A Vulnerabilidade Física e Virtual nos Pontos de Varejo do País

Depois de espalhar câmeras IP como quem espalha lâmpadas nas lojas, o comércio já pode iniciar a unificação da segurança digital e física

A indústria mundial de varejo vem avançando de forma admirável numa disciplina multifacetada que se convencionou chamar de “prevenção de perdas” e que envolve desde a perda por falha nos controles de estoque, até os prejuízos ocasionados por furtos ou fraudes no sistema digital de pagamento.

Para não abrir demasiado o leque neste artigo, proponho uma passada de olhos nas vulnerabilidades de segurança que o setor precisa enfrentar para sanar uma sangria conhecidamente gigantesca, que são as perdas por falha na segurança do negócio, mais especificamente, no aparato digital e eletrônico disponível para a prevenção contra ataques às gôndolas, ao caixa e às bases de dados de clientes.

Entram, portanto, neste rol as categorias de risco cibernético e de vulnerabilidade física tradicional (que dá ensejo ao roubo ou desvio de produtos), de modo que se possa pensar numa visão holística (unificada) da questão das perdas varejistas e sua respectiva prevenção.

Vamos mirar especificamente o comércio em rede, uma vez que esta é forma predominante na indústria atual do varejo, embora a abordagem geral caiba também aos estabelecimentos isolados.

A primeira constatação é a de que o setor vem adotando certas medidas razoáveis, como o uso de etiquetas de rastreamento com alarme (RFID), para evitar a saída de produtos não pagos, uma iniciativa cada vez mais comum, principalmente em lojas de produtos com alto valor unitário, como perfumarias, lojas de eletrodomésticos e confecções.

Entre os sofisticados itens em fase de disseminação estão as câmeras de vigilância, muitas delas associadas a analisadores de ambiente capazes de detectar pessoas em movimentação brusca, ou até com leitores biométricos para o cadastramento facial de suspeitos.

São iniciativas ainda incipientes na grande maioria das redes no Brasil, como atestam pesquisas setoriais, mostrando que só 35% dos supermercados e atacarejos dispõem de planejamento e equipes dedicadas à prevenção.

Mas um tópico mais preocupante, a meu ver, é o cenário de alta vulnerabilidade da estrutura de informática presente nos pontos de vendas do país, o que agrava de forma dramática a própria segurança física.

Isto porque tal estrutura é vital não apenas para o gerenciamento das transações eletrônicas da loja, mas também para o monitoramento da segurança de itens como as câmeras, os alarmes, os detectores RFID, os sensores de presença nos depósitos, os leitores de códigos de barra, os registradores de cash, balanças e até catracas de entrada e saída de clientes.

No aspecto estritamente digital, é certo que todos estes estabelecimentos deveriam já se submeter a normas básicas de compliance impostas pelas bandeiras de cartão de pagamento como Visa, Diners e MasterCard através do seu rigoroso padrão PCI-DSS, que mundialmente mobiliza bilhões em tecnologia de combate à vulnerabilidade de dados e transações.

Mas embora utilizem necessariamente uma rede credenciada de transporte de transações (como Elo ou PagSeguro) tais estabelecimentos raramente dispõem de uma rede interna isolada para seus serviços gerais, em relação a pontos críticos de interface com o cliente ou com o mundo externo, como os terminais de PDV ou de captura de cartões.

Assim, toda a blindagem com base em normas (compliance) adotada pelo transportador de transações e exigida pelas bandeiras dos cartões se depara, no ambiente da loja, com uma brecha de segurança pela qual, se passa boi, certamente em algum momento deixará passar a boiada, como diz a linguagem popular e referencia a velha e infeliz “Lei de Murphy”.

Este é um cenário, aliás, não muito diferente do que se verifica em todo o espectro das empresas, principalmente na faixa das PMEs. A mesma conexão de Internet que equipa uma câmera IP é usada pra trafegar informações fiscais e contábeis ou dados críticos de cliente.

