No dia 1º de junho, a Agência Nacional de Segurança dos EUA (NSA) teve o Patriotic Act expirado. A legislação aprovada no governo de George W. Bush, depois do 11 de Setembro, permitia o arquivamento de dados de chamadas telefônicas e, por consequência, concedia liberdade de espionagem à agência. A nova lei, já sancionada pela Câmara de Representantes americana, restringe o armazenamento a operadoras telefônicas autorizadas a liberar as infoemações à NSA ou ao FBI em casos especiais. Uma mudança comemorada pelo governo brasileiro como um dos caminhos para frear o avanço dos ataques cibernéticos. Invasões do gênero cresceram 200% no Brasil, em 2013, aponta a Pesquisa Global de Segurança da Informação 2014, organizada pela PwC. O salto impõe uma realização do modelo de segurança virtual, alertam especialistas.

Levantamento da Trend Micro, especializada em segurança online, revela que, das 100 empresas nacionais participantes do estudo, 52% foram vítimas de roubo de dados por malwares (softwares invasores) no ano passado. Os ataques não se limitam a usuários individuais e corporações. Dirigem-se, cada vez mais, a informações sigilosas de instituições governamentais. Um aumento de 81% em relação a 2013, constata o Relatório de 2014 da Trend Micro: Virando a Mesa dos Ataques Cibernéticos. O Brasil foi o quarto mais atingido, atrás de Taiwan, Japão e Estados Unidos. 

O avanço de ataques deste tipo exige, de acordo com especialistas em segurança virtual, o amadurecimento de ações conjuntas – entre poder público, setor privado, centros de pesquisa e usuários. Desde as táticas preventivas até a montagem dos planos de ação. Para o diretor do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República, general Marconi dos Reis Bezerra, a principal preocupação remete às informações associadas à soberania nacional:

– No Brasil, os ataques cibernéticos mais comuns nas redes de governo são os que provocam indisponibilidade de sites oficiais, impedindo o acesso do cidadão aos serviços prestados pelo Estado. Mas os que mais nos preocupam são os que buscam acessar conhecimentos sensíveis e infraestruturas críticas da informação – destaca

Criado em 1999, o Gabinete de Segurança Institucional da Presidência da República coordena, em parceria com o Ministério da Defesa, atividades de inteligência federal e de segurança da informação. Auxilia órgãos da administração federal a assegurar “a integridade e confidencialidade das informações de interesse do Estado”, explica Bezerra:

– Assim como nos espaços aéreo, terrestre e marítimo, o espaço cibernético também requer a adoção de medidas preventivas para resguardar as redes de governo de ações maliciosas – compara Bezerra, especialista em guerra eletrônica.

Ainda falta uma cultura de proteção cibernética no Brasil, avalia delegado

Delinear fronteiras no mundo virtual é tarefa difícil pondera Bezerra. Em que pese o avanço tecnológico contra invasões de hackers ou piratas virtuais, seria ingênuo desconsiderar o risco de monitoramentos como o denunciado, há cerca de dois anos, pelo ex-funcionário da NSA Edward Snowden. A espionagem cibernética da agência de segurança americana vigiava países como China, Rússia, Irã, Paquistão, e até o Brasil. O caso deve estimular uma "tomada de consciência" de governos e empresas sobre a necessidade de se investir mais em segurança, apesar dos "altos custos", argumenta o professor de Segurança de Redes da PUC-Rio Anderson Oliveira da Silva:  

– Se o governo brasileiro, assim como uma empresa, acredita ter dados sigilosos, que mereçam proteção, cumpre investir em segurança da informação. O governo não pode dar como desculpa o fato de uma agência de segurança ou de espionagem de outro país ter executado seu trabalho com excelência. O caso Snowden indica que um dos pilares da segurança digital é o controle de acesso. Ele mesmo teve acesso àquelas informações e decidiu divulgar para o mundo. Talvez se esses dados não tivessem vazado, as pessoas manteriam a falsa impressão de que estavam seguras ou resguardadas. No que se refere aos governos, no entanto, não acredito que haja essa falsa impressão. Os chefes de Estado sabem que a espionagem existe, todos (os países) têm agências de espionagem e de segurança. Mas é preciso investimento, e o Brasil tem profissionais competentes – avalia o doutor em Ciência da Computação.

