Presidncia da Repblica Secretaria de Assuntos Estratgicos

DESAFIOS ESTRATGICOS PARA A

SEGURANA E DEFESA CIBERNTICA

1 Edio Braslia - 2011

DESAFIOS ESTRATGICOS

PARA A SEGURANA E DEFESA CIBERNTICA

Presidncia da Repblica

Presidenta Dilma Rousseff

Secretaria de Assuntos Estratgicos

Ministro Wellington Moreira Franco

Secretaria de Assuntos Estratgicos Bloco O 7, 8 e 9 andares CEP: 70052-900 Braslia, DF http://www.sae.gov.br

PRESIDNCIA DA REPBLICA SECRETARIA DE ASSUNTOS ESTRATGICOS

BRASLIA, 14 de JULHO de 2010

DESAFIOS ESTRATGICOS

PARA A SEGURANA E DEFESA CIBERNTICA

1 Edio

Braslia, 2011

Coordenao

Maj Brig R1 Whitney Lacerda de Freitas

Organizadores

Cel Cav Otvio Santana do Rgo Barros TC Inf Ulisses de Mesquita Gomes
Projeto grfico e diagramao

Rafael W. Braga Bruno Schurmann

Reviso

Luis Violin Sarah Pontes

Imagem de Capa

Centro de Comunicao Social do Exrcito

Tiragem

2.000 exemplares Catalogao na fonte Biblioteca da Presidncia da Repblica. D313 Desafios estratgicos para segurana e defesa ciberntica / organizadores Otvio Santana Rgo Barros, Ulisses de Mesquita Gomes, Whitney Lacerda de Freitas. Braslia: Secretaria de Assuntos Estratgicos da Presidncia da Repblica, 2011. 216 p. ISBN 978-85-85142-32-2 1. Ciberntica segurana. 2. Ciberntica defesa. I. Barros, Otvio Santana Rgo. II. Gomes, Ulisses de Mesquita. III. Freitas, Whitney Lacerda de. CDD 001.53 CDU 007
As opinies, os argumentos e as concluses apresentados nos documentos que compem esta publicao so de inteira responsabilidade dos autores e no expressam a opinio da Secretaria de Assuntos Estratgicos da Presidncia da Repblica.

Os organizadores desta publicao gostariam de agradecer a fundamental colaborao das seguintes pessoas no processo que deu origem a este livro: Joo Roberto de Oliveira, Paulo Sergio Melo de Carvalho, Paulo Martino Zuccaro, Raphael Mandarino Junior, Jos Eduardo Portella Almeida, Otvio Carlos Cunha da Silva, Srgio Luiz Ribeiro e Jos Eduardo Malta de S Brando.

sumrio

APRESENTAO 09 Conferncia de ABERTURA O setor ciberntico nas Foras Armadas Brasileiras Paulo Sergio Melo de Carvalho PAINEL 1: TENDNCIAS GLOBAIS EM SEGURANA E DEFESA CIBERNTICA Reflexes sobre segurana e defesa ciberntica Raphael Mandarino Junior Tendncia global em segurana e defesa ciberntica reflexes sobre a proteo dos interesses brasileiros no ciberespao Paulo Martino Zuccaro A tendncia mundial para a defesa ciberntica Jos Eduardo Portella Almeida 13

37

49 79

PAINEL 2: SISTEMA DE SEGURANA E DEFESA CIBERNTICA NACIONAL Sistema de Segurana e Defesa Ciberntica Nacional: abordagem com foco nas atividades relacionadas Defesa Nacional Joo Roberto de Oliveira A segurana e as ameaas cibernticas: uma viso holstica Otvio Carlos Cunha da Silva Estratgia de Proteo da Infraestrutura Crtica de Informao e Defesa Ciberntica Nacional Srgio Luiz Ribeiro Uso de redes sociotcnicas para a segurana ciberntica nacional Jos Eduardo Malta de S Brando CONCLUSO Proposta de Grupo de Trabalho SAE MD Setor Estratgico Ciberntico Otvio Santana do Rgo Barros e Ulisses de Mesquita Gomes 105 129 145 165

195

APresentao

Com vistas a cumprir sua atribuio de realizar estudos e pesquisas destinados a promover o planejamento de longo prazo governamental e contribuir para a implementao da Estratgia Nacional de Defesa, a Secretaria de Assuntos Estratgicos (SAE) criou o programa Encontros da SAE. No mbito desse programa, a SAE promove reunies tcnicas, seminrios e oficinas de trabalho visando a aprofundar o entendimento de temas considerados estratgicos para o desenvolvimento socioeconmico e para a segurana nacional. Entre os assuntos examinados ao longo de 2010, esto: a segurana da Amaznia e da Amaznia Azul; o planejamento das polticas nuclear, espacial e de tecnologia da informao e comunicao; o aperfeioamento da doutrina naval brasileira; a cooperao sul-americana na rea de defesa e o X Encontro Nacional de Estudos Estratgicos. Este livro compila os artigos elaborados com base nas apresentaes realizadas durante a Reunio Tcnica sobre Segurana e Defesa Ciberntica, desenvolvida no dia 16 de dezembro de 2010, na cidade de Braslia-DF. Ela foi organizada pela Secretaria de Assuntos Estratgicos em parceria com o Comando do Exrcito, por meio do Estado-Maior do Exrcito. O evento buscou atingir dois objetivos principais. O primeiro foi proporcionar aos servidores do governo federal conhecimentos sobre as atividades de segurana e defesa ciberntica, identificando o papel desenvolvido pelas Foras Armadas e de outras instituies do Estado brasileiro na rea, bem como de outros rgos pblicos e privados envolvidos ou relacionados com o tema. O segundo objetivo consistiu em contribuir para capacitar os rgos pblicos a propor polticas pblicas que considerem a indissolubilidade do binmio defesadesenvolvimento, permitindo ao Pas estabelecer um sistema de segurana e defesa ciberntica que envolva tambm os sistemas de informao ligados s infraestruturas crticas. 9

O evento teve cerca de 110 participantes, oriundos de ministrios, de autarquias, das Foras Armadas e de rgos que tm interesse no tema e competncia na formulao de polticas pblicas. A reunio foi estruturada na forma de painis e contou com a presena do ministro de Assuntos Estratgicos, Samuel Pinheiro Guimares, e do secretrio-executivo, Luiz Alfredo Salomo. Os painis abordaram temas transversais relativos segurana e defesa ciberntica no Pas. Foram apresentados diagnsticos dos assuntos em debate e os desafios mais relevantes no que tange aos seguintes aspectos: a formulao de polticas pblicas e de marco legal para o uso efetivo do espao ciberntico, especialmente no que concerne manuteno das infraestruturas crticas do Pas; o estabelecimento de medidas que contribuam para a gesto da segurana da informao e comunicaes e para a produo do conhecimento de inteligncia; o estmulo das atividades de pesquisa e desenvolvimento para atender s necessidades do setor; a reteno de talentos; e o estabelecimento do perfil da carreira que deve ser de estado. Na concluso do livro, os organizadores apresentam um documento de trabalho com vistas a contribuir na orientao do planejamento estratgico para a Segurana e Defesa Ciberntica e na fundamentao das polticas pblicas nesse domnio. Tal documento uma proposta, com sugestes para a criao e a implementao de um grupo de trabalho do Setor Estratgico Ciberntico, a ser constitudo pela Secretaria de Assuntos Estratgicos, em parceria com o Ministrio da Defesa, especialmente no que tange criao do Sistema de Segurana e Defesa Ciberntico brasileiro. Para essa proposta, tomou-se por base as apresentaes da Reunio Tcnica e os artigos produzidos pelos palestrantes.

Assessoria de Defesa da Secretaria de Assuntos Estratgicos

10

conferncia de abertura
11

CONFERNCIA DE ABERTURA: O SETOR CIBERNTICO NAS FORAS ARMADAS BRASILEIRAS

Paulo Sergio Melo de Carvalho*

Resumo

A impressionante evoluo experimentada pela Tecnologia da Informao e Comunicao (TIC), a partir da segunda metade do sculo passado, trouxe consigo a internet e, com ela, a Era da Informao, que j est cedendo seu lugar Era do Conhecimento. Tal situao, no obstante os inquestionveis benefcios conferidos pela agilizao do processo decisrio e pela circulao da informao em tempo real e em nvel mundial, paradoxalmente, torna as pessoas, as organizaes e os Estados-Nao altamente vulnerveis a um novo tipo de ameaa, a ciberntica, que desconhece fronteiras e tem potencial para causar grandes prejuzos financeiros, paralisar as estruturas vitais de uma nao e, at mesmo, indiretamente, ceifar vidas. O espao ciberntico constitui novo e promissor cenrio para a prtica de toda a sorte de atos ilcitos, incluindo o crime, o terrorismo e o contencioso blico entre naes, caracterizado pela assimetria, pela dificuldade de atribuio de responsabilidades e pelo paradoxo da maior vulnerabilidade do mais forte.
* General-de-Brigada, exerce o cargo de 2 subchefe do Estado-Maior do Exrcito. Em sua carreira militar, realizou os cursos da Academia Militar das Agulhas Negras, de Manuteno de Comunicaes, de Aperfeioamento de Oficiais, de Comando e Estado-Maior, Avanado de Inteligncia e de Poltica, Estratgia e Alta Administrao do Exrcito. Realizou, ainda, o Curso de Economia de Defesa, no Centro Hemisfrico para Estudos de Defesa, nos EUA, e os cursos de ps-graduao MBA Executivo e MBA em Administrao Estratgica de Sistemas de Informao, ambos da Fundao Getlio Vargas. Desempenhou as seguintes funes: instrutor da Aman e da Escola de Comunicaes, integrou a Cooperao Militar Brasileira no Paraguai, comandou o 4 Batalho de Comunicaes, serviu no Ministrio da Defesa e comandou a 7 Brigada de Infantaria Motorizada.

13

O Brasil, como pas emergente que busca um lugar de destaque no cenrio internacional contemporneo, no poderia ficar alheio a esse quadro de incertezas que caracteriza a atual conjuntura internacional relativa a esse tema. Nesse contexto, a Estratgia Nacional de Defesa (END), de 2008, definiu os trs setores considerados de importncia estratgica para a defesa nacional, quais sejam: o nuclear, o espacial e o ciberntico. O Ministrio da Defesa, cumprindo o que prescreve a END, resolveu dar incio Consolidao do Setor Ciberntico no mbito da Defesa, cuja descrio constitui objetivo deste artigo.

Palavras-chave: setor ciberntico, espao ciberntico, defesa ciberntica, segurana ciberntica.

14

Introduo
Desde os primrdios da civilizao, a informao tem sido um componente indispensvel em todas as atividades humanas, principalmente no processo produtivo. Nos estgios iniciais do desenvolvimento humano, no entanto, no havia a conscincia de sua importncia nem da necessidade de proteg-la, o que s ocorreu com o surgimento do comrcio e da consequente competio pelo mercado. As trs grandes revolues que marcaram a histria da humanidade a agrcola, a industrial e a tecnolgica protagonizaram o gradativo crescimento da importncia da informao como insumo bsico do processo decisrio, culminando com o seu alinhamento entre os fatores clssicos de produo (terra, trabalho e capital), vindo mesmo a super-los em relevncia no cenrio econmico mundial. Em tempos mais recentes, com o advento da Era da Informao1 e sua sucednea, a Era do Conhecimento,2 a informao foi alada categoria de ativo estratgico para organizaes e Estados-Nao, conferindo queles que a detm e dela se utilizam, efetiva e oportunamente, uma inquestionvel vantagem no ambiente competitivo e nos contenciosos internacionais. A internet, proporcionando conectividade em tempo real e abrangncia mundial, trouxe consigo crescimento sem precedentes no volume de informaes disponveis aos modernos decisores, dificultando seu gerenciamento e ensejando o aparecimento de nova rea de atividade, a Gesto do Conhecimento.3 Por outro lado, sua grande vulnerabilidade, aliada existncia de novos atores de funestas intenes no cenrio internacional, fez crescer a preocupao com a proteo da informao que por ela trafega, dando origem Segurana da Informao.

1 Tambm conhecida como Era Digital, corresponde ao perodo ps-Era Industrial, mais especificamente aps a dcada de 1980, embora suas bases remontam ao incio do sculo 20 e, particularmente, na dcada de 1970, com invenes tais como o microprocessador, a rede de computadores, a fibra ptica e o computador pessoal. 2 Considera o conhecimento como informao contextualizada. 3 Refere-se criao, identificao, integrao, recuperao, ao compartilhamento e utilizao do conhecimento em uma organizao.