O mesmo WiFi da lanchonete, que conecta o cliente ao Facebook e permite ao garotinho jogar o seu passatempo enquanto espera um sanduíche, conecta também a garçonete, com seu terminal de pedido, ao sistema de gestão de entregas e está ligado ao software de RH da loja ou até mesmo da rede.

Um tipo de negligência nas pontas que, está provado, contamina a própria rede global de pagamentos e promove lucros bilionários ao crime cibernético, além de facilitar toda sorte de fraudes ou desvios no ambiente físico e virtual da rede varejista.

Para quem conhece um pouco sobre as especificações de compliance contidas no PCI DSS ou nas modalidades da norma ISO dirigidas à segurança, é preciso reconhecer que o investimento exigido em segurança cibernética é, quase sempre, o maior entrave à melhoria desse aspecto.

Quando a correlação de custos favorece, o nível de adesão do comerciante é altamente positivo. E aí está o exemplo das câmeras IP, hoje quase tão abundantes quanto lâmpadas no ambiente da farmácia ou supermercado.

E isto pelo simples fato de que sua instalação “agite e use” dispensa maior planejamento, não carece de fiação e atinge custos hoje em dia tremendamente acessíveis.

Agora, o que começa a mudar, é que o mesmo movimento de massificação que ocorreu com as câmeras WiFi, começará a ocorrer em relação ao lado cibernético e à centralização de controle dos itens de segurança digital.

Consoles a custos compatíveis, com baixa exigência de aprendizado e fácil integração com dispositivos de monitoramento físico e virtual já despontam como a novidade da vez.

Um exemplo disto são as centrais de proteção unificadas (tecnicamente chamadas de Firewall UTM) que reúnem todas as funções de segurança em nível cibernético de rede interna e que permitem gerenciar a segurança de dispositivos como os próprios POS, as câmeras IP do ambiente, os terminais de leitura e celulares de clientes e funcionários.

Tudo isto contando ainda com funções de fácil uso para a criação de redes virtuais isoladas, fornecendo blindagem para a comunicação de negócios e garantindo a criação de políticas de priorização de tráfego para aquilo que realmente interessa.

De um patamar até recentemente em torno de sete ou oito mil reais no mercado interno, centrais UTM de alta confiabilidade já podem ser encontradas a valores próximos a R$ 2 mil. Abre-se assim uma perspectiva nova para pequenas e grandes redes de varejo, que por um baixo investimento inicial, poderão iniciar a implantação da segurança holística em todas as suas lojas.

E quem sabe não seja o momento para que as grandes empresas da cadeia de pagamentos (operadoras de cartão, adquirentes e bancos) comecem a distribuir incentivos para que o pequeno comerciante (ou franqueado) atinja, efetivamente, níveis mais sólidos de conformidade com as normas de segurança.

A Segurança Digital e os Perigos Internos

A vulnerabilidade interna da rede combina o risco digital com o acesso de pessoas às áreas físicas do sistema, como discos rígidos, conexões wireless e portas USB

 

 

A preocupação com a segurança digital “dentro de casa” ainda está muito aquém do enorme potencial de dano que o usuário interno representa para o ambiente empresarial, e aqui não me refiro apenas ao indivíduo mal intencionado, mas também ao mal treinado ou comportamentalmente inepto diante dos riscos externos.

Enquanto 92% dos CIOs se dizem altamente preocupados com os riscos de invasões externas, apenas pouco menos que a metade desse contingente vê a ameaça interna como extremamente preocupante, segundo pesquisa da Vormetric. Não se trata, é claro, de se disseminar uma visão hostil dos colaboradores, mas o perigo é extremamente alto, mesmo se considerarmos o caráter ético e benigno da expressiva maioria.

Chega a ser um dado curioso esta aparente displicência com a vulnerabilidade caseira, tendo-se em conta a extensa literatura que faz referência ao problema, como é o caso desse recente estudo da Security Intelligence, mostrando que 46% dos prejuízos à segurança empresarial provém de uso mal intencionado ou inadequado da rede por parte de colaboradores próprios ou visitantes credenciados.