Ainda de acordo com o professor da PUC-Rio, há cinco pontos prioritários à segurança da informação na rede:

– O primeiro deles é o controle de integridade: a garantia de que as informações não tenham sido adulteradas. O segundo é o controle de autenticação que permite a segurança de dados confiáveis sobre a origem da informação e do autor. O terceiro, controle de sigilo, é utilizado para proteger informações importantes. O quarto é o controle de permissão de acesso, por meio de códigos disponíveis para determinadas pessoas. O quinto ponto é o controle de disponibilidade, ou seja, assegura a disponibilidade da informação aos usuários autorizados.  

Na opinião do delegado da Polícia Civil do Rio Grande do Sul  Emerson Wendt,  colaborador da Coordenação-Geral de Inteligência da Secretaria Nacional de Segurança Pública,“falta uma cultura de segurança cibernética no Brasil”:

– Os ambientes corporativos, públicos e privados, são afetados com o acesso indevido às informações. A sociedade precisa compreender que a internet é uma ferramenta magnífica, cuja principal característica é a comunicação, que agrega dados e informações extremamente valiosos nas mãos de terceiros, interessados ou maldosos, capazes de perceber uma oportunidade para vantagens ilícitas – alerta.

EUA: empresas, centros de pesquisa e governo unem esforços contra invasão cibernética

Depois do roubo de milhares de senhas da empresa de seguro-saúde Anthem em fevereiro e do ataque de um grupo de hackers, em abril, a um dos maiores estúdios de produção cinematográfica, Sony Pictures, o presidente dos Estados Unidos, Barack Obama, encorajou, em conferência de segurança cibernética, centros de pesquisa a desenvolverem vacinas contra as crescentes invasões cibernéticas. Obama também assinou decreto que incentiva organizações americanas a compartilharem registros de incidentes e investimentos em segurança eletrônica –entre elas e com Departamento de Segurança Interna, unidos pelo Centro de Inteligência Integrada para Ameaça Cibernética (CTIIC).

No Brasil, em agosto de 2014, descobriu-se que um computador da Presidência da República foi usado para a incluir elogios e retirar críticas sobre o ex-ministro da Saúde Alexandre Padilha. Em maio de 2013, suprimiram-se informações sobre o vice-presidente Michel Temer e a ex-ministra da Secretaria de Direitos Humanos Ideli Salvatti das páginas de enciclopédia virtual. No perfil de Temer, deixou de constar a participação em maçonaria. No de Ideli, foi retirada a informação de que ela votara a favor do arquivamento de ações contra o senador José Sarney (PMDB-AL) na Comissão de Ética da Casa, em 2009.

O mesmo computador também alterou páginas dos jornalistas Miriam Leitão e Carlos Alberto Sardenberg, desqualificando-os profissionalmente. Miriam foi associada ao banqueiro Daniel Dantas, indiciado na operação Satiagraha, da Plícia Fedaral, com a finalidade de pôr em xeque a veracidade das análises econômicas da colunista. Já Sardenberg foi criticado por ser irmão do diretor da Federação Brasileira dos Bancos (Febraban), Rubens Sardenberg: "A relação familiar denota um conflito de interesse em sua posição como colunista econômico", estampava o comentário incluído na página do jornalista na enciclopédia virtual.