15

O espao ciberntico, neologismo gerado pela Era da Informao, desafia conceitos tradicionais, entre eles o de fronteiras geopolticas ou mesmo os organizacionais, constituindo novo territrio, ainda inspito, a ser desbravado pelos bandeirantes do sculo 21. A inexistncia de marcos legais que disciplinem a disputa pelo domnio desse espao ciberntico transforma-o no velho oeste dos dias atuais, com potencial para suscitar conflitos de propores e consequncias mais danosas humanidade do que a prpria arma nuclear. O Brasil, como nao soberana de inquestionvel relevncia e completamente inserida no cenrio internacional contemporneo, no poderia ficar margem desse vertiginoso processo de transformao pelo qual o mundo moderno vem passando. Constitui, portanto, objetivo estratgico do Estado brasileiro marcar presena nas discusses relativas ao controle do espao ciberntico como protagonista e no como coadjuvante. Nesse sentido, ressalta-se a clarividncia do poder pblico brasileiro ao alar o Setor Ciberntico ao patamar de um dos setores estratgicos da Defesa, conforme estabelece a END.4 Este artigo pretende apresentar uma viso geral do estgio atual dos estudos iniciais para a Consolidao do Setor Ciberntico no mbito da Defesa, decorrentes da designao do Exrcito Brasileiro (EB), pelo ministro da Defesa, como coordenador e fora lder na conduo das atividades desse setor estratgico no Ministrio da Defesa (MD).

Cf. < https://www1.defesa.gov.br/eventos_temporarios/2009/estrategia/arquivos/estrategia_defesa_nacional_portugues. pdf >. Acesso em: 17 dez. 2010.

16

Conceitos bsicos
A compreenso deste artigo no pode prescindir da recordao de alguns conceitos bsicos, j consagrados em literatura oficial ou concebidos especificamente para a consecuo de seus propsitos, os quais sero, a seguir, apresentados. Ciberntica Termo que se refere ao uso de redes de computadores e de comunicaes e sua interao dentro de sistemas utilizados por instituies pblicas e privadas, de cunho estratgico, a exemplo do MD/FA. No campo da Defesa Nacional, inclui os recursos informatizados que compem o Sistema Militar de Comando e Controle (SISMC),5 bem como os sistemas de armas e de vigilncia. Espao Ciberntico6 Espao virtual, composto por dispositivos computacionais conectados em redes ou no, onde as informaes digitais transitam e so processadas e/ou armazenadas. Aes ofensivas no espao ciberntico podem impactar, inclusive, a segurana nacional. Ativos de Informao7 Meios de armazenamento, transmisso e processamento da informao, os equipamentos necessrios a isso (computadores, equipamentos de comunicao e de interconexo), os sistemas utilizados para tal, os sistemas de informao de modo geral, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso. Infraestruturas Crticas (IC)8 Instalaes, servios, bens e sistemas que, se forem interrompidos ou destrudos, provocaro srio impacto social, econmico, poltico, internacional e segurana do Estado e da sociedade.

Conjunto de instalaes, equipamentos, comunicaes, doutrina, procedimentos e pessoal essenciais para o comandamento, em nvel nacional, de crises e dos conflitos (MD 35-G-01. Glossrio das Foras Armadas. p. 242). 6 BRASIL. Ministrio da Defesa. Exrcito Brasileiro. Estado-Maior do Exrcito. Minuta de Nota de Coordenao Doutrinria relativa ao I Seminrio de Defesa Ciberntica do Ministrio da Defesa. Braslia, 2010. p.9. 7 MANDARINO JR., Raphael. Um estudo sobre a Segurana e Defesa do Espao Ciberntico Brasileiro. Braslia, 2009. p.19. 8 MANDARINO JR., Raphael. Segurana e Defesa do Espao Ciberntico Brasileiro. Braslia, 2010. p.38.
5

17

 Infraestrutura Crtica da Informao (ICI)9 Subconjunto dos ativos de informao que afeta diretamente a consecuo e a continuidade da misso do Estado e a segurana da sociedade Segurana da Informao e Comunicaes (SIC)10 Aes que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes. Segurana Ciberntica Refere proteo e garantia de utilizao de ativos de informao estratgicos, principalmente os ligados s infraestruturas crticas da informao (redes de comunicaes e de computadores e seus sistemas informatizados) que controlam as infraestruturas crticas nacionais. Tambm abrange a interao com rgos pblicos e privados envolvidos no funcionamento das infraestruturas crticas nacionais, especialmente os rgos da Administrao Pblica Federal (APF). Defesa Ciberntica11 Conjunto de aes defensivas, exploratrias e ofensivas, no contexto de um planejamento militar, realizadas no espao ciberntico, com as finalidades de proteger os nossos sistemas de informao, obter dados para a produo de conhecimento de inteligncia e causar prejuzos aos sistemas de informao do oponente. No contexto do preparo e emprego operacional, tais aes caracterizam a Guerra Ciberntica.

MANDARINO JR., Raphael. Segurana e Defesa do Espao Ciberntico Brasileiro. Braslia, 2010. p. 37 e 38. BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional da Presidncia da Repblica. Instruo Normativa GSI/PR n. 1, de 13 de junho de 2008. Braslia, 2008. 11 BRASIL. Ministrio da Defesa. Exrcito Brasileiro. Estado-Maior do Exrcito. Minuta de Nota de Coordenao Doutrinria relativa ao I Seminrio de Defesa Ciberntica do Ministrio da Defesa. Braslia, 2010. p. 9.
9 10

18

O setor ciberntico na Estratgia Nacional de Defesa

A END, aprovada pelo Decreto n 6.703, de 18 de dezembro de 2008, considera que existem trs setores estratgicos da Defesa: o nuclear, o ciberntico e o espacial. O mencionado dispositivo legal tambm estabelece que as capacitaes cibernticas incluiro, como parte prioritria, as tecnologias de comunicaes entre todos os contingentes das Foras Armadas, de modo a assegurar sua capacidade de atuar em rede. A END enfatiza que os setores ciberntico e espacial devem permitir que as Foras Armadas, em conjunto, possam atuar em rede. Todas as instncias do Estado devero contribuir para o incremento do nvel de segurana nacional, com particular nfase nos seguintes aspectos do Setor Ciberntico: a. as medidas para a segurana das reas de infraestruturas crticas; e b. o aperfeioamento dos dispositivos e procedimentos de segurana que reduzam a vulnerabilidade dos sistemas relacionados Defesa Nacional contra ataques cibernticos e, se for o caso, que permitam seu pronto restabelecimento. Verifica-se que o Setor Ciberntico, na viso da END, no se restringe s atividades relacionadas Segurana e Defesa Ciberntica, mas abrange, tambm, a Tecnologia da Informao e Comunicao (TIC), ferramenta bsica para a implementao de redes de computadores. Nesse contexto, podem-se listar os seguintes componentes bsicos do Setor Ciberntico para a sua atuao em rede: a. estrutura de comando, controle, comunicaes, computao e inteligncia (C&I) para a atuao operacional e o funcionamento administrativo das Foras Armadas; b. recursos de TIC; e c. arquitetura matricial que viabilize o trnsito de informaes em apoio ao processo decisrio em tempo quase real. 19

A consolidao do setor ciberntico na defesa

rgos de estado e de governo12

Em nvel poltico (Estado ou governo), as atividades relacionadas ao Setor Ciberntico so tratadas pelos rgos a seguir apresentados. Conselho De Defesa Nacional (CDN) Trata-se de um rgo de consulta do presidente da Repblica nos assuntos relacionados soberania nacional e defesa do Estado democrtico de direito. Constitui um rgo de Estado e no de governo, que tem sua secretaria-executiva exercida pelo ministro-chefe do Gabinete de Segurana Institucional da Presidncia da Repblica (GSI-PR). CMARA DE RELAES EXTERIORES E DEFESA NACIONAL (Creden) A Creden um rgo de governo para assessoramento do presidente da Repblica nos assuntos pertinentes s relaes exteriores e defesa nacional. Sua presidncia cabe ao ministro-chefe do GSI-PR e, entre suas atribuies, encontra-se a segurana da informao, atividade essa que se insere no escopo do Setor Ciberntico. CASA CIVIL DA PRESIDNCIA DA REPBLICA Entre as atribuies da Casa Civil da Presidncia da Repblica, merece destaque, por sua inequvoca relao com o Setor Ciberntico, a aquela relacionada com a execuo das polticas de certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da Infraestrutura de Chaves Pblicas Brasileiras (ICP-Brasil). Tal atribuio da competncia do Instituto Nacional de Tecnologia da Informao (ITI), uma autarquia federal vinculada Casa Civil da Presidncia da Repblica, que tem o objetivo de manter a ICP-Brasil, da qual a primeira autoridade na cadeia de certificao, ou seja, a Autoridade Certificadora Raiz (AC Raiz).
12

MANDARINO JR., Raphael. Segurana e Defesa do Espao Ciberntico Brasileiro. Braslia, 2010. p. 109-115.

20

GABINETE DE SEGURANA INSTITUCIONAL DA PRESIDNCIA DA REPBLICA (GSI-PR) O GSI-PR o rgo da Presidncia da Repblica encarregado da coordenao, no mbito da APF, de alguns assuntos estratgicos que afetam a segurana da sociedade e do Estado, quais sejam: Segurana das Infraestruturas Crticas Nacionais, SIC e Segurana Ciberntica. No tocante s infraestruturas crticas nacionais, foram selecionadas seis reas prioritrias, a saber: energia, telecomunicaes, transportes, gua, finanas e informao. Esta ltima permeia todas as anteriores, pois as ICs dependem cada vez mais de redes de informao para a sua gerncia e controle. Para o cumprimento da atribuio de coordenar as atividades de Segurana da Informao, o GSI-PR conta, em sua estrutura organizacional, com trs rgos subordinados, a seguir apresentados. DEPARTAMENTO DE SEGURANA DA INFORMAO E COMUNICAES (DSIC) O DSIC tem como atribuio operacionalizar as atividades de Segurana da Informao e Comunicaes (SIC) na APF, nos seguintes aspectos: a. regulamentar a SIC para toda a APF; b. capacitar os servidores pblicos federais, bem como os terceirizados, sobre SIC; c. realizar acordos internacionais de troca de informaes sigilosas; d. representar o Pas junto Organizao dos Estados Americanos (OEA) para assuntos de terrorismo ciberntico; e e. manter o Centro de Tratamento e Resposta a Incidentes de Redes da APF (CTIR.Gov). AGNCIA BRASILEIRA DE INTELIGNCIA (Abin) A Abin o rgo central do Sistema Brasileiro de Inteligncia (Sisbin), que tem como objetivo estratgico desenvolver atividades de inteligncia voltadas para a defesa do Estado democrtico de direito, da sociedade, da eficcia do poder pblico e da soberania nacional. Dentre suas atribuies, no que interessa especificamente ao Setor Ciberntico, destaca-se a de avaliar as ameaas internas e externas ordem constitucional, entre elas a ciberntica. 21

Conta, em sua estrutura organizacional, com o Centro de Pesquisa e Desenvolvimento de Segurana das Comunicaes (Cepesc), que busca promover a pesquisa cientfica e tecnolgica aplicada a projetos de segurana das comunicaes.

Premissas bsicas para a consolidao do setor ciberntico na defesa

Analisando-se a mencionada Diretriz Ministerial n 014/2009, pode-se extrair do seu texto as seguintes premissas bsicas, que devem orientar a Consolidao do Setor Ciberntico no mbito da Defesa: a. atender s prioridades estabelecidas pela END; b. capacitar pessoal para as aes de mdio e longo prazos; c. interagir e cooperar com outras reas governamentais e de pesquisa; d. realizar os trabalhos conjuntamente com representantes do MD e das Foras Armadas; e. considerar trabalhos e projetos em andamento e sistemas existentes no mbito do MD; f. realizar intercmbio de pesquisadores em projetos das Foras Armadas; g. criar ambientes laboratoriais especficos; h. considerar que no existem tratados e controles internacionais sobre o tema ciberntico; i. estudar a criao de um centro de coordenao e superviso das atividades do setor em questo; e j. concentrar militares das trs Foras em um mesmo ambiente de atuao.

22

Visualizao do setor ciberntico da defesa

A Figura 1, a seguir, sintetiza uma viso inicial e geral de como se pretende organizar os diversos projetos fundamentais que possuem reas e requisitos indispensveis Consolidao do Setor Ciberntico na Defesa, enfatizando-se a sua integrao e o trabalho conjunto. Analisando essa figura, verifica-se que a capacitao de recursos humanos constitui a atividade prioritria na consolidao do setor em tela, uma vez que ela proporciona as capacitaes cibernticas, no dizer da prpria END, indispensveis para mobiliar os quatro vetores que o integram, quais sejam: a inteligncia; a doutrina; a cincia, tecnologia e inovao; e as operaes.