Curioso e surpreendente, mas nem tão difícil de entender em função de alguns aspectos espinhosos. Ocorre que a segurança interna requer um “pequeno” requisito que a maior parte das empresas não tem, que é uma visão sistemática de todo o seu ciclo de informação.

Um negócio bastante complexo, que chega até a desanimar devido a seus diversos requisitos conjugados e de natureza bastante distinta, tais como os listados abaixo:

1. O mapeamento logístico dos dados e sua classificação por camada, segundo a taxa de criticidade ou valor estratégico para o negócio;

2. O inventário das aplicações com iguais parâmetros de discernimento, para orientar as políticas de acesso, execução ou configuração;

3. O código explícito de conduta de segurança da informação, abrangendo o mundo virtual e suas intersecções com o mundo físico (por exemplo, como descartar discos rígidos ou regras para o uso de Bluetooth no ambiente empresarial).

4. A instauração -via educação continuada e via explicitação de princípios – de um comprometimento ético e responsável no uso dos recursos de TI, incluindo-se aí o compromisso de emprego não recreativo e não promíscuo da Internet.

5. O mapeamento e monitoração de vigilância do pessoal que acessa o ambiente e, em especial, aquele que se pode classificar como “peopleware”, em face de acesso privilegiado às áreas críticas do sistema.

6. O mapeamento detalhado da rede física e sua parafernália de dispositivos fixos ou temporários (e aqui entram desde desktops até máquinas de PDV, câmeras web e aparelhos do mundo BYOD).

7. E por último, mas não menos importante (aliás, até mais importante que o resto), o aparato de tecnologia para prevenção, detecção, resposta e gerenciamento abrangendo todas as seis camadas (domínio, firewall, conexões, dispositivos, usuários e aplicações).

Sem a pretensão de esgotar a lista, acredito que o rol acima já dá uma noção do quanto a segurança interna possui um volume de complicadores muito maior do que a externa, na qual a finalidade essencial (já bem complicada) é mapear as brechas, cercar o ambiente cibernético, isolar os repositórios de dados e gerenciar as conexões e acessos no ambiente.

UM CADEADO PARA CADA PORTA USB
É evidente que boa parte dos elementos acima compilados pertence também às exigências típicas da política de segurança externa, mas pesa muito, na minha avaliação, o diferencial do elemento humano, com sua monumental curiosidade associada ao quase incontrolável livre arbítrio e – o que é pior – à posse de senhas de acesso às aplicações e dados de negócio.

E note que ainda não mencionei a dificuldade de se controlar o acesso físico desses indivíduos a áreas altamente vulneráveis, como a sala do data center ou a porta USB do servidor ou de milhares de laptops conectados ao núcleo nervoso da firma.

É uma quantidade grande e diversificada de fatores que tornam a segurança interna um assunto que ultrapassa bastante o conhecimento do técnico de TI e exige, no mínimo, a troca de experiência entre ele e o pessoal da guarda patrimonial e entre ambos e o setor de RH.

Em corporações maiores, essa interação básica iria exigir até a participação de um setor de inteligência capaz de imergir inclusive sobre propensões sociais dos funcionários ou sobre os antecedentes de free lancers que tenham acesso mais profundo à rede ou aos ambientes físicos.

Em um debate sobre segurança digital reunindo dirigentes do setor financeiro, o chefe de segurança de um grande banco recomendou aos CSOs presentes que a troca periódica dos laptops, ou outros equipamentos processados, não requeira unicamente a formatação profunda de suas memórias digitais, mas a destruição física das mídias e seu descarte unicamente após estarem 100% irrecuperáveis.

Pode parecer paranoia: mas a revista online americana “Which?” comprou oito discos rígidos usados de diferentes ofertantes do eBay e, com um esforço muito pequeno e um aplicativo achado no Google, conseguiu recuperar cerca de 22 mil arquivos que permitiam reconstituir em boa parte a vida e os negócios dos antigos donos.

