Alvo de espionagem estrangeira, a presidente Dilma Rousseff
disse em um discurso na ONU que "o Brasil sabe proteger-se" de ameaças vindas
pela rede. O sistema de defesa cibernética do país, no entanto, ainda dá os
primeiros passos e está longe de garantir segurança contra ataques, apesar de o
tema já figurar como prioridade na Estratégia Nacional de Defesa.
Entre as medidas discutidas pelo governo estão a criação de uma agência
nacional de segurança cibernética e a implementação de ações integradas entre os
muitos órgãos envolvidos na proteção da rede de computadores brasileira.
Atualmente, a segurança das redes
brasileiras não é centralizada.
De acordo com o general José Carlos dos Santos, chefe do Centro de Defesa
Cibernética do Exército brasileiro (CDCiber), um dos dois principais órgãos
responsáveis por garantir a segurança das redes no país, o país precisa se
preparar para a possibilidade de uma "guerra em rede".
Na tarde de domingo, a presidente Dilma Rousseff, anunciou ter determinando
ao Serviço Federal de Processamento de Dados a implantação de "um sistema seguro
de e-mail em todo o governo federal", nas palavras dela, publicadas no Twitter.
"É preciso + segurança nas mensagens p/ prevenir possível espionagem",
acrescentou.
Fragilidade
A fragilidade do sistema de segurança cibernético brasileiro foi escancarada
em meio ao escândalo envolvendo o vazamento promovido por Edward Snowden,
ex-colaborador da Agência Nacional de Segurança dos Estados Unidos (NSA, na
sigla em inglês). Documentos mostraram que a presidente foi alvo de espionagem,
assim como o Ministério das Minas e Energia a a gigante Petrobras, com suspeitas
de espionagem comercial nesse último caso.
Especialistas ouvidos pela BBC Brasil reforçam que "nenhum país está 100%
protegido" da ação de hackers, sejam eles ativistas, integrantes de
grupos criminosos ou funcionários de agências de inteligência de outros países.
Todos também destacaram que o Brasil está dando passos importantes na
construção de um sistema de defesa e segurança cibernética, embora esteja em um
estado ainda inicial. Nenhum deles se disse surpreso pelos casos de espionagem
revelados por Snowden.
A espionagem em si é sobretudo resultado de uma vulnerabilidade do sistema de
segurança cibernética (que inclui a proteção de dados de instituições
governamentais, privadas e de cidadãos em geral).
Há também o conceito de defesa cibernética, nos moldes militares. Redes de
órgãos públicos e de empresas estratégicas podem ser vítimas - agora e,
principalmente, no futuro - de ataques que se assemelham aos de uma campanha de
guerra.
A fronteira entre segurança e defesa pode ser tênue. E as batalhas não são
convencionais - travada na rede mundial de computadores, essa guerra silenciosa
pode ter caráter destrutivo, mas os que estão no front geralmente não
vestem o uniforme de um país, embora estejam a serviço de interesses de Estados
nacionais.
Estratégia de guerra
Em 2008, a Estratégia Nacional de Defesa recomendou o "fortalecimento de três
setores de importância estratégica: o espacial, o cibernético e o nuclear".
Boa parte desta responsabilidade recai sobre o general José Carlos dos
Santos, chefe do CDCiber, um dos dois principais órgãos responsáveis por
garantir a segurança das redes no país.
"Baseados nas lições recentes, estamos plenamente conscientes de que isso é
possível, uma guerra em rede", disse o general, em entrevista à BBC Brasil.
Entre as "lições" mencionadas pelo general estão os ataques virtuais a sites
do governo, de bancos e jornais da Ucrânia, em 2007. Outro caso similar ocorreu
durante a invasão russa à Geórgia, quando a ex-república soviética sofreu um
"apagão" virtual. Nos dois episódios, pesaram suspeitas sobre Moscou.
Outro caso emblemático foi o ataque às instalações nucleares de Natanz, no
Irã. O vírus autorreplicante Stuxnet destruiu várias centrífugas, retardando o
programa nuclear do país, segundo a narrativa de especialistas da área. Israel
foi apontado como provável responsável pelo ataque.
"Temos que estar preparados para essas eventualidades", diz o general. Ele
conta que as academias militares já incluíram programas de tecnologia e
segurança da informação em seus currículos.Em 2009, segundo o general, o
ministério da Defesa teve aprovado um orçamento de R$ 400 milhões a ser
executado em quatro anos, apenas com a segurança e defesa cibernética. Já as
verbas destinadas a operações especiais durante a Copa do Mundo são de R$ 40
milhões.
Vulnerabilidades
Para o professor Adriano Cansian, da Universidade Estadual Paulista (Unesp)
de São José do Rio Preto, o principal desafio do Brasil é se proteger contra os
chamados "ataques de negativa de serviço".
Tais ataques ocorrem quando sistemas são bombardeados com falsos acessos, que
acabam congestionando e derrubando sites.