Segurana /Defesa Ciberntica Mobilizao da Capacidade Ciberntica

Amparo legal para o emprego ciberntico

Intlg

Dout

RH

C&T

Op

Mobilizao da Capacidade Ciberntica Segurana /Defesa Ciberntica

Figura 1 Visualizao do Setor Ciberntico na Defesa

Amparo legal para o emprego ciberntico

23

A mobilizao da capacidade ciberntica em nvel nacional, atrelada ao amparo legal para a atuao do setor, proporciona os necessrios recursos materiais e humanos, com respaldo para a realizao das aes no espao ciberntico que caracterizam a Defesa Ciberntica. Quanto Segurana Ciberntica, esta faz parte dessa visualizao porque o MD dela participa, como rgo da APF, coordenado pelo GSI-PR.

Principais atividades no Ministrio da Defesa

Como atividades recentes, no mbito do MD, relacionadas Consolidao do Setor Ciberntico naquele ministrio, pode-se citar a expedio da mencionada Diretriz Ministerial n 014/2009, a realizao do I Seminrio de Defesa Ciberntica do Ministrio da Defesa, a criao do Centro de Defesa Ciberntica do Exrcito e a ativao de seu ncleo, bem como o prosseguimento da capacitao de talentos humanos. O Ministro da Defesa atribuiu ao EB a coordenao do Setor Ciberntico no mbito da Defesa e dividiu os seus estudos iniciais com vista sua consolidao em duas fases, definindo, respectivamente, as seguintes tarefas a serem realizadas em cada uma delas: a. primeira fase: definio da abrangncia do tema e dos objetivos setoriais; e b. segunda fase: detalhamento das aes estratgicas, adequabilidade das estruturas existentes nas trs Foras Armadas e proposta de alternativas e solues, se for o caso. Os documentos contendo a soluo aos quesitos das 1 e 2 fases, relativos ao Setor Ciberntico, foram elaborados por um Grupo de Trabalho Inter-Foras, coordenado pelo Estado-Maior do Exrcito (EME), e encaminhados ao MD, respectivamente, em janeiro e julho de 2010, os quais foram analisados e aprovados com pequenas ressalvas.

24

O I Seminrio de Defesa Ciberntica do MD foi realizado no perodo de 21 a 24 de junho de 2010, cabendo ao EB condutor do Setor Ciberntico no mbito da Defesa o seu planejamento, preparao, coordenao, execuo e superviso. O evento abrangeu duas fases a seguir descritas. A primeira fase, denominada de Perspectiva Poltico-Estratgica, aberta ao pblico convidado, consistiu de uma srie de palestras, com a participao da comunidade acadmica, de representantes de infraestruturas crticas nacionais, dos setores pblico e privado, das Foras Armadas e do MD, versando, basicamente, sobre Segurana Ciberntica. Destinou-se a prover uma base de conhecimentos para a fase seguinte. A segunda fase, denominada Perspectivas Estratgica e Operacional-Militar, teve participao restrita ao MD e s Foras Armadas. Iniciou-se com palestras especficas sobre a situao do Setor Ciberntico em cada Fora Armada e continuou com a realizao de debates distribudos em quatro salas temticas: Gesto de Pessoal; Doutrina; Estruturas; e Cincia, Tecnologia e Inovao (CT&I). Como resultado do evento, foi constitudo um Grupo de Trabalho Inter-Foras, coordenado pelo EME, o qual elaborou uma Nota de Coordenao Doutrinria. Prev-se que, a partir do prximo ano, essa nota seja empregada em operaes conjuntas, de modo que sejam obtidas lies aprendidas que sirvam de subsdios para a atuao de outro GT Inter-Foras, que pode ser constitudo pelo MD, com a misso de elaborar a Doutrina Militar de Defesa Ciberntica. O MD e as Foras Armadas participam das atividades coordenadas pelo GSI-PR, particularmente a SIC e a Segurana Ciberntica. Em face da crescente importncia do domnio do espao ciberntico em nvel mundial, faz-se necessrio ampliar o escopo de sua atuao de modo a abranger, tambm, a Defesa Ciberntica.

25

Para isso, visualiza-se a implantao do Sistema Brasileiro de Defesa Ciberntica, cujo organograma encontra-se na Figura 2.

Sistema Brasileiro de Defesa Ciberntica

1. Segurana da informao e segurana ciberntica 2. Defesa ciberntica 3. Guerra ciberntica MB FAB EB Op MB FAB C&T MB EB FAB EB FAB MB Dout Intlig
GSI

Nvel poltico MD Nvel estratgico Nvel operacional EB RH MB FAB EB

Comando de Defesa Ciberntica das Foras Armada

Figura 2 Sistema Brasileiro de Defesa Ciberntica Observando-se a Figura 2, depreende-se que o sistema visualizado poder ter abrangncia nacional e capilaridade desde o nvel poltico (Nvel Poltico GSI-PR e APF Segurana da Informao e Ciberntica), passando pelo MD (Nvel Estratgico Defesa Ciberntica), at os mais baixos escales de

26

comando no mbito das Foras Armadas (Nveis Operacional e Ttico Guerra Ciberntica), com vista a engajar toda a sociedade na defesa dos interesses nacionais dentro do espao ciberntico. Trata-se de um objetivo ambicioso, que deve ser perseguido. Sua consecuo constitui condio sine qua non para a defesa das infraestruturas crticas nacionais contra ataques cibernticos, a qual se insere na misso constitucional das Foras Armadas, com o apoio da sociedade civil. Para isso, imprescindvel a realizao de campanhas de sensibilizao e conscientizao, expondo os prejuzos decorrentes de ataques cibernticos contra infraestruturas crticas nacionais, de modo que ela perceba que vantajoso cooperar com o esforo nacional de Defesa Ciberntica. Visualiza-se a criao do Comando de Defesa Ciberntica das Foras Armadas, o qual poder realizar a superviso, a coordenao e a orientao tcnica e normativa das atividades do Sistema Brasileiro de Defesa Ciberntica, particularmente no tocante aos seguintes aspectos: capacitao de talentos humanos; doutrina; operaes; inteligncia; e cincia, tecnologia e inovao. Poder, ainda, encarregar-se da interao do Ministrio da Defesa com o GSI-PR, para fins de participao na Segurana Ciberntica e de obteno da indispensvel cooperao dos setores pblico e privado e da comunidade acadmica no esforo nacional de Defesa Ciberntica.

Desafios do setor ciberntico no mbito da defesa

A efetivao das aes estratgicas, listadas e detalhadas no documento referente aos quesitos previstos para a 2 fase na Diretriz Ministerial n 014/2009, constitui o grande desafio Consolidao do Setor Ciberntico na Defesa, uma vez que bices de natureza diversa dificultam a sua concretizao. Entre esses bices, merecem destaque os seguintes: a. bices de natureza cultural, associando as aes cibernticas a atividades ilcitas de intruso, quebra de privacidade das pessoas, roubo de dados etc.;

27

b. necessidade de conscientizao de governantes e da sociedade como um todo em relao ao tema, decorrente do bice anterior, que dificulta a obteno da indispensvel mobilizao para a participao nas atividades de Segurana e Defesa Cibernticas; c. escassez de recursos financeiros ou no priorizao do setor na alocao de recursos financeiros, tambm, em parte, decorrente dos bices anteriores; d. carter sensvel da atividade, dificultando a aquisio de conhecimento vindo do exterior; e e. integrao e atuao colaborativa incipientes dos diversos atores envolvidos. Entre as citadas aes estratgicas, as julgadas mais relevantes como desafios consolidao do Setor Ciberntico na Defesa sero listadas e detalhadas a seguir.

Assegurar o uso efetivo do espao ciberntico pelas Foras Armadas e impedir ou dificultar sua utilizao contra interesses da defesa nacional
a. Criar o Comando de Defesa Ciberntica das Foras Armadas, com a participao de civis e militares das trs Foras, para executar os objetivos do Sistema Brasileiro de Defesa Ciberntica. b. Elaborar a Poltica de Defesa Ciberntica. c. Propor a criao de uma estrutura de Defesa Ciberntica subordinada ao Estado-Maior Conjunto das Foras Armadas para inserir o tema nos planejamentos militares conjuntos. d. Levantar as ICIs associadas ao Setor Ciberntico para formar a conscincia situacional necessria s atividades de Defesa Ciberntica. e. Levantar critrios de riscos e sua gesto para reduzir a probabilidade e o impacto de ameaas cibernticas nas ICIs de interesse da Defesa Nacional.

28

Capacitar e gerir talentos humanos para a conduo das atividades do setor ciberntico na defesa
a. Criar cargos e funes especficos e mobili-los com pessoal especializado. b. Identificar e cadastrar pessoal com competncias ou habilidades nos ambientes interno e externo das Foras Armadas. c. Estabelecer critrios para a mobilizao e desmobilizao de pessoal. d. Capacitar, de forma continuada, pessoal para atuar no Setor Ciberntico, aproveitando as estruturas existentes nas Foras Armadas. e. Viabilizar a participao de pessoal envolvido com o Setor Ciberntico em cursos, estgios, congressos, seminrios e simpsios. f. Realizar, periodicamente, o Seminrio de Defesa Ciberntica de Defesa. g. Criar um plano de carreira para viabilizar e motivar a permanncia do pessoal especializado nas atividades do Setor Ciberntico. h. Realizar parcerias estratgicas e intercmbio com instituies de interesse.

Desenvolver e manter atualizada a doutrina de emprego do setor ciberntico

a. Fomentar o desenvolvimento e o intercmbio de teses, dissertaes e outros trabalhos similares em instituies de ensino superior civis e militares de interesse para as atividades do Setor Ciberntico. b. Promover intercmbio doutrinrio com instituies militares nacionais e naes amigas.

29

c. Criar a Doutrina de Defesa Ciberntica. d. Inserir a Defesa Ciberntica nos exerccios de simulao de combate e nas operaes conjuntas. e. Criar um sistema de gesto de conhecimento de lies aprendidas para composio e atualizao da doutrina.

Adequar as estruturas de ct&i dasForas Armadas e implementar atividades de pesquisa e desenvolvimento (p&d) para o setor ciberntico
a. Planejar e executar a adequao das estruturas de CT&I, integrando esforos entre as Foras Armadas. b. Criar comit permanente, no mbito da Defesa, constitudo por representantes do MD, Foras Armadas, MCT e outros ministrios e agncias de fomento para intensificar e explorar novas oportunidades de cooperao em CT&I. c. Identificar competncias em CT&I, no mbito do MD e dos centros de P&D civis pblicos e privados, estabelecendo centros de excelncia. d. Prospectar as necessidades do Setor Ciberntico, na rea de CT&I, no mbito da Defesa, para identificar as capacidades cientfico-tecnolgicas necessrias ao desenvolvimento do Setor Ciberntico. e. Criar parcerias e cooperao entre os centros militares de P&D e os centros de P&D civis pblicos e privados.

30

Cooperar com o esforo de mobilizao militar e nacional para assegurar as capacidades operacional e dissuasria do setor ciberntico
a. Realizar levantamento sistemtico de equipamentos, instalaes e pessoal passveis de serem mobilizados. b. Confeccionar Plano de Mobilizao de Equipamento, Instalaes e Pessoal, com respectivos custos. Elaborar e manter atualizado um banco de talentos humanos de interesse para a mobilizao. c. Adequar as necessidades de mobilizao do setor ciberntico ao Sistema Nacional de Mobilizao. d. Propor ao governo federal a realizao de campanha nacional de educao sobre Segurana e Defesa Ciberntica para elevar o nvel de conscientizao da sociedade brasileira sobre o tema.

Concluso
Nas ltimas dcadas, o conhecimento na rea ciberntica tem crescido exponencialmente e a uma velocidade sem precedentes na histria da humanidade. O espao ciberntico um ambiente ainda desconhecido, mal definido, sem fronteiras nem leis, constituindo uma verdadeira terra de ningum, com grande potencial para se tornar palco de mais uma disputa de poder no cenrio internacional. Seu domnio constitui-se em grande desafio para a humanidade neste sculo, podendo, at mesmo, ser comparado ao domnio dos mares no perodo das grandes navegaes. Como o mar era um grande desconhecido para os navegadores portugueses e espanhis, agora o espao ciberntico para o mundo contemporneo, para cuja conquista no existem referncias nem modelos.

