Embed Size (px)
Citation preview
FÁBIO PONTE PINHEIRO
A CIBERNÉTICA COMO ARMA DE COMBATE
Trabalho de Conclusão de Curso - Monografia apresentada ao Departamento de Estudos da Escola Superior de Guerra como requisito à obtenção do diploma do Curso de Altos Estudos de Política e Estratégia. Orientador: Cel Eng R1 Carlos Alberto Gonçalves
de Araújo
Rio de Janeiro 2013
C2013 ESG
Este trabalho, nos termos de legislação que resguarda os direitos autorais, é considerado propriedade da ESCOLA SUPERIOR DE GUERRA (ESG). É permitido a transcrição parcial de textos do trabalho, ou mencioná-los, para comentários e citações, desde que sem propósitos comerciais e que seja feita a referência bibliográfica completa. Os conceitos expressos neste trabalho são de responsabilidade do autor e não expressam qualquer orientação institucional da ESG _________________________________
Assinatura do autor
Biblioteca General Cordeiro de Farias
Ponte Pinheiro, Fábio. A Cibernética como arma de combate / Cel Av Fábio Ponte Pinheiro.
- Rio de Janeiro: ESG, 2013.
49 f.: il.
Orientador: Cel Carlos Alberto Gonçalves de Araújo Trabalho de Conclusão de Curso – Monografia apresentada ao
Departamento de Estudos da Escola Superior de Guerra como requisito à obtenção do diploma do Curso de Altos Estudos de Política e Estratégia (CAEPE), 2013.
1.Cibernética. 2. Arma de Guerra. 3. Forças Armadas. I.Título.
RESUMO
Este trabalho terá como objetivo demonstrar e analisar como vem sendo utilizado à
informática no meio militar, diante do advento “Cibernética”, apresentando alguns
questionamentos sobre essa aplicação, pois o espaço cibernético passou a se
constituir num novo e promissor cenário para prática de toda a sorte de atos ilícitos
que incluem o crime, o terrorismo e um contencioso bélico entre nações,
caracterizado pela assimetria, pela dificuldade de atribuições de responsabilidade e
pelo paradoxo da maior vulnerabilidade do mais forte, procurando viabilizar uma
melhor padronização do uso dos recursos tecnológicos atualmente disponíveis.
Para atingir esse projeto, inicialmente é descrito um panorama histórico e a evolução
da Cibernética no mundo, nas Forças Armadas, envolvendo o Ministério da Defesa
no Brasil. É apresentada também a situação atual da Cibernética, destacando-se
suas limitações. O escopo do trabalho será a Cibernética voltada para a defesa e
suas aplicações num sistema informatizado, com seus inevitáveis reflexos no âmbito
do Ministério da Defesa e das Forças Armadas, delimitado, no tempo, aos dias
atuais.
Palavras chave: Cibernética. Arma de Guerra. Forças Armadas.
ABSTRACT
This work will aim to demonstrate and analyze how the computer is being used in the
military, before the advent of "Cybernetics", presenting some questions about this
application because cyberspace began to represent a promising new scenario for the
practice of all sort of wrongdoing that include crime, terrorism, and a litigation war
between nations, characterized by asymmetry, the difficulty of attributions of
responsibility and the paradox of increased vulnerability of the stronger, looking
better enable standardization of the use of technological resources currently
available .
To achieve this project, initially described a historical overview and evolution of
Cybernetics in the world, in the military, involving the Ministry of Defence. It also
presented the current situation of Cybernetics, highlighting its limitations. The scope
of work will be Cybernetics towards the defense and its applications in a
computerized system, with its inevitable consequences within the Ministry of Defence
and Armed Forces, delimited in time to the present day.
Keywords: Cybernetics. Weapon of War. Armed Forces
LISTA DE ABREVIATURAS E SIGLAS
CCA Centro de Computação da Aeronáutica
CIA Centro de Informática da Aeronáutica
CINFE Centro de Informática e Estatística
CISR Centro de Inteligência de Sensoriamento Remoto
COMAER Comando da Aeronáutica
COMGAR Comando Geral do Ar
COMGEP Comando Geral de Pessoal
CPU “Central Processing Unit” (Unidade Central de Processamento)
DBASE Linguagem de programação
DECEA Departamento de Controle do Espaço Aéreo
DEPV Diretoria de Eletrônica e Proteção ao Vôo
DIRINFE Diretoria de Informática e Estatística da Aeronáutica
EDSAC “Eletronic Delay Storage Automatic Calculator” ou Calculador Automático Eletrônico de Armazenagem por Retardo
FAB Força Aérea Brasileira
GAv Grupo de Aviação
ITA Instituto Tecnológico de Aeronáutica
PC “Personal Computer” ou Computador Pessoal
RCDCA Rede de Comunicação de Dados do Comando da Aeronáutica
SDI Subdiretoria de Informática
SILOMS Sistema Integrado de Logística, Materiais e Serviços
SICAER Sistema de Informática do Comando da Aeronáutica
SQL Linguagem de Programação
VLSI “Very Large Scale of Integration” ou integrador de Larga Escala
SUMÁRIO
1 INTRODUÇÃO ...................................................................................... 06
2 CIBERNÉTICA ...................................................................................... 09
2.1 INTERNET ........................................................................................... 09
2.2 QUESTÕES LEGAIS ........................................................................... 09
2.3 ATAQUES CIBERNÉTICOS ............................................................... 15
3 A SEGURANÇA DA CIBERNÉTICA .................................................. 19
3.1 OUTRAS INICIATIVAS ........................................................................ 23
3.2 ESTRUTURA EXISTENTE ................................................................. 24
4 AS ATIVIDADES ATUAIS DA CIBERNÉTICA ................................... 27
4.1 A MARINHA DO BRASIL .................................................................... 27
4.2 NO EXÉRCITO BRASILEIRO ........................................................... 28
4.3 NA FORÇA AÉREA BRASILEIRA ................................................... 30
4.4 NO MINISTÉRIO DA DEFESA .......................................................... 31
4.5 ESTRATÉGIA NACIONAL DE DEFESA (END) ................................... 35
4.6 POLÍTICA DE ESTRATÉGIA DE SEGURANÇA CIBERNÉTICA .......... 37
5 CONCLUSÃO ....................................................................................... 39
REFERÊNCIAS ............................................................................... 41
GLOSSÁRIO ........................................................................................ 44
6
1 INTRODUÇÃO
A utilização da informática na área operacional revolucionou os conceitos
doutrinários e tecnológicos. A capacidade de combate das Unidades Militares sofreu
alterações bastante significativas, a partir desta transformação, e, por conseguinte,
alterações passaram a ser imprescindíveis, no que diz respeito à defesa do espaço
cibernético.
Em tempos mais recentes, com o advento da Era da Informação e sua
sucedânea, a Era do Conhecimento, a informação foi alçada à categoria de ativo
estratégico para organizações e Estados-Nação, conferindo àqueles que a detém e
dela se utilizam, efetiva e oportunamente, uma inquestionável vantagem num
ambiente competitivo e nos contenciosos internacionais.
Com a internet, proporcionando conectividade em tempo real e abrangência
mundial, trouxe consigo, um crescimento sem precedentes no volume de
informações disponíveis aos modernos decisórios, dificultando seu gerenciamento e
ensejando o aparecimento de uma nova área de atividade, a Gestão do
Conhecimento.
O espaço cibernético, neologismo gerado pela Era da Informação, desafia
conceitos tradicionais, entre eles o de fronteiras geopolíticas ou mesmo os
organizacionais, constituindo um novo território, ainda inóspito, a ser desbravado
pelos bandeirantes do século XXI.
O Ministério da Defesa e as Forças Armadas têm procurado se adaptar a
esta nova era, a Guerra Cibernética, se aperfeiçoando e se preparando para
empregar de forma eficaz, a cibernética, voltada para a proteção e tendo como
grande obstáculo a ser vencido, impedir a invasão por “hackers”/”crakers”,
proporcionando uma virtude eficiente da ação bélica no campo militar. Pois embora,
nenhum país nunca tenha admitido oficialmente um ataque cibernético contra outra
nação, é certo que ofensivas digitais já aconteceram e continuam acontecendo.
Então diante disto, o objetivo geral deste trabalho vem a ser o de identificar a
importância de se ter uma Política Nacional de Segurança Cibernética no Brasil, que
reúna em um todo, os seguintes objetivos intermediários:
- descrever conceitos relevantes relacionados à questão do Espaço
Cibernético;
7
- identificar, de uma maneira resumida, aspectos relevantes em relação às
ameaças existentes no Espaço Cibernético, que podem comprometer a Segurança
Cibernética;
- descrever, de forma sucinta, a atual situação do Espaço Cibernético do
Brasil;
- avaliar a necessidade de estabelecimento de Política Nacional de
Segurança Cibernética no Brasil; e
- identificar parâmetros a serem considerados no estabelecimento de uma
Política Nacional de Segurança Cibernética no Brasil.
O desenvolvimento deste trabalho levou em consideração duas hipóteses
principais, quais sejam:
- as ameaças existentes no Espaço Cibernético do Brasil podem limitar o
emprego do Poder Nacional brasileiro.
- o estabelecimento de Política Nacional de Segurança Cibernética no Brasil
pode contribuir com a Segurança e a Defesa Nacional.
A metodologia empregada na pesquisa foi à qualitativa, documental e
bibliográfica.
Inicialmente foi feita uma revisão bibliográfica sobre o tema, especificamente
por intermédio da consulta a livros, publicações, normas existentes, e uma pesquisa
na internet.
No aprimoramento desta monografia fundamentamo-nos também na
Estratégia Nacional de Defesa (END), aprovada pelo Decreto nº 6.703, de 18 de
dezembro de 2008, da Presidência da República, que considera que existem três
setores estratégicos da Defesa: o nuclear, o cibernético e o espacial.
Este dispositivo legal estabelece que as capacitações cibernéticas que
incluem, como parte prioritária, as tecnologias de comunicações entre todos os
contingentes das Forças Armadas, de modo a assegurar sua capacidade de atuar
em rede.
Este projeto foi desenvolvido devido às ameaças existentes no Espaço
Cibernético mundial, quando se visualizou justificar a importância do
estabelecimento de uma Política Nacional de Segurança Cibernética no Brasil, com
ênfase nos aspectos de Segurança e Defesa, destacando parâmetros mínimos a
8
serem considerados na elaboração dessa Política, de onde poderão advir propostas
de ações.
9
2 CIBERNÉTICA
Na atualidade, o termo cibernético é utilizado com variadas conotações,
normalmente procurando estabelecer as relações entre o homem e a máquina e
seus efeitos nos ambientes das diversas atividades humanas.
Sua origem vem do termo grego kybernetike, que significa condutor,
governador, piloto, ou aquele que tem o leme ou o timão. Recebendo um tratamento
mais científico no século passado, o seu emprego procurou caracterizar o estudo do
controle da comunicação dos seres vivos e das máquinas, sob o enfoque da
transmissão da informação nesses ambientes.
