo de implantar as ações de segurança cibernética possam requisitar servidores de outras áreas, contornando as amarras burocráticas hoje existentes. 6.2.7 Desenho e Implementação de Medidas de Segurança Faz-se necessário o desenvolvimento e implementação de um modelo de sistema de medidas de segurança. 130 Os órgãos públicos que compõem a APF têm diferentes níveis de conhecimento a respeito de segurança. Dessa forma o GT proposto em 6.2.3 deverá ter como um de suas metas elaborar um modelo de sistema de medidas de segurança, que deverão ser implementadas por toda a APF. Esse sistema, cujo objetivo é garantir a continuidade das atividades de TI e, caso necessário, ter estabelecido os processos necessários para a recuperação dos sistemas de informação e das medidas correlatas (eletricidade, por exemplo), deverá incluir, dentre outras, as seguintes atividades: (i) Elaboração, revisão e alteração das medidas de segurança mantendo as nor- mas de segurança atualizadas; (ii) Determinar a funcionalidade mínima necessária para a infraestrutura de in- formação e estabelecer medidas para garantir a sua capacidade operativa em situação de crise; (iii) Determinar quais contramedidas serão autorizadas para utilização em uma situação de emergência, em que a infraestrutura crítica esteja sob ataque; (iv) Estudar medidas economicamente viáveis para garantir a segurança da in- formação e determinar as ações necessárias para sua implementação; (v) Desenvolver bateria de testes para auditar os procedimentos de segurança e determinar os passos necessários para aplicá-los. 6.2.8 Ações Pontuais Destaque-se dentre as ações pontuais que complementam este esboço de Estratégia de Segurança Cibernética: (i) Fomentar a criação, nos órgãos da APF, de um grupo de trabalho especiali- zado, com a responsabilidade de identificar as lacunas na segurança da informação, propondo medidas de correção e de aprimoramento da segurança operacional; (ii) Fomentar o intercâmbio de informações de segurança da informação; 131 (iii) Fomentar o aumento da capacidade de análise dos incidentes de segurança da informação e cibernética; (iv) Fomentar o desenvolvimento de propostas de alterações à legislação de segu- rança da informação e cibernética, nacional e internacional; (v) Fomentar a aumento da competência nacional em segurança da informação e cibernética; (vi) Fomentar a pesquisa e o desenvolvimento em segurança da informação e ci- bernética; (vii) Fomentar a participação de órgãos da APF em organismos de cooperação in- ternacional sobre segurança da informação e cibernética. 6.3 Construindo uma Estratégia de Segurança Os primeiros passos da construção de uma Estratégia de Segurança Cibernética também estão sendo dados pelo DSIC. O modelo que preconizamos nesta monografia, contempla: medidas de proteção, o desenvolvimento de capacidade de dissuasão e um amplo programa de capacitação, que se inicia nas ações de conscientização e tem seu auge no preparo específico e aprofundado de todos que têm responsabilidade pela gestão da infraestrutura crítica de informação na APF. Esperamos que essa iniciativa pioneira encontre eco rapidamente, pois temos a convicção de que quanto mais retardar a disseminação das ações voltadas para a segurança cibernética por toda a APF, maiores serão as dificuldades para se adequar as organizações públicas civis ou militares na segurança e na defesa do Espaço Cibernético nacional, e, conseqüentemente, maiores serão os riscos a que estamos expostos. 132 7 CONCLUSÕES Esta pesquisa tinha por objetivo a caracterização de alguns elementos que pudessem servir de base para a concepção de uma doutrina de estado para segurança e defesa do espaço cibernético brasileiro. Enumeramos, nos objetivos gerais da pesquisa, os três elementos que procuraríamos caracterizar: (i) os agentes de governo participantes e interessados no ciberespaço da Nação Brasileira, os (ii) métodos, técnicas, princípios e diretrizes para uma estratégia de segurança cibernética alinhada com a organização do Estado Brasileiro e (iii) as articulações possíveis entre os agentes de defesa cibernética do Estado Brasileiro. Partiu-se da premissa de que o país carecia de uma estratégia de defesa do seu espaço cibernético, pois acreditávamos que a necessidade de segurança neste espaço se mostrava cada vez mais próxima à necessidade de segurança do próprio Estado-Nação. Com o avançar dos estudos, consolida-se a certeza da necessidade urgente de se discutir esse tema e construir essa Doutrina, mas, ao mesmo tempo, percebemos claramente os contornos da dificuldade e grandeza da tarefa, o que nos levou a pragmaticamente a buscar objetivos mais modestos. Apesar dessa decisão, consideramos apropriado manter o título inicial da proposta: UM ESTUDO SOBRE A SEGURANÇA E A DEFESA DO ESPAÇO CIBERNÉTICO BRASILEIRO, quer por sua abrangência, que em nada compromete os novos objetivos quer como um farol que aponta desafiante a direção e o curso que devemos seguir, em trabalhos futuros. Discutiremos a seguir o cumprimento dos objetivos específicos propostos. 133 7.1 Revisão Bibliográfica O trabalho conseguiu apresentar uma revisão bibliográfica dos conceitos subjacentes aos conceitos de segurança e defesa cibernética. Consideramos que atingimos plenamente esse objetivo e que a revisão da bibliografia nos permitiu elaborar com muito respaldo os conceitos de segurança e de defesa cibernética. 7.2 Contornos do Espaço Cibernético Buscamos identificar os contornos do espaço cibernético brasileiro, delimitando as suas fronteiras. Esse objetivo se mostrou por demais ambicioso. Não identificamos um conjunto coerente de estudos internacionais a respeito desse assunto, nem mesmo no âmbito de organizações multilaterais, como a Organização das Nações Unidas – ONU, onde seguramente assuntos desta importância são tratados. Entretanto, apresentamos no Anexo C os conceitos que recolhemos no estudo sobre fronteiras terrestres, marítimas e aéreas, quando buscávamos por similitude, encontrar alguma proposta. 