31

De modo semelhante ao ocorrido com o colonialismo luso-espanhol das grandes navegaes e com o neocolonialismo afro-asitico do final do sculo 19, vislumbra-se o prenncio de uma verdadeira corrida rumo ao espao ciberntico, que pode constituir o moderno colonialismo do sculo 21. A grande diferena dessa nova forma de colonialismo para as anteriores, no entanto, que, atualmente, a disputa no fica restrita s grandes potncias do momento, diante do carter de assimetria do contencioso ciberntico que pode beneficiar atores menos aquinhoados de poder. O paralelo com as armas nucleares inevitvel, pois j se pensa em um Tratado de No Proliferao de Armas de Informao, semelhana do Tratado de No Proliferao de Armas Nucleares. Fazendo-se uma analogia com o princpio do uti possidetis, que legitimou as conquistas decorrentes das grandes navegaes, o pas que tiver fincado sua bandeira no espao ciberntico, certamente, estar em grande vantagem nas discusses com vistas ao estabelecimento de um marco legal que discipline a atuao no espao ciberntico. Nesse contexto, o Brasil, pelo menos, aparentemente, encontra-se em boa situao, pois alguns dos protagonistas das discusses j em curso, particularmente a Rssia, tm elogiado o alegado potencial brasileiro para atuao no espao ciberntico. Os Estados Unidos da Amrica tambm tm buscado dilogo e apresentando propostas de cooperao e parceria. Faz-se mister ressaltar, no entanto, que os pases mais desenvolvidos, por se sentirem mais vulnerveis, tm buscado ampliar seu leque de parcerias internacionais, pois sabem que sua defesa depende do estabelecimento de laos de cooperao com os demais pases. Assim sendo, pode-se afirmar, sem sombra de dvida, que as medidas recentemente adotadas pelo Brasil, seja em nvel de governo (END), seja no mbito do MD (Consolidao do Setor Ciberntico), so muito pertinentes e oportunas no apenas no contexto da afirmao da capacidade brasileira perante o mundo, mas tambm para preparar o Pas para defender seus interesses no espao ciberntico e proteger suas infraestruturas crticas nacionais contra ataques cibernticos. Em sntese, pode-se afirmar que estamos no caminho certo e que, em termos de conhecimento e talentos, no ficamos a dever a nenhum dos pases mais bem situados econmica e tecnologicamente.

32

Caso sejamos competentes na adoo das medidas que se fazem necessrias para fincarmos nossa bandeira no espao ciberntico e se conseguirmos motivar, conscientizar e mobilizar a populao brasileira para a importncia do tema e para a relao custo-benefcio altamente positiva da cooperao nos esforos de Segurana e Defesa Ciberntica, no correremos o risco de ficarmos alijados do seleto clube de pases detentores de capacidade de atuar, com desenvoltura e liberdade, de ao nesse novo ambiente de atividade humana.

33

Referncias bibliogrficas

BRASIL. Ministrio da Defesa. MD31-D-03. Doutrina Militar de Comando e Controle. Braslia, 2006. _____. Ministrio da Defesa. Exrcito Brasileiro. Estado-Maior do Exrcito. Minuta de Nota de Coor_ denao Doutrinria relativa ao I Seminrio de Defesa Ciberntica do Ministrio da Defesa. Braslia, 2010. ______. Presidncia da Repblica. Gabinete de Segurana Institucional da Presidncia da Repblica. Instruo Normativa GSI/PR n 1, de 13 de junho de 2008. Braslia, 2008. ______. Ministrio da Defesa. MD 35-G-01. Glossrio das Foras Armadas. Braslia, 2009. MANDARINO JR., Raphael. Um estudo sobre a segurana e a defesa do espao ciberntico brasileiro. Braslia, 2009. ______. Segurana e defesa do espao ciberntico brasileiro. Braslia, 2010.

34

Painel 1

TENDNCIAS GLOBAIS EM SEGURANA E DEFESA CIBERNTICA

35

Reflexes sobre Segurana e defesa Ciberntica

Raphael Mandarino Junior*

Resumo
Quase que sem perceber, a moderna sociedade se viu participando do que se convencionou chamar sociedade da informao. Essa nova era trouxe um sem-nmero de benefcios e possibilidades, antes inimaginveis, que introduziram importantes modificaes no dia a dia das pessoas, alterando comportamentos sociais, econmicos, culturais, polticos, religiosos e at filosficos, em razo da modificao na forma de se olhar o mundo. O surgimento da internet, que introduziu novas formas de comunicao e de troca de informaes, a velocidades estonteantes, formou uma complexa teia de atores, equipamentos e locais, conjunto ao qual se denomina espao ciberntico, ao qual o homem se acostumou e com o qual se interage de forma natural, sem necessariamente conhecer o outro a quem se dirige ou com quem se interage. Expe sua intimidade, a privacidade, sem saber por onde trafegam suas informaes, pressupondo-se que est seguro nesse ambiente virtual. Como toda mudana de comportamento nas prticas dirias, estas tambm trouxeram consequncias no percebidas originalmente. Dentre essas consequncias, destaca-se a necessidade de garantir que essa quantidade enorme de informaes que trafegam e so armazenadas em volumes crescentes e imensurveis esteja segura. medida que a sociedade da informao vai estabelecendo-se em um pas, inicia-se o processo de construo de verdadeira nao virtual, constituda no que se denomina espao ciberntico, em que os trs elementos bsicos que caracterizam uma nao esto presentes: o povo, caracterizado pelos atores que interagem na prpria sociedade da informao; o territrio, caracterizado pelo prprio es*

Formou-se em Matemtica e complementou sua formao com uma srie de cursos de extenso e especializao em Informtica no Brasil e no Exterior. Atua na rea de Informtica h mais de 30 anos, em sua maior parte no Distrito Federal, e desempenhou inmeras funes tcnicas e cargos diretivos. Atualmente diretor do Departamento de Segurana da Informao e Comunicaes (DSIC) do Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR), desde maio 2006; coordenador do Comit Gestor da Segurana da Informao (CGSI), rgo do Conselho de Defesa Nacional, desde setembro de 2006; e membro do Comit Gestor da Infraestrutura de Chaves Pblicas do Brasil (CG ICP-Brasil), desde abril de 2007.

37

pao ciberntico; e a soberania, capacidade de controlar, de ter poder de deciso sobre esse espao. semelhana dos preceitos que obrigam o Estado brasileiro a garantir a segurana e a defesa de sua sociedade na vida como se conhece, deve-se construir estratgias de segurana e defesa cibernticas para garantir a nao virtual. Palavras-chave: segurana ciberntica, segurana da informao, sociedade da informao.

A sociedade da informao
Vive-se nos tempos da chamada sociedade da informao, expresso que ainda carece de definio universalmente aceita, apesar de ter suas primeiras referncias na dcada de 1970, nas discusses sobre como seria construda e o que caracterizaria a sociedade ps-industrial (TAKAHASHI, 2002). J se encontravam as suas premissas no que Toffler (1980) chamou de a nova civilizao, resultante do terceiro grande fluxo de mudana na histria da humanidade a terceira onda que impe um novo cdigo de comportamento: Essa nova civilizao traz consigo novos estilos de famlia; modos de trabalhar, amar e viver diferentes; uma nova economia; novos conflitos polticos; e alm de tudo isso igualmente uma conscincia alterada. Segundo Toffler, a primeira onda ocorreu h cerca de 10 mil anos, quando a espcie humana passou de uma civilizao eminentemente nmade para uma civilizao sedentria, a partir do domnio das tecnologias agrcolas. E a segunda onda se deu h cerca de 330 anos, quando a espcie humana deixou de ser uma civilizao predominantemente agrcola para tornar-se uma civilizao industrial, ao dominar novas tecnologias de fabricao de bens de consumo, especialmente as mquinas a vapor. O autor d como caracterstica para cada onda o fato de a humanidade se ver diante de novas formas de criar riquezas, sempre acompanhadas de transformaes profundas nos modelos sociais, culturais, polticos, filosficos, econmicos e institucionais uma verdadeira revoluo que alterava o modo de vida, ento conhecido de forma to profunda e ampla.

38

Est-se vivendo hoje em pleno perodo de uma dessas revolues. Embora esteja reservado aos computadores e s telecomunicaes um papel importante nessas mudanas revolucionrias, importante entender que as mudanas no so apenas tecnolgicas, mas tambm: econmicas, cuja melhor caracterizao se d pelo surgimento do comrcio eletrnico; sociais, expressas, por exemplo, nos stios de relacionamento; culturais, ao facilitarem a troca de informaes, permitindo o aprofundamento dos conhecimentos sobre usos e costumes entre os povos; polticas, ao permitirem um contato direto entre eleitor e eleito; religiosas, quando percebemos a especial ateno que igrejas das mais variadas orientaes do s mdias eletrnicas na propagao de sua f; institucionais, cuja melhor expresso talvez esteja nas diversas iniciativas do governo eletrnico, no uso das Tecnologias da Informao e Comunicao (TICs) em proveito do cidado; e, sem esgotar, at mesmo filosficas, pois mudam a maneira de ver o mundo, o que pode ser exemplificado com a abordagem da obra No-lugares, de uge (1994), que discute os impactos antropolgicos, frutos da supermodernidade, advindos dessa revoluo que se est vivendo (MANDARINO JUNIOR, 2010). Essa nova era tem sua melhor caracterizao no surgimento da internet, que introduziu novas formas de comunicao e de troca de informaes, a velocidades inimaginveis h poucos anos e suportadas por uma mirade de equipamentos e softwares distribudos e operados por pessoas, empresas e governos. Formando uma complexa teia de atores, de equipamentos e de locais aos quais o homem se acostumou e com os quais interage de forma natural, ao realizar atividades cotidianas, tais como assistir televiso ou a um filme, falar ao telefone ou corresponder-se com amigos, estudar ou fazer pesquisas em bibliotecas, conferir o extrato ou o saldo bancrio, pagar tributos ou duplicatas, comprar discos ou livros. Enfim, o homem conversa, vai aos bancos, namora, trabalha, compartilha opinies, para ficar em poucos exemplos, de forma virtual, sem necessariamente conhecer o outro a quem se dirige ou com quem interage. Sem saber por onde trafegam suas informaes, expe sua intimidade, sua privacidade, sua capacidade financeira e econmica, suas atividades profissionais, pressupondo que est seguro nesse ambiente virtual, nesse espao ciberntico. Toda mudana de comportamento nas prticas dirias trazida pela sociedade da informao fez que fossem aceitas alteraes significativas nos valores sociais, profissionais e econmicos, sem uma clara percepo das suas consequncias em mdio e longo prazo.

39

A segurana da informao
Dentre essas consequncias, destaca-se a necessidade de garantir que essa quantidade enorme de informaes que trafegam e so armazenadas em volumes crescentes e imensurveis esteja segura. Entretanto, o assunto segurana da informao est longe de ser consensual e compreendido em toda a sua abrangncia e consequncias, seja pela sociedade, seja por profissionais, seja pela academia. Com o incremento da chamada internet comercial em meados da dcada de 1990, a questo da manipulao de informaes e da sua segurana ganha maior nfase, pois a grande rede e seus protocolos, especialmente a famlia TCP/IP, foram construdos sem muita preocupao com a confidencialidade, a integridade, a disponibilidade e a autenticidade. semelhana do que ocorre em qualquer novo espao aberto e pouco regulado no mundo fsico, como o antigo velho oeste, as regies de fronteiras ou as bordas de expanso agrcola, ainda no perfeitamente demarcadas, pessoas mal-intencionadas sempre buscam obter vantagens ilcitas ou socialmente inaceitveis explorando a falta de regras. Assim ocorre na internet, ou melhor, no chamado espao ciberntico, em que pessoas e grupos, acobertados pela distncia e pelo anonimato, tentam burlar a segurana dos equipamentos e dos sistemas informatizados de qualquer empresa, governo ou indivduo e extrair benefcios indevidos da explorao desse bem chamado informao. A segurana da informao, definida como uma rea de conhecimento dedicada proteo de ativos de informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade (SMOLA, 2003), surge como nova especialidade, responsvel por assegurar que as informaes, sejam elas de carter pessoal, institucional ou corporativo, estejam preservadas. Como a informao um bem incorpreo, intangvel e voltil, os ativos de informao tornam-se naturalmente os principais focos de ateno da segurana da informao. So exemplos de ativos de informao: os meios de armazenamento, transmisso e processamento da informao; os equipamentos necessrios a isso, como computadores, equipamentos de comunicaes e de interconexo; os sistemas utilizados para tal; os locais onde se encontram esses meios; e tambm os recursos humanos

40

que a eles tm acesso. Os ativos de informao confundem-se, de certa forma, com a prpria sociedade da informao. Pode-se tambm entender que um subconjunto desses ativos forma a base, a infraestrutura de informao, que suporta a sociedade da informao, se se interpretar o entendimento de Morais Silva (1961) para o termo infraestrutura como estrutura das partes inferiores. Com o advento da sociedade da informao, em que as tecnologias de informao e comunicao tm papel preponderante nas infraestruturas de uma nao e na interao entre elas, percebe-se que as infraestruturas de informao so crticas porque no podem sofrer soluo de continuidade. Se elas param, a sociedade da informao tambm para, com graves consequncias para a sociedade real. H de se considerar ainda que, apesar de essas infraestruturas, por suas caractersticas, estarem acessveis e utilizveis de forma pulverizada pela sociedade, no cabe apenas aos indivduos, s empresas ou ao governo proteg-las de forma individualizada e descentralizada, pois se trata de um bem comum. A definio mais usual de infraestrutura crtica aquela que, uma vez prejudicada por fenmenos de causas naturais, como terremotos ou inundaes ou por aes intencionais de sabotagem ou terrorismo, traz grandes reflexos negativos para toda uma nao e sua sociedade. So exemplos clssicos de infraestruturas crticas: as redes de telefonia; os sistemas de captao e distribuio de gua; e as fontes geradoras e as redes de distribuio de energia.1 O Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR), no mbito de suas atribuies, define como infraestruturas crticas as instalaes, os servios, os bens e os sistemas que, se forem interrompidos ou destrudos, provocaro srio impacto social, econmico, poltico, internacional ou segurana do Estado e da sociedade. Vale notar que, com relao proteo da sociedade da informao ou segurana da informao e comunicaes, encontram-se duas vises que se complementam ao se estudar o cenrio internacional: a proteo da infraestrutura crtica da informao e a proteo da infraestrutura da informao crtica, que so caracterizadas a seguir.
1

International Critical Information Infrastructures Protection Handbook 2008/2009. Center for Security Studies, ETH Zurich, p. 36-37. Apud CANONGIA, Claudia, maro 2009.

