Circuito Deluca

Brasil precisa fazer o dever de casa em segurança cibernética

Publicada em 25/07/2014 17:21

Estamos pouco preparados para enfrentar o cibercrime. É fato. As ações dos órgãos militares e de segurança da administração pública federal, que tão bem responderam aos ataques durante a Copa do Mundo, são apenas uma fração do que o Brasil precisa fazer, em todas as esferas, para tornar empresas e governos menos vulneráveis aos ataques cibernéticos.

Há uma guerra no mundo, e necessitamos de ações coordenadas, de longo prazo, começando pela inclusão das questões de cibersegurança no topo da agenda estratégica corporativa.

“Os líderes empresariais e governamentais precisam compreender os riscos cibernéticos e entender que essas questões não estão mais apenas no âmbito da Tecnologia da Informação, mas sim da governança corporativa consciente e responsável”, afirma o “manifesto “Segurança cibernética no Brasil – Um Manifesto por Mudanças”.

“Perdas de propriedade intelectual e fraude generalizada já estão contribuindo para elevar os custos de produtos e serviços. Ataques invasivos efetuados por cibercriminosos procurando ganho financeiro, espiões de governos e particulares, ativistas e até mesmo terroristas podem produzir efeitos devastadores sobre as redes de telecomunicações, sistemas de redes elétricas e no sistema financeiro do Brasil. Reputações corporativas e governamentais também estão em risco”, diz o documento.

“A cultura corporativa tem que ser mudada, em uma abordagem de cima para baixo. O nível estratégico corporativo tem que se conscientizar que risco cibernético é sinônimo de risco para o negócio, hoje. O problema não é só do CIO e do CISO, é do CEO e do conselho de administração, de todo o colegiado”, afirma Paulo Pagliusi, CEO da MPSafe CiberSecurity, que nesta quinta-feira, 24/7, participou do fórum “O Marco Civil e seus Impactos na Segurança da Informação”, realizado pela PPP Treinamentos.

É preciso também agir junto ao poder público na elaboração de leis que, de fato, reduzam a sensação de impunidade para os cibercriminosos. “O usuário não é criminoso, mas todo criminoso é usuário. Tanto a Lei Carolina Dieckmann quanto o Marco Civil da Internet não se nortearam por esse princípio”, afirma o delegado José Mariano de Araújo Filho, especialista em Cibercrimes.

“A gente está falando de ameaça, de crime organizado, de pessoas que passam 24 horas do dia, nos sete dias da semana, procurando a frestinha para atacar. E as leis para combater isso não levam em conta que o criminoso é usuário e ao proteger ao usuário também está protegendo o usuário criminoso. É um contrassenso”, afirma o delegado.

Mas é possível equilibrar a proteção à privacidade com a proteção à sociedade através de repressão à criminalidade?

“É. Como? Dando o tratamento adequado a cada um dos atores dentro deste cenário. Usuário é usuário. Segmento corporativo é segmento corporativo. Órgãos de investigação são órgãos de investigação. Órgão de controle são órgãos de controle. E criminoso é criminoso e tem que ser tratado como”, afirma o delegado.

Com relação à legislação, há uma boa janela de oportunidade, agora, na regulamentação do Marco Civil, para que ao menos alguns aspectos da segurança cibernética sejam endereçados. Na regulamentação das exceções à neutralidade de rede, por exemplo, é preciso deixar claro que, em algum momento toda empresa precisará filtrar e analisar seu tráfego. E que muitas empresas são um sistema autônomo, que lida com transmissão, comutação ou roteamento mesmo não sendo necessariamente um provedor de conexão internet comercial como as operadoras de serviços de telecomunicações.

A fiscalização de conteúdo é outro ponto polêmico. Somente por meio de ordens judiciais para fins de investigação criminal será possível ter acesso a esses conteúdos, obedecendo o que diz o artigo 5º, inciso XII, da Constituição Federal: “é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo no último caso, por ordem judicial, nas hipóteses e nas formas que a lei estabelecer para fins de investigação criminal ou instrução processual penal”.