À parte esses riscos difusos (na fronteira entre o digital e o físico) há estudos a atestar que 75% dos roubos de informação valiosa nas empresas não são aqueles perpetrados por ataques externos de “força bruta” ou qualquer tipo de estratagema hacker. São roubos feitos por pessoal credenciado, que têm em suas mãos a chave do tesouro de dados ou apenas uma permissão bem banal, como a de poder imprimir arquivos.

Assim, o conselho que posso dar é que o homem de segurança de TI comece ao menos a considerar o fator interno como o portador do potencial de dano maior, mesmo sabendo que não conseguirá em médio prazo equacionar toda essa problemática.

Até porque, se conseguir uma boa redução nesses aspectos da vulnerabilidade “em casa”, a consequência vai aparecer também na forma de uma resistência maior em relação aos hackers.

O que não é nem um pouco recomendável é a tão disseminada prática de se estabelecer controles de vigilâncias pouco (ou nada) transparentes, como o monitoramento de email e de hábitos de navegação sem conhecimento explícito (e formalmente reconhecido) por parte dos funcionários.

Ao invés disso, um passo mais profissional, ético e juridicamente seguro seria a criação de um código de transparência (que dá ciência ao funcionário sobre a livre e proativa monitoração de suas atitudes e conteúdos no âmbito da rede empresarial).

Esse patamar mais evoluído de conduta exigirá a adoção de algum aparato inteligente, como uma central de gerenciamento unificado de segurança, por exemplo. A simples implementação de tecnologias dessa natureza já ajuda bastante o corpo técnico a obter uma ótima lista de parâmetros combinados que, em geral, já vêm embutidos no manual e nos requisitos de uso desses próprios sistemas dedicados.

E para concluir, menciono o dado paradoxal de que os controles ostensivos aqui referidos não têm sido objeto de resistência ou antipatia pela maior parte dos funcionários nas empresas.

Pelo contrário, o funcionário se sente mais respeitado e protegido quando o monitoramento se dá de forma explícita e previamente acordada entre ele e o representante da segurança interna. E, a partir desse acordo básico, cada um dos usuários fica apto a ser recrutado pelo homem de TI como mais um responsável não só pelos seus atos, mas pela segurança do ambiente como um todo.

O Alto Risco da Ausência de Gestão de Senhas

A empresas terão de manter inventários das senhas e credenciais de privilégio. É preciso abandonar o modelo velho de chaves baseadas no teclado QWERTY

Parte considerável dos investimentos no combate à vulnerabilidade dos sistemas informacionais escorre pelo ralo devido à falta de políticas de controle de identidades e credenciais de privilégio que dão acesso a dados, aplicações e serviços em diferentes níveis estratégicos.

O problema vai muito além da alardeada proliferação de senhas criadas pelo usuário final, e que frequentemente permanecem ativas (pelo menos para algumas aplicações) mesmo depois do desligamento profissional do seu respectivo criador.

O descontrole mais grave envolve aquelas permissões que dão status de administrador ou autoridade hierárquica. Este tipo de credencial é gerado, em parte, para suprir necessidades do comando empresarial, afetando um pequeno número de gestores, o que as torna mais fáceis de gerenciar.

Mas a expressiva maioria das permissões de privilégio é representada por chaves de finalidade técnica (frequentemente passageira), criadas para assegurar acesso pontual a partes sensíveis do sistema. É grande o número de senhas produzidas nas corporações para viabilizar tarefas corriqueiras, como a configuração de um periférico ou a ativação de regras de negócio, e que são usadas por anos a fio, quando deveriam ter sido eliminadas e substituídas imediatamente após a utilização a que se destinavam.

Há ainda uma infinidade de credenciais de privilégio embutidas em aplicações que viabilizam sua interelação com outras entidades da rede ou do ambiente de software. Tais senhas de aplicação são fixadas no instante da integração do sistema e muitas vezes esquecidas ou até ignoradas pelas equipes responsáveis. O alto risco de tudo isto se dá pelo fato de que a posse de uma única destas chaves por um agente interno ou externo mal intencionado pode criar as condições para se alterar ou vasculhar toda a extensão do ambiente operacional, inclusive propiciando a captura do acervo de senhas disponíveis independentemente de seu nível.