41

A primeira busca identificar e proteger a infraestrutura: hardwares, softwares, dados e servios, que suportam uma ou mais infraestruturas crticas e, uma vez afetados, causam srios problemas a essas infraestruturas. Uma definio que refora essa viso encontra-se em um trabalho publicado pelo Centro de Estudos para a Segurana, de Zurich (2008/2009):
Critical Information Infrastructure (CII) is that part of the global or national information infrastructure that is essentially necessary for the continuity of a countrys critical infrastructure services. The CII, to a large degree, consists of, but is not fully congruent with, the information and telecommunications sector, and includes components such as telecommunications, computers/software, the internet, satellites, fiber-optics, etc. The term is also used for the totality of interconnected computers and networks and their critical information flows.

A segunda busca identificar e proteger as informaes consideradas crticas de uma infraestrutura crtica, como os planos e a relao de vulnerabilidades. Essa viso foi proposta na lei americana de proteo da infraestrutura crtica de 2002.2
Critical Infrastructure Information (CII) means information not customarily in the public domain and related to the security of critical infrastructure or protected systems: (A) actual, potential, or threatened interference with, attack on, compromise of, or incapacitation of critical infrastructure or protected systems by either physical or computer-based attack or other similar conduct (including the misuse of or unauthorized access to all types of communications and data transmission systems) that violates Federal, State, or local law, harms interstate commerce of the United States, or threatens public health or safety; (B) the ability of any critical infrastructure or protected system to resist such interference, compromise, or incapacitation, including any planned or past assessment, projection, or estimate of the vulnerability of critical infrastructure or a protected system, including security testing, risk evaluation thereto, risk management planning, or risk audit; or (C) any planned or past operational problem or solution regarding critical infrastructure or protected systems, including repair, recovery, reconstruction, insurance, or continuity, to the extent it is related to such interference, compromise, or incapacitation.
2

Critical Infrastructure Information (CII) Act 2002, Information Analysis and Infrastructure Protection, Critical Infrastructure Information, H. R. 500517. Apud CANONGIA, Claudia, maro 2009.

42

Como no Brasil esse assunto relativamente novo e pouco estudado e no se conhece, na medida exata, o grau de interdependncia e conectividade das infraestruturas crticas da informao, assim tambm no se pode assegurar que todas as informaes crticas a respeito de uma infraestrutura crtica estejam protegidas corretamente. Com base nessa realidade e nas proposies anteriores, defende-se que a infraestrutura crtica da informao o subconjunto dos ativos de informao que afetam diretamente a consecuo e a continuidade da misso do Estado e a segurana da sociedade.

Espao ciberntico
As informaes trafegam por uma infinidade de interconexes entre computadores, servidores, roteadores e switches conectados por milhares de quilmetros de fibras ticas, por cabos especiais ou por via satlite, os quais formam uma complexa malha de comunicao. assim que as residncias se conectam aos bancos, s empresas pblicas ou privadas e aos diversos nveis de governo, os quais, por sua vez, tambm interconectados, fazem uso dessa extensa malha que cobre todo o Pas e se interligam com outros pases de todos os continentes. O conjunto das pessoas, das empresas, dos equipamentos e suas interconexes, dos sistemas de informao e das informaes que por eles trafegam pode ser tambm denominado, no entendimento do autor, de espao ciberntico. Esse espao, em princpio autorregulado e autnomo, permite a troca de informaes das mais variadas formas, por pessoas e equipamentos, pessoas que fazem uso de toda essa infraestrutura crtica de informaes, sem muitos conhecimentos tcnicos de como essa troca se processa e sem clara percepo das suas consequncias, como j referenciado. medida que a sociedade da informao vai-se estabelecendo em um pas, inicia-se um processo de construo de verdadeira nao virtual, constituda no que se denomina de espao ciberntico. Aqui, a exemplo do espao real, tambm so estabelecidas relaes sociais e polticas, no tempo e no espao, a partir das quais o povo passa a tomar decises sobre como construir parte de suas vidas, permitindo que alguns, por exemplo, passem a trabalhar exclusivamente, ou no, nesse novo espao, desfrutem de suas amizades e gerenciem seus interesses financeiros da forma como entenderem correta.

43

Assim se percebe que, nesse espao, convivem trs caractersticas, chamadas centrais pela maioria dos autores, que so elementos importantes na formao de um Estado: o povo, o territrio e a soberania. O povo pode ser caracterizado pela sociedade da informao; o territrio, pelo prprio espao ciberntico; e a soberania, pela capacidade de controlar, de ter poder de deciso sobre esse espao. Como em Martinez (2006):3
Pode-se dizer que at uma questo de lgica que se defina o Estado a partir das relaes estabelecidas entre povo, territrio e soberania. Pois preciso que haja um mnimo de organizao social e poltica para que as instituies tenham um sentido claro e vivido, e bvio, ento, que por obra desse mesmo povo ou de seus lderes que existem tais instituies. Tambm de se esperar que esse povo ocupe ou habite um determinado territrio.

Segurana e defesa ciberntica

O que so a segurana e a defesa ciberntica do Estado brasileiro e como se estabelecem os seus limites? De acordo com o Glossrio das Foras Armadas (2007), o termo segurana pode ser entendido como a condio que permite ao Pas a preservao da soberania e da integridade territorial, a realizao dos seus interesses nacionais, livre de presses e ameaas de qualquer natureza, e a garantia aos cidados do exerccio dos direitos e deveres constitucionais. O termo defesa deve ser entendido como o ato ou conjunto de atos realizados para obter, resguardar ou recompor a condio reconhecida como de segurana ou ainda a reao contra qualquer ataque ou agresso real ou iminente.4

3 4

Disponvel em: <http://jus2.uol.com.br/doutrina/texto.asp?id=8453>. Acesso em: 12 dez. 2010. BRASIL. Ministrio da Defesa. Glossrio das Foras Armadas MD35-G-01. Apresenta definies de termos comuns s Foras Armadas. Acesso em: 19 jul. 2008.

44

Aplicando os conceitos de segurana e defesa ao espao ciberntico, surgem os conceitos de segurana ciberntica e de defesa ciberntica. Entende-se, portanto, que segurana ciberntica incorpora as aes de preveno (incidentes) e represso enquanto a defesa ciberntica abrange aes ofensivas e defensivas. Quanto aos atores, entende-se que a dimenso segurana ciberntica se d dentro do escopo da segurana institucional, cabendo Polcia Federal a represso. A dimenso defesa ciberntica parece j estar estabelecida pela Estratgia Nacional de Defesa (END), que atribuiu ao Exrcito Brasileiro preponderncia na questo ciberntica. Grosso modo, a segurana ciberntica preocupa-se em reduzir ou eliminar vulnerabilidades da sociedade da informao do Pas e suas infraestruturas crticas da informao e em faz-las voltar condio de normalidade em caso de ataque, enquanto a defesa ciberntica se preocupa em resguardar de ameaas (externas) e reagir, se for o caso, aos ataques ao nosso espao ciberntico. Dessa forma, do ponto de vista da segurana ciberntica, deve-se adotar aes que assegurem disponibilidade, integridade, confidencialidade e autenticidade das informaes de interesse do Estado brasileiro (MANDARINO JUNIOR, 2010). Deve-se estabelecer uma Estratgia de Segurana Ciberntica, que a arte de assegurar a existncia e a continuidade da sociedade da informao de uma nao, garantindo e protegendo, no espao ciberntico, seus ativos de informao e suas infraestruturas crticas (id., ibid.). Uma Estratgia de Segurana Ciberntica para a Nao brasileira deve projetar e dimensionar os esforos necessrios para proteger seus ativos de informao, suas infraestruturas crticas de informao, suas informaes crticas; avaliar riscos; desenhar planos de contingncias, para recuperao, ou no, de informaes diante de desastres naturais; capacitar recursos humanos para responder, pronta e competentemente, a incidentes nas redes; garantir a privacidade das pessoas e das empresas presentes na sociedade da informao; e, como grande diferencial, ter a capacidade de aprender a desenvolver ferramentas de defesa. E ainda que essa Estratgia de Defesa Ciberntica esteja apta a utilizar essas ferramentas e a prpria informao como recurso ou arma, para assegurar a preservao do Estado brasileiro.

45

Considerando que um dos objetivos da defesa recompor a condio reconhecida como segurana, pode-se concluir que a atividade de segurana e a de defesa so complementares. Embora esta tenha postura mais enrgica que aquela, a dimenso segurana no deve existir sem ser complementada pela dimenso defesa.

Concluso
O Brasil precisa estar preparado para proteger o seu patrimnio de informao, entendido aqui como o somatrio de seus ativos de informao, suas informaes crticas, seus sistemas de informao, suas infraestruturas crticas, incluindo a de informao, tudo aquilo, enfim, que pode ser identificado como componente da sociedade da informao presente no espao ciberntico. Para tanto, ser necessrio adotar medidas para a proteo mediante a elaborao de doutrina e a construo de estratgias de segurana e de defesa do espao ciberntico brasileiro, considerando ambos os conceitos complementares. A Estratgia de Segurana Ciberntica deve assegurar, entre outros aspectos, a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes de interesse do Estado e da sociedade brasileira, aspectos da segurana institucional. Nesse caso, identifica-se o Gabinete de Segurana Institucional da Presidncia da Repblica, por suas competncias legais, como o rgo mais apropriado para articular a sua confeco. A Estratgia de Defesa Ciberntica deve ser entendida como as aes que buscam a preveno ou a reao contra ataques e hostilidades perpetradas contra as infraestruturas crticas, usando a informao como recurso ou arma. Trata-se, portanto, de aes de defesa nacional. A manuteno da defesa ciberntica responsabilidade, por atribuio legal, do Conselho de Defesa Nacional, do Ministrio da Defesa e das Foras Armadas, uma vez que envolve atividades vinculadas preservao da soberania nacional. Entretanto, convm ressalvar que, por serem complementares e de certa forma indissolveis, essas estratgias devem ser construdas de forma escalonada, a fim de que a segurana do espao ciberntico brasileiro seja o objetivo primeiro a ser buscado por todos, especialmente na Administrao Pblica

46

Federal, em que, respeitando-se as atribuies legais, cada rgo e cada servidor pblico tenham as suas responsabilidades estabelecidas e conhecidas. Como necessrio o desencadear de atividades de defesa, os rgos com responsabilidades e atribuies legais especficas j estaro envolvidos e em ao, o que contribuir para diminuir as possibilidades de soluo de continuidade. essencial estar preparado para enfrentar esse cenrio de ameaas, conhecendo as vulnerabilidades e os riscos existentes sobre a infraestrutura crtica da informao da Administrao Pblica Federal.

47

Referncias bibliogrficas
AUG, Marc. No-lugares: introduo a uma antropologia da supermodernidade. Traduo de Maria Lcia Pereira. Papirus: Campinas, SP, 1994 (Coleo Travessia do Sculo). MANDARINO JUNIOR, Raphael. Segurana e defesa do espao ciberntico brasileiro. Cubzac: Recife, 2010. MORAIS SILVA, Antonio de. Novo dicionrio compacto da lngua portuguesa. Jos Aguilar: Lisboa, 1961. SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva. Campus: Rio de Janeiro, 2003. TAKAHASHI, Tadao (Org.). Sociedade da informao no Brasil: livro verde. Ministrio da Cincia e Tecnologia: Braslia, 2000. TOFFLER, Alvin.A terceira onda. Record: Rio de Janeiro, 1980.