7.3 Atores de Segurança Cibernética Conseguimos identificar os principais atores da Administração Pública Federal que de- vem interagir na segurança cibernética e propor um modelo de interação entre eles. Consideramos esse objetivo plenamente atingido. No Capítulo 5 Órgãos e Atores de Segurança e Defesa Cibernética, apresentamos os órgãos que, a nosso ver, são os principais atores na elaboração e execução de uma Estratégia de Segurança Cibernética. 7.4 Estratégia de Segurança Cibernética Conseguimos descrever princípios e diretrizes que norteiam o desenho de uma estratégia de segurança cibernética para o Estado Brasileiro. Consideramos que atendemos plenamente também a esse objetivo, já que conseguimos identificar na literatura alguns conceitos que foram aproveitados, na proposta de ações que foram apresentadas no Capítulo 6 Discussão e Propostas. 134 7.5 Esboço de uma Doutrina Conseguimos esboçar caminhos para a construção de uma doutrina de segurança do espa- ço cibernético brasileiro. Esse objetivo foi apenas parcialmente atingido. As pesquisas nos mostraram que existem grandes diferenças entre as ações de Segurança Cibernética e as de Defesa Cibernética. Os atores são diferentes e as ações se confundem com as preconizadas pela Doutrina de Defesa Nacional. Por esta razão restringimos nossa pesquisa às ações de Segurança Cibernética. Merece destaque ainda que talvez se refletindo de um caráter ímpar, este estudo já se encontra parcialmente em execução. Do conjunto de iniciativas ou soluções aqui apresentadas algumas já foram ou estão sendo implementadas pelo Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República – DSIC/GSIPR. No Brasil ainda não temos plenamente mapeadas as vulnerabilidades em nossas infraestruturas críticas de informações. Percebemos que os órgãos públicos e empresas privadas adotam medidas de proteção de seus sistemas de forma individualizada, pois falta ainda ao país uma Estratégia de Segurança Cibernética nos moldes da que defendemos nesta monografia, onde as ações de prevenção e reação a ataques estejam previstas de forma coerente e organizadas. Como já vimos, de nada adianta proteger rigorosamente as redes públicas e deixarmos as redes das empresas permanecerem sem serem cuidadas com o mesmo rigor. Persistindo nesta linha toda a nossa infraestrutura crítica de informação e a nossa infraestrutura de informação crítica, permanecerão inseguras. Enquanto não elaborarmos a nossa Estratégia, estaremos expostos a toda a sorte de ameaças cibernéticas que aqui estudamos. Precisamos estar preparados. E como uma mensagem de alerta, volta-se ao mesmo lembrete da citação inicial deste trabalho, que nos incita a pensar: “Si vis pacem para bellum” ou, em uma tradução livre: se queres a paz, prepara-te para a guerra! 135 REFERÊNCIAS BIBLIOGRÁFICAS ACCIOLY, Hildebrando. Manual de Direito Internacional Publico - Ed. Saraiva, S.Paulo, 1991. ARQUILLA, J. J., and D. FRONFELDT.. Cyber war is coming. Comparative Strategy, 1993. AUGE, Marc. Não Lugares: Introdução a uma antropologia da supermodernidade. (Coleção Travessia do Século) Tradução Maria Lúcia Pereira. Papirus,Campinas, SP, 1994. AVILA, Fernando Bastos de. Pequena Enciclopédia de Moral e Civismo. Pe. Fernando Bastos de Avila- MEC, 1967. BARNETT, R. W.. Information operations, deterrence, and the use of force. Naval War College Review,1998. BECKER, Fernando, FARINA, Sérgio, SCHEID, Urbano. Apresentação de trabalhos escolares. Orientação para datilografia e digitação. Multilivro,Porto Alegre, 2000. BERTALANFFY, Ludwig Von, Teoria Geral dos Sistemas. Ed. Vozes; São Paulo,1975. CARVALHO, Jeferson Moreira de, - Poder Constituinte - Funções e Limites, Editora Oliveira Mendes, 1998. CHEMIN, Beatriz Francisca. Guia Prático da UNIVATES para trabalhos acadêmicos. Lajeado: UNIVATES, 2005. CRIMES Cibernéticos: manual prático de investigação. Comitê Gestor da Internet Brasil e Ministério Público Federal. São Paulo, 2006. CRITCHLOW, R. D.. Whom the gods would destroy: An information warfare alternative for deterrence and compellence. Naval War College Review, 2000. DALLARI, Dalmo de Abreu. Elementos de Teoria Geral do Estado. Editora Saraiva 2ª Edição, São Paulo, 1998. DER DERIAN, J. Cyber-deterrent. Editora Wired; 1994. 136 DEVOST, M. G.. National security in the information age. Thesis. University of Vermont. Posted on the Web site: www.terrorism.com.Terrorism Research Center, 1995. ECONOMIST.. The ties that bind. Economist 335:Special Sup, 1995. Enciclopédia Saraiva do DIREITO. Ed. Saraiva - volume 33, Ed. Saraiva, São Paulo,1997. ESG, Escola Superior de Guerra, Manual Básico - Volume I Elementos Fundamentais. Rio de Janeiro, 2008. ESG, Escola Superior de Guerra, Manual Básico - Volume II Assuntos Específicos. Rio de Janeiro, 2008. ESG, Escola Superior de Guerra, Manual Básico. ESG. Rio de Janeiro, 1983. FARINA, Sérgio. Referências bibliográficas e eletrônicas. UNISINOS, São Leopoldo, 1997. FERNANDES, Jorge H. C. - Ciberespaço: Modelos, Tecnologias, Aplicações e Perspectivas da Vida Artificial à Busca por uma Humanidade Auto-Sustentável. Url: http://www.cic.unb.br/~jhcf/ , 1998. FERREIRA, Aurélio Buarque de Holanda. Dicionário Aurélio eletrônico: século XXI. v.3.0. Nova Fronteira, Rio de Janeiro, Nov. 1999. CD-ROM. FRAGOSO, Suely - Espaço, Ciberespaço, Hiperespaço, 2000. URL: http://www.comunica.unisinos.br/tics/textos/2000/2000_sf.pdf. Acesso em 9 de setembro de 2008 FRENCH, Geoffrey S. Current Literature on Information Warfare and Deterrence. Information Warfare Research Center. Washington DC, 17 out 2002 GIBSON, W. Neuromancer.: Harper-Collins.London, 1993. HALL, Stuart. A Identidade Cultural na Pós-Modernidade – Tradução Tomáz Tadeu da Silva e Guacira Lopes Louro - DP&A Editora. RJ, 2004. HALLECK, Gurney. A Hacker Taxonomy. 