Um estudo da CiberArk concluiu que entre empresas norte-americanas que dispõem de CIO e profissionais dedicados à segurança, nada menos que 86% se consideram vulneráveis a ataques praticados para a obtenção dessas credenciais de privilégio. A situação, com certeza, é bem pior no Brasil, onde apenas 50% dos órgãos de governo e das empresas estatais dispõem de um profissional de segurança digital, segundo dados contidos no Mapa Estratégico da Defesa Cibernética publicado pelo Ministério da Defesa. Entre os fatores mais críticos, descritos em estudos sobre o tema, está justamente a incapacidade das empresas em criar inventários fidedignos de suas senhas e identidade de acesso, o que impede o estabelecimento de qualquer controle sobre seu ciclo de vida ou sobre o nível atual de legitimidade de seus portadores.

Em um documento publicado no site da Lieberman Software com o sugestivo título “Como manter a NSA fora do alcance dos seus sistemas”a multinacional se reporta a seis recomendações de segurança criadas pela própria NSA (Agência Nacional de Segurança dos EUA) para as empresas do governo norte-americano e que bem poderiam ser seguidas pelas corporações brasileiras.

A primeira é a de não permitir o acionamento remoto de qualquer tipo de ação que dependa de credencial de privilégio, medida que cumpre o ideal de restringir a vulnerabilidade apenas ao agente interno sobre o qual o controle deve se ampliar substancialmente.

Esse controle ampliado é expresso em todas as demais recomendações, como a de criar restrições de validade das credenciais, apenas para sistemas específicos, sem que um agente isolado possa navegar ao longo de todas as áreas ou fazer uso indiscriminado dos serviços.

O ponto central, a meu ver, é o que expressa a urgência pela adoção de múltiplas autenticações, tendo em vista os problemas de gestão associados à eficiência crescente dos ataques hackers “de força bruta”.

Isto se faz, por exemplo, através do emprego combinado de senhas com dispositivos “token”, ou pela exigência de resposta a questões de ordem pessoal (seu aniversário de casamento, o nome do filho mais velho) ou a requisição de junção de partes de senhas randômicas, distribuídas entre dois ou mais indivíduos no instante da solicitação do acesso.

Com o atual nível de universalização dos smartphones dotados de recursos como câmera, scanner, microfone, Bluetooth, etc, é bem provável que aplicações de segurança de acesso comecem a explorar tais recursos, por exemplo, combinando a senha de acesso com uma leitura do “selfie” do usuário, ou conferindo sua posição geográfica (você está mesmo na empresa?) através da aplicação GPS no momento exato da requisição.

Em casos extremos (como risco de terrorismo), pode-se  estabelecer o cruzamento entre a posição GPS do indivíduo com seu nível de permissão de acesso, levando-se em consideração variáveis dinâmicas de acesso, como data e hora da requisição associada ao perfil do usuário. 

Quaisquer que sejam as soluções ou padrões culturais escolhidos, o fato é que o modelo de senha, em voga desde os primórdios da predominância do chamado teclado QWERTY, já se tornou um “mamão com açúcar” e uma garantia de sucesso fácil para os atacantes profissionais, ao mesmo tempo  que a sua gestão, confusa e ultrapassada, tende a transformar a credencial de privilégio em um instrumento de ameaça em mãos do usuário interno malicioso, inclusive o terceirizado ou aquele que pulou para a concorrência.

A questão da gestão e do modelo do emprego de senhas e credenciais de privilégio vai se tornando, portanto, um ponto crucial para a indústria de segurança. E pode ser que, nos próximos anos, as estatísticas dos grandes players da área passem a priorizar o enfoque sistemático do problema, deixando em segundo plano aqueles monótonos relatórios que tratam da infantilidade e inutilidade das senhas “fáceis de memorizar”, como a fatídica “123456”, que são empregadas pelas grandes massas globais de usuários.  