48

TENDNCIA GLOBAL EM SEGURANA E DEFESA CIBERNTICA REFLEXES SOBRE A PROTEO DOS INTERESSES BRASILEIROS NO CIBERESPAO
Paulo Martino Zuccaro*

Introduo
Como nos recorda Alvin Toffler, o homem combate de forma muito similar quela que emprega em suas atividades econmicas. Por essa razo, aquele extraordinrio autor identificou as trs grandes eras ou ondas pelas quais a humanidade j passou e ainda passa: a Era Agrcola, em que se podia observar a evidente similitude entre arados, ancinhos, espadas, lanas e punhais; a Era Industrial, em que a mesma tecnologia e os mesmos processos empregados na produo em massa tambm eram empregados na destruio em massa; e a Era da Informao, atualmente em plena vigncia, na qual o poder econmico se deslocou para associar-se posse da informao, o que tambm ocorreu com o poder blico. Em maior ou menor grau, a disponibilidade de melhores recursos de comando e controle, bem como a posse de armamentos mais inteligentes e, em geral, mais eficazes tm representado vantagem decisiva nos campos de batalha, que, na verdade, transformaram-se em espaos multidimensionais de batalha. Ampliando um pouco mais as ideias do consagrado autor, no apenas na disputa entre Estados, mas tambm no embate entre grupos sociais nos mais diversos graus de organizao, ou mesmo entre

Contra-Almirante Fuzileiro Naval, exerce o cargo de comandante da Tropa de Reforo da Marinha do Brasil. Na sua carreira militar, concluiu os cursos da Escola Naval, de Aperfeioamento de Oficiais, de Estado-Maior para Oficiais Superiores, de Comando de Infantaria de Marinha na Espanha, o Bsico da Escola de Guerra Naval, de Comando e Estado-Maior Naval na Argentina, de Poltica e Estratgia Martimas, alm de MBA em Gesto Internacional pela Coppead/UFRJ. Desempenhou as seguintes funes: instrutor da Escola Naval, comandante do Batalho de Engenharia de Fuzileiros Navais, chefe do Estado-Maior do Comando da Tropa de Desembarque, comandante do Batalho Naval, subchefe de Comando e Controle do Estado-Maior de Defesa.

49

indivduos e esses grupos, o emprego agressivo de recursos tpicos da Era da Informao expandiu-se exponencialmente, produzindo-se diferentes graus de impacto nas coletividades atacadas. Esses fenmenos da atualidade no tm passado despercebidos pelo governo brasileiro, em todas as suas instncias. Ao contrrio: uma srie de iniciativas tem buscado dimension-los e identificar aes estratgicas para proteger o Pas das consequncias nefastas do emprego de ativos cibernticos contra os interesses nacionais, em todo o espectro possvel de agresses. Essas iniciativas devem contribuir para a tomada de conscincia sobre a natureza e a dimenso desse campo de ao e sobre a vastido de estruturas, dados, bens, valores e, em ltima anlise, interesses a serem protegidos, alm de no se descartar, a priori, o direito ao revide e o uso desses mesmos recursos em caso de conflito armado, at mesmo para lograr-se a acelerao da desarticulao da capacidade de combate de nosso oponente e a obteno da vitria, com menor cmputo de vidas humanas perdidas por parte de ambos os contendores. Assim, procurando, ao mesmo tempo, tatear as fronteiras do que, hoje, estamos chamando, genericamente, de guerra ciberntica e priorizar, dentro do possvel, as questes de Defesa propriamente ditas, o autor deste texto pretende apresentar: uma brevssima resenha histrica sobre a evoluo do tema; um diagnstico sobre a situao corrente, em nvel global; e os principais desafios a serem vencidos pela Nao j em curto prazo. Ao final, uma concluso objetiva procurar sintetizar todo o contedo apresentado. Cumpre ressalvar que este artigo apresenta to somente algumas reflexes individuais do autor sobre o tema em discusso e no representa, necessariamente, o entendimento do Ministrio da Defesa (MD) ou da Marinha do Brasil (MB), instituio esta qual pertence desde 1975, sobre os assuntos aqui discutidos.

50

Desenvolvimento
Histrico
Indubitavelmente, a Era da Informao e, portanto, as atividades no espao ciberntico encontram suas razes na construo dos primeiros computadores, como, por exemplo, o Eniac, uma monstruosa calculadora construda para realizar clculos balsticos (NUNES, 2010, p. 9). Entretanto, no resta dvida de que o uso intensivo do que hoje est sendo denominado ciberespao, ou o quinto domnio da guerra, aps a terra, o mar, o ar e o espao exterior (CYBERWAR, 2010, p. 10), somente se expandiu a velocidades espantosas com o advento da internet, derivada da rede Arpanet, concebida pelo Departamento de Defesa norte-americano (NUNES, 2010, p. 9). Ainda assim, um episdio anterior ao boom da internet merece registro. Em junho de 1982, satlites espies norte-americanos detectaram uma grande liberao de energia na Sibria. Tratava-se de uma exploso em um gasoduto, atribuda, segundo vrias fontes, ao mau funcionamento de seu sistema de controle, comandado por computador. Esse sistema teria sido obtido ilegalmente de uma empresa canadense. Segundo as mesmas fontes, a Agncia Central de Inteligncia norte-americana (CIA) teria alterado o sistema de modo que, a partir de certo tempo, as bombas e demais mecanismos de controle receberiam instrues para fazer o gasoduto operar com presses muito mais altas que os limites admitidos para seus componentes, resultando, ento, na exploso detectada (WAR, 2010, p. 25). No nos possvel asseverar que os fatos ocorridos foram realmente esses. Se o foram, estamos diante de um evento marcante no contexto da guerra ciberntica, pois ter sido o primeiro a envolver o ataque a uma infraestrutura crtica mediante o uso de uma bomba lgica. Adquiriu muita notoriedade, h poucos anos, a descoberta da existncia do que se qualificou como um sistema destinado a realizar escutas eletrnicas em mbito global e, mediante uma capacidade extraordinria de processamento das informaes obtidas, a identificar possveis ameaas para os Estados Unidos da Amrica (EUA) e seus aliados. o afamado sistema Echelon. Sua existncia teve maior divulgao em 1998, particularmente na perspectiva de constituir uma violao s liberdades individuais e, sob este prisma, passou a ser, e ainda o , investigado por organizaes governamentais e no governamentais. Entretanto, sua existncia remonta ao inicio da Guerra Fria, tendo sido idealizado, inicialmente, como uma aliana de inteligncia conhecida como Ukusa que atenderia aos interesses de

51

EUA, Reino Unido, Austrlia, Canad e Nova Zelndia. Levantou-se, tambm, a suspeita de que estaria sendo usado para beneficiar empresas norte-americanas em concorrncias internacionais. Sua fora residiria na capacidade de captar sinais de comunicaes comerciais por satlite, particularmente dos sistemas Inmarsat e Intelsat, que sustentam grande parte das comunicaes civis e governamentais de vrios pases, bem como em seu mdulo Dictionary, que selecionaria automaticamente as mensagens potencialmente relevantes, a partir de datas, localidades, nomes, assuntos e outros dados nelas contidos. (WEBB, 2008, p. 453-457). A prpria existncia da National Security Agency (NSA), fundada sigilosamente pelo presidente norteamericano Harry S. Truman em 1952, inicialmente focada em Inteligncia de Sinais e Segurana das Comunicaes (WEBB, 2008, p. 459), revela que a ao norte-americana de explorar o amplo espectro das comunicaes e de tentar impedir que seus oponentes faam o mesmo talvez ainda seja a mais ampla e a mais antiga entre todos os Estados que se lanaram nesse campo. O advento e o crescimento vertiginoso da internet vieram, ento, a tornar ainda mais compensadores os esforos despendidos nessa atividade. Em 1999, no conflito pela autonomia do Kosovo em relao ao governo central da Srvia, h registros de diversos embates entre hackers srvios e kosovares, durante o perodo da campanha area norteamericana contra alvos da infraestrutura srvia, a essncia estratgica daquele conflito. Aps o bombardeio acidental da Embaixada da China em Belgrado, hackers chineses tambm se engajaram em ataques a sites do governo norte-americano (MESSMER, 1999). Em 2000, ocorreu um dos poucos ataques cibernticos a infraestruturas j efetivamente confirmados. Um ex-funcionrio de uma companhia de esgotos na Austrlia, inconformado com a preterio para sua promoo, invadiu o sistema de controle de bombas da companhia e causou o derramamento de milhes de litros de esgoto nas ruas da cidade de Maroochy (NUNES, 2010, p. 27). Durante a Operao Iraqi Freedom, iniciada em 2003, os EUA se abstiveram, segundo relatos oficiais, de empreender ataques cibernticos ao sistema financeiro iraquiano, por temer que, ao estar aquele sistema fortemente conectado a outros sistemas de igual natureza em outras partes do mundo, principalmente na Europa, e estes ltimos, por sua vez, amplamente conectados aos prprios sistemas norte-americanos, os danos causados poderiam se estender para muito alm do desejvel, resultando em consequncias imprevisveis (WILSON, 2007). A questo relativa grande dificuldade em se controlar

52

efetivamente a extenso dos danos provocados por um ataque ciberntico de grande relevncia e voltar a ser abordada neste artigo. Em seis de setembro de 2007, Israel realizou um ataque areo Sria, objetivando destruir uma suposta instalao nuclear denominada al-Kibar, localizada na regio de Deir ez-Zor. Algumas fontes afirmam que, para evitar o engajamento de suas aeronaves pelo sofisticado sistema de defesa antiarea srio, recm-adquirido da Rssia, este ltimo sofreu um eficaz ataque ciberntico que teria mantido o funcionamento aparentemente normal dos equipamentos, que, entretanto, descartaram os contatos gerados pelas aeronaves israelenses (NUNES, 2010, p. 93). Especula-se, inclusive, acerca da existncia de uma kill switch, uma back-door que teria permitido a neutralizao remota do sistema (ADEE, 2008). Outras fontes do conta de que o sistema teria sido neutralizado por meio de msseis antirradiao e outras supem que os radares foram postos fora de ao por medidas de guerra eletrnica convencional (FULGHUM, 2007). Esse episdio, conhecido como a Operao Orchard, ainda permanece obscuro. Israel inicialmente no admitiu a autoria do ataque areo, mas, nos dias que se seguiram, algumas declaraes de seus lderes demonstraram que, de fato, ele ocorreu. A Sria insiste em que o ataque existiu, mas declara que seu sistema de defesa antiarea efetivamente engajou as aeronaves atacantes e no reconhece que esteja conduzindo um programa nuclear ou que haja, na rea atingida, qualquer construo vinculada a um programa de tal natureza (OPERATION, 2011). O fato que o evento indica que a crescente sofisticao dos sistemas de combate acaba por traduzir-se, em alguma medida, em certo aumento de sua vulnerabilidade, particularmente no que concerne aos ataques cibernticos. Outra constatao que a fronteira entre a guerra ciberntica e a guerra eletrnica qui seja mais tnue do que nossa mente cartesiana gostaria de identificar. Talvez, por essa razo, a doutrina de defesa norte-americana, como veremos mais adiante, considera a guerra ciberntica, sob o nome de Computer Network Operations (CNO), parte das operaes de informao, que tambm incluem a guerra eletrnica. Ainda em 2007, ocorreu um evento marcante no contexto da guerra ciberntica. Em represlia a uma deciso por parte do governo da Estnia, de remover um memorial de guerra da era sovitica no centro de sua capital, Tallinn, ocorreu um ataque coordenado de negao de servio sobre servidores do governo e dos bancos estonianos, que passou a ser conhecido como a WW-I, ou seja, a Web War I,

53

embora tenha-se configurado mais como um ciber-distrbio civil do que propriamente como guerra ciberntica (WAR, 2010, p. 28). No caso da Gergia, em 2008, embora os recursos tecnolgicos usados tenham sido similares, ficou mais evidenciada a participao de um Estado, a Rssia, j que o ataque foi coordenado com o avano das tropas russas. Cabe recordar, entretanto, que ataques dessa natureza utilizam as chamadas botnets, ou redes de zumbis, ou robs, nas quais computadores escravizados em vrias partes do mundo passam a participar da agresso, motivo pelo qual muito difcil caracterizar-se claramente sua autoria verdadeira (WAR, 2010, p. 28). No trivial tentar analisar ou criticar as decises que levam uma instituio governamental, seja ela militar ou no, uma concessionria de servios pblicos ou uma empresa privada detentora de recursos sensveis, a lanar agresses cibernticas na internet, com os mais diversos propsitos. muito difcil, tambm, imaginar o grau de isolamento ou proteo existente entre o segmento aberto de sua rede e aquele destinado s suas atividades operacionais, ou, falando de forma mais simples, entre a internet e a sua intranet. Pode-se tambm questionar, no concernente intranet, quanto efetiva separao entre os sistemas administrativos menos sensveis e os sistemas de misso crtica. O fato que, inegavelmente, sistemas de gesto e controle de infraestruturas crticas, sistemas bancrios e sistemas de comando e controle militares vm progressivamente sofisticando-se e utilizando ativos do chamado ciberespao. Isso representa, por um lado, um incremento alarmante das ameaas aos interesses do Estado. Por outro, e como sempre, enseja oportunidades a serem exploradas, pelos mais capazes, naturalmente.