Para inibir ofensivas como essas, Bezerra acredita em inciativas como a parceria entre o Gabinete de Segurança da Presiência  e centros de pesquisa e laboratórios universitários voltadas a estudos sobre os malwares e formas de contê-los. Aposta também em acordos internacionais para troca de informações e proteção mútua: “Acompanhamos os avanços tecnológicos e estudamos as possíveis ameaças. Promovemos capacitação de 50 mil servidores públicos e militares, com palestras, congressos, oficinas. Já formamos 190 especialistas”. Ele acrescenta:

– Em parceria com a Universidade de Brasília, estamos concluindo a quarta turma do curso de especialização em gestão de Segurança da Informação e Comunicações, com mais de 300 estudos de casos de segurança da informação na administração pública federal – orgulha-se o diretor.

Leia mais: Relatório alerta para ciberataques

“Há uma guerra fria cibernética há pelo menos oito ou dez anos”, alerta especialista

Apesar desses esforços nacionais, a advogada especializada em direito eletrônico Adriana de Moraes Cansian, integrante da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia da Ordem dos Advogados do Brasil de São Paulo (OAB-SP), considera que o debate sobre segurança digital ainda dá os primeiros passos:

– A política associada ao combate a crimes cibernéticos e a questões referentes à utilização da internet e dos meios eletrônicos na rotina dos cidadãos ainda é incipiente, sobretudo do ponto de vista jurídico – avalia. – Basta observar a implantação do processo eletrônico em nível nacional, custosa, lenta e, infelizmente, malvista até por profissionais do Direito, que desconfiam da segurança das informações manipuladas eletronicamente no âmbito do Judiciário, mas não se dispõem a entender o processo.

Já Wendt vê avanços na formação de policiais civis preparados para conter crimes virtuais:

 – Em termos federais, a polícia já se estruturou e debate o assunto há mais tempo. As polícias civis estaduais, por gerenciamentos territoriais, têm maior dificuldade de criação e padronização de uma estrutura específica. Mesmo assim, vários estados já criaram delegacias especializadas. O assunto, geralmente, é tratado dentro das áreas de inteligência. Desde 2014, têm sido oferecidos aos policiais cursos com o enfoque em inteligência cibernética.

Coordenador do Grupo de Trabalho em Segurança do Comitê Gestor da Internet no Brasil, o pesquisador Adriano Cansian, marido de Adriana, afirma que há uma “guerra fria cibernética, com ataques silenciosos, usados cada vez  mais por terroristas”. Ele pinta um cenário complexo: 

– Há eventos complexos envolvendo o desenvolvimento de vírus, malwares e outras ferramentas de ataque que remontam ao período entre 2006 e 2008. Estes eventos estão se tornando mais frequentes, mais visíveis e mais complexos nos últimos dois anos. Não é exatamente uma guerra declarada. São escaramuças ou talvez uma preparação para uma guerra em maior escala. Na minha opinião, já existe uma guerra fria cibernética há pelo menos uns oito ou dez anos.

Anderson da Silva pondera que "guerra cibernética" seria um termo exagerado:

– Não há uma guerra cibernética, mas estão acontecendo muitos crimes no meio digital – admite. – Um estado de guerra demanda uma declaração dos estados envolvidos e não é o que está acontecendo. Há, sim, criminosos que, em vez de bater carteira na Carioca, usam a internet para fins ilícitos.  

Xadrez político em tabuleiro virtual

A nova faceta dos ataques terroristas, a invasão de páginas eletrônicas de governos vem se alastrando, ainda de acordo com Cansian, desde os anos 1980. Doutor em Física Computacional, o pesquisador entende que a sistemática desfiguração de portais não oferece "grande risco à comunidade cibernética":

– Estes ataques são bobagem. Não servem para nada prático. Equivalem a uma pichação de propaganda ideológica, usando sites mal configurados e mal cuidados. Os verdadeiros meios de ataque são muito mais complexos e, principalmente, silenciosos, aproveitando a fragilidade de sistemas e redes.