2004. URL: http://www.blackknife.com/Papers/HackerTaxonomy.html . Acessado em 3 de abr. 2009. HAMRE, John A Garantia da Informação e a Nova Era da Segurança, Revista Eletrônica da United States Information Agency (USIA) Vol. 3, Nº 4, Novembro de 1998. HARKNETT, R. J. Information warfare and deterrence. Parameters 1996. ICOVE, David et al. Computer crime: a crimefigther´s handbook. O´Reilly & Associoates Inc., 1995. Joint Chiefs of Staff. Joint Doctrine for Information Operations. Washington D.C.: U.S. Department of Defense,1998. LESSA, Carlos; COSTA, Darc; EARP, Fábio Sá. Depois do atentado: notícias da guerra assimétrica, a crise internacional e o Brasil. Garamond, 2002. 137 LEVY, Steves. The Hacker Ethic. Editora Penguin, New York, 1984. LIBICKI, M. What Is Information Warfare? ACIS Paper 3. Washington DC. National Defense University Press,1995.. LIBICKI, Martin C. What Is Information Warfare?. Estados Unidos, maio 1995. URL: http://www.dodccrp.org/files/Libicki_What_Is.pdf. Acesso em: 5 maio 2008. MAHNKEN, T. G.. War in the Information Age. Joint Force Quarterly 1995–96 (Winter), 1995. MANDARINO, Raphael Jr, Apresentação sobre o tema Segurança e Defesa Cibernética, para os integrantes da Câmara de Relações Exteriores e de Defesa do Estado – CREDEN, comunicação pessoal, em 9 out. 2008. MANDARINO, Raphael Jr, FONTENELLE, Marcelo – Relatório para subsidiar a reunião da Câmara de Relações Exteriores e de Defesa do Estado – CREDEN, sobre o tema Segurança e Defesa Cibernética, comunicação pessoal em outubro de 2008. MANDARINO, Raphael Jr.. Organizando o Caos: os tempos românticos acabaram. URL: http://www.cgi.br/publicacoes/artigos/artigo24.htm. TCINET. Maio de 2001. Acesso em 5 maio de 2008. MCLUHAN, Marshall "O meio é a mensagem": Ed. Record. Rio de Janeiro,1969 METZ, Steven; JOHNSON, Douglas V. Assymetry and US Military Strategy: Definition, Background and Strategic Concepts.: Instituto de Estudos Estratégicos, Escola Superior de Guerra dos EUA. Carlisle, Pensilvânia, 2001. Ministério da Defesa – Portaria Nº 333/MD, de 24 de março de 2004. Publicada no DOU 59, de 26 de março de 2004. Acesso em 11 de julho de 2009. MORAIS SILVA, Antonio de. Novo Dicionário Compacto da Língua Portuguesa. Editora José Aguilar Ltda, Lisboa, Dezembro 1961. NELSON Bill, Major USAF; CHOI Rodney, Major USMC; IACOBUCCI Michael, Major USA; MITCHEL Mark l, Major USA; GAGNON Greg, Captain USAF, Cyberterror Prospects and Implications. White paper. Defense Intelligence Agency Office for Counterterrorism Analysis (TWC-1),Monterrey, Califórnia,1999. NETO, João Araújo Monteiro. Crimes informáticos uma abordagem dinâmica ao direito penal informático. Pensar, Fortaleza, Vol. 8, fev. 2003. URL: www.unifor.br/notitia/file/1690.pdf Acessado em 2 abr. 2009. NUNES, Pedro. Dicionário de Tecnologia Jurídica - Edit. Freitas Bastos S.A, 1999. O’Hanlon, M.. Technological Change and the Future of Warfare. Brookings Institution Press Washington - DC, 2000. OLIVEIRA, Antonio Francisco Maia; BAZI Rogério Eduardo Rodrigues. Revista Digital de Biblioteconomia e Ciência da Informação,Campinas, Vol 5, n. 2, p.115-131, jul./dez. 2007. 138 PACITTI, Tércio. Do Fortran à Internet. Makron Books, São Paulo,1998. PARKS, Raymon C; DUGGAN, David P; Principles of the Cyber-Warfare.Proceedings , IEEE Workshop on Information Assurance, West Point, NY, 2001. URL: http://www.periwork.com/peri_db/wr_db/2004_May_11_11_30_41/DOCS%20WEBREVIE W/PrinciplesCYBER%20WARFARE.pdf Acessado em 11 de julho de 2009. ROGERS, Marcus K. Computer and Information Technology A Two Dimensional Approach. Purdue University, 2005. URL:https://www.cerias.purdue.edu/assets/pdf/bibtex_archive/200543.pdf. Acesso em 3 de abril de 2009. SCHWARTAU, W. Information Warfare: Chaos on the Electronic Superhighway. Thunder’s Mouth Press, New York,1994. SCHWARTAU, Winn. Information Warfare. Cyberterrorism: protecting your personal security in the electronic age. Thunder’s Mouth Press, New York, 1996. STERLING, Bruce. La caza de hacker – livro eletrônico – 1994. URL:www.tierradelazaro.com/public/libros/lacazadehackers.doc. Acessado em 2 de abr. 2009. Título original The Hacker Crackdown Bantam Books - USA, 1992. SULLIVAN, Jr., L.. Meeting the Challenges of Regional Security. Carlisle, Penn.: Strategic Studies Institute, U.S. Army War College, 1994. TAKAHASHI, Tadao. Sociedade da Informação no Brasil: Livro Verde. Ministério da Ciência e Tecnologia, Brasília, 2000. THOMAS, T. L. Deterring information warfare: A new strategic challenge. Parameters,1996. THUMS, Jorge. Acesso à realidade: técnicas de pesquisa e construção do conhecimento. Sulina/Ulbra, Porto Alegre, 2000. TOFFLER, Alvin; TOFFLER, Heidi. Guerra e Anti-Guerra. Livros do Brasil, Lisboa, 1994. VALLE,Gerson.. Você Conhece Direito Internacional. Coleção Você Conhece. Edit. Rio Sociedade Cultural Ltda, RJ, 1978. VIANNA, Tulio Lima. Hackers: um estudo criminólogico .URL: http://www.buscalegis.ufsc.br/revistas/index.php/buscalegis/article/view/29401/28957. Acesso em: 02 abr. 2009. Publicado originalmente na Revista do CAAP, a.6, v.10, p. 387-409, Belo Horizonte, 2001. VIEIRA, Tatiana Malta. O direito à privacidade na sociedade de informação. Sérgio Antonio Fabris Ed., Porto Alegre, 2007. WHEATLEY, G. F., HAYES,R. E... Information Warfare and Deterrence..: National Defense University Press, Washington D.C, 1996. 