2.1 A INTERNET
A grande conquista do milênio foi o surgimento da Rede Mundial de
Computadores. A Internet nasceu da soma de pequenas conquistas tecnológicas
feitas por cientistas extraordinários. Uma das mais vitais para o funcionamento da
rede é a capacidade de um único computador dividir sua atenção com diversos
usuários no mesmo instante, num processo conhecido como tempo compartilhado.
Michael Dertouzos, uma das melhores cabeças do Instituto de Tecnologia de
Massachusetts, contribuiu para isso acontecer no começo dos anos 60. Sem essa
habilidade os chamados roteadores, computadores que controlam e direcionam o
tráfego na Internet, lidando simultaneamente com milhares de impulsos, não
poderiam existir. Com a Guerra Fria, os americanos optaram por montar uma rede
sem hierarquia, com interconexões redundantes; uma espécie de ninho de serpente
com milhares de cabeças e ao mesmo tempo sem cabeça alguma. De modo que se
os soviéticos jogassem uma bomba sobre Washington ou em qualquer outra grande
cidade, a rede de computadores continuaria funcionando sem interrupção. Essa foi à
planta sobre a qual a Internet foi construída.
Todos já sabemos das enormes transformações que a Internet vem causando.
Essa rede de computadores descentralizada, quase anárquica, é um verdadeiro
fenômeno mundial. O Brasil não está alheio a essa "revolução". Pelo contrário
estamos entre os dez países que mais utilizam a Internet.
10
O ataque dos Hackers contra a rede mundial de computadores ocorrido no
dia 2 de fevereiro de 2000, colocou em evidência a fragilidade de nossa rede de
computadores. Esse ataque bloqueou temporariamente o acesso a endereços
famosos e sofisticados do ponto de vista técnico, como o site de busca Yahoo!,
livraria virtual Amazon, o site de leilões on-line, a rede de televisão a cabo CNN e o
site brasileiro UOL. Especialistas estimam em milhões de dólares os prejuízos
causados pela interrupção desses e de outros serviços.
Os motivos desses ataques foram:
- competição entre os hackers: quando uma grande façanha como essa vem
à tona, piratas do mundo inteiro redobram os esforços para realizar uma proeza
ainda maior;
- falta de segurança na rede: os sistemas são vulneráveis, e hackers difíceis
de identificar.
Nos Estados Unidos, a pirataria eletrônica é crime federal, e a pena prevista
é de cinco anos de prisão e pode chegar a dez em caso reincidência, além de multa
de US$ 250 mil. No Brasil, crimes relacionados à informática não estão previstos na
legislação. Porém, o meio usado para punir um pirata eletrônico é enquadrá-lo em
outros crimes, como por exemplo, quem rouba números de cartão de crédito numa
loja virtual, comete estelionato.
2.2 QUESTÕES LEGAIS
Dentre as muitas classificações doutrinárias utilizadas para definição dos
crimes virtuais, a classificação adotada é a que acredita estar mais próxima da
realidade dos fatos sendo divididas entre crimes virtuais próprios e impróprios.
- Crimes virtuais próprios: são aqueles em que o sujeito se utiliza
necessariamente do computador o sistema informático do sujeito passivo, no qual o
computador como sistema tecnológico é usado como objeto e meio para execução
do crime. Nessa categoria de crimes, está não só a invasão de dados não
autorizados, mais toda a interferência em dados informatizados como, por exemplo,
invasão de dados armazenados em computador, seja no intuito de modificar, alterar,
inserir dados falsos, ou seja, que atinjam diretamente o software ou hardware do
11
computador e só podem ser concretizados pelo comutador ou contra ele e seus
periféricos. Para alguns doutrinadores, como VIANA (2003), trata esse tipo de
conduta como próprios: são aqueles em que o bem jurídico protegido pela norma
penal é a inviolabilidade das informações automatizadas (dados), (Fundamentos de
direito penal informático).
Nesse raciocínio, se posiciona Damásio de Jesus (JESUS, 2003)
Crimes eletrônicos puros ou próprios são aqueles que sejam praticados por computador e se realizem ou se consumem também em meio eletrônico. Neles, a informática (segurança dos sistemas, titularidade das informações e integridade dos dados, da máquina e periféricos) é o objeto jurídico
tutelado.
- Crimes virtuais impróprios: são aqueles realizados com a utilização do
computador, ou seja, por meio da máquina que é utilizada como instrumento para
realização de condutas ilícitas que atinge todo o bem jurídico já tutelado. Crimes,
portanto, que já tipificados, que são realizados agora com a utilização do
computador e da rede utilizando o sistema de informática e seus componentes,
como mais um meio para realização do crime, e se difere quanto a não
essencialidade do computador para concretização do ato ilícito, que pode se dar de
outras formas e não necessariamente pela informática, para chegar ao fim desejado
como no caso de crimes como: pedofilia.
Assim corrobora Jesus (2003):
[....] Já os crimes eletrônicos impuros ou impróprios são aqueles em que o agente se vale do computador como meio para produzir resultado naturalístico, que ofenda o mundo físico ou o espaço "real", ameaçando ou lesando outros bens, não-computacionais ou diversos da informática.
Essas classificações são eficazes didaticamente para se entender e
classificar alguns crimes, mas, por conta da rapidez na evolução e dinâmica da rede
de computadores e internet, fica quase impossível acompanhar e afirmar
categoricamente que não há modalidades que não estejam elencadas nas
classificações adotadas.
A imputação objetiva ao autor do crime e sua comprovação é extremamente
difícil frente à ausência física do sujeito ativo. Ocorre que, frente à importância da
identificação do autor do crime e a dificuldade desta identificação, surgiu à
12
necessidade de se traçar um perfil denominando grupos que praticam determinados
crimes virtuais, dentre essas denominações temos a figura do hacker.
O significado da palavra Hacker segundo tradução do dicionário Michaelis
quer dizer em um de seus resultados: “Como pessoa que usa seu conhecimento
técnico para ganhar acesso a sistemas privados”. Ou seja, tecnicamente, pessoas
com conhecimentos impares sobre informática e sistemas que se utilizam de seus
conhecimentos não necessariamente para práticas ilícitas, a partir do momento que
se vislumbra, que os hackers são pessoas com grande conhecimento, confirmando
assim, que é possível haver conhecimento técnico de forma positiva e negativa.
Com isso, entende-se que hacker é apenas o gênero e as espécies de
hackers podem variar de acordo com as práticas. Uma das espécies são os
crackers. Essa palavra foi criada no ano de 1985, por um hacker que não
concordavam com a utilização do termo hacker pela imprensa para definir técnicos
ou usuários de computadores que incorressem em ações ilegais ou que causassem
transtornos para outras pessoas. Os hackers e os crackers, geralmente são muito
parecidos em relação ao vasto conhecimento aprofundado em informática e a
principal distinção é a finalidade que suas praticas resultantes, sendo que os
hackers realizam atividades positivas, não criminosas, enquanto a motivação dos
crackers é criminosa em sua essência, agindo normalmente premeditadamente com
objetivo criminoso de obter vantagens ilícitas. Nesse sentido, se posiciona Coriolano
Aurélio de Almeida Camargo Santos – Diretor de crimes de Alta Tecnologia da OAB,
em entrevista ao programa CQC: o Hacker é o do bem, aquela pessoa hoje da
internet que procura defender as pessoas, contra a pedofilia, contra invasões e o
cracker é aquela pessoa que usa a internet e os meios eletrônicos para o mal.
Frente à classificação desses perfis de criminosos, temos uma idéia de
quem eles são, como agem e o que querem de uma forma genérica. Mas a pergunta
é como identificá-los antes deles cometerem condutas ilícitas que os identifiquem, já
que quando falamos em sujeito ativo sabemos que realmente os dados obtidos para
identificação do sujeito é o endereço da máquina que envia as informações, ou seja,
o IP, seu login e senha. Portanto, com a possibilidade de camuflagem dos dados e a
utilização de dados inverídicos, dificilmente há uma rápida identificação do sujeito
ativo na prática.
13
Quando falamos de um crime específico, logo sabemos quem é o sujeito
ativo e passivo da conduta, quem realizou e em quem recaiu a ação ou omissão. No
caso dos crimes virtuais de forma generalizada, a única afirmação cabível é que será
sempre uma pessoa física ou jurídica ou uma entidade titular seja pública ou privada
titular do bem jurídico tutelado. Sempre haverá o sujeito passivo, ou seja, alguém
que está sendo lesado, enfim o que sofre a ação.
Portanto, o sujeito passivo da infração penal pode ser qualquer indivíduo
normal, pessoa física, ou até mesmo uma pessoa jurídica, haja vista o poder, por
exemplo, ter seus bens desviados, seu patrimônio deteriorado ou mesmo ter
informações violadas. Ambas são capazes de determinar a ação do agente
criminoso.
Ocorre que, atualmente a maioria dos crimes praticados ainda não são
divulgados, seja por conta da não disseminação dessas informações ou pela falta de
denuncia, como, por exemplo: grandes empresas evitam a divulgação sobre
possíveis ataques virtuais ou mesmo invasões, para não demonstrarem fragilidade
quanto à segurança, e quanto às pessoas físicas vemos que por falta da devida
punibilidade aos infratores e a falta de mecanismos de denuncia, apesar de já
existirem, as vítimas acabam não denunciando, o que facilita a propagação desses
crimes.
A lei penal no espaço, abrange todo um território não delimitado que pode
ser tanto físico, quanto virtual o que dificulta a delimitação da Seara Penal para
aplicação da lei. O espaço virtual ou ciberespaço como é conhecido, traz uma
facilidade imensurável de interação com diversos países, transpondo barreiras
físicas com o único meio em comum “a rede”.
A rede pode ser um território onde se encontra a informação. Não temos
algo preciso, já que a rede pode ser conectada de qualquer lugar, o usuário pode se
utilizar da identidade que desejar e o controle quanto à identificação não é
necessariamente pessoal, gerando, ainda, mais complicações para sua localização
como exemplificado na possibilidade de se acessar um computador brasileiro com
um IP estrangeiro de forma a ser identificado erroneamente, gerando assim, uma
barreira para distinção da competência entre os Estados e consequentemente a
inexatidão quanto a identidade do criminoso.
14
Entretanto, não há que se mensurar delimitação do espaço cibernético, pois
é certo que cada país possui sua soberania e jurisdição. Temos, portanto, um
primeiro aspecto que demonstra a complexidade do tema e a atenção a que se deve
despender.
Levantando-se a questão da tipificação dos crimes virtuais no ordenamento
jurídico Brasileiro, pensa-se logo em precariedade, mas muitos não sabem que a
legislação Brasileira alcança de 90 a 95% os crimes praticados no âmbito virtual em
nosso país, pois os crimes praticados por meio do computador para realização do
delito mais conhecido como a modalidade de crimes próprios são normalmente já
tipificados em nosso Código Penal.
