Como será a nova estratégia nacional de segurança cibernética?

Documento do Comitê Gestor de Segurança da Informação traça o diagnóstico e as metas da segurança digital no Brasil entre 2015 e 2018

Se é verdade que o Brasil ainda está atrasado em termos de políticas integradas de segurança da informação e segurança cibernética, hoje podemos constatar que a sociedade já se deu conta desse fato e de sua extrema gravidade.

E por mais elementar que isto possa parecer, tal reconhecimento - claro, desde que devidamente secundado pela ação - já nos coloca em situação de superioridade frente a inúmeros outros países que ainda não dão a devida importância ao tema.

Ações concretas, aliás, já vinham sendo tomadas pelos nossos órgãos de Estado pelo menos desde 2000, quando se instituía o primeiro embrião do CGSI - Comitê Gestor de Segurança da Informação - órgão que veio sendo lentamente aperfeiçoado até os dias de hoje, e que ganhou feições muito mais bem definidas, além de maior proatividade, após os recentes casos internacionais de espionagem que são do conhecimento de todos.

Importante verificar que, desde a origem, o CGSI surgia atrelado ao Conselho de Defesa Nacional, percebendo-se daí a clara preocupação - já naquele momento - com a criação de uma doutrina militar brasileira para a questão da segurança cibernética. Uma discussão, por sinal, que hoje está na ordem do dia e que é, sem dúvida, um dos elementos norteadores do novo "Mapa Estratégico da Segurança da Informação e da Segurança Cibernética 2015-2018", lançado ao final de maio último pelo Gabinete de Segurança da Presidência da República, e cuja grande virtude é exatamente a de refletir o estado máximo da massa crítica do país nesta seara.

O documento é especialmente minucioso ao detalhar as atribuições específicas dos vários órgãos de Estado envolvidos na questão de segurança digital e ao descrever os mecanismos disponíveis para a participação da sociedade - empresas, universidades, cidadão e órgãos da comunidade - na elaboração dessas políticas.

Afora isto, merece destaque a sua afirmação da importância de se fortalecer no país o conhecimento acadêmico e o know-how industrial, inclusive referendando algumas políticas já em curso, como a de adoção pelo Estado de suas redes privativas de comunicação digital (como a do SERPRO) para as comunicações mais sensíveis, bem como no referendo ao fomento fiscal e aplicação do poder de compra do Governo em favor da pesquisa e desenvolvimento locais.

Portanto, o Mapa Estratégico é essencial para que lideranças da indústria nacional de segurança possam se localizar diante da complexidade da máquina de segurança e defesa que envolve os três poderes.

O Mapa Estratégico 2015 - 2018 deve ser comemorado também por refletir um avanço da nossa visão de gestão para o setor da segurança & defesa, mostrando que o Comitê Gestor está, de fato, abraçando com força a sua ideia fundadora.

Numa questão altamente complexa e abrangente como é a segurança cibernética e das informações de um modo geral, a gestão é talvez o primeiro nó a ser desatado para que as políticas corretas e integradas possam ser arquitetadas, de modo a efetivamente gerar um arcabouço de boas práticas que sejam disseminadas e assimiladas com objetividade ao longo de todos os níveis de organização da sociedade.

O poder público brasileiro demonstra, na publicação do Mapa Estratégico, a sua inserção rigorosa como força de liderança no desenvolvimento da questão o que, para nós cidadãos, deve servir como alento, já que somos nós os liderados.

Mas como o próprio documento nos mostra, o Brasil precisa correr e agilizar urgentemente seus esforços, para não ficar só na intenção e para realmente usar esta visão estruturante como um guia concreto para a ação.

Entre os indicadores empregados para a elaboração do Mapa, o CGSI utiliza dados preocupantes, coletados pelo TCU, segundo os quais nos órgãos da ADM pública e as empresas estatais, 80% das redes apresentam falhas em mecanismos de continuidade dos negócios. Nada menos que 70% têm falhas no controle de acesso e 75% têm falhas na gestão de incidentes, enquanto 85% têm falhas na gestão de riscos.

Das empresas e órgãos analisados - todos eles formando um núcleo institucional altamente estratégico - apenas 50% têm designado um responsável gestor pela segurança da informação e só 54% declararam dispor de normas internas para backup de dados.