Os Próximos Passos da Estratégia Cibernética de Defesa do Brasil

O Brasil precisa de um novo órgão com as virtudes do CDCiber, mas com foco na segurança empresarial e na capacitação da indústria

Os  criticados eventos globais que ocorreram no Brasil desde 2010 podem não ter entregado à sociedade o conjunto de legados que havia sido prometido em troca do investimento estatal. Mas deles decorre, em grande parte, o fato de o Brasil possuir hoje uma estratégia cibernética de defesa com maturidade de fundamentos em níveis de doutrina, hierarquia, organização política, estrutura operacional, pessoas, iniciativas de P&D e instrumentos táticos de vigilância, monitoramento e resposta.

Não que as ações e investimentos nesse âmbito só tenham começado a existir a partir dos fóruns de preparação, iniciados em 2008, e que reuniram o governo, universidade, forças armadas e indústria para organizar a segurança dos eventos, incluindo-se aí a Copa das Confederações, Conferência Rio +20, Jornada da Juventude, Copa de 2014 e a Olimpíada 2016 que se aproxima.

Desde a década de 90, o Ministério da Defesa dispõe de orçamento médio anual de 1,5% PIB, no qual o gasto com segurança cibernética é contemplado, indiretamente, em projetos de maior abrangência, notadamente nas esferas das telecomunicações, aeroespacial e das estruturas de TI do estado como um todo.

Mas foi com a instituição, em 2010, do Centro de Defesa Cibernética, o CDCiber, concebido naqueles fóruns de preparação, que o Brasil passou a contar com um órgão centralizador de coordenação e integração com resultados práticos já tangíveis.

Inaugurado em 2012, o CDCiber dotou o País de um catalisador com estrutura, recursos e competências que lidera ou executa diretamente 10 projetos estratégicos de boa consistência, entre os quais estão a Rede Nacional de Segurança da Informação e Criptografia (RENASIC), o sistema de comunicação por tecnologia SDN do exército (ou o Rádio Definido por Software), além de outras iniciativas impactantes, como a instituição da Escola Nacional de Segurança Cibernética (ENaDCiber).

O CDCiber teve o mérito de conferir  objetividade para a questão do risco cibernético em nível de segurança nacional e, mais que isto, efetivou uma articulação de esforços envolvendo a esfera militar com a sociedade.

Outro ganho notável do Centro, talvez um dos mais importantes, foi o de ter introduzido no País uma rubrica orçamentária específica para a defesa cibernética, a exemplo do que começa a acontecer hoje na maioria dos países desenvolvidos, sendo o maior exemplo o dos EUA, onde o presidente Obama pleiteia a alocação de US$ 19 bilhões para o nicho no próximo orçamento.

Logo que lançado em 2010, o CDCiber conquistou a expressiva liberação de R$ 400 milhões para o período de um quadriênio, o qual só se iniciou, na verdade, a partir de sua inauguração oficial,  em 2012.

De lá até o fim de 2015, o Centro executou gastos de R$ 190 milhões, abrangendo sua própria organização, o desenvolvimento do arcabouço documental do setor cibernético brasileiro e atividades operacionais de alta criticidade, como a defesa cibernética durante a Copa.

Para o exercício de 2016, o orçamento do Mindef prevê dotação de R$ 36 milhões para a defesa cibernética, valor que se demonstra compatível com a previsão orçamentária de R$ 840 milhões direcionados ao CDCiber até 2035, se considerarmos a média anual resultante de R$ 42 milhões e ponderando-se os efeitos do atual (e oxalá, passageiro) garrote orçamentário.

É preciso ir além do CDCiber

Em síntese, o Brasil ganhou – e muito – em termos de visão estratégica, coordenação e posicionamento da questão cibernética em seu patamar de relevância, a ponto de poder contar agora com a existência de recursos estatais “carimbados”.

Deixamos para um segundo momento a discussão sobre a adequação ou não da magnitude desses recursos, até porque interessa muito mais no momento a definição de políticas claras para o setor, o que entendemos como precondição de seu desenvolvimento econômico.