O perito criminal federal Pedro Eleutério destaca que a prática do “roubo de informações sempre ocorreu entre países, mesmo antes do surgimento da internet e de informações digitais”. Coautor, com Márcio Machado, de Desvendando a computação forense (Novatec, 2011), Eleutério concorda com o Anderson da Silva: ambos não percebem "nada de novo nos cibercrimes":

– Os espiões já existiam e repassavam informações sigilosas. A rede mundial de computadores é só um novo meio no qual tais informações podem ser acessadas, se disponíveis, e eventualmente roubadas. Isso já vem acontecendo, independentemente do surgimento da internet e de ataque dos hackers – argumenta o perito.

“Estamos em risco porque os protocolos de internet não foram criados para serem seguros”

Eleutério distingue a invasão de páginas eletrônicas para uso de propaganda – política, ideológica, religiosa – de ataques associados a crimes no "mundo real":

– Invadir sites e colocar bandeiras é meramente uma forma de “fazer propaganda”, e tentar pregar o medo e a ameaça de forma virtual. Isso é bem diferente de roubar informações confidenciais ou planejar ataques de terrorismo real ou até mesmo derrubar um serviço digital essencial. Desconheço o uso de sites hackeados para a real disseminação ou planejamento de ataques no mundo real. Usar máquinas hackeadas para atacar outras máquinas, de forma a omitir a origem dos ataques, isso sim já vem ocorrendo há algum tempo e é um procedimento conhecido pelos profissionais de segurança.

O perito confia no desenvolvimento de sistemas de proteção "complexos e automáticos, quase independentes da ação do homem", como uma saída para garantir a segurança online:

– Os sistemas de segurança buscam cada vez mais agregar informações de diversas fontes para tentar identificar, impedir ou mitigar um ataque e, a partir destas informações, tomar decisões. Os novos mecanismos de segurança estão se tornando mais inteligentes. Irão tomar decisões sozinhos com base em algoritmos complexos. Isso porque os analistas já não dão mais conta de tratar todos os problemas de segurança de forma manual.

Adriana acrescenta que a legislação brasileira, entretanto, não discrimina, em grande parte, os crimes físicos dos virtuais:

– Não há lei brasileira que descreve os tipos de criminosos que podem atuar por meio de dispositivos informáticos, inclusive porque os criminosos são os mesmos já contemplados, por exemplo, no Código Penal. O estelionatário não deixa de sê-lo por ter agido na internet – esclarece a advogada da OAB-SP.

Leia mais: Combate a 'hackers' exige avanço legal, alerta professor

Para Eleutério, a legislação ainda é frágil em relação aos crimes virtuais. Ele argumenta que, apesar da necessidade de avanços tecnológicos, o aperfeiçoamento da segurança virtual depende, sobretudo, de competências humanas:

– A parte técnica é muito segura e avançada. Os sistemas de criptografia são ótimos e seguros. Eles precisam evoluir? Sim, mas não os vejo como um problema. Corromper uma pessoa é muito mais fácil do que invadir um sistema tecnicamente seguro. É aí que mora o perigo: o fator humano sempre vai existir. Estou tranquilo em relação à segurança do ponto de vista técnico, se aplicado do jeito correto. Já a legislação, principalmente no Brasil, é muito fraca, para não dizer inexistente. De legislação específica no Brasil, posso citar alguns artigos do Estatuto da Criança e do Adolescente e a lei Carolina Dieckmann. Os demais crimes virtuais tentam ser enquadrados nos crimes convencionais, como estelionato, furto ou roubo – lamenta.

Ainda no âmbito legislativo, Wendt reconhece a utilidade tanto do Marco Civil, quanto da Lei Carolina Dieckmann, que estabelecem direitos, deveres e limites no uso da internet. Mas aponta falhas na redação dessas normas:

– O Marco Civil da Internet foi importante, ao estabelecer regras de guarda de dados. Por outro lado, criou regras de repasse de conteúdos somente com ordem judicial, mesmo para registros de conexão ou de acesso, que não são necessariamente conteúdo. Já a Lei Carolina Dieckmann foi importante simbolicamente, mas trouxe a criminalização de condutas de invasão com uma redação tecnicamente inapropriada. O bem jurídico protegido não foi bem delineado e há vários conceitos bastante abertos, permitindo várias interpretações – avalia.