139 ANEXO A LEVANTAMENTO SOBRE A CULTURA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA ADMINISTRAÇÃO PÚBLICA FEDERAL Duas afirmações são constantes em qualquer livro ou texto de norma sobre segurança da informação. Uma diz respeito à necessidade de apoio da alta administração. A outra ressalva que a cultura de segurança da informação e comunicações deve ser difundida por toda a organização (ABNT, 2005), SÊMOLA (2003). Este anexo apresenta análises preliminares de estudos que corroboram a afirmação de que há uma baixa cultura de segurança da informação e comunicações na administração pública federal brasileira. A falta de cultura em segurança da Informação e Comunicações pode ser constatada, ao longo de 2008 até 20 de 0utubro de 2008, pelo Departamento de Segurança da Informação e Comunicações – DSIC, quando foram aplicados vários questionários de avaliação, após a realização de Seminários de Conscientização em Segurança da Informação e Comunicações em várias cidades brasileiras. Nesse período foram planejados e realizados pelo DSIC: 1 congresso, o SICGOV 2008 com 420 participantes: 03 cursos de capacitação em SIC, com 80 horas que atenderam a um público de 112 alunos; 4 seminários de conscientização sobre SIC, com 8 horas de duração cada, atingindo 460 servidores públicos federais. Sob demanda de outros órgãos, que solicitaram a colaboração do DSIC no esforço de difundir cultura de SIC nessas organizações, foram ainda realizadas: 2 oficinas de tratamento da informação, com duração de 8 horas cada, que 140 treinou 167 alunos; 7 palestras de sensibilização sobre SIC, com 4 horas de duração, atingindo a um publico de 475 alunos.Neste ano, até 20 de outubro de 2008, foram treinados 1634 servidores públicos, pertencentes a 31 órgãos públicos federais. Esses números merecem um olhar mais atento. Verifica-se que 39% daquele total de sensibilizados e ou conscientizados não foi planejado. Com as atividades ainda programadas para o ano de 2008: 1 seminário de conscientização em Campina Grade, PB, com previsão para 150 atendentes; 1 curso de capacitação com previsão para 40 alunos; e, 3 palestras de sensibilização com previsão para 400 atendentes, podemos projetar que este percentual saltará para 47%. Observa-se que não é fruto de um planejamento acanhado, mas sim de uma demanda dos órgãos públicos, que despertaram para a importância do tema, incentivados pelas ações do próprio DSIC e pela postura pró-ativa que o Tribunal de Contas da União vem adotando frente ao tema (Acórdão TCU 04/2008). Tabela 3 - Seminários Segurança da Informação e Comunicações – SEMSIC. Fonte: DSIC (2008). Atividade Seminários de Conscien- Local Data Órgãos Alunos Belém-PA 14/04 15 92 Salvador-BA 26/05 14 83 tizarão em Segurança da Informação Total 460 Vila Velha-ES 23/06 18 130 Florianópolis-SC 18/08 19 155 Concentrando-se no público que atendeu aos 4 Seminários de Conscientização planejados para ocorrer e que tiveram ampla divulgação, obtém-se uma amostragem significativa, tanto pela diversidade de locais de realização (Tabela 3), quanto pela quantidade de órgãos e entidades federais que se fizeram representar, em número de 30. Após a realização dos seminários, todos os participantes são incentivados a preencher um questionário de avaliação do evento. Busca-se medir diversos fatores com este instrumento desde a qualidade das palestras até a adequação do local e horário. 141 Dentre as questões, as respostas a duas, especificamente ,despertam interesse para este estudo: (i) aquela que busca mensurar o conhecimento prévio dos participantes sobre Segurança da Informação e Comunicações (Tabela 4); (ii) a que tenta verificar se os temas das palestras acrescentaram algo àquele conhecimento prévio declarado (Tabela 5). Os formulários são anônimos, de modo a permitir que as informações prestadas se aproximem da realidade. Tabela 4 – SEMSIC - Resultado das avaliações: Conhecimento Prévio. DSIC (2008). Local Ótimo Bom Regular Insuficiente Total Belém-PA 0 42 40 10 92 Salvador-BA 0 40 34 9 83 Vila Velho-ES 0 63 54 13 130 Florianópolis-SC 0 88 60 7 155 TOTAL 0 224 197 39 460 Com relação ao conhecimento prévio a questão (i) está assim redigida: “Em sua opinião, o seu conhecimento sobre Segurança da Informação pode ser classificado como: Ótimo, Bom, Regular ou Insuficiente?”. As respostas das questões (i) quando tabuladas, mostram que 92 % do universo pesquisado, ou seja a grande maioria, informou que tinha conhecimentos prévios bons ou regulares sobre o assunto SIC. Curiosamente, ninguém admite ter ótimos conhecimentos prévios sobre o assunto apesar de reconhecidamente ter-se tido na audiência a presença de profissionais de incontestável experiência em segurança da informação e comunicações. Declarando que seus conhecimentos podem ser classificados como insuficientes há 8% dos entrevistados. Neste critério, Santa Catarina apresenta o público que se diz melhor preparado, 57%, com conhecimentos considerados de nível bom. Empatados, com o maior percentual de “insuficientes’, 11% , estão os participantes dos seminários da Bahia e de Belém”. Com relação aos conhecimentos adquiridos após a realização do seminário, a questão (ii) está assim redigida: “Em sua opinião, as informações repassadas durante o Seminário de Sen142 sibilização de Segurança da Informação, com relação ao conhecimento que você já possuía sobre o assunto, contribuíram para aumentá-lo? Sim Muito; Sim Pouco; Não”. Tabela 5 – SEMSIC - Resultado das avaliações: Conhecimentos adquiridos. DSIC (2008). Local Sim Muito Sim Pouco Não Total Belém-PA 80 8 4 92 Salvador-BA 69 10 4 83 Vila Velho-ES 99 17 14 130 Florianópolis-SC 125 19 11 155 TOTAL 373 54 33 460 Neste caso observa-se um resultado aparentemente incompatível com as respostas oferecidas na questão (i), de conhecimento prévio. Observe que 49% dos entrevistados se consideravam com conhecimento de nível “bom”. Entretanto, na resposta à questão (ii), 81% dos respondentes indica que os conhecimentos “aumentaram muito”; enquanto 12% informa que “aumentaram pouco” e 7% informa não ter qualquer ganho de conhecimento. Os resultados colocam duas perspectivas. Ou os pesquisados, quando confrontados com a pergunta sobre seus conhecimentos prévios a respeito de segurança da informação e comunicações responderam baseados no senso comum sobre a percepção e entendimento do assunto, ou para não demonstrarem desconhecimento sobre um assunto reconhecido como importante, mascararam suas respostas. Como os questionários são anônimos, e na maioria das vezes as respostas são preenchidas na mesma hora, e como estas duas questões não aparecerem de forma seqüencial no formulário, acreditamos que as respostas à questão (i) (quanto ao conhecimento prévio) são baseadas no senso comum, enquanto a resposta à questão (ii) (sobre o aumento do conhecimento) são a constatação de que a cultura da segurança da informação e comunicações ainda é incipiente, nesse caso em órgãos e entidades da administração pública federal. 143 ANEXO B Engajamento da Alta Administração da Administração Pública Federal em Assuntos de Segurança da Informação e Comunicações Qual o apoio que as principais autoridades governamentais na administração pública federal dão ao assunto segurança da informação e comunicações? É consenso que o apoio da alta administração está intimamente ligado ao sucesso de qualquer iniciativa sobre o assunto, conforme a ABNT NBR ISO/IEC 27002 (2005) e SÊMOLA (2003). Na administração pública federal esse apoio à segurança da informação e comunicações se reveste de um complicador a mais. Sem julgamento de mérito, os cargos de primeiro nível no Brasil (e possivelmente na maioria dos governos do mundo) são ocupados por critérios políticos, e nem sempre o ocupante tem uma sólida formação acadêmica ou experiência profissional administrativa nem ainda teve oportunidade de anteriormente ocupar cargos gerenciais executivos. Como regra geral o ocupante de cargo de primeiro nível foi educado durante os diversos níveis de ensino em um paradigma anterior ao computador. Ao ser nomeado para as funções executivas, ele passa a ter à sua disposição os computadores com a melhor configuração de hardware, ligados à Internet com a melhor velocidade de banda disponível, recebe para uso telefones celulares ou fixos com as mais modernas tecnologias disponíveis na entidade e se vê à frente dos mais variados dispositivos de segurança para acesso aos vários sistemas administrativos e estratégicos que passam a fazer parte do seu dia-a-dia. Por amostragem se sabe que um Ministro de Estado brasileiro é detentor, para desempenho de suas funções de, no mínimo, 1 tokens ou cartão com chips; e não menos do que 10 identificações de usuários (user-id´s) e uma mesma quantidade senhas (passwords). Essa sobrecarga de tecnologias leva a 144 autoridade, dependendo do seu grau de conhecimento técnico, a optar por anotar as identificações de usuários e suas correspondentes senhas usando processos que variam desde mnemônicos até a grafia em texto em claro ou a dividir a responsabilidade com assessores. A autoridade nem sempre adquire ou desenvolve uma clara percepção de que todos os equipamentos, tecnologias e sistemas postos à sua disposição passam a ser uma ameaça no momento que seus dispositivos de proteção de acesso são compartilhados. Como esta é uma constatação empírica, fruto de uma amostragem de pouco valor científico, o Departamento de Segurança da Informação e Comunicações – DSIC, com o apoio do Ministro Chefe do Gabinete de Segurança Institucional da Presidência da República, resolveu efetuar uma pesquisa on-line para medir o grau de percepção sobre segurança da informação e comunicações dos principais administradores por parte do primeiro escalão da administração pública federal. O Governo Federal, em outubro de 2008, está estruturado com 37 Ministérios ou órgãos cujo titular tem status de Ministro, definido na Lei nº. 10.683, de 29 de maio de 2003 e suas alterações. A Pesquisa Os cargos escolhidos para pesquisa foram: (i)o do Ministro (principal executivo); (ii) do Secretário-Executivo (o segundo em linha de comando); (iii) o Chefe de Gabinete (por sua proximidade com a principal autoridade, e, dependendo do Ministério o Chefe de Gabinete tem a função equivalente de segundo/terceiro homem em comando); (iv) o Secretário ou Subsecretário de Planejamento, Orçamento e Administração – SPOA, (ser encarregado da função de Segurança de forma geral); e (v) o Coordenador-Geral de Modernização e Informática – CGMI (que tem a seu cargo a gestão da Segurança da Informação e das tecnologias da Informação e Comunicações). Como os cargos têm nomenclaturas variadas, foram identificados nos diversos Ministérios cargos equivalentes aos nominados. Foram identificados, nos 37 Órgãos os Ministros, Secretários Executivos e Chefes de Gabinetes. Em 4 deles não foram identificadas funções equivalentes à CGMI e SPOA, o que nos deu um total de 177 autoridades pesquisadas. A metodologia da pesquisa obedeceu às seguintes fases: 1 – treinamento com a ferramenta; 2 – elaboração do questionário; 3 – aprovação interna no DSIC/GSI; 4 – divulgação da 145 Pesquisa; 5 – recepção das respostas; 6 – análise dos resultados; e 7 – divulgação dos resultados. As três primeiras fases ocorreram no âmbito do DSIC, sem maiores destaques. Na 4ª fase, tendo em vista a sensibilidade do tema e das implicações decorrentes, tomou-se a decisão de comunicar formalmente a realização da pesquisa mediante Aviso (documento oficial de correspondência entre Ministros). Foram expedidos 37 Avisos Ministeriais (Aviso Circular Nº 213/2008-GSI/PR), comunicando aos demais Ministros o objetivo da pesquisa e informando que autoridades seriam pesquisadas. Por precaução, cada uma das autoridades pesquisadas