Frente a essa situação, alguns exemplos de crime elencados em um quadro
elaborado pela DRCI - Delegacia de Repressão aos Crimes de Informática, que
enumerou as modalidades de atos ilícitos cometidos por meio de internet e que já
possuem previsão legal.
Esses crimes em sua maioria são cometidos por meio da internet, mas não
necessariamente por esse meio. Portanto, a previsão legal em sua maioria não o
trata como crime virtual e sim como crime penal ao qual independente do meio
utilizado para sua consumação, se for realizado, será enquadrado na lei penal em
questão.
O combate aos crimes da informática se faz necessário e obriga-se a refletir
sobre quais seriam os meios de contingência que poderiam levar à sociedade a
maior segurança.
Com base neste contexto, uma lei apelidada de Lei Carolina Dieckmann, a
Lei dos Crimes Cibernéticos (12.737/2012), tipifica como crimes infrações
relacionadas ao meio eletrônico, como invadir computadores, violar dados de
usuários ou "derrubar" sites. O projeto que deu origem à lei (PLC 35/2012) foi
elaborado na época em que fotos íntimas da atriz Carolina Dieckmann foram
copiadas de seu computador e espalhadas pela rede mundial de computadores. O
texto era reivindicado pelo sistema financeiro, dada a quantidade de golpes
aplicados pela internet.
Os crimes menos graves, como “invasão de dispositivo informático”, podem
ser punidos com prisão de três meses a um ano, além de multa.
15
A lei prevê ainda o aumento das penas de um sexto a um terço se a invasão
causar prejuízo econômico e de um a dois terços “se houver divulgação,
comercialização ou transmissão a terceiro, a qualquer título, dos dados ou
informações obtidos”. As penas também poderão ser aumentadas de um terço à
metade se o crime for praticado contra o presidente da República, presidentes do
Supremo Tribunal Federal, da Câmara, do Senado, de assembléias e câmaras
legislativas, de câmaras municipais ou dirigentes máximos “da administração direta e
indireta federal, estadual, municipal ou do Distrito Federal”.
As considerações demonstradas objetivam ensejar a prevenção de crimes
virtuais, bem como, entender o tema que apesar de complexo, vem tomando grande
espaço de nossas vidas, levando em conta a necessidade da regulamentação das
condutas praticadas, a legislação já existente e o reflexo dessa nova era da
tecnologia no universo jurídico.
2.3 ATAQUES CIBERNÉTICOS
Por mais armamentos que se tenha, por mais poderosa que seja uma armada, uma força terrestre, uma força aérea, nós temos hoje esse outro elemento que é fortíssimo, que é o chamado ciberterrorismo ou ataque cibernético. Quem está preparado para se defender de algum ataque cibernético?
Senador Fernando Collor
Nós sabemos agora que o espaço cibernético será importante na próxima guerra. Nós realmente sabemos como? Dick Crowell Professor Information Operations Cyberspace Operations U. S.
Naval War College, 2012
O Brasil está entre os países mais vulneráveis do mundo quando se trata de
segurança da informação. A produção científica brasileira na área é baixa e, por
isso, o país é considerado “seguidor”, por lançar novas tecnologias muito tempo
depois dos outros países.
Estas constatações estão no livro Tecnologias da Informação e
Comunicação: Competição, Políticas e Tendências, escritas por pesquisadores e
colaboradores do Instituto de Pesquisa Econômica Aplicada (IPEA) e também
colocada inicialmente neste item, como problemas a serem considerados e
resolvidos pelo nosso Governo.
16
Diante destas afirmações o desafio de gerir a segurança do espaço
cibernético é grandioso. Harmonizar ações envolvendo pessoas, processos e
tecnologias é a chave. Possuir uma visão do ponto de vista ofensivo é a nova
fronteira. Saber pensar ofensivamente não significa atacar para se defender, mas
entender a anatomia de um ataque em prol da proteção da rede. Manter-se
atualizado é vital.
Não é fácil determinar o que deve ser protegido, contra quem e com que
meios. Contudo, o desafio da Segurança Cibernética é muito mais profundo.
Segurança cibernética é às vezes descrita, explicada e analisada dentro de um
quadro de política tradicional, onde o idioma e os conceitos organizacionais são
usualmente derivados dos militares: ameaça, agressão, ataque e defesa estão entre
os termos mais familiares. Em alguns casos, pode ser apropriado analisar o
problema a partir desse ponto de vista e agir em conformidade com ele. Porém, a
aplicação do pensamento ortodoxo da segurança e da defesa, acaba resultando em
Segurança Cibernética, sendo entendida como algo em que a intrusão vem de fora,
que é “feito” por “eles” contra “nós”.
No entanto, a correlação entre dependência e vulnerabilidade dá uma
indicação importante que Segurança Cibernética é um problema mais desafiador
que isso, que talvez não seja propício apenas uma análise linear com base em ação
e reação, causa e efeito. Na verdade, Segurança Cibernética é provavelmente mais
bem compreendida como um problema complexo, que é caracterizado pela incerteza
e não-linearidade, que é dinâmica constantemente em evolução, e no qual pode ser
difícil estabelecer relações causais claras e nítidas dividindo linhas entre sujeito e
objeto.
O mundo vem se estruturando para se contrapor às ameaças cibernéticas.
Países como EUA, Rússia, China, Alemanha, França e Estônia, entre outros, já
possuem estruturas em operação. Destaca-se o CDCCOE (NATO Cooperative
Cyber Defence Centre of Excellence), em Tallinn (Estônia), considerado referência
na Europa. Ressalta-se que a Estônia sofreu um ataque cibernético de grande
escala em 2007.
O Centro de Coordenação do Computer Emergency Readiness Team
(CERT/CC), um centro de pesquisa e desenvolvimento na área de segurança de
internet, financiado pelo governo norte-americano e operado pela universidade de
17
Carnegie-Mellon, produziu um gráfico com dados referentes ao número de
incidentes anualmente relatados, que demonstram cabalmente sua afirmação: “A
percepção de que as ameaças cibernéticas vêm-se expandindo exponencialmente
com a Internet pode ser corroborada, entre outras formas e fontes disponíveis, pela
apreciação do número de incidentes relatados ao Centro”.
Cabe ressaltar que, diferentemente do que ocorre com a espionagem
humana, física, sua correspondente cibernética é, além de muito difícil controle,
tacitamente aceita, à medida que o impedimento do acesso aos conteúdos
colocados em computadores conectados à rede mundial é fundamentalmente,
responsabilidade daqueles que optaram por arquivá-los em um meio que pode, ao
menos teoricamente, ser perscrutado de qualquer parte do mundo.
Assim, em linhas gerais, as ameaças cibernéticas poderiam ser classificadas
conforme os três grandes eixos principais, a saber: guerra cibernética, terrorismo
cibernético e crime cibernético, admitindo-se, ainda, uma quarta modalidade, que
seria o ativismo cibernético, que, no entanto, representa uma ameaça de menor
monta.
O Brasil, precisa estar habilitado para resguardarem sua informação,
entendido aqui como o somatório de seus ativos de confrontação, suas informações
críticas, seus sistemas de informação, suas infraestruturas críticas, em suma, tudo
18
que pode ser identificado como componente da sociedade da informação, presente
no espaço cibernético.
Para tanto, é necessário adotar medidas para a proteção, mediante a
elaboração de uma doutrina e de uma construção de estratégias de segurança e de
defesa do espaço cibernético brasileiro.
19
3 SEGURANÇA CIBERNÉTICA
Do histórico descrito no início deste trabalho, observa-se a velocidade de
crescimento dos computadores e programas. A vantagem que isto nos traz, é que
cada vez mais as máquinas ficaram mais rápidas e com maior capacidade. Porém,
torna-se difícil acompanhar este desenvolvimento e manter-se atualizado para
aproveitar ao máximo o que esta área nos propicia e, além disto, estarmos
preparados para o desafio que é proeminente em nossos dias a Segurança
Cibernética.
Outro aspecto relevante é o fato de que alguns setores do Governo, ainda
estão com uma visão primária sobre a Segurança Cibernética. A maioria dos países
trabalha com o conceito de “imposição de regras”, enquanto que o Brasil ainda
admite o conceito de “sugerir regras”, fato este que demonstra ser um processo
primário de determinação de uma política.
O diretor do Departamento de Segurança da Informação e das
Comunicações (DSIC), Raphael Mandarino Jr.(MANDARINO JUNIOR, 2009), afirma
que:
O primeiro, o grande desafio, é cultural. Vamos ter que estabelecer, de alguma forma, um projeto de cultura de segurança cibernética. Estamos fazendo isso nos cursos, mas para dentro do Estado, e temos que fazer isso para fora também. Pode ser com um hotsite que ensine como fazer, e que todos os provedores divulguem, com seminários, ou que a gente comece a ensinar na escola.
O espaço cibernético pode ser descrito (embora não calculado) como a
soma das inúmeras interações entre inúmeros usuários globais da infraestrutura de
TIC. Para conseguir absoluta e perfeita segurança no espaço cibernético seria
necessário identificar e isolar todos os usuários malignos e impedir seus
componentes e interações. Entretanto, fazê-lo – mesmo que fosse possível –, seria
contradizer a essência do espaço cibernético como uma tecnologia global de todos;
uma “república” das comunicações e de intercâmbio de informação em nível
mundial. De acordo com Mandarino, conhecido como o pai da internet, “se cada
jurisdição no mundo insistir em alguma forma de filtragem para seu território
geográfico específico, a web vai parar de funcionar”.
Resumidamente, para que uma organização identifique seus requisitos de
segurança, ela deve basear-se em três pilares. O primeiro é o conjunto dos
20
princípios, objetivos e necessidades para o processamento da informação que uma
organização tem que desenvolver para apoiar suas operações. O segundo é a
legislação vigente, os estatutos, as regulamentações e as cláusulas contratuais que
a organização, seus parceiros, contratados e prestadores de serviço têm que
atender. E o terceiro, oriunda das duas anteriores, são os requisitos de segurança
derivados da avaliação de riscos, processo responsável por identificar as ameaças
aos ativos, às vulnerabilidades com suas respectivas probabilidades de ocorrência e
os impactos ao negócio.
A Segurança Cibernética é muito mais do que apenas uma questão de
Segurança Nacional ou Defesa Militar, ela é uma questão integrada e, para tal,
necessita de um esforço integrado dos setores civil e militar, procurando manter as
suas competências individualizadas, mas que sob um ponto de vista estratégico
venha ser aplicado de acordo com a gravidade do assunto em pauta.
Os primeiros relatos de invasões ao espaço cibernético, em que nações ou
grupos terroristas usam hackers para atacar estruturas nacionais ou empresariais
com fins políticos, econômicos ou ideológicos, datam do início dos anos 2000.