Dessa forma, tão importante como termos iniciativas práticas do maior valor técnico-estratégico, como os incentivos ao desenvolvimento do algoritmo criptográfico proprietário, ou a identificação e certificação de uma população de Empresas Estratégicas de Defesa, cabe ao Estado brasileiro perseguir a criação e consolidação de uma agenda tática e de longo prazo para a questão da governança.


Um bom começo, para tanto, é reverter no prazo mais curto possível, os pontos de vulnerabilidade e frouxidão de gestão das empresas e órgãos públicos retratadas no Mapa Estratégico 2015-2018. Nossa proposta é que, nesse sentido, a indústria local de TI e as universidades sejam imediatamente convocadas a apresentar suas propostas junto ao governo, as forças armadas e todo o conjunto de organismos de segurança, defesa e inteligência.

Paraíso cibernético e o inferno sem lei

A expressão "paraíso cibernético" ainda não está indexada nos dicionários e enciclopédias eletrônicas, mas seu uso vai se consolidando nas reuniões do setor de segurança da informação.  Seu significado ainda carece de algum rigor, mas a compreensão do conceito, em linhas gerais, se torna fácil quando o associamos à ideia dos paraísos fiscais, já conhecida de todos.

De fato, há entre as duas expressões uma similaridade clara. Vejamos o que motiva a existência de uma e de outra. O que leva uma nação a se tornar um paraíso fiscal é o interesse em atrair para si uma parte do capital global através de dois atrativos básicos: o primeiro é a oferta de uma depreciação de taxas governamentais sobre o capital, algo que os técnicos financeiros classificam como "dumping tributário". O outro atrativo fatal é o sigilo total que esses refúgios oferecem quanto ao proprietário dos valores ali depositados, incluindo-se aí a possibilidade de criar empresas offshore praticamente anônimas em sua composição.

A motivação para que um país decida se posicionar como um paraíso cibernético pode envolver complexas questões de ordem econômica e geopolítica, mas uma das principais é, sem dúvida, o interesse estratégico em transformar seu território em polo privilegiado para a instalação de data centers, fábricas de softwares, empresas globais de e-commerce e todo o tipo de investimentos da economia web.

Tal como o paraíso fiscal, o paraíso cibernético oferece ao operador de negócios digitais uma excelente trincheira para se defender contra as legislações "incômodas". Enquanto o refúgio fiscal provê o chamado dumping tributário, o paraíso cibernético oferece um verdadeiro apagão legal, livrando os proprietários de sites e negócios do mundo digital de terem de se curvar diante de restrições, muitas vezes, consideradas maléficas aos negócios. A outra oferta irresistível, no âmbito do refúgio digital, é o ponto extremo desse referido apagão: trata-se do anonimato garantido para ações praticadas na web, o que reforça as salvaguardas antijudiciais que estão no espírito da coisa.

Descritas dessa maneira, essas duas visões do paraíso (a fiscal e a cibernética), já chegam a suscitar sérias dúvidas sobre as janelas de oportunidade que ambas abrem para o crime ou para práticas desleais nos negócios.

Para uma e para outra, porém, há também argumentos favoráveis que, no caso dos paraísos fiscais estão frequentemente associados à liberdade individual, ao "sagrado" direito de autoproteção da propriedade e da privacidade financeira, bem como ao direito "legítimo" que o capital privado tem de se proteger diante da voracidade tributária do Estado.

Contas offshore

No caso dos paraísos cibernéticos, eles são quase sempre justificados por razões de soberania e desenvolvimento dos países.  As ilhas Maurício, por exemplo, um pequeno país da África com a economia ancorada na cana, turismo e tabaco, iniciou há uma década, um trabalho de atração de empresas do mundo digital a partir da oferta de benefícios fiscais agressivos associados a uma legislação bastante liberal. Com isto, o país conseguiu alguns saltos importantes que, ao final, contribuíram para que as Ilhas Mauricio tenham hoje um dos melhores IDHs da África.