recebeu uma mensagem eletrônica pessoal, informando sobre a pesquisa e seus objetivos, fazendo referência ao Aviso Ministerial e com um link para acesso a pesquisa. A página endereçada pelo link inicia com orientações a serem seguidas e já apresenta as questões para serem respondidas. Transcrevemos a seguir as orientações: “ Orientações para responder à entrevista Todas as questões devem ser respondidas com base na sua instituição; O tempo estimado para responder a entrevista é de 5 minutos; Solicita-se que a entrevista seja respondida pelo próprio destinatário, preferencialmente, por este formulário eletrônico; Caso seja necessário interromper a entrevista, utilize o botão "Salvar Parcialmente"; Para finalizar e enviar, clique no botão "Salvar e Enviar Respostas"; As respostas serão automaticamente enviadas ao GSIPR. Caso seja necessário contato direto com a coordenação da pesquisa, poderão ser utilizados os telefones (61) 3411 2953 ou (61) 3411 2112, de segunda à sexta-feira, das 9h às 19h (horário de Brasília), ou pelo seguinte e-mail: [email protected].” O Instrumento de Pesquisa As perguntas, em número de 12, foram elaboradas com o objetivo de apreender a percepção das Autoridades com relação ao assunto segurança da informação e comunicações. O questionário foi composto que ofereciam 3 opções de respostas a saber: pelas perguntas expostas na Tabela 6 (i) Para o conjunto composto pelas perguntas de números 1, 2, 5, 6, 10, 11 146 e 12 era possível responder Sim, Não ou Não Aplicável; (ii) Para as questões 5, 7, 8, e 9 as respostas possíveis eram Sim, Não ou Não foi considerada necessária na Instituição; e,(iii) Para a questão 3 as resposta possíveis eram Sim, Não e Não Existe Política de Segurança da Informação e Comunicações na Instituição. Tabela 6 – Questionário sobre SIC encaminhado a Autoridades da APF.Fonte: DSIC (2008). N° 1 2 3 4 5 6 7 8 9 10 11 12 QUESTÃO Existe algum tipo de planejamento institucional relacionado à gestão de segurança da informação e comunicações? A instituição possui algum tipo de política de segurança da informação e comunicações? A política de segurança da informação e comunicações foi amplamente divulgada no âmbito interno da instituição? Existe estrutura de segurança da informação e comunicações (gestor designado, comitê instituído, equipe de tratamento de incidentes, etc.) na instituição? Existem ações no sentido de promover a cultura de segurança da informação e comunicações na instituição? Além dos servidores efetivos, as ações de segurança da informação e comunicações da instituição se estendem aos terceirizados e aos prestadores de serviço? Existem normas institucionais sobre o uso adequado dos recursos de tecnologia da informação (computador, impressora, senha, e-mail, etc)? Existem normas institucionais que orientam procedimentos para tratamento e classificação das informações? Existe previsão orçamentária para investimentos em segurança da informação e comunicações na instituição? Existem planos de contingência na instituição? As ações de segurança da informação e comunicações na instituição estão baseadas em gestão de riscos? A Instrução Normativa GSI Nº 1, de 13 de junho de 2008, apresenta orientações claras e objetivas sobre gestão de segurança da informação e comunicações na instituição? TOTAIS Resultados O prazo para a recepção dos questionários foi encerrado na data prevista, mas algumas autoridades encaminharam suas respostas fora da data prevista e, dada à importância dessas informações os dados foram aceitos. Para efeito deste estudo, estaremos considerando a posição de 20 de outubro de 2008, onde dos 177 questionários enviados, recebeu-se respostas de 49, conforme podemos ver na Tabela 7. Tabela 7 - Quadro Resumo: Percepção das Altas Autoridades sobre SIC. Fonte: MANDARINO (2008). 147 Cargo Emitidos Não Acessados Em Aberto Respondidos Ministro 37 25 6 6 Sec Exec 37 22 6 9 Ch Gab 37 23 4 10 SPOA 33 26 1 6 CGMI 33 11 4 18 TOTAIS 177 107 21 49 100% 60,45% 11,86% 27,68% 12,24% 18,37% 20,41% 12,24% 36,73% A soma dos questionários em abertos e respondidos indica que 39,55% dos pesquisados interessou-se pela pesquisa, sendo que 27,68% do universo pesquisado responderam ou enviaram suas respostas. Ao mesmo tempo, percebe-se que 60,45%, dos contatados não acessou o questionário. Além do Aviso Ministerial e da mensagem eletrônica pessoal, foi feita divulgação da pesquisa nas reuniões do Comitê Gestor de Segurança da Informação – CGSI, foram emitidos comentários a respeito da pesquisa durante os Cursos e Seminários ministrados pelo DSIC entre Setembro e Outubro de 2008, bem como foi comentado de público pelo Diretor do Departamento de Segurança da Informação e Comunicações por ocasião de sua apresentação das ações do DSIC no dia 22 de setembro de 2008, durante o 17º Congresso Nacional de Auditoria de Sistemas, Segurança da Informação e Governança – CNASI. Vale destacar que nesse total estão inclusos 15 detentores de cargos de CGMI, que por força de suas funções têm a obrigação de estar atentos ao assunto. A pesquisa obteve resposta de 26 Órgãos, ou seja, em 70,27% dos órgãos pesquisados, pelo menos uma das autoridades consultadas respondeu. Em contrapartida, em 11 casos não houve qualquer resposta. Em apenas dois órgãos todas as autoridades pesquisadas enviaram as suas respostas. Do total de 49 respostas a maioria 18 respostas ou 36,73% foi feita por ocupantes de cargos de CGMI, grupo, em princípio, com formação técnica. Daquele total ainda, destacamos que 6 respostas ou 12,24% foram encaminhadas por Ministros de Estado contribuindo para a melhor qualidade dos resultados apurados Tabela 7. 