54

Diagnstico
Tomada de conscincia da situao corrente
A percepo de que as ameaas cibernticas vm-se expandindo exponencialmente com a Internet pode ser corroborada, entre outras formas e fontes disponveis, pela apreciao do nmero de incidentes relatados ao Centro de Coordenao do Computer Emergency Readiness Team (CERT/CC), um centro de pesquisa e desenvolvimento na rea de segurana de internet, financiado pelo governo norte-americano e operado pela universidade de Carnegie-Mellon. No perodo de 1990 a 2003, esse nmero elevou-se de 252 a 137.529, dos quais 55.435 ocorreram em 2003 (KNAPP; BOULTON, 2008, p. 18; CERT, 2009). O grfico a seguir, produzido com dados desse centro referentes ao nmero de incidentes anualmente relatados, demonstra cabalmente a assertiva.

140000 120000 100000 80000 60000 40000 20000

1988

1990

1992

1994

1996

1998

2000

2002

Figura 1 Estatstica anual de incidentes cibernticos

Fonte: CERT (2009).

55

Essa constatao nos remete conhecida Lei de Metcalfe, atribuda a Robert Melancton Metcalfe, coinventor do padro Ethernet e um dos fundadores da empresa 3Com, cujo enunciado estabelece que o valor de um sistema de comunicao cresce na razo do quadrado do nmero de usurios do sistema (LEI DE METCALFE, 2011). Parece ser, portanto, que, se o valor da internet est crescendo com o quadrado do nmero de usurios, as ameaas tambm esto acompanhando, grosso modo, essa proporo. Alis, at 2015, estima-se que, aproximadamente, 28% da populao mundial tenha-se tornado usuria da internet, algo na ordem de dois bilhes de pessoas (NUGENT; RAISINGHANI, 2008, p. 28). Quantas tero conhecimento para se tornarem ciberguerreiros, qualquer que seja a causa ou motivao? Quantos computadores podero ser escravizados para empreenderem ataques cibernticos, revelia de seus proprietrios? Cabe ressaltar que, diferentemente do que ocorre com a espionagem humana, fsica, sua correspondente ciberntica , alm de muito difcil controle, tacitamente aceita, medida que o impedimento do acesso aos contedos colocados em computadores conectados rede mundial , fundamentalmente, responsabilidade daqueles que optaram por arquiv-los em um meio que pode, ao menos teoricamente, ser perscrutado de qualquer parte do mundo. Friamente falando, a prtica nos tem demonstrado que muito difcil imputar responsabilidades a invases de privacidade, apropriao de contedo protegido por direitos autorais ou comerciais e at mesmo de material sensvel segurana nacional, quando o alvo da ao se encontra armazenado em computadores conectados rede mundial.
Espies humanos tradicionais se arriscam a perder a vida procurando surrupiar cpias de documentos fsicos. Hoje, um espio virtual no corre tal risco. Ademais, enquanto um espio pode, no mximo, conseguir alguns livros, sua verso virtual pode conseguir a biblioteca inteira e, se as prateleiras forem reabastecidas, ele roubar tudo outra vez (WAR, 2008, p. 26, traduo nossa).

Isto sem mencionar o fato de que tudo pode acontecer sem que o proprietrio das informaes d falta delas ou saiba que elas foram copiadas.

56

Existe, inclusive, um caso conhecido em que a atividade de varredura do espectro ciberntico no apenas admitida, mas amparada por lei. Trata-se de uma proviso legal norte-americana, datada de 1994, cujo propsito facilitar as aes de law enforcement (imposio da lei). Alavancada pelo Federal Bureau of Investigation (FBI), o Calea, acrnimo de Communications Assistance for Law Enforcement Act, , mais precisamente, uma emenda ao Cdigo dos EUA,1 que j dava legalidade ao emprego do conhecido grampo telefnico, quando em uso por autoridades policiais. O Calea estende o campo de atuao dessas investigaes policiais internet, impondo aos provedores de banda larga a obrigao de facultar o acesso dos rgos incumbidos de law enforcement, especialmente o FBI, aos dados transmitidos, sem que os proprietrios das informaes tenham cincia disso (COMMUNICATIONS, 2011). O Calea resulta do reconhecimento de que a internet tambm amplamente usada com fins ilcitos. Em particular, o advento da tecnologia Voice Over IP (VOIP) havia tornado os grampos tradicionais praticamente inteis. O Calea operacionalizado mediante a incluso de itens de hardware e software na estrutura desses provedores, de forma a facilitar o acesso aos dados transmitidos por parte dos rgos de imposio da lei. Recordando que no h como definir claramente fronteiras no ciberespao, existe uma possibilidade razovel de que esses rgos acessem, rotineiramente, dados em outros pases, desde que, em princpio, haja um fim legal por detrs de tal intruso, ao menos sob a tica do Estado norte-americano. Isso posto, possivelmente, os algoritmos criptogrficos existentes nos roteadores fabricados em conformidade com o Calea sejam inertes no caso dessas investigaes. Indo mais alm, virtualmente impossvel impedir as atividades ou imputar autoria e responsabilidade de qualquer natureza s aes daqueles especialistas que, sem realizar qualquer agresso ciberntica imediata, se dedicam a vasculhar redes e outros ativos pertencentes a potenciais oponentes, sejam eles Estados, empresas, grupos, organizaes ou mesmo indivduos, na busca de conhecer e registrar suas vulnerabilidades, preparando-se para, quando necessrio, explor-las em sua plenitude. Muitos pases j consideram a formao de guerreiros cibernticos como estratgia de Estado, como, por exemplo, EUA, China, Rssia, Canad, Alemanha, Reino Unido, Austrlia e ndia, mas, certamente, China e Rssia ocupam posio de destaque nesse cenrio (ALVAREZ, 2010). A propsito, no que diz respeito admisso do uso de meios cibernticos contra outros Estados, fato marcante a publicao

Compilao e codificao das leis federais gerais e permanentes norte-americanas.

57

do trabalho, que hoje j possui considervel fama, dos coronis chineses Qiao Liang e Wang Xiangsui, cujo ttulo traduzido ao portugus seria Guerra alm dos limites, cuja verso para o ingls ficou conhecida como Unrestricted Warfare. Nesse trabalho, os autores levantam a possibilidade do uso da guerra ciberntica e de outros meios pouco convencionais para que a China possa, futuramente, confrontar-se com os EUA (KILROY JR., 2008, p. 443). Alm das ameaas lgicas em ao no ciberespao, h de se preocupar, tambm, com as ameaas fsicas prpria estrutura material que consubstancia esse espao. guisa de exemplo, verifica-se que mais de 90% do trfego da internet passa por fibras ticas em cabos submarinos, os quais, ao longo de seus trajetos, por vezes se concentram perigosamente em alguns pontos de estrangulamento, como, por exemplo, ao largo de Nova Iorque, no Mar Vermelho e no Estreito de Luzon, nas Filipinas (WAR, 2010, p. 25). No Brasil, embora no sejam propriamente estrangulamentos, so importantes as guas prximas s cidades do Rio de Janeiro, de Santos e de Fortaleza.

Figura 2 Distribuio dos cabos submarinos de fibra tica

Fonte: WAR (2010, p. 26).

58

Ainda tratando de questes mais relacionadas com o mundo real do que com o virtual, no h unanimidade acerca da real vulnerabilidade dos sistemas que controlam instalaes industriais, os chamados SCADA Supervisory Control and Data Acquisition (WAR, 2010, p. 28). Entretanto, se esses sistemas estiverem, de alguma forma, conectados internet ou logicamente acessveis a potenciais agressores, o risco de acesso de agressores torna-se bastante concreto. Os episdios da exploso do gasoduto na Sibria, partindo-se da suposio de que a causa foi realmente a modificao do software de controle, e do vazamento de esgoto na Austrlia demonstram a potencialidade desse risco, que deve ser alvo da mxima ateno por parte de empresas e instituies que tm sob sua responsabilidade elementos pertencentes ao conjunto de infraestruturas crticas, com destaque para oleodutos, gasodutos, linhas de transmisso, usinas de produo de energia das mais diversas fontes, plataformas de produo de petrleo, redes de transmisso de dados e telefonia, portos, aeroportos e outros. Alis, a proteo dessas infraestruturas, embora no seja prerrogativa imediata ou exclusiva das estruturas de defesa ciberntica do MD, deve, certamente, contar com seu apoio, j que lquido e certo seu emprego na mobilizao nacional para um conflito armado, sem o que nem ao menos ser possvel lograr-se o desdobramento das foras j disponveis (KILROY JR., 2008, p. 440).

Questes legais
Alguns fatos e aspectos levantados na breve resenha histrica e no tpico dedicado tomada de conscincia j nos permitiram antever as grandes dificuldades para a construo de um marco legal para pautar a conduta de Estados e de outros atores supraestatais ou infraestatais na eventualidade de um conflito ciberntico. De imediato, deve-se recordar que, entre outras caractersticas do ciberespao, merece especial considerao o fato de ali no existirem fronteiras perfeitamente controladas (NUNES, 2010, p.20). Como corolrio, h de se reconhecer que iniciativas de construo de um arcabouo jurdico de mbito nacional tero muito pequena efetividade no que se refere proteo ciberntica do Estado, pois seus potenciais agressores provavelmente no estaro sob a gide de seu direito interno. Podero, contudo, ter utilidade para preveno, limitao e punio de crimes cibernticos realizados em territrio nacional.

59

Devemos recordar, ainda, que as aes de inteligncia no ciberespao no so consideradas agresso (NUNES, 2010, p. 16), ou seja, conforme j mencionado, nenhum ator, estatal ou no, pode ser moral ou juridicamente questionado por fazer pesquisas acerca das vulnerabilidades dos inmeros sistemas atualmente conectados internet, desde que no sejam perpetrados ataques explorando essas vulnerabilidades. Naturalmente, esses ataques seriam desferidos aps o incio do conflito propriamente dito, quando questionamentos jurdicos acerca de aes cibernticas seriam considerados absolutamente irrelevantes, em meio a um quadro de hostilidades e agresses materiais das mais diversas naturezas por parte de todos os contendores. Algumas pessoas ainda advogam pelo afastamento dos Estados das aes ofensivas cibernticas e pela autolimitao s aes de defesa ciberntica. Essas mesmas pessoas tendem a propor a construo de um marco jurdico progressivamente restritivo s atividades cibernticas governamentais que no sejam de defesa stricto sensu. Talvez caiba recordar, se no impomos restries de qualquer ordem e at mesmo incentivamos o desencadeamento de aes ofensivas de guerra eletrnica, quando associadas manobra das foras militares, por que no poderamos fazer o mesmo com a guerra ciberntica? Indo um pouco mais alm, se, no caso de um conflito armado, podemos atacar fisicamente determinado alvo legtimo luz do Direito Internacional, por que no poderamos atac-lo ciberneticamente, talvez com menor perda de vidas humanas para ambos os contendores? A propsito, alguns autores afirmam que as Convenes de Genebra e seus Protocolos Adicionais, se devidamente interpretados, conformariam o marco legal necessrio e suficiente para reger as aes no ciberespao ante a eventualidade de um conflito interestatal. Por outro lado, outros tantos, incluindo este autor, tm posio oposta e consideram imperfeita tal aplicao ao ambiente ciberntico, mesmo que, no jargo jurdico, mutatis mutandis, pois, entre outros, existem os seguintes bices: dificuldades para estabelecer a distino entre combatentes e no combatentes; impossibilidade prtica de o dano limitar-se ao alvo selecionado; e dificuldades para garantir a legitimidade dos alvos, ou seja, classific-los como inequivocamente militares.2
2

Cabe a ressalva de que a Histria farta em exemplos de pesados ataques fsicos a cidades e a infraestruturas civis de beligerantes, como forma de reduzir, indiretamente, sua capacidade de combate, abater o moral nacional e, se possvel, alcanar a vitria sem o enfrentamento direto. Londres, Dresden, Hiroshima, Nagasaki e, para no deixar de citar um exemplo ps-Convenes de Genebra, Kosovo so alguns desses exemplos.