Para os paraísos cibernéticos, outro argumento favorável está no serviço que prestam à luta pela liberdade de internet por parte de cidadãos que vivem sob ditaduras e usam estes refúgios como locais protegidos para uma militância que, afinal, é vista com muito bons olhos pela comunidade global de índole democrática.

Entretanto, verdade seja dita, a existência de paraísos cibernéticos é uma ameaça à segurança global muito mais significativa do que os paraísos financeiros o são para a economia. Primeiro, porque o mundo financeiro já aprendeu a manter seus paraísos em limites tidos como operacionalmente razoáveis. Exemplos recentes, aliás, atestam que o anonimato dos paraísos fiscais vem sendo frequentemente quebrado quando há indícios suficientes de uma lista de crimes hediondos envolvendo as contas offshore.

Mas quanto ao paraíso cibernético, a situação prossegue – ao menos aparentemente – sem qualquer sinal de controle. E não são apenas terroristas, gangues do crime organizado, pedófilos ou traficantes que se classificam entre as ameaças ancoradas nesses biombos extra lei.

Há casos de milhares de empresas de e-commerce que transferem para tais locais a sua base institucional e assim se livram de inconvenientes, por exemplo, como o código brasileiro do consumidor e ou as normas de proteção mais avançadas dos dados individuais contra o abuso de práticas invasivas de e-marketing e comercialização de cadastros.

Os desafios de enfrentar estas contradições do direito ainda estão longe de serem resolvidos, e a prova disto é a lentidão com que o ainda reduzido número de nações adere à Convenção sobre os Crimes Cibernéticos de 2001 (também conhecida como Convenção de Budapeste), embora seja este o mais antigo e mais disseminado marco legal sobre o assunto.

Deep web

A situação nos leva a pensar naquela espécie de limbo a que nos remete  a sobreposição por camadas da grande rede global, na qual a internet que usamos no dia a dia é apenas a "surface web", o que dá ensejo à existência de uma "internet profunda", um espaço não rigorosamente indexado e quase fora de controle legal. Tal como acontece com a "deep web", contra a qual há pouca coisa a se fazer, a existência dos paraísos cibernéticos vai sendo assimilada como um dado da realidade.  Uma realidade "natural", com a qual as pessoas, os Estados Nacionais e as Empresas precisarão conviver utilizando, se precisarem, os instrumentos de legítima defesa que estiverem ao seu alcance.

Entre tais instrumentos, muitas vezes, observa-se a aplicação do velho preceito de justiça do talião ("olho por olho dente por dente"). Em tempos recentes, um provedor da Malásia se recusou a revelar a identidade de criminosos que mantinham um site racista e faziam ameaças de morte contra estudantes cotistas de Brasília. Sem apoio das instituições daquele país, a Polícia Federal Brasileira teve acesso a grampos realizados em roteadores internacionais que a levaram à rápida identificação e prisão dos envolvidos.  Teria sido esta uma investigação ancorada pelo direito internacional? Bem, o que sabemos a respeito é que a Justiça da Malásia – ou o seu governo central – não emitiu qualquer tipo de protesto.

Há casos, porém, em que a situação é mais difícil. A partir de um site em Tokelau, uma ilha da Polinésia, estelionatários brasileiros clonaram o portal do Tribunal de Justiça do RS e enviaram mensagens para milhares de viúvas pensionistas com a cobrança de falsas taxas. Por usar a Internet profunda para controlar suas operações (e, portanto, sem deixar as digitais do seu IP de acesso ao site) tais criminosos permanecem não identificados e a única medida possível é a protetiva, pelo menos até a feitura deste artigo.

É possível que os paraísos cibernéticos só tenham seu pleno controle, em bases razoáveis,a partir do acirramento da chamada guerra digital e de um maior empenho das grandes potências em impor uma normativa global que impeça o anonimato de criminosos e dê celeridade às investigações, em se tratando de delitos praticados no ciberespaço.