A restrição que se pode fazer ao Centro de Controle Cibernético (ou melhor, não exatamente ao CDCiber e ao que ele representa, mas à estratégia cibernética de defesa) está no caráter eminentemente militarizado de seus atuais alicerces.

É bem verdade que o CDCiber já coordena projetos com as universidades, como é o caso do convênio  com a UnB (Universidade de Brasília) na operação da  ENaDCiber, além de manter articulação com empresas do governo, como é o caso do SERPRO, e com desenvolvedores privados de tecnologia cibernética. Mas sua visão estratégica está totalmente focada para o universo da defesa nacional e para o controle de riscos e ações na perspectiva da guerra cibernética.

Falta ao Brasil uma instância congênere ao CDCiber que possa assimilar a sua experiência de coordenação e sua bagagem de conhecimentos para se colocar como o catalisador da segurança cibernética em níveis de infraestrutura e operações civis.

Este novo órgão poderia encapsular a parte cibernética inerente a uma miríade de programas como o Projeto Proteger (também tocado pelo Exército), que prevê recursos de R$ 19 bilhões em 10 anos para a segurança das concessionárias de serviços públicos. Poderia também coordenar projetos hoje sob o guarda-chuva de outros instrumentos de fomento e direcionamento de P&D do estado, sem necessariamente excluí-los.

É o caso de projetos da FINEP com claros vasos comunicantes com a área cibernética. O programa “Inova Empresa”, por exemplo, aporta financiamento para a evolução das redes utilities (“smart grid”) das elétricas e resvala, naturalmente, na segurança cibernética, mas não distingue de forma clara os recursos e as iniciativas a ela pertinentes.

Há também o “Inova Telecom”, que prevê a dotação de cerca de R$ 1 bilhão para o aprimoramento da estrutura de comunicações estratégicas e que apresenta ligação com os recursos do Funttel (Fundo para o Desenvolvimento Tecnológico das Telecomunicações), compreendendo incentivos para a prevenção, detecção, resposta a incidentes e gestão de crise cibernética.

Este nível específico de coordenação aqui proposto é vital para a segurança cibernética brasileira e para a evolução da nossa capacidade industrial e independência tecnológica. Ele poderá contar com parte da estrutura ou base de conhecimento do próprio CDCiber e integrar novos setores representativos da academia e da indústria. 

Sua constituição e funcionamento dependem, porém, de ações concretas na esfera político-econômica, que envolvem  um direcionamento “nacional” do poder de compra do governo. Existem hoje programas  louváveis, como o que abrange a certificação CERTICS, para  atestar a nacionalidade da tecnologia em TI, afetando diretamente o setor cibernético. Há também o selo EED (Empresa Estratégica de Defesa) que, em tese, favorece o agregado tecnológico genuinamente nacional nas compras de insumos militares. Mas não se pode afirmar que tais programas realmente estabeleçam prática formal e sistemática na hora da definição de fornecedores e produtos para o setor estatal brasileiro.

Aliás, para uma política mais eficiente de financiamento do setor seria recomendável a criação de dispositivos indutores para a aquisição de tecnologia nacional, inclusive pelas empresas do setor privado (via incentivo, cotas ou instrumento semelhante).

Outra precondição para nosso avanço cibernético está em enfrentar urgentemente a questão da escassez de massa crítica. Não falamos aqui exatamente de “grandes talentos” ou “mentes inovadoras”, mas de recursos intelectuais preparados para as necessidades práticas da indústria.

Cabe ressaltar que, além da ENaDCiber, esta iniciativa ambiciosa, mas factível e já em operação, existe no âmbito do MEC volume considerável de recursos para o ensino profissional e universitário que poderia ser objeto do poder de influência do novo órgão que aqui proponho.

Mas de nada adiantará formarmos pessoal preparado se o ecossistema não fechar. Ou seja, se não houver um nível de pujança industrial capaz de reter esses profissionais e impedir a perda do nosso investimento em treinamento ou educação especializada.

Enfim, se a experiência do CDCiber já pode nos ensinar algo é que o grande sucesso da sua iniciativa deve nos servir de incentivo para avançar para além da tutela das forças armadas.