Na opinião de muitos profissionais de segurança cibernética, seria bom que da mesma forma que temos delegacias de crimes digitais, pudéssemos ter juizados especializados em crimes cibernéticos entre os juizados especiais, capazes de agilizar a emissão de ordens judiciais que dessem condição ao perito criminal de produzir a prova técnica. Mas essa é uma ação que vai além do Marco Civil. Pode ser alinhada com muitas outras que precisam acontecer para dar o tratamento adequado a cada ator do cenário de guerra ao cibercrime.

Há quem advogue, por exemplo, que o país  venha a ter uma Agência Nacional de Segurança Cibernética, capaz de coordenar as ações na área civil, assumindo muitas das tarefas que estão hoje, equivocadamente, a cargo do Exército brasileiro, através do CDCiber – Centro de Defesa Cibernética.

É preciso tratar diferentemente a defesa cibernética, a ciberguerra e a segurança cibernética, afirma o Tenente Coronel João M. E. Carneiro. No Brasil, a doutrina militar de Defesa Cibernética já foi escrita. Está em fase de aprovação, e diz respeito à proteção da soberania do país em relação à ciberguerra (nível operacional e tático). Mas é preciso também atacar a segurança cibernética, um conceito mais amplo de proteção do ambiente cibernético como um todo.

O Gabinete de Segurança Institucional da Presidência da República e o Ministério da Defesa  já estudam a criação desta Agência Nacional de Segurança Cibernética. A criação do órgão parte do pressuposto de que a segurança cibernética requer um maior diálogo e consequente fortalecimento nas relações entre governo, academia e setor privado, bem como, o fortalecimento, em nível nacional e internacional, da cooperação técnica e da inserção do país em fóruns de formação de opinião e de decisão.

No atual cenário é preciso também aumentar significativamente a formação de recursos humanos especializados em segurança e defesa cibernética, em todos os níveis. Está em estudo também a criação de uma Escola Nacional de Segurança Cibernética, em âmbito interministerial, a exemplo do que existe na área da saúde e da administração pública.

E esses são só alguns exemplos do quão complexo o tema segurança cibernética é. Todos os especialistas concordam que, acima de tudo, de todo ferramental e pessoal especializado envolvido no âmbito privado, público e militar, a formação de profissionais e cidadãos conscientes das questões de cibersegurança é fator sine qua non para a proteção da sociedade, considerando os usuários, das empresas e dos órgão da administração pública.

“Será imperativo para a continuidade do crescimento do Brasil e sua imersão em uma economia conectada global que as questões de cibersegurança sejam endereçadas não pelo seu mero aspecto técnico, mas por uma ótica de governança e responsabilidade corporativa e social”, destaca William Beer, Sócio da Alvarez & Marsal, idealizador do manifesto público de Segurança Cibernética.

PRIMEIRA BAIXA NESTA GUERRA - Um dos articuladores da criação da Agência Nacional de Segurança Cibernética, Raphael Mandarino Junior deixa, após as eleições, o cargo de diretor do departamento de Segurança de Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República. Apesar de confirmar planos de deixar a vida pública este ano, Mandarino evitou comentar o assunto, limitando-se a dizer apenas que pretende continuar contribuindo para o avanço da cibersegurança no país.

  • Fernando Palerosi Carneiro

    Fala sério! Alguém acredita nisso ? O governo cobra uma fortuna nos impostos de telecomunicações. Quem vai ter dinheiro pra comprar firewalls,ips, etc ?
    Onde está o dinheiro do Fust ? O dinheiro do Fust não universalizou telecomunicações nenhuma. Só rico tem internet , tv a cabo, plano de internet no celular, etc.
    Pelo que eu entendo, a história contada nessa notícia está muito clara. As empresas de telecomunicações não tem capacidade pra atender Marco Civil. A quantidade de logs são gigantescas. Como é que você vai guardar logs de vários gigabits de tráfego ? Aprovaram o Marco Civil na marra, sem saber se iria atender.
    Tudo que vem do estado é lixo ! Enquanto não criar uma zona de livre comércio de telecomunicações, o Brasil vai ser limitado na área de tecnologia.
    Essa empresa nada mais é do que criar mais cargos públicos com o nosso dinheiro.