Foi o que ocorreu em 2011, quando o site da Presidência e de vários
ministérios e órgãos da administração federal foram alvo de ataques ao longo de
vários dias. O braço brasileiro do movimento de hackers LulzSec assumiu
a ofensiva que, segundo o grupo, tinha a intenção de mostrar a vulnerabilidade
do sistema.
Cansiam diz que as redes de determinados órgãos podem requerer atenção
especial por serem estratégias em caso de guerra virtual.
"Considero a infraestrutura física mesmo. Em caso de conflito, emissoras de
TV, rádio, centrais elétricas, ramificações de fibra ótica e data center de
grandes empresas precisam ser protegidas", argumenta, apontando para alvos que
também ficariam na linha de ataque em caso de guerras convencionais.
O pesquisador, que é consultor de segurança cibernética de órgãos
governamentais, diz no entanto que "o maior problema é perder a conectividade da
rede, por negativa de serviço".
"Como criamos dependência muito grande da rede, seja no comércio, no setor de
serviços e entretenimento, se um ataque se prolongar, as consequências podem ser
danosas. Imagina se por causa de um ataque a China ficar impossibilitada de
fazer comércio com o mundo durante 20 dias… Isso vai ser sentido em todo lado",
diz.
'A infraestrutura nacional de tecnologia de informação é ruim'
A segurança das redes brasileiras não responde a um comando
único. Descentralizada em dois principais órgãos, com iniciativas e contribuição
de vários ministérios, a estrutura é questionada por especialistas que defendem
uma maior centralização, capaz de gerar respostas mais eficazes e evitar a
sobreposição de tarefas.
A estratégia de defesa e boa parte das políticas gerais de segurança está a
cargo do Centro de Defesa Cibernética do Exército (CDCiber), que responde ao
Ministério da Defesa. Outro órgão importante é o Departamento de Segurança da
Informação e Comunicações, do Gabinete de Segurança Institucional da Presidência
da República.
Segundo o relatório "A Segurança e a Defesa Cibernética do Brasil", publicado
em julho pelo Instituto de Pesquisa Econômica Aplicada, "a organização
institucional tende a não favorecer ações integradas".
Além dos dois órgãos citados, parte da política de segurança e defesa é feita
ou tem contribuição de instituições como a Agência Brasileira de Inteligência, a
Polícia Federal e o Ministério de Ciência e Tecnologia.
"Apesar de algumas ações estarem em andamento, a infraestrutura nacional de
tecnologia de informação é ruim", afirma o documento produzido pelo atual
assessor de defesa da Secretaria de Assuntos Estratégicos, Samuel César da Cruz
Júnior.
Articulação
Em entrevista à BBC Brasil, Cruz disse que "falta articulação
institucionalizada" e que, hoje, boa parte dessa integração "depende de um
relacionamento informal entre os órgãos".
"Como se fala em defesa cibernética sem envolver outros órgãos como
Comunicações e Secretaria de Assuntos Estratégicos?", questiona.
Assim como Cruz, o general José Carlos dos Santos, diretor do CDCiber,
destaca a importância de ações integradas. O tema já vinha sendo discutido em
fóruns de especialistas, segundo ambos. Após o caso Snowden a discussão deve
ganhar corpo.
A primeira iniciativa nessa direção foi a decisão que põe nas mãos do
Gabinete de Segurança Institucional a edição de resoluções normativas para a
área, a partir deste ano de 2013.
O general Santos diz ainda que "a ideia de uma agência nacional de segurança
cibernética está sendo discutida". Cruz, por sua vez, propõe a instalação de uma
escola nacional de segurança cibernética.
Mundo
A falta de uma estrutura clara de combate a ataques e crimes cibernéticos não
é exclusividade brasileira. Cruz disse que "todo mundo está tentando se
organizar internamente".
Cruz compara a estrutura brasileira a de outros países, como os Estados
Unidos, onde todo esse arcabouço fica a cargo do Departamento de Defesa. O US
Cyber Command cuida da política de defesa, enquanto a Agência Nacional de
Segurança (NSA, na sigla em inglês) trabalha com a segurança das redes.
Segundo dados reunidos no relatório "A Segurança e a Defesa Cibernética do
Brasil", o orçamento anual do US Cyber Command é de US$ 119 milhões (2012). O
similar brasileiro, o CDCiber, teve no mesmo ano R$ 100 milhões, menos de 50%
dos recursos do órgão americano, de acordo com o diretor do órgão, general José
Carlos dos Santos.
O autor do relatório, Samuel César da Cruz Júnior, citou Japão, China e
França como países com um sistema de segurança e defesa desenvolvidos, mas
pontuou que sua avaliação é subjetiva, já que, por razões óbvias, faltam dados
para uma comparação a contento.
"Mesmo os Estados Unidos são vulneráveis. Eles se autointitulam um país
vulnerável, até porque sistemas computacionais não são 100% seguros e os
americanos dependem muito deles", disse Cruz.
Segundo ele, "a China é superprotegida", mas há que se considerar "que o
regime chinês é um caso à parte". "Não há internet na China, há uma grande
intranet", diz, referindo-se ao isolamento chinês em relação à rede mundial de
computadores.
Fonte: BBC Brasil