Em 2005, por exemplo, o governo da Coreia do Norte teria recrutado 500
hackers que teriam conseguido penetrar em redes dos governos da Coreia do Sul,
Japão e outros países.
Alvos não faltam: ferrovias, metros, hospitais, refinarias, polos químicos,
oficinas federais, sistemas bancários e redes elétricas. Hoje, nada funciona de
maneira isolada.
Os países estão convertendo cada vez mais seus sistemas de controle em
sistemas controlados por redes de computador. E existem portas de entradas digitais
em todas elas. Isto significa que, se alguém conseguir infectá-las, poderá causar
muitos danos.
O próprio presidente dos Estados Unidos Barak Obama admitiu que, há dois
anos, a rede elétrica americana foi invadida por hackers na Rússia. Felizmente, os
ataques não eram intencionais e foram realizados para testar a capacidade de
segurança norte-americana.
Entretanto, se a invasão fosse real, poderia se transformar em ataques que
afetariam milhões de pessoas e negócios nos Estados Unidos. E as armas para
realizar esses ataques estão cada vez mais sofisticadas. O vírus por exemplo, que
21
atacou o programa nuclear iraniano, chamado Stuxnet, em 2010, foi projetado para
infectar sistemas industriais, no caso, as centrifugas nucleares iranianas.
A sofisticação do código utilizado pelo Stuxnet era tão grande que levaram
muitos especialistas a acreditar que algum governo estivesse ligado à criação do
vírus. O código é considerado complexo, porque utiliza quatro formas inéditas de
ataque, ao contrário de um único método como se vê normalmente.
Uma vez dentro do sistema, o vírus modifica os códigos da rede de
gerenciamento industriais para permitir que os atacantes tomem o controle sem que
os operadores percebam.
Em outras palavras, o vírus pode dar a ordem que quiser, como, por
exemplo, fazer as máquinas funcionarem a um nível tão excessivo que poderiam se
autodestruir.
O Stuxnet é apenas um modelo, mais existem muitos outros vírus com
capacidade para infectar e causar danos em qualquer rede de computadores do
planeta. A questão é: será que o Stuxnet pode ser o sinal de que estamos no
começo de uma nova era: a era da Guerra Cibernética?
Porém, o Brasil está bem atrasado em relação a toda essa tecnologia,
devido a uma série de fatores. O Eng. Simon Rosental (ROSENTAL, 2010),
integrantes do Corpo Permanente da Escola Superior de Guerra (ESG), afirmou que:
“as potências mundiais não querem permitir que o Brasil e outros países emergentes
tivesse acesso ao que se chama de ‘tecnologias sensíveis”. O alerta teria sido dado
ainda em 1996, durante Congresso Internacional sobre Tecnologias Sensíveis,
realizado no Rio de Janeiro e patrocinado pela ONU e pela Subsecretaria de
Inteligência da Presidência da República.
Os países desenvolvidos colocaram claramente: ‘Brasil e demais países que possuem riquezas naturais em abundância não vão avançar em tecnologias sensíveis’. Vocês ficam com bens de baixo conteúdo tecnológico e valor agregado. Tecnologias sensíveis ficam conosco, porque, como podem ser
aplicadas para o bem e para o mal, vocês poderão fazer mau uso. (ROSENTAL, 2008).
Essa conferência não foi tranquila. Tanto o Brasil como os demais países em desenvolvimento não se conformaram com uma situação dessas. Se já temos um hiato tecnológico grande em relação aos países desenvolvidos, e a tecnologia está avançando cada vez mais, a velocidades maiores, se aceitarmos uma barbaridade dessas, cada vez vamos andando para trás e cada vez vamos ficando mais distantes da tecnologia, (ROSENTAL, 2008).
22
Em comunicado à imprensa, o Gabinete de Segurança Institucional da
Presidência (GSI) disse, sobre a Guerra Cibernética, que: “os ataques mais
preocupantes são aqueles que visam acesso indevido a informações sigilosas da
administração pública federal” e afirmou que a preparação do órgão contra possíveis
ataques tem sido adequada.
De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes
de Segurança (Cert), que reúne sobre a Guerra Cibernética, notificações de ataques
eletrônicos em todo o país, o Brasil registrou quase 400 mil ataques a computadores
em 2011. O total de notificações recebidas em 2011 foi quase 300% maior que em
2010.
Cerca de metade das fraudes registradas, segundo o Cert, foram de páginas
falsas, geralmente de bancos, criadas para roubar dinheiro dos usuários. Segundo a
Federação Brasileira dos Bancos (Febraban), as fraudes cibernéticas custaram R$
685 milhões aos bancos só no primeiro semestre de 2011, 36% a mais do que no
mesmo período em 2010. Para complementar podemos verificar a figura abaixo.
Título: Ataques a Internet.
23
Portanto, considerando que os desafios da Segurança Cibernética são
muitos, é de fundamental importância desenvolver um conjunto de ações
colaborativas entre Governo, setor privado, academia e sociedade em geral, de
forma a melhor entender a situação e fazer frente aos aspectos vulneráveis que a
perpassam. E será que estas ações serão suficientes para proteger as nossas
informações de ataques cibernéticos? È o que veremos nos próximos capítulos.
3.1 OUTRAS INICIATIVAS
Ao longo do tempo o Governo brasileiro, tem demonstrado relativa
preocupação com a segurança de nosso Espaço Cibernético e, ainda que se possa
afirmar que não se esteja completamente protegido, várias ações foram realizadas
para tal fim, destacando-se a criação de órgãos e a implementação de iniciativas.
Com este propósito destacam-se as principais ações implementadas:
- criação do Comitê Gestor da Internet – CGI, com a participação dos
diversos segmentos da sociedade; cabe salientar que segurança não é a
preocupação central do CGI;
- a publicação do Decreto 3505/2000, que estabeleceu a Política de
Segurança da Informação (PSI), a ser implantada pelo Gestor de Segurança da
Internet da Presidência da República - GSIPR; no entanto, não houve a definição
dos meios a serem utilizados nessa implementação, sendo que, no momento, esta já
se encontra defasada perante as mudanças da última década;
- criação do Departamento de Segurança da Informação e Comunicação
(DSIC), no Gabinete de Segurança Institucional da Presidência da República
(GSIPR), em 2006, com o objetivo de coordenar as ações normativas e operacionais
no âmbito da Administração Pública Federal (APF), previstas na PSI;
- criação da Comunidade de Segurança da Informação e Criptografia
(ComSic) e da Rede Nacional de Segurança da Informação e Criptografia (Renasic)
no GSI, em 2008, para cuidar dos aspectos de fomento de Ciência e Tecnologia
(C&T) em todos as áreas da Segurança Cibernética, também previstos na PSI; essa
iniciativa transcende à APF e foi estabelecida em articulação com o Ministério da
Ciência e Tecnologia (MCT); e
24
- a publicação da Estratégia Nacional de Defesa, que estipula a Segurança
Cibernética como sendo uma de suas prioridades.
Outra iniciativa interessante foi a criação da CESeg – Comissão Especial em
Segurança da Informação e de Sistemas Computacionais, que é uma das
Comissões Especiais da Sociedade Brasileira de Computação (SBC), criada em
2004, como resultado de um amadurecimento da comunidade acadêmica, e que
conta com a participação de associados da (SBC) que manifestem interesse.
A Comissão foi criada com os objetivos de:
- congregar e articular a comunidade acadêmica brasileira em segurança da
informação e de sistemas computacionais;
- representar comunidade acadêmica de segurança junto à Sociedade
Brasileira de Computação; e
- promover eventos acadêmicos na área.
3.2 ESTRUTURA EXISTENTE
São os seguintes os órgãos que estão relacionados a atividades do Setor
Cibernético, a nível político (Estado ou Governo):
- Conselho de Defesa Nacional (CDN)
Órgão de consulta da presidência da República nos assuntos relacionados à
soberania nacional e à defesa do Estado democrático de direito.
Constitui-se como um órgão de Estado e não de governo, que tem sua
secretaria-executiva exercida pelo ministro-chefe do Gabinete de Segurança
Institucional da Presidência da República (GSI-PR).
- Câmara de Relações Exteriores e Defesa Nacional (Creden)
A Creden é um órgão de Governo para assessoramento do presidente da
República nos assuntos pertinentes às relações exteriores e à defesa nacional.
Sua presidência cabe ao ministro-chefe do GSI-PR e, entre suas atribuições,
encontra-se a segurança da informação, atividade essa que se insere no escopo do
Setor Cibernético.
25
- Casa Civil da Presidência da República
Entre as atribuições da Casa Civil da Presidência da República, merece
destaque, por sua inequívoca relação com o Setor Cibernético, a aquela relacionada
com a execução das políticas de certificados e normas técnicas e operacionais
aprovadas pelo Comitê Gestor da Infraestrutura de Chaves Públicas Brasileiras
(ICP-Brasil).
Tal atribuição é da competência do Instituto Nacional de Tecnologia da
Informação (ITI), uma autarquia federal vinculada à Casa Civil da Presidência da
República, que tem o objetivo de manter a ICP-Brasil, da qual é a primeira
autoridade na cadeia de certificação, ou seja, é a Autoridade Certificadora Raiz (AC
Raiz).
- Gabinete de Segurança Institucional da Presidência da República
(GSI-PR)
O GSI-PR é o órgão da Presidência da República encarregado da
coordenação, no âmbito da APF, de alguns assuntos estratégicos que afetam a
segurança da sociedade e do Estado, quais sejam: Segurança das Infraestruturas
Críticas Nacionais, SIC e Segurança Cibernética.
No tocante às infraestruturas críticas nacionais, foram selecionadas seis
áreas prioritárias, a saber: energia, telecomunicações, transportes, água, finanças e
informação. Esta última permeia todas as anteriores, pois as ICs dependem cada
vez mais de redes de informação para a sua gerência e controle.
- Departamento de Segurança da Informação e Comunicações (DSIC)
O DSIC tem como atribuição operacionalizar as atividades de Segurança da
Informação e Comunicações (SIC) na APF, nos seguintes aspectos:
a. regulamentar a SIC para toda a APF;
b. capacitar os servidores públicos federais, bem como os terceirizados,
sobre SIC;
c. realizar acordos internacionais de troca de informações sigilosas;
d. representar o País junto à Organização dos Estados Americanos (OEA)
para assuntos de terrorismo cibernético; e
e. manter o Centro de Tratamento e Resposta a Incidentes de Redes da
APF (CTIR.Gov).
26
- Agência Brasileira de Inteligência (Abin)
A Abin é o órgão central do Sistema Brasileiro de Inteligência (Sisbin), que
tem como objetivo estratégico desenvolver atividades de inteligência voltadas para a
defesa do Estado democrático de direito, da sociedade, da eficácia do poder público
e da soberania nacional.
Dentre suas atribuições, no que interessa especificamente ao Setor
Cibernético, destaca-se a de avaliar as ameaças internas e externas à ordem
constitucional, entre elas a cibernética.