Leia mais: Molon: Marco Civil vai inspirar resulução global para a web

Cansian lembra as origens da internet, como repositório de produções científicas à sombra da Guerra Fria, para sustentar a iminência de risco de invasões como uma característica do meio digital desde a criação – o que aumanta o desafio da segurança:

– A segurança é colocada como uma camada a mais, sobre algo que não foi feito para ser seguro. Como são muitos sistemas, muitas redes e muitas coisas conectadas, acaba sempre ficando um ou mais buracos em algum lugar. Qualquer coisa ou pessoa conectada nunca será totalmente segura. Todo mundo está em risco porque os sistemas e os protocolos de internet não foram criados para serem seguros – opina o pesquisador.

A complexidade no aperfeiçoamento da segurança online é ampliada pela fronteira tênue entre a intensidade de conexões e informações, inerente à internet, e o direito à privacidade, observa Adriana:

– O comportamento do usuário na internet é monitorada não só pelo mercado publicitário, mas também por motores de busca e redes sociais. Dependendo do contrato assinado entre usuário e provedor, a criação de perfis não constitui crime. Mas pode se tornar uma infração, de acordo com a natureza do monitoramento, ou seja, do quão invasivo possa se caracterizar.

Acordos isolados não garantem segurança, alertam especialistas

Já quanto a defesa de informações estratégicas de governos, Adriano Cansian aposta na coordenação de esforços públicos e privados e na melhor identificação dos riscos. “Conhecer os riscos a que estamos expostos é o começo. Depois, deve-se pensar em segurança cibernética desde a base da instituição, não como um remendo externo”, prescreve o especialista.

Para Adriana, a disseminação dos casos de espionagem e invasão de conteúdos sigilosos governamentais contribuí para reacender o debate sobre segurança digital. Ela também propõe uma melhor cooperação global:

– Na esfera internacional, reputa-se válida a legislação de cada país e a vigência dos acordos internacionais dos quais cada território é signatário. Do ponto de vista governamental, podemos citar o incômodo trazido pelas declarações de Edward Snowden sobre a política de monitoramento dos Estados Unidos, em relação às demais nações. O fato foi importante para a discussão das políticas de segurança, mas, concretamente, muito pouco mudou, tanto do ponto de vista do investimento nas técnicas de segurança e de sua formalização como políticas de Estado, quanto do caráter político.

O diretor do Gabinete de Segurança da Presidência da República, reforça a importância de se aprofundar o debate internacional sobre segurança de rede. Bezerra considera que Brasil "já mostra participação ativa":

– No cenário internacional, é fundamental que as nações debatam temas como segurança da informação, defesa cibernética e cibercrimes para que se crie uma cultura comum de segurança digital. É preciso estabelecer cooperações multilaterais e bilaterais de proteção mútua do espaço virtual. O Brasil tem participado como convidado de diversos fóruns, grupos de trabalho e discussões no âmbito da ONU (Organização das Nações Unidas), da OEA (Organização dos Estados Americanos), da OCDE (Organização para a Cooperação e Desenvolvimento Econômico), da Unasul (União de Nações Sul-Americanas) e do Brics.

Leia mais: Consultor da ONU: governança deve incluir internet profunda

Para Adriano Cansian, a integração da segurança cibernética por meio de um órgão fiscalizador é uma “utopia”:

– Os países têm buscado entendimentos por meio de fóruns internacionais, como o Fórum de Governança da Internet, e por organismos de governança da internet em nível mundial, como a Icann (Corporação Internacional para Atribuição de Nomes e Números). Mas não existe um órgão fiscalizador. Isso nem seria possível, devido à maneira como a internet é organizada. Até há uma iniciativa chamada de Renasic – Rede Nacional de Segurança da Informação e Criptografia, mantida pelo governo federal, que busca melhorar competências na área, unindo governo, universidades, centros de pesquisa e outras instituições.