Enquanto isto não acontece, um bom conselho para o cidadão é o cuidado máximo ao estabelecer transações digitais com marcas e remetentes de desconhecidos. Verificar a origem dos sites (inclusive com pesquisa no buscador) é um cuidado essencial. Outra medida de cautela – esta bem mais difícil de seguir – é ler com a máxima atenção os termos de adesão a serviços digitais, sejam eles pagos ou gratuitos. Ao clicar "aceito" ou "avance", sem a chata leitura desses termos, o usuário está, muitas vezes, autorizando que seus dados cadastrais se tornem públicos, ou passem a integrar, gentilmente, o acervo de informações que este site irá vender ou utilizar mediante, exclusivamente, os marcos legais do país de hospedagem, não raro um paraíso cibernético.

O interesse brasileiro e as “backdoors” importadas

Nunca antes nesse país uma palavra-chave ficou tão em voga na mídia – e provavelmente nos mecanismos de pesquisa – quanto a expressão “porta dos fundos”. E aqui não nos referimos à trupe humorística do momento, mas ao correspondente em português para a expressão “backdoor”, e isto exclusivamente quando esta palavra aparece relacionada a incidentes computacionais ou telemáticos.

Um dado curioso, no entanto, é que enquanto se banaliza a questão em tudo quanto é tipo de foro, e até mesmo nas mesas de jantar, ainda não se nota no Congresso Nacional nem nos órgãos de segurança alguma proposta clara de regulação sobre este tema.

Sem ter a pretensão de ser o introdutor de uma, peço licença, pelo menos, para opinar pela pertinência de se refletir sobre a necessidade ou não de uma legislação específica.

A questão é bastante complexa. Foi por meio de backdoors – segundo a empresa de segurança SafenSoft  – que, em 2014, agentes do cibercrime conseguiram inocular o “Ploutus”, um malware adaptado como dispensador de dinheiro, em centenas de caixas eletrônicos do México, utilizando-se apenas de uma inocente porta de CD-Rom que – pasmem – ainda existia e ficava exposta em inúmeros equipamentos desse tipo usados naquele país.

Neste episódio específico, fica patente que a backdoor nada mais é do que o resultado de uma vulnerabilidade tola, atribuída a um erro de projeto ou a uma avaliação ingênua do risco a que são submetidos os caixas automáticos.

Aliás, quando uma backdoor é descoberta, seja em um equipamento de marca comercial ou em um aplicativo de uso corrente, o mais comum é que esta seja imediatamente tratada como “um bug de desenvolvimento” e exposta desta forma para o público, o que nem sempre é verdade.  De fato, um bug aparentemente casual pode ter sido inserido de modo proposital exatamente para gerar uma backdoor, ficando o consumidor/usuário sem saber da real origem, acidental ou planejada.

Em outras palavras, as backdoors mais preocupantes são aquelas produzidas de maneira oposta ao que ocorreu com as mencionadas ATMs do México, ou seja, aquelas que são projetadas como parte essencial do produto de software ou hardware.

Sempre envolvido em polêmicas das mais acaloradas, este tipo de backdoor foi pivô de altíssimas discussões entre as duas maiores potências mundiais quando, no ano passado, o governo chinês trouxe a público uma parte de seu projeto de lei antiterror, que obriga os fabricantes nacionais ou estrangeiros a instalar backdoors em seus produtos de informática, de modo a dar acesso garantido a tais produtos, quando em uso, para os órgãos de segurança de estado.

Em sua veemente e moralmente justa reclamação, o governo norte-americano se esqueceu do básico. Isto é: de suas próprias e inúmeras disposições legais que, não apenas exigem backdoors para sistemas de hardware, mas também para aplicativos, sistemas de redes sociais e até – o que não é assumido abertamente, nem enfaticamente negado – para sistemas operacionais de máquinas pessoais ou de servidores de rede.

Aliás, já nos primórdios da Internet (que, diga-se de passagem, se desenvolveu inicialmente por interesse militar americano), a inteligência e defesa daquele país já projetavam o “Carnivore”, uma espécie de tarântula cibernética capaz de varrer todos os pontos de troca da rede global, escaneando palavras-chave trocadas em mensagens de e-mail ou publicações em sites e qualquer tipo de informação que circule na World Wide Web.

A fim de juridicamente respaldar o Carnivore e similares, em 1994 o governo americano aprovou a Lei de Auxílio das Comunicações para a Aplicação de Direito (CALEA, na sigla em Inglês), concedendo às autoridades legais não só o direito a acesso via backdoors (que obrigatoriamente devem ser instaladas em equipamentos de rede), mas também a manutenção de checkpoints, ao longo de toda a Internet, para monitoramento lógico, semântico e até fonético (vocal, para identificação de pessoas).