27
4 AS ATIVIDADES ATUAIS DA CIBERNÉTICA
Não resta dúvida de que a sensação de segurança cibernética das nações
está bastante afetada. Há quem diga que a maior proteção contra ataques
cibernéticos será a consciência do atacante de que a arma poderá causar mal a si
próprio. Nesse aspecto, há pensadores que veem semelhança entre o ataque
cibernético e o nuclear.
Há várias medidas a serem tomadas para reagir à sensação de insegurança
cibernética. Uma das mais produtivas é conscientizar a população, desde seus
líderes políticos e militares até os trabalhadores das classes sociais mais baixas,
sobre a possibilidade de estarem sendo alvo de levantamentos de dados, que
podem comprometer indivíduos ou mesmo nações, ou de ataques, que podem ter
efeitos gravíssimos. As potências mundiais têm investido muito em informar seus
povos para reconhecer a ameaça cibernética, além de preparar suas defesas para
reagir a contento.
Neste contexto serão apresentadas a seguir as atividades desenvolvidas
pelas Forças Armadas neste sentido.
4.1 NA MARINHA DO BRASIL
A Marinha do Brasil também se encontra envolvida em atividades que visem
aumentar a Segurança da Informação nos sites e Sistemas da mesma. Este trabalho
tem sido concentrado no Centro de Análises de Sistemas Navais (CASNAV), que
vem desenvolvendo uma forte infraestrutura em metodologias, softwares e equipe
nas áreas de Criptologia, Análise de Vulnerabilidade de Softwares, Técnicas de
Varredura e Desenvolvimento Seguro.
Na guerra centrada em rede, os atos ilícitos são caracterizados como crimes
cibernéticos e ocorrem por intermédio de redes sociais, de invasões em sites ou e-
mails privados ou corporativos, como já foi vastamente abordado anteriormente.
Se posicionando contra os ataques indesejados, têm sido criados projetos
que vão ao encontro à necessidade de se possuir elementos que possam ser
utilizados na segurança do setor cibernético, tais como: Projeto Guerra Cibernética
28
Objetiva (GUERCIB), que tem desenvolvido softwares inteligentes para minimizar
ataques praticados nos sistemas de informações digitais da Marinha do Brasil (MB);
o Projeto Metodologia para Avaliação e Homologação de Aplicações de Sistemas
Criptográficos (HSC), resultante do Acordo de Cooperação Técnica e Científica entre
a Secretaria de Ciência, Tecnologia e Inovação da Marinha (SecCTM) e a Fundação
Centro de Pesquisas e Desenvolvimento em Telecomunicações (CpqD). Tem
metodologia baseada em normas nacionais e internacionais, em técnicas de análise
de código e de engenharia reversa, que estão voltadas para avaliações de software
criptográfico.
O objetivo deste investimento seria o de agregar robustez ao processo de
homologação de sistemas criptográficos, realizado pela Diretoria de Ciência,
Tecnologia e Inovação da Marinha (DCTIM), através da incorporação de novas
funcionalidades e processos para assegurar a qualidade e a segurança do software
criptográfico indicado para uso na MB; o projeto Volume Criptografado (VolCript),
objetiva o desenvolvimento de um algoritmo criptográfico proprietário da MB para
utilização em aplicações de software destinadas ao gerenciamento e proteção de
volumes e arquivos digitais.
O desenvolvimento desse algoritmo permitirá a MB manusear arquivos
sigilosos estratégicos nos computadores armazenando-os de forma segura e, assim,
minimizar o risco de sabotagem e adulteração por pessoas não autorizadas.
Estes são projetos e ações indispensáveis ligados a Ciência, Tecnologia e
Inovação, tendo como marco concorrer para a realização do desenvolvimento da
estratégia da guerra cibernética que a Marinha está adotando para proteger com
eficiência as fronteiras digitais do País.
4.2 NO EXÉRCITO BRASILEIRO
Alinhado à sua tradição pacifista, o Brasil não planeja lançar ataques no
campo cibernético, mas começa a investir pesado na defesa do mesmo. No segundo
semestre do ano de 2013, as Forças Armadas inauguram seu primeiro Centro de
Defesa Cibernética (CDCiber), que reunirá cerca de cem oficiais do Exército em um
prédio nos arredores de Brasília.
29
O centro criado em 4 de agosto de 2010, tem como objetivo coordenar e
integrar as ações de defesa cibernética do Exército, Marinha e Aeronáutica. Será
equipado com simuladores para exercício de guerra cibernética, laboratório para
análise de artefatos maliciosos na rede e centro de tratamento de incidentes.
As características da guerra cibernética, em primeiro lugar, é existência de
uma assimetria muito grande. Quanto mais um país se sofistica tecnologicamente,
mais vulnerável ele fica. Quanto mais refinado é seu sistema, mais ele está
suscetível a ser interferido e destruído por uma potência com uma estrutura menor.
Por exemplo, se você tem uma rede wi-fi em casa, está mais vulnerável do que se
tivesse apenas uma rede por cabo. E para fazer um ataque, você não precisa de
muita tecnologia ou estrutura.
Outra característica é a anonimidade, é muito difícil saber de onde partiu o
ataque. O computador de qualquer pessoa pode ser um zumbi, sem que você saiba,
e vai trabalhar em proveito de uma organização criminosa. Por isso, quando é feita
uma perícia, nem sempre encontramos a origem do ataque. Na guerra de 30 anos
atrás, era muito fácil saber quem era o adversário - o inimigo era quem estava do
outro lado da fronteira, do rio, da ponte. Agora não, o inimigo pode estar tanto a 10
mil quilômetros de distância como dentro da sua própria organização.
Bem, dentro do exposto até aqui, podemos afirmar que as armas disponíveis
e mais usadas para a defesa são muito similares às utilizadas para fazer um ataque,
e esse é um grande problema. Temos que ter muito cuidado, se você ensina a se
defender, também está ensinando a atacar. Um exemplo de arma cibernética é o
Stuxnet, um vírus que prejudicou principalmente as centrífugas do Irã. É um vírus
sofisticado, que ataca um determinado tipo de equipamento, alterando a velocidade
das centrífugas e fazendo com que elas se autodestruam.
Dizem que foi criado para atrasar o programa nuclear iraniano. Na guerra
cibernética, não se precisa fazer um vírus para um ataque massivo ou uma
destruição coletiva. Pode especificar: destruir as centrífugas de uma central nuclear
de determinado país e pronto o vírus executará seu programa.
O Exército Brasileiro conta, desde o começo do ano, com um simulador de
conflitos digitais. Nele, os soldados brasileiros aprendem a realizar todo tipo de
operação de guerra. Segundo o general José Carlos dos Santos, comandante do
30
Centro de Defesa Cibernética, o Brasil sofre uma média de 30 mil ataques na
internet diariamente.
Título: Os Principais Alvos – Os países que sofreram o maior número de Ataques em 2013.
FONTE: WWW.revistastatus.com.br
4.3 NA AERONÁUTICA
Uma característica que a Aeronáutica apresenta é o pioneirismo. O uso do
computador, como a criação do motor a álcool, foram realizações que modificaram
profundamente o modo de viver dos brasileiros. No âmbito da aviação, a instalação
dos Centros Integrados de Defesa Aérea e Controle de Tráfego Aéreo, que
inicialmente foi questionada, pois se colocava em dúvida esta combinação, de
controle militar e civil seria a melhor. Depois do ocorrido em 11 de setembro de
2001, nos Estados Unidos, pode-se comprovar o acerto da Aeronáutica brasileira.
31
Para atender a necessidade de mudança do Setor Cibernético, a FAB tem
um componente adicional; possui três centros de computação – em São José dos
Campos-SP, Rio de Janeiro e Brasília – mas, reconhece que as novas demandas
vão além das capacidades da equipe. Por isso, o plano é contratar a iniciativa
privada para projetar, desenvolver, testar, validar e dar manutenção às soluções
definidas internamente.
Devida a extrema necessidade na qualificação em tecnologia da informação
– cujo déficit de profissionais assusta -, é certo atuar primeiramente na formação de
pessoal qualificado, para cobrir sua própria lacuna.
Atualmente essa necessidade já está sendo minimizada nas escolas
militares, formando-os com foco no planejamento e utilização de TICs e Segurança
da Informação, atendendo as imposições do Setor Cibernético.
Muito resta por fazer, é certo, mas questionamentos sobre a conveniência do
esforço, imediato e futuro, na implantação da nova Doutrina, já estão
desaparecendo, pois o Comando passa a enxergar os benefícios advindos desta
nova Filosofia.
Todavia, a Aeronáutica deve priorizar o segmento militar da informática, pois
uma Força Aérea moderna depende, sobremaneira, dos recursos proporcionados
por essa atividade.
4.4 NO MINISTÉRIO DA DEFESA
Como atividades recentes, no âmbito do MD, relacionadas à Consolidação
do Setor Cibernético, pode-se citar a expedição da mencionada Diretriz Ministerial nº
014/2009, a realização do I Seminário de Defesa Cibernética do Ministério da
Defesa, a criação do Centro de Defesa Cibernética do Exército e a ativação de seu
núcleo, bem como o prosseguimento da capacitação de talentos humanos.
O Ministro da Defesa atribuiu ao Exército Brasileiro à coordenação do Setor
Cibernético no âmbito da Defesa e dividiu os seus estudos iniciais com vista à sua
consolidação em duas fases, definindo, respectivamente, as seguintes tarefas a
serem realizadas em cada uma delas:
32
a. primeira fase: definição da abrangência do tema e dos objetivos setoriais;
e
b. segunda fase: detalhamento das ações estratégicas, adequabilidade das
estruturas existentes nas três Forças Armadas e proposta de alternativas e soluções,
se for o caso.
Os documentos contendo a solução aos quesitos das 1ª e 2ª fases, relativos
ao Setor Cibernético, foram elaborados por um Grupo de Trabalho Inter-Forças,
coordenados pelo Estado-Maior do Exército (EME), e encaminhados ao MD,
respectivamente, em janeiro e julho de 2010, os quais foram analisados e aprovados
com pequenas ressalvas.
O I Seminário de Defesa Cibernética do MD foi realizado no período de 21 a
24 de junho de 2010, cabendo ao EB – condutor do Setor Cibernético no âmbito da
Defesa – o seu planejamento, preparação, coordenação, execução e supervisão. O
evento abrangeu duas fases a seguir descritas.
A primeira fase, denominada de “Perspectiva Político-Estratégica”, aberta ao
público convidado, consistiu de uma série de palestras, com a participação da
comunidade acadêmica, de representantes de infraestruturas críticas nacionais, dos
setores público e privado, das Forças Armadas e do próprio MD, versando,
basicamente, sobre Segurança Cibernética. Destinou-se a prover uma base de
conhecimentos para a fase seguinte.