148 Tabela 8 – Quadro Resumo: Respostas das Altas Autoridades sobre a SIC. DSIC (2008). N° 1 2 3 4 5 6 7 8 9 QUESTÃO Existe algum tipo de planejamento institucional relacionado à gestão de segurança da informação e comunicações? A instituição possui algum tipo de política de segurança da informação e comunicações? A política de segurança da informação e comunicações foi amplamente divulgada no âmbito interno da instituição? Existe estrutura de segurança da informação e comunicações (gestor designado, comitê instituído, equipe de tratamento de incidentes, etc.) na instituição? Existem ações no sentido de promover a cultura de segurança da informação e comunicações na instituição? Além dos servidores efetivos, as ações de segurança da informação e comunicações da instituição se estendem aos terceirizados e aos prestadores de serviço? Existem normas institucionais sobre o uso adequado dos recursos de tecnologia da informação (computador, impressora, senha, e-mail, etc)? Existem normas institucionais que orientam procedimentos para tratamento e classificação das informações? Existe previsão orçamentária para investimentos em segurança da informação e comunicações na instituição? 10 Existem planos de contingência na instituição? As ações de segurança da informação e comunicações na instituição estão baseadas em ges11 tão de riscos? A Instrução Normativa GSI Nº 1, de 13 de junho de 2008, apresenta orientações claras e objetivas sobre gestão de segurança da infor12 mação e comunicações na instituição? NÃO SIM OUTRA Total 32 65,31% 17 34,69% 0 0,00% 49 35 71,43% 12 24,49% 2 4,08% 49 13 26,53% 28 57,14% 8 16,33% 49 25 51,02% 23 46,94% 1 2,04% 49 35 71,43% 14 28,57% 0 0,00% 49 34 69,39% 5 10,20% 10 20,41% 49 36 73,47% 13 26,53% 0 0,00% 49 18 36,73% 31 63,27% 0 0,00% 49 20 40,82% 29 59,18% 0 0,00% 49 16 32,65% 31 63,27% 2 4,08% 49 16 32,65% 27 55,10% 6 12,24% 49 40 81,63% 6 12,24% 3 6,12% 49 320 54,42% 236 40,14% 32 5,44% 588 TOTAIS A simples observação dos dados da Tabela 8 nos permite concluir que, das instituições públicas de primeiro nível pesquisadas, a sua maioria (65,31%) tem um planejamento institucional de segurança da informação e comunicações (questão 1). Que em 71,43% delas existe alguma forma de política de segurança da informação e comunicações (questão 2), mas que ela é pouco divulgada (questão 3). Que 71,43% estão trabalhando para reforçar a cultura em 149 SIC (questão 5). Que 73,47% das instituições possuem normas internas sobre o uso dos recursos de Tecnologia da Informação. Mas não é freqüente a existência de normas que orientem quanto ao tratamento e classificação de informações sensíveis (questão 8) e nem é comum trabalharem com previsão orçamentária para as questões de SIC (questão 9). As questões 2 e 3 devem ser analisadas em conjunto. Pode-se verificar que 71,43% das respostas à questão 2 indicam a existência de Política de Segurança da Informação e Comunicações – PSIC . Entretanto, na questão 3, 26,53% informam que a Política de foi amplamente divulgada, enquanto que a maioria absoluta, 57,14 % informam que a divulgação foi deficiente. Enquanto 24,49% dos entrevistados informam que suas Instituições não possuem qualquer tipo de política de segurança da informação e comunicações, a resposta controle, inserida na questão 3 (note que as possibilidades de resposta eram Sim, Não e Não Existe Política de Segurança da Informação e Comunicações na Instituição.) esta possibilidade (não existência de PSIC) recebeu 16,33% de confirmação. A aparente inconsistência se explica pelo teor da questão: “A política de segurança da informação e comunicações foi amplamente divulgada no âmbito interno da instituição?” levando muitos a responder como não, já que a não existência de PSIC impede a sua divulgação. A inconsistência se consubstanciaria caso os percentuais fossem invertidos. Destaque–se que 4,08% dos entrevistados acreditam que qualquer tipo de Política de Segurança da Informação e Comunicações não se aplica as suas Instituições. A questão 4, propositadamente muito aberta, indica, com suas respostas equilibradas, divididas entre o Sim e o Não, que a questão da Gestão ainda não está bem compreendida. O que deve ser resolvido com um maior conhecimento da Instrução Normativa 001/GSI de 13 de junho de 2008, que disciplina a matéria, e por sua recente entrada em vigor – 13 de setembro de 2008 ainda não teria tempo suficiente para ter sido implementada. Note pela questão 4 que pelo menos uma autoridade não considera necessária a nomeação de um Gestor ou responsável pela SIC em sua Instituição. Das respostas à questão 6 percebe-se que 69,39% das autoridades reconhecem a importância de que o servidor terceirizado precisa também ser treinado nas questões de SIC. Apesar disso, 10,20% informaram que em suas Instituições os terceirizados não são alvos desta preo150 cupação. Das respostas às questões 10 e 11, sobre gestão de risco e plano de contingência, verificase que 32,65% das autoridades reconhecem alguma utilização dessas abordagens em suas Instituições. A questão 12, que buscava saber sobre a clareza da Instrução Normativa GSI Nº 001 que dispõe sobre a gestão de segurança da informação e comunicações na administração pública federal, obteve o maior número de respostas positivas 40 sendo que 6 entendem que a IN merece maior orientação para aplicação. A IN GSI 001, que abrange toda a APF, foi considerada não aplicável por 3 Autoridades. Fazendo-se uma leitura conjunta dos números totalizados (Figura 8) percebe-se que aproximadamente 55% dos Órgãos da Administração Pública têm alguma forma de controle sobre o assunto Segurança da Informação e Comunicações. Entretanto, em se tratando de organizações que lidam com informações de Estado e por isso mesmo sensíveis, força-nos a concluir que os outros 45% merecem a nossa atenção redobrada. Em especial, faz-se urgente sensibilização de seus Dirigentes para a importância da Segurança da Informação e Comunicações. Figura 8 – Visão da Importância Atribuída à SIC por Dirigentes na APF. Fonte: MANDARINO (2008). Uma conclusão decorrente da pesquisa é de que não houve nenhum questionamento sobre a segurança da própria pesquisa, o que nos dá um indicador de que as precauções prévias de 151 encaminhar um Aviso Ministerial e mensagens eletrônicas personalizadas contribuíram para emprestar credibilidade a um meio sabidamente inseguro. 