E há inúmeros outros aparatos, alguns até bem mais antigos que o já veterano Carnivore, como é o caso do Echelon. Gestado a partir dos acordos de inteligência entre EUA, Inglaterra e outros aliados ao final da Segunda Guerra, o Echelon foi posto para funcionar décadas depois, em 1980. Hoje, este é notoriamente um dos aparelhos centrais do grupo conhecido como “cinco olhos”, por envolver os serviços de inteligência dos EUA, Inglaterra, Canadá, Austrália e Nova Zelândia. O Echelon é nada mais nada menos que uma rede global explicitamente voltada para a vigilância ostensiva. Ele não escamoteia suas funções de espião na coleta de informações críticas que o grupo dos cinco olhos classifica como SGINT, ou “sinais sensíveis de inteligência”.

Mas, se como vimos, há backdoors acidentais – frutos de erro de projeto ou ingenuidade – e backdoors intrinsecamente indesejáveis (embora militarmente justificáveis), pois projetadas em função de interesses de estado e quase sempre afrontando a nossa privacidade, também é preciso ressaltar que há um tipo de backdoor “do bem”.

São, por exemplo, interfaces contidas em hardware ou programas que viabilizam ao fabricante ou mantenedor levar suporte, melhorias ou evoluções ao dispositivo remoto. É inclusive através de portas desse tipo que, muitas vezes, se faz a atualização de sistemas de proteção contra invasores virtuais. Tais portas dos fundos, no entanto, estão entre as preferências do cibercrime como caminho para atingir seus butins.

De modo que discutir uma regulação para os backdoors levanta ao menos três questões iniciais que, é claro, não pretendem exaurir o tema:

1 – É possível (e recomendado) proibir os backdoors?  Se sim, em que base tecnológica tal proibição se viabiliza sem causar prejuízos insuportáveis para a indústria, para a segurança de estado, ou para os usuários finais?

2 – É possível estabelecer controles legais sobre backdoors lícitas ou ilícitas; e, de novo, com que bases técnicas, além do escopo legal/político?

3 – Por onde iniciar o marco regulatório; quais são os modelos já vigentes em outros países que poderíamos buscar para efeito de discussão?

As únicas repostas a meu alcance, no momento, são que as backdoors não intencionais representam uma simples questão de engenharia de processos e estratégia de gestão. Cabe aos setores industriais relacionados à computação e à telemática aprimorar o design de produtos mediante mapeamento e avaliação dos riscos.

A indústria de segurança é um aliado essencial para o avanço da excelência na localização e combate às vulnerabilidades, bem como na automação dos sistemas de identificação, vigília e controle de acesso às backdoors.

Já as backdoors “de serviço”, que tem suas finalidades benignas, estas são objetos naturais do mundo cibernético e telemático e requerem os mesmos cuidados de engenharia de segurança acima descritos para os buracos acidentais. Mas elas nos dão, teoricamente, a vantagem de serem entidades conhecidas e tecnicamente descritas nos projetos do dispositivo e estão à disposição do usuário/gestor para que ele se previna contra intrusos.

Quanto às backdoors decorrentes de legislações de guerra ou imposições de estado em geral, a complexidade da resposta vai muito além da questão técnica e clama por uma discussão que abrange tópicos tais como a aplicabilidade geopolítica das legislações digitais dos países.

É uma áspera e difícil – mas urgente – questão para a sociedade como um todo e especialmente para o legislador e a comunidade de segurança e defesa.

O que temos de certo, por enquanto, é que qualquer que seja o rumo que ganhe esta discussão, o debate não irá avançar sem a indispensável contribuição da comunidade de tecnologia. É preciso, porém, que o Estado e as nossas instituições cidadãs confiram reconhecimento e confiabilidade a grupos nacionais acadêmicos, industriais e militares que se disponham, de fato, a debater o assunto à luz de interesses especificamente brasileiros. Exatamente como acontece em diversos outros países, em relação às suas organizações e empresas nacionais.