A segunda fase, denominada “Perspectivas Estratégica e Operacional-
Militar”, teve participação restrita ao MD e às Forças Armadas. Iniciou-se com
palestras específicas sobre a situação do Setor Cibernético em cada Força Armada
e continuou com a realização de debates distribuídos em quatro salas temáticas:
Gestão de Pessoal; Doutrina; Estruturas; e Ciência, Tecnologia e Inovação (CT&I).
Como resultado do evento, foi constituído um Grupo de Trabalho Inter-
Forças, coordenado pelo EME, o qual elaborou uma Nota de Coordenação
Doutrinária.
Prevê-se a aplicação desta nota em operações conjuntas, de modo que
sejam obtidas lições aprendidas para que sirva de subsídios para a atuação de outro
GT Inter-Forças, que pode ser constituído pelo MD, com a missão de elaborar a
Doutrina Militar de Defesa Cibernética.
33
O Ministro da Defesa, na pessoa do Embaixador Celso Amorim, declarou
que o termo “guerra” ainda e exagerado em se tratando dos chamados cibercrimes,
entretanto, é inegável que a internet já é um cenário de ataques. Daí, a preocupação
do País em proteger também suas fronteiras virtuais.
Um dos fortes fatores que se utiliza o Governo brasileiro, como razão a sua
opinião de que se deve investir também no Setor Cibernético, são alguns registros
de ofensivas de hackers a sistemas importantes de alguns países, atacando,
principalmente, setores como o da energia. Em acontecimentos grandiosos que já
estão ocorrendo no Brasil, como a Copa das Confederações e outros eventos que
ainda irão ocorrer (Copa do Mundo), envolvem um volume muito grande de pessoas,
geram uma grande movimentação de dados, que acabam ficando vulneráveis a
ataques.
Portanto, fica confirmada a hipótese de que os ataques cibernéticos limitam
o emprego do Poder Nacional.
Então, com esse intuito, foi inaugurado no ano passado, pelo Ministro da
Defesa, o CDCiber que atua com outros órgãos para melhorar a proteção virtual
brasileira. Mesmo assim, “nenhum país no mundo está totalmente preparado para
um ataque cibernético massivo”, defende o General de Divisão José Carlos dos
Santos, atual Diretor do Centro, em entrevista exclusiva ao Olhar Digital.
Diante deste fato, o MD e as Forças Armadas participam das atividades
coordenadas pelo GSI-PR – Gabinete de Segurança Institucional da Presidência da
República, particularmente a SIC – Segurança da Informação e Comunicação e a
Segurança Cibernética. Em face da crescente importância do domínio do espaço
cibernético em nível mundial, faz-se necessário ampliar o escopo de sua atuação de
modo a abranger, também, a Defesa Cibernética.
Pois bem, as ameaças ao Espaço Cibernético brasileiro não tem uma
delimitação clara como há nos conceitos clássicos, utilizados pelas empresas
privadas. Embora o Exército Brasileiro mantenha domínio preponderante sobre o
assunto, é importante que ocorra um envolvimento civil. Não parece ser proporcional
envolver os civis somente quando há um ataque declarado. A prevenção transita
pelas mais diversas áreas, principalmente em um mundo com empresas privadas
desempenhando papeis tão importantes. Das infraestruturas críticas prioritárias,
todas possuem o envolvimento de empresas privadas.
34
E, são algumas as situações que tem limitado o emprego do Poder Nacional
brasileira, que tomam status de alguns desafios pela frente para assim alcançar a
consolidação das políticas do setor cibernético:
(1) Políticas públicas e de marco legal para uso efetivo do espaço
cibernético, especialmente no que concerne à manutenção das infraestruturas
críticas do país.
(2) Estabelecimento de medidas que contribuam para a gestão da segurança
da informação e comunicação para a produção do conhecimento de inteligência.
(3) Retenção de talentos.
(4) Estabelecimento do perfil da carreira.
(5) Caráter sensível da atividade, dificultando a aquisição de conhecimento
vindo do exterior.
Então dentro do exposto verifica-se a necessidade tenaz de um investimento
nestes pontos abordados para o estabelecimento de uma Política Nacional de
Segurança Cibernética no Brasil que venha contribuir com a Segurança e a Defesa
Nacional, concluindo como verdadeira a segunda hipótese do trabalho.
No que diz respeito a este investimento o orçamento da União de 2012, com
a rubrica denominada "Implantação do sistema de defesa cibernética", teve dotação
autorizada de R$ 111,0 milhões, dos quais R$ 61,6 milhões foram empenhados, mas
apenas R$ 34,4 milhões foram efetivamente pagos, o equivalente 31% do total. O
levantamento é do site da ONG Contas Abertas. Outros R$ 49,4 milhões
constituíram crédito orçamentário perdido, e nem sequer foram empenhados.
Para este ano, a dotação autorizada é de R$ 90 milhões. Até o início de
julho apenas R$ 8 milhões foram empenhados. O total pago é de R$ 11,3 milhões,
incluindo R$ 11 milhões de restos a pagar provenientes de 2012. O fato de ter
havido o empenho de apenas parte do valor previsto não significa que os recursos
não serão desembolsados, já que o orçamento da área cibernética segue histórico
de execução que registra concentração de empenho dos recursos no segundo
semestre do ano, segundo a Defesa e Segurança, afirmou em entrevista ao Jornal
“O Globo”, Gil Castello Branco, secretário geral da ONG Contas Abertas.
Visualiza-se então, a implantação do Sistema Brasileiro de Defesa
Cibernética, cujo organograma encontra-se na Figura 1.
35
Trata-se de um objetivo ambicioso, que deve ser perseguido. Sua
consecução constitui condição sine qua non para a defesa das infraestruturas
críticas nacionais contra ataques cibernéticos, a qual se insere na missão
constitucional das Forças Armadas, com o apoio da Sociedade Civil.
Dentro dessa linha este Comando estará também encarregado da interação
do Ministério da Defesa com o GSI-PR, para fins de participação na Segurança
Cibernética e de obtenção da indispensável cooperação dos setores público e
privado e da comunidade acadêmica no esforço nacional de Defesa Cibernética.
4.5 ESTRATÉGIA NACIONAL DE DEFESA (END)
Aprovada pelo Decreto nº 6.703, de 18 de dezembro de 2008, considera que
existem três setores estratégicos da Defesa: o nuclear, o cibernético e o espacial.
O mencionado dispositivo legal também estabelece que as capacitações
cibernéticas incluirão, como parte prioritária, as tecnologias de comunicações entre
todos os contingentes das Forças Armadas, de modo a assegurar sua capacidade
de atuar em rede.
Título: Sistema Brasileiro de Defesa Cibernética Fonte: Desafios Estratégicos para a Segurança e Defesa
Cibernética
36
A END enfatiza que os setores cibernético e espacial devem permitir que as
Forças Armadas, em conjunto, possam atuar em rede.
Todas as instâncias do Estado deverão contribuir para o incremento do nível
de segurança nacional, com particular ênfase nos seguintes aspectos do Setor
Cibernético:
a. as medidas para a segurança das áreas de infraestruturas críticas; e
b. o aperfeiçoamento dos dispositivos e procedimentos de segurança que
reduzam a vulnerabilidade dos sistemas relacionados à Defesa Nacional contra
ataques cibernéticos e, se for o caso, que permitam seu pronto restabelecimento.
Verifica-se que o Setor Cibernético, na visão da END, não se restringe às
atividades relacionadas à Segurança e Defesa Cibernética, mas abrange, também, a
Tecnologia da Informação e Comunicação (TIC), ferramenta básica para a
implementação de redes de computadores.
Nesse contexto, podem-se listar os seguintes componentes básicos do Setor
Cibernético para a sua atuação em rede:
a. estrutura de comando, controle, comunicações, computação e inteligência
(C&I) para a atuação operacional e o funcionamento administrativo das Forças
Armadas;
b. recursos de TIC; e
c. arquitetura matricial que viabilize o trânsito de informações em apoio ao
processo decisório em tempo quase real.
Diante destas propostas, vários são os desafios do Setor Cibernético no
âmbito da defesa, sendo a efetivação das ações estratégicas, listadas e detalhadas
no documento referente aos quesitos previstos para a 2ª fase na Diretriz Ministerial
nº 014/2009, constitui o grande desafio à Consolidação do Setor Cibernético na
Defesa, uma vez que óbices de natureza diversa dificultam a sua concretização.
Entre esses óbices, merecem destaque os seguintes:
a. óbices de natureza cultural, associando as ações cibernéticas a atividades
ilícitas de intrusão, quebra de privacidade das pessoas, roubo de dados etc.;
b. necessidade de conscientização de governantes e da sociedade como um
todo em relação ao tema, decorrente do óbice anterior, que dificulta a obtenção da
indispensável mobilização para a participação nas atividades de Segurança e
Defesa Cibernéticas;
37
c. escassez de recursos financeiros ou não priorização do setor na alocação
de recursos financeiros, também, em parte, decorrente dos óbices anteriores;
d. caráter sensível da atividade, dificultando a aquisição de conhecimento
vindo do exterior; e
e. integração e atuação colaborativa incipientes dos diversos atores
envolvidos.
Entre as citadas ações estratégicas, as julgadas mais relevantes como
desafios à consolidação do Setor Cibernético na Defesa são:
a. Criar o Comando de Defesa Cibernética das Forças Armadas, com a
participação de civis e militares das três Forças, para executar os objetivos do
Sistema Brasileiro de Defesa Cibernética.
b. Elaborar a Política de Defesa Cibernética.
c. Propor a criação de uma estrutura de Defesa Cibernética subordinada ao
Estado-Maior Conjunto das Forças Armadas para inserir o tema nos planejamentos
militares conjuntos.
d. Levantar as ICIs (Infraestrutura Crítica da Informação) associadas ao
Setor Cibernético para formar a consciência situacional necessária às atividades de
Defesa Cibernética.
e. Levantar critérios de riscos e sua gestão para reduzir a probabilidade e o
impacto de ameaças cibernéticas nas ICIs de interesse da Defesa Nacional.
4.6 POLÍTICA DE ESTRATÉGIA DE SEGURANÇA CIBERNÉTICA
Assegura, entre outros aspectos, a disponibilidade, a integridade, a
confidencialidade e a autenticidade das informações de interesse do Estado e da
sociedade brasileira.
O Método de Planejamento da Escola Superior de Guerra descreve
conceitos relevantes relacionados às ameaças existentes no Espaço Cibernético
brasileiro, buscando estabelecer distinção entre os dois conceitos, identificando os
elementos fundamentais, que poderão ser úteis ao estabelecimento de uma Política
Nacional de Segurança Cibernética.
38
Existem outras definições para estes termos, fato este que pode gerar algum
tipo de discrepância no estabelecimento de políticas públicas relacionada ao tema
Segurança Cibernética. Alguns exemplos disso são apresentados a seguir.
Segundo o Manual da Escola Superior de Guerra e Fundamentos da Escola
Superior de Guerra (2009, p. 59), “Segurança é a sensação de garantia necessária e
indispensável a uma sociedade e a cada um de seus integrantes, contra ameaças
de qualquer natureza.”