152 ANEXO C AÇÕES PARA INCREMENTAR A SINERGIA EM SIC NA APF Não se deve permitir que as ações de segurança da informação e comunicações permaneçam sendo iniciativas isoladas de cada órgão da administração pública federal. A busca de proteger suas redes e sistemas individualmente, pode resultar em uma perigosa armadilha trazendo falsa sensação de segurança. A ausência de integração dessas ações entre os diferentes atores da Administração Pública Federal já se reflete em uma situação crítica e perigosa para a Sociedade Brasileira, ao deixar exposto e vulnerável o conjunto de redes, equipamentos e sistemas, e, consequentemente, as informações estratégicas e sensíveis que trafegam em tais sistemas, as quais são tratadas nos diversos níveis do Estado Brasileiro, mas dada à falta de pesquisas conhecidas a respeito este é um sentimento empírico. Entretanto, no caso específico da Administração Pública Federal, podemos comprovar essas afirmações. Em 9 de outubro de 2008, foi convocada pelo Ministro Chefe do Gabinete se Segurança da Institucional – GSI/PR uma reunião da Câmara de Relações Exteriores e Defesa Nacional – CREDEN, Órgão de Governo estabelecido pela Lei nº 10.683, de 29 de maio de 2003, que tem como membros permanentes, o Gabinete de Segurança Institucional da Presidência da República, que a preside, a Casa Civil da Presidência da República, o Ministério da Defesa, o Ministério das Relações Exteriores, o Ministério da Justiça, o Ministério do Planejamento Orçamento e Gestão, o Ministério do Meio Ambiente, o Comando da Marinha, o Comando do Exército e o Comando da Aeronáutica. Este Colegiado tem por objetivo aprovar o Plano Nacional de Inteligência, os Projetos de Segurança da Informação, e de Segurança Institucional das Infraestruturas Críticas do País, dentre outras atividades. 153 O objetivo da reunião era dar ciência e solicitar a apreciação e deliberação sobre essa proposta de Segurança Cibernética. Pela importância e abrangência do tema, além dos membros titulares, foram convidados ainda o Ministério das Comunicações, Ministério da Ciências e Tecnologias e o Ministério do Desenvolvimento da Indústria e do Comércio. Durante a apresentação, o Diretor do DSIC para demonstrar a complexidade e a dificuldade de interação e sinergia entre os Órgãos da Administração Pública Federal, sem uma visão sistêmica e coordenada, quando o assunto é Segurança da Informação, apresentou a Figura 9 que expõe algumas das competências de cada um daqueles órgãos presentes. Figura 9 – Competências dos órgãos da CREDEN. 86Fonte: MANDARINO (2008). Em seguida apresentou a Figura 10 com alguns dos Órgãos subordinados aos Ministérios representados na reunião, que estão ligados de alguma forma ao assunto. Dessa forma, para 10 Ministérios presentes, apontou-se, sem esgotar, 34 órgãos que necessariamente têm que ser ouvidos e convidados a interagir quando o assunto é Segurança da Informação e Comunicações. Como na estrutura atual de Governo contamos com 37 Ministérios, mais a Presidência da República e a Vice-Presidência, pode-se concluir que criar uma sinergia entre todos não é uma tarefa das mais simples. 86 Órgãos presentes à reunião da em 9 out. 2008da CREDEN. 154 A proposta feita e aprovada por unanimidade na ocasião assegura que as questões de segurança cibernética com o cunho de segurança da informação e comunicações devem ser coordenadas pelo GSI/PR, por ser um órgão essencial da Presidência da República e por ter como atribuição típica (como previsto no próprio nome) a segurança institucional, além de ser o único órgão com a competência de coordenar a segurança da informação no Governo Federal (Lei Nr 10.683/2003) Figura 10 – Órgãos vinculados à Segurança do Espaço Cibernético Brasileiro Fonte: MANDARINO (2008) Foi estabelecido ainda criar no âmbito do Comitê Gestor de Segurança da Informação – CGSI, um Grupo de Trabalho, intitulado Segurança Cibernética com o objetivo de elaborar estudos de Segurança da Informação e Comunicações e esboçar propostas de Defesa das Infraestrutura Críticas de Informação. Esta proposta contará com representantes de cada um dos Ministérios presentes àquela reunião, não exclusivamente e estará aberta a todos os Órgãos que queiram participar, podendo contar ainda com representantes da Academia e do Setor Privado. A questão da Defesa Cibernética, por esta proposta, está na esfera de um estado de beligerância entre o País e uma força hostil. Dessa forma não foi objeto de deliberação já que decisões deste escopo cabem ao Conselho de Defesa Nacional, Órgão que tem suas atribuições previstas na Constituição Nacional. Cabe ressaltar que as diretrizes de defesa cibernética devem buscar o pronto restabelecimento da condição de segurança cibernética, consoante a polí- 155 tica de relações exteriores adotada pelo Brasil de não agressão e não-intervencionista. Note-se ainda que no caso de ser necessário acionar mecanismos de Defesa Cibernética há que ser feito no nível mais estratégico da Gestão Governamental – Presidência da República, tendo em vista as suas implicações. 156
Documentos relacionados
Livro Verde: Segurança Cibernética no Brasil
Diretor do Departamento de Segurança da Informação e Comunicações Raphael Mandarino Junior Representantes do Grupo Técnico de Segurança Cibernética - GT SEG CIBER GSIPR-DSIC e ABIN Raphael Mandarin...
Leia mais