Conforme o Glossário das Forças Armadas MD 35-G-01 (BRASIL, 2009, p.
75), “Defesa é o ato ou conjunto de atos realizados para obter, resguardar ou
recompor a condição reconhecida como de segurança, ou ainda, reação contra
qualquer ataque ou agressão real ou iminente.”
Observa-se uma quantidade considerável de conceitos que se relacionam ao
tema em estudo e, com a finalidade de apresentar outras definições de termos
relacionados ao espaço cibernético, que podem ser úteis no estabelecimento de
políticas para a Segurança Cibernética, foi elaborado o glossário deste trabalho.
Baseado no exposto, no que se refere à exploração ofensiva do
ciberespaço, a sugestão natural é que a mesma seja prerrogativa do Ministério da
Defesa e das Forças Armadas, que devem desenvolver capacidades necessárias,
para tal desde o tempo de paz, limitando-se a empregar tais recursos somente em
situação de conflito.
Numa primeira linha não se deve envolver empresas ou outros órgãos
governamentais nessa forma de exploração do espaço cibernético, a não ser ante o
envolvimento do Brasil em conflito de maiores proporções e a decorrente
necessidade de mobilização em larga escala.
Finalmente, qualquer que seja a divisão de tarefas e responsabilidades a ser
adotada, cada instituição tenha a prerrogativa e, mais ainda, o dever de investir
tempo, dinheiro, pessoal e atenção gerencial à defesa de seus bens incentivos de
informação. Esse dever se justifica não apenas pela defesa de seus interesses
específicos, mas também pela garantia dos interesses nacionais no espaço
cibernético, e, à luz da ponderável gama de conhecimentos já disponíveis, pode-se
afirmar que as ameaças são reais e o perigo que elas representam, imediato, assim
como são também reais e imediatas às oportunidades que a exploração positiva do
espaço cibernético nos oferece, sempre no único e exclusivo interesse da Nação.
39
5 CONCLUSÃO
Como já foi dito anteriormente, o espaço cibernético é um ambiente sem
fronteiras que carece de regulamentação, com potencial para se tornar palco de uma
disputa de influência no cenário internacional.
Seu domínio constitui-se em um grande desafio para a humanidade neste
século, podendo, até mesmo, ser comparado ao domínio dos mares no período das
grandes navegações.
O desenvolvimento de parcerias e colaboração são as chaves para o
desenvolvimento e controle do setor. Assim sendo, podemos então, afirmar que as
medidas adotadas pelo Brasil, sejam no nível de governo (END), seja no âmbito do
MD (consolidação do setor cibernético), são muito pertinentes e oportunas, não
apenas no contexto da afirmação da capacidade brasileira perante o mundo, mas
também, para preparar o País para a defesa de seus interesses e para a proteção
das suas infraestruturas críticas.
Nesse contexto, o Brasil, pelo menos, aparentemente, encontra-se em boa
situação, pois alguns dos protagonistas das discussões já em curso, particularmente
a Rússia, têm elogiado o alegado potencial brasileiro para atuação no espaço
cibernético. Os Estados Unidos da América também têm buscado diálogo e
apresentando propostas de cooperação e parceria.
Faz-se mister ressaltar, no entanto, que os países mais desenvolvidos, por
se sentirem mais vulneráveis, têm buscado ampliar seu leque de parcerias
internacionais, pois sabem que sua defesa depende do estabelecimento de laços de
cooperação com os demais países.
Verificou-se que o objetivo da identificação da importância de se ter uma
Política Nacional de Segurança Cibernética no Brasil foi atingido. Mas, para tanto,
abordou-se a própria Segurança Cibernética, mostrando que não se trata somente
de uma questão de Segurança Nacional ou Defesa Militar, mas sim uma questão
integrada e que necessita de um esforço integrado dos setores civil e militar,
mantendo sempre suas competências individualizadas. Também foram abordadas
algumas iniciativas do Governo brasileiro mostrando a preocupação com a
segurança do nosso Espaço Cibernético e para isto, estão sendo implementadas
ações e a criação de órgãos voltados para este sentido. Identificamos as estruturas
40
já existentes relacionadas a atividades do Setor Cibernético brasileiro a nível político.
Ainda, atividades atuais da cibernética brasileira na Marinha, Exército, Aeronáutica e
Ministério da Defesa, relacionando empreendimentos que agilizarão todo o sistema
de Segurança Cibernética.
Em síntese, pode-se afirmar que estamos no caminho certo e que, em
termos de conhecimento e talentos, não ficamos a dever a nenhum dos países mais
bem situados econômica e tecnologicamente.
41
REFERÊNCIAS
ADEE, S. The hunt for the kill switch. Brasília, 2008. Disponível em: <http://spectrum.ieee.org/semiconductors/design/the-hunt-for-the-kill-switch>. Acesso em: 3 dez. 2010. ALVAREZ, T. Guerra e defesa cibernética. Rio de Janeiro ,2010. Blog SegInfo, Disponível em: <http://www.seginfo.com.br/guerra-e-defesa-cibernetica>. Acesso em: 22 nov. 2010. ALMEIDA, Patrícia Donati. STJ analisa competência para os chamados crimes informáticos (crimes virtuais = cybercrimes): competência territorial do local de hospedagem do site Disponível em: <http://www.lfg.com.br/public_html/article.php?story=20110426113540900&mode=print> Acesso em: 16 set. 2011. ATHENIENSE, Alexandre. Phishing faz o Brasil liderar ranking de ataques aos dados bancários Disponível em: <http://www.sucesumg.org.br/index.php?option=com_content&view=article&id=230:phishing-faz-o-brasil-liderar-ranking-de-ataques-aos-dados-bancarios&catid=45:ultimas-noticias&Itemid=1> Acesso em: 9 maio 2011. BRASIL. Ministério da Defesa. MD31-D-03: Doutrina Militar de Comando e Controle. Brasília, 2006. ______. MD 35-G-01: Glossário das Forças Armadas. Brasília, 2009. ______. Diretriz Ministerial nº 14: integração e coordenação dos Setores Estratégicos da Defesa. Brasília, 9 nov. 2009. BRASIL. Presidência da República. Gabinete de Segurança Institucional da Presidência da República. Instrução Normativa GSI/PR nº 1, de 13 jun. 2008. Brasília, 2008. BRASIL. Decreto nº 6.703, de 18 de dezembro de 2008. Aprova a Estratégia Nacional de Defesa, e dá outras providências. Diário Oficial da União, Brasília, DF, 19 dez. 2008. ______. Lei nº 10.683, de 28 de maio de 2003. Dispõe sobre a organização da Presidência da República e dos Ministérios e dá outras providências. Diário Oficial da União. Brasília, DF, 29 maio 2003. BRASIL. Exército Brasileiro. Estado-Maior do Exército. Minuta de Nota de Coordenação Doutrinária relativa ao I Seminário de Defesa Cibernética. Brasília, 2010. ESCOLA SUPERIOR DE GUERRA. (Brasil). Manual básico: elementos fundamentais. Rio de Janeiro, RJ, 2013, v. 1, p. 59.
42
BRASIL. Ministério da Defesa. Estratégia Nacional de Defesa. Brasília, 2008. BRASIL. Senado Federal. Projeto de Lei da Câmara, nº 35, de 2012. Brasília/DF, 2012. BRESCIANE, Eduardo. Senado aprova projeto de lei para crimes cibernéticos. Disponível em: <http://g1.globo.com/Noticias/Tecnologia/0,,MUL641696-6174,00- SENADO+APROVA+PROJETO+DE+LEI+PARA+CRIMES+CIBERNETICOS.html> Acesso em: 12 maio de 2011. CARVALHO, Paulo S M. O setor cibernético nas Forças Armadas brasileiras. Brasília: Forense, 2011. CORIOLANO, Aurélio de Almeida Camargo Santos. As múltiplas faces dos crimes eletrônicos e dos fenômenos tecnológicos e seus reflexos no universo jurídico. São Paulo, 2009. Disponível em: <http://pt.scribd.com/doc/24156044/I-Livro-sobre-Crimes-Eletronicos-da-OAB-SP>. Acesso em: 10 mar. de 2011. CORRÊA, Gustavo Testa. Aspectos jurídicos da internet. 3. ed. rev. e atual. São Paulo: Saraiva, 2007. COMMUNICATIONS assistance for law enforcement act In: WIKIPEDIA: a enciclopédia livre. 2011. Disponível em: <http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act Estados>. Acesso em: 5 nov. 2010. Unidos: Fundação Wirimedia, 2003. CYBERWAR: it is time for countries to start talking about arms control on the internet. The Economist. Londres, 3 jul. 2010, p. 11-12. FERREIRA, Ivette Senise. Direito & Internet: aspectos jurídicos relevantes. 2 ed. São Paulo: Quartier Latin, 2005. p.261. JORGE, Fernando de Sandy Lopes Pessoa. Ensaio sobre os pressupostos da responsabilidade civil. Coimbra: Almedina, 1995. MANDARINO Jr., Raphael. Um estudo sobre a segurança do espaço cibernético brasileiro. Brasília: Cubzac, 2009. MIRABETE, Julio; FABBRINI, Renato. Manual do direito penal: 24. Ed. São Paulo: Atlas, 2008. v. 1: parte geral. NUNES, L. A. R. Guerra cibernética: está a MB preparada para enfrentá-la? 2010. 98 f. Trabalho de Conclusão de Curso (Curso de Política e Estratégia Marítimas). Escola de Guerra Naval, Rio de Janeiro, 2010. PIMENTEL, Manoel Pedro. O crime e a pena na atualidade. São Paulo: Revista dos Tribunais, 1983. ______. Estudos jurídicos em homenagem a Manuel Pedro Pimentel. São Paulo: Revista dos Tribunais, 1992.
43
SAFERNET. Brasília, 2009. Disponível em: <http:safernet.org.br./site/sid2010/resultados-de-nova-pesquisa>. Acesso em: 12 ago. 2010. VIANA, Marco Túlio. Fundamentos de direito penal informático: a acesso não autorizado a sistemas computacionais. Rio de Janeiro: Forense, 2003, p. 13-26
44
GLOSSÁRIO
AMEAÇA: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ABNT, 2005). ARTEFATO MALICIOSO: Qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores (NC 05 DSIC/GSIPR, 2009). ATIVO DE INFORMAÇÃO: Meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso (Portaria 45 SE-CDN, 2009). AUTENTICIDADE: Propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade (IN 01 GSIPR, 2008). CIBERGUERRA: é uma modalidade de guerra em que as armas normais são substituídas por ataques virtuais. A existência da ciberguerra deve-se ao fato de que atualmente, os meios digitais estão completamente integrados aos governos e a todas as pessoas. Neste contexto, se toda a rede de um país for atacada, os transtornos à população podem ser grandes e pode se gerar um enorme caos. COMPUTER EMERGENCY RESPONSE TEAM – CERT: pode ser entendido como uma equipe de respostas emergenciais relacionadas aos problemas oriundos das áreas de segurança da informação, ocasionados nos computadores existentes e em funcionamento em todo mundo. COMUNIDADE INTERNACIONAL: integração de nações amigas com mesmas aspirações de Segurança Cibernética independentes de variáveis econômicas ou geográficas. CONFIDENCIALIDADE: Propriedade de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado (IN 01 GSIPR, 2008). CONTINUIDADE DE NEGÓCIOS: Capacidade estratégica e tática de um órgão ou entidade de se planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido (NC 06 DSIC/GSIPR, 2009). CONTÊINERES DOS ATIVOS DE INFORMAÇÃO: o contêiner é o local onde “vive” o ativo de informação. É qualquer tipo de recurso onde a informação está armazenada, é transportada ou processada (STEVENS, 2005).
45
CRITICIDADE: priorizar os segmentos de maior vulnerabilidade que poderia acarretar em grande prejuízo ao país. DESENVOLVIMENTO NACIONAL: O Desenvolvimento deve ser entendido como um processo social global em que todas as estruturas passam por connuas e profundas transformações (ESG, 2009). DEFESA: O ato ou conjunto de atos realizados para obter, resguardar ou recompor a condição reconhecida como de segurança, ou ainda, reação contra qualquer ataque ou agressão real ou iminente. (Glossário MD35-G-01;2007). DEFESA: é um ato ou conjunto de atos realizados para obter ou resguardar as condições que proporcionam a sensação de Segurança (ESG, 2009). DEFESA CIBERNÉTICA: atividade que busca proteger os sistemas de governo relevantes em relação à determinada ameaça. DISPONIBILIDADE: Propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade (IN 01 GSIPR, 2008). EQUIPE DE TRATAMENTO E RESPOSTA A INCIDENTES EM REDES COMPUTACIONAIS – ETIR: Grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores (NC 05 DSIC/GSIPR, 2009). ESTRATÉGIA NACIONAL: A arte de preparar e aplicar o poder para conquistar e preservar objetivos, superando óbices de toda ordem (ESG, 2009). EXPRESSÃO ECONÔMICA: Expressão Econômica do Poder Nacional é a manifestação de natureza preponderantemente econômica do Poder Nacional, que contribui para alcançar e manter os Objetivos Nacionais (ESG, 2009). EXPRESSÃO CIENTÍFICA E TECNOLÓGICA: Expressão Científica e Tecnológica do Poder Nacional é a manifestação preponderantemente científica e tecnológica do Poder Nacional, que contribui para alcançar e manter os Objetivos Nacionais (ESG, 2009). EXPRESSÃO MILITAR: Expressão Militar do Poder Nacional é a manifestação de natureza preponderantemente militar do Poder Nacional, que contribui para alcançar e manter os Objetivos Nacionais (ESG, 2009). FASE DO DIAGNÓSTICO: envolve o conhecimento onde deverá se produzir a ação, subdividindo-se em duas etapas: a Análise do Ambiente e a Análise do Poder (ESG, 2009). FASE POLÍTICA: onde se formula o objetivo ou conjunto de objetivos, subdividindo-se em duas etapas: a Elaboração de Cenários e a Concepção Política (ESG, 2009).
46
FASE ESTRATÉGICA: onde se concebe o caminho a seguir para alcançar o objetivo ou conjunto de objetivos, subdividindo-se em duas etapas: a Concepção Estratégica e a Programação (ESG, 2009). FASE DA GESTÃO: onde se procedem à execução, o acompanhamento e o controle das ações programadas, subdividindo-se em duas etapas: a Execução e o Controle (ESG, 2009). FONTE DE RISCO: Elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco (ISO 31000, 2009). GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES: Conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos (NC 04 DSIC/GSIPR, 2009). GRAU DE SIGILO: gradação atribuída a dado, conhecimentos, áreas ou instalações, considerados classificados, em decorrência de sua natureza ou conteúdo (adaptação do Glossário MD35-G-101, 2007). GUERRA DE INFORMAÇÃO: Conjunto de ações destinadas a obter a superioridade das informações, afetando as redes de comunicação de um oponente e as informações que servem de base aos processos decisórios do adversário, ao mesmo tempo em que garante as informações e os processos amigos. (Glossário MD35-G-01, 2007). GUERRA CIBERNÉTICA: Conjunto de ações para uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores. Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil. (Glossário MD35-G-01, 2007). INFRAESTRUTURAS CRÍTICAS: Instalações, serviços, bens e sistemas cuja interrupção ou destruição, total ou parcial, provocará sério impacto social, ambiental, econômico, político, internacional ou à segurança do Estado e da sociedade. INFRAESTRUTURAS CRÍTICAS DA INFORMAÇÃO: Subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade (Portaria 34 SE-CDN, 2009). INTERDEPENDÊNCIA: Relação de dependência ou interferência de uma infraestrutura crítica em outra, ou de uma área prioritária de infraestruturas críticas em outra (Política Nacional de Segurança de Infraestruturas Críticas, 2010 – aprovada na CREDEN, e ainda não sancionada pelo Presidente da República). LIVRO BRANCO: Documento de caráter público, por meio do qual se permitirá o acesso ao amplo contexto da Estratégia de Defesa Nacional, em perspectiva de médio e longo prazos, que viabilize o acompanhamento do orçamento e do planejamento plurianual relativos ao setor.Método para o Planejamento: oriundo dos estudos e pesquisas realizados ao longo da existência da Escola Superior de Guerra
47
(ESG), o método tem como objeto principal, da sua origem e aplicação, a busca da maior racionalidade nas decisões nacional, fundamentado no Pensamento da ESG e em estudos acadêmicos, teóricos e empíricos, assumindo caráter finalístico e teleológico, ao procurar associar os fatos às suas causas, de modo a obter explicações e alcanças a compreensão e desenvolver o conhecimento, dividindo-se em quatro fases: do Diagnóstico, Política, Estratégica e da Gestão. NECESSIDADE DE CONHECER: condição indispensável, inerente ao exercício funcional, para que uma pessoa possuidora de credencial de segurança tenha acesso a dado e informação classificada, compatível com seu credenciamento. Desta forma a necessidade de conhecer caracteriza-se como fator restritivo de acesso, independente do grau hierárquico ou função que a pessoa exerça (adaptação do Glossário MD35-G-101, 2007). OBJETIVOS NACIONAIS (ON): são aqueles que a Nação busca satisfazer, em decorrência da identificação de necessidades, interesses e aspirações, em determinada fase de sua evolução histórico-cultural. Os Objetivos Nacionais são classificados segundo sua natureza, em três grupos: Objetivos Fundamentais (OF), Objetivos de Estado (OE); e Objetivos de Governo (OG) (ESG, 2009). OBJETIVOS FUNDAMENTAIS (OF): são Objetivos Nacionais (ON) que, voltados para o atingimento dos mais elevados interesses da Nação e preservação de sua identidade, subsistem por longo tempo (ESG, 2009). OBJETIVOS DE ESTADO (OE): são Objetivos Nacionais intermediários, voltados para o atendimento de necessidades, interesses e aspirações, considerados de alta relevância para a conquista, consolidação e manutenção dos Objetivos Fundamentais (ESG, 2009). OBJETIVOS DE GOVERNO (OG): são Objetivos Nacionais intermediários, voltados para o atendimento imediato de necessidades, interesses e aspirações, decorrentes de situações conjunturais em um ou mais períodos de Governo (ESG, 2009). Poder Nacional: Conjugação interdependente de vontades e meios, voltada para o alcance de uma finalidade. A vontade, por ser um elemento imprescindível na manifestação do Poder, torna-o um fenômeno essencialmente humano, característico de um indivíduo ou de um grupamento de indivíduos. POLÍTICA NACIONAL: Manifesta-se quando se busca aplicar racionalmente o Poder Nacional, orientando-o para o Bem Comum, por meio do alcance e manutenção dos Objetivos Fundamentais (ESG, 2009). POLÍTICA PÚBLICA: Conjunto de ações desencadeadas pelo Estado, no caso brasileiro, nas escalas federal, estadual e municipal, com vistas ao bem coletivo. Elas podem ser desenvolvidas em parcerias com organizações não governamentais e, como se verifica mais recentemente, com a iniciativa privada. PROJEÇÃO DO PODER NACIONAL: processo pelo qual a Nação aumenta, de forma pacífica, sua influência no cenário internacional, por intermédio da manifestação produzida com recursos de todas as Expressões de seu Poder Nacional (ESG, 2009). Resiliência: Poder de recuperação ou capacidade de uma
48
organização resistir aos efeitos de um desastre. (NC 06 DSIC/GSIPR, 2009) Capacidade de resistir a fatores adversos e de recuperar-se rapidamente. (Política Nacional de Segurança de Infraestruturas Críticas, 2010 – aprovada na CREDEN, e ainda não sancionada pelo Presidente da República). RISCO: Efeito da incerteza nos objetivos (ABNT ISO GUIA 73, 2009). RISCOS DE SEGURANÇA DA INFORMAÇÃO: Possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira, prejudicando a organização (ABNT, 2008). RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES: Potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização. (NC 04 DSIC/GSIPR, 2009). SEGURANÇA: é a sensação de garantia necessária e indispensável a uma sociedade e a cada um de seus integrantes, contra ameaças de qualquer natureza (ESG, 2009). SEGURANÇA CIBERNÉTICA: Arte de assegurar a existência e a continuidade da Sociedade da Informação de uma Nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infra-estruturas críticas (Portaria 45 SE-CDN, 2009). SEGURANÇA DA INFORMAÇÃO: Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento (PRESIDÊNCIA, 2000). SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES: Ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações (IN 01 GSIPR, 2008). SISTEMAS DE CONTROLE DE SUPERVISÃO E AQUISIÇÃO DE DADOS: ou abreviadamente SCADA (proveniente do seu nome em inglês Supervisory Control and Data Aquisition) são sistemas que utilizam software para monitorar e supervisionar as variáveis e os dispositivos de sistemas de controle conectados através de drivers específicos. Estes sistemas podem assumir topologia monoposto, cliente-servidor ou múltiplos servidores-clientes. TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO (TIC): podem ser definidas como o conjunto de recursos tecnológicos, utilizados de forma integrada, com um objetivo comum. As TICs são utilizadas das mais diversas formas, na indústria (no processo de automação), no comércio (no gerenciamento, nas diversas formas de publicidade), no setor de investimentos (informação simultânea, comunicação
49
imediata) e na educação (no processo de ensino aprendizagem, na Educação à Distância). VULNERABILIDADE: Propriedade intrínseca de algo resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma conseqüência (ISO 31000, 2009). Conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação interna de segurança da informação (NC 04 DSIC/GSIPR, 2009).