60

Uma taxonomia
A existncia, ou no de uma estratificao para determinado campo de ao ou de pesquisa no chega a ser determinante para o estabelecimento de polticas ou estratgias objetivando sua explorao, menos ainda quando se trata do interesse da Nao, mas certo que a construo de uma ordenao de ideias e, melhor ainda, de uma taxonomia para o campo em questo nos ajuda a entend-lo e a delinear posturas e procedimentos. At onde alcana a investigao procedida por este autor, seria possvel propor um primeiro approach para uma taxonomia das ameaas cibernticas, basicamente uma consolidao de diversas estratificaes propostas encontradas em fontes bibliogrficas. Assim, podem ser visualizados trs grandes blocos: Guerra Ciberntica focada em conflito interestatal. Independentemente de mtodos e executantes, o que estar por trs das aes, de forma velada, ou no, ser a agresso de um Estado a outro na busca da reduo de poder nacional, que pode estar associada a outros mtodos de ataque, inclusive os fsicos. Bom exemplo pode ser a ao desencadeada a partir do territrio russo contra a Gergia, embora nunca tenha havido uma efetiva admisso por parte do governo russo da autoria dos ataques. Terrorismo Ciberntico Neste caso, os interesses a serem alcanados tm motivao poltica, como, naturalmente, tambm o caso da guerra ciberntica. A diferena fica por conta do fato de que seus autores, normalmente, sero grupos no estatais. As agresses, em geral, sero dirigidas aos Estados cuja ao ou postura poltica seja contrria aos interesses ou viso de mundo daqueles grupos. Tambm podem ser atacadas instituies ou empresas que possuam pondervel carga simblica em relao ao Estado ou grupo de Estados a ser agredido, como, por exemplo, uma grande multinacional de uma potncia econmica ocidental. Crime Ciberntico Quanto a este ltimo bloco, geralmente as motivaes sero de indivduos ou de pequenos grupos, com fins privados e egosticos. Na maioria dos casos, so ilcitos com objetivo de ganhos econmicos, como, por exemplo, o roubo de senhas bancrias, fraudes com cartes de crditos e outros afins. Tambm se encontram menes a determinado tipo de ameaa, chamada Elemento Interno, considerada como aquela desencadeada no interior da prpria organizao por, como o nome bem o revela,

61

pessoa ou grupo de seus prprios quadros. Salvo melhor juzo, como a presente taxonomia se baseia nas motivaes, normalmente esse tipo de ameaa enquadrar-se- em uma daquelas anteriormente definidas. Alguns autores ainda defendem a existncia de outro tipo de ameaa, conhecida como Ativismo Ciberntico, ou Hacktivism, em que grupos de pessoas vinculadas a determinada causa, sem entrar aqui em consideraes acerca de sua legitimidade, realizam ataques cibernticos a instituies que constituam alvo de sua revolta, como forma de chamar a ateno do pblico a seu pleito ou mesmo de provocar-lhes perdas para induzi-los a uma reavaliao de suas decises. Um caso recente e perfeitamente consistente com tal perfil foram os ataques realizados por ativistas em resposta s aes norte-americanas dirigidas contra o site Wikileaks e seu criador, Julian Assange. Assim, em linhas gerais, as ameaas cibernticas poderiam ser classificadas conforme os trs grandes eixos principais, a saber, guerra ciberntica, terrorismo ciberntico e crime ciberntico, admitindo-se, ainda, uma quarta modalidade, que seria o ativismo ciberntico, que, no entanto, representa uma ameaa de menor monta. A esta altura, essencial fazer duas importantes ressalvas sobre o embrio de taxonomia aqui apresentado. A primeira delas consiste no fato de que se trata de uma estratificao baseada em motivao, o que, em si, j nos impe duas reflexes. Ora, as motivaes podem ser diferenciadas, mas a relativa homogeneidade do espao ciberntico, particularmente aps o advento da internet e de seu Internet Protocol (IP), conduzir para o emprego de recursos e mtodos de agresso idnticos ou muito similares. Assim, o intercmbio de conhecimentos, tecnologias e ideias entre as instituies governamentais e privadas que estejam orientadas capacitao ciberntica da Nao tem de ser fluido, contnuo e incansavelmente perseguido. Em segundo lugar, o aspecto motivacional, embora desconsiderando recursos e mtodos de ataque e defesa, pode ser til na definio de esferas de competncia. Desse modo, no restariam muitas dvidas de que a contraposio s ameaas classificveis como guerra ciberntica e mesmo o desenvolvimento de capacitaes ofensivas para a explorao do ciberespao estaro a cargo da Defesa Nacional, conforme ditarem os interesses da Nao.

62

Tampouco haver dvida de que o crime ciberntico ser primordialmente combatido tanto por setores especializados das instituies de segurana pblica como por grupo, pblico ou privado, que tenha ativos financeiros ou outros conhecimentos passveis de constiturem alvo para a cobia de indivduos ou grupos dispostos a obt-los ilicitamente. J o terrorismo ciberntico exige uma anlise menos superficial do que esta que vem sendo conduzida neste artigo, mas, no mnimo, pode-se dizer que, assim como o terrorismo clssico termina, geralmente, por ameaar o Estado em uma ou vrias de suas dimenses (populao, territrio, governo), o terrorismo ciberntico tambm tende a ser multidimensional. Assim, a proteo do Estado contra tal ameaa tambm tende a ser multidimensional, devendo envolver, no mnimo, os setores dedicados sua segurana institucional e sua defesa material. Na atualidade organizacional do governo brasileiro, estamos falando, respectivamente, do Gabinete de Segurana Institucional da Presidncia da Repblica (GSI-PR) e do MD. A complicar esta incurso taxonmica est o fato de que o terrorismo no est perfeitamente tipificado na legislao penal brasileira, ou seja, um ato terrorista acabaria sendo enquadrado e julgado por seus efeitos, no por sua motivao. Por exemplo, se um terrorista for preso por um ato que resultou na morte de algumas pessoas, ele ser julgado por homicdio, e no por terrorismo. No seria de se estranhar, portanto, o fato de que outros rgos, alm do MD e do GSI, venham a envolver-se em um possvel combate ao terrorismo ciberntico. Seria o caso do Ministrio da Justia, mais especificamente, do Departamento de Polcia Federal (DPF). Cumpre ressaltar que qualquer diviso de responsabilidades baseada em taxonomias, seja a que foi estipulada neste artigo, seja outra qualquer, to boa ou to deficiente quanto esta, deve ser considerada como absolutamente primria e restrita ao tempo de paz e normalidade. Em caso de conflito ou ante a sua iminncia, necessrio um engajamento integrado e coordenado, porm imprprio considerar que no haver uma srie de intercorrncias a desafiar os tnues limites de competncia de cada ator. Por exemplo, bvio que, para um pas em estado de beligerncia com outro, ser altamente compensador produzir o caos financeiro em seu oponente. Ademais, em uma situao como essa, algum tipo de cooperao no recrutamento e no emprego de recursos humanos qualificados dever ocorrer, principalmente porque os conflitos da atualidade tendem a ser do tipo come as you are (venha como estiver), mas temerrio imaginar que haver tempo suficiente para grandes mobilizaes, particular-

63

mente na preparao de recursos humanos de qualidades muito especiais e de capacitao demorada, como o caso de ciberguerreiros. Ademais, os ataques cibernticos tm duas caractersticas marcantes, j comentadas, que nos impem ao coordenada para a proteo da Nao: a extrema dificuldade de prever e controlar a extenso dos danos provocados; e a possibilidade de ocultao de sua real autoria, se este for o desejo de seu autor ou autores. Desse modo, se a autoria no est clara, tampouco estar sua motivao e, portanto, qualquer diviso de responsabilidades nela baseada. Talvez seja por esse motivo, no concernente diviso de tarefas na defesa ciberntica norte-americana, que se optou por dividi-las no segundo a natureza das ameaas, mas em correspondncia ao espao ciberntico a ser defendido ou explorado. Assim, ficou decidido que o recm-criado US Cyber Command, com status de comando combatente3 e, como tal, subordinado diretamente Autoridade de Comando Nacional4 e ocupado em regime de rodzio entre oficiais-generais de todas as Foras, encarregar-se- somente de proteger o domnio .mil, enquanto o .gov e o .com sero defendidos pelo Department of Homeland Security e pelas empresas privadas, respectivamente (CYBERWAR, 2010, p. 28). Uma particularidade relevante e que merece meno reside no fato de que, no plano puramente militar, a doutrina conjunta norte-americana no considera a guerra ciberntica isolada em si mesma, mas integrante das Operaes de Informao Information Operations, integrada pela guerra eletrnica, operaes em rede de computadores, operaes psicolgicas, simulao militar e segurana das operaes. O foco colocado para influenciar, destruir, corromper ou usurpar o processo decisrio do oponente, ao mesmo tempo que se procura proteger o prprio processo decisrio dessas mesmas aes (INFORMATION, 2006). Nesse caso, o que se visar diretamente afetar a capacidade de comando e controle do oponente, particularmente seu processo decisrio contnuo, hoje conhecido no meio militar como ciclo de Boyd ou ciclo OODA (Observao-Orientao-Deciso-Ao), que tambm guarda correspondncia com o ciclo PDCA (Plan-Do-Check-Act), conhecido no meio empresarial.
Traduo direta de combatant command, que, no contexto da defesa norte-americana, so comandos conjuntos organizados permanentemente. Em geral, cada comando combatente responsvel pelas operaes militares correntes e futuras em determinada regio do globo terrestre, mas alguns tm vinculao a um tipo especfico de ao militar, como so os casos do US Cyber Command e do US Special Operations Command. 4 National Command Authority, composta pelo presidente da Repblica e pelo secretrio de Defesa.
3

64

O desafio brasileiro no campo ciberntico

Indubitavelmente, o grande desafio para o Brasil na explorao e na defesa de seus interesses no ciberespao o estabelecimento de adequadas polticas pblicas que assegurem um mnimo de racionalizao de esforos e o fomento ao desenvolvimento nacional, em um campo que se caracteriza pela forte tendncia ao descontrole, ocorrncia de eventos de previsibilidade baixa e dinmica exponencial. Tudo isso na presena de mltiplos atores, alguns desconhecidos, todos eles lutando por objetivos geralmente conflitantes entre si, pouco explcitos e, por vezes, ocultos. Ao buscar-se o estabelecimento de uma poltica pblica, normalmente so visualizados horizontes de planejamento mais dilatados. Entretanto, para o campo em questo, em que as incertezas sobrepujam, muito, as certezas, faz-se mister, inicialmente, dar os primeiros passos e colocar em marcha um conjunto de iniciativas que, ao mesmo tempo, procurem compensar o pequeno, porm comprovado atraso do Brasil diante de outros pases mais avanados em sua explorao e, tambm, aumentar o nvel de conhecimento mtuo e de coordenao de empreendimentos isolados ora em execuo ou em concepo. Portanto, este autor entende que, com o transcurso do tempo e com a maturao de, ao menos, parte desses empreendimentos, ser possvel aprimorar essas polticas e reorientar esforos, razo pela qual as sugestes que se apresentam, a seguir, esto mais orientadas a aes de curto prazo, qui de desencadeamento imediato, embora algumas delas dificilmente produzam efeitos imediatos. Ainda assim, a percepo de urgncia parece-nos inquestionvel.

Diviso de tarefas e atribuio de responsabilidades

Talvez seja invivel lograr um ordenamento rgido das atividades de explorao do ciberespao por parte do governo brasileiro, dadas as supracitadas caractersticas desse campo de ao. Ademais, mesmo que exequvel, muito provvel que tal rigidez resulte indesejvel para o desenvolvimento nacional no campo em anlise, uma vez que tenderia a tolher iniciativas e a restringir a liberdade de ao de cada rgo ou instituio, que, alis, tem, no mnimo, o direito e a obrigao de defender seus ativos de informao de agresses cibernticas, qualquer que seja sua natureza ou motivao.

65

Considerando, ento, por um lado, o carter quase catico do espao ciberntico e, por outro, a relativa homogeneidade tecnolgica desse ambiente, ao menos no que se refere internet, o modelo de colaborao em rede parece ser o mais efetivo para a ampliao do conhecimento e para o intercmbio de solues. Avanando um pouco mais na questo da diviso de tarefas e atribuio de responsabilidades, pode-se constatar que o estabelecimento de uma taxonomia no proporciona grande contribuio para uma possvel diviso de tarefas, mesmo no mbito defensivo. Dessa forma, provvel que, de modo semelhante ao adotado pelo governo norte-americano, produza bons resultados a atribuio de responsabilidades na proteo dos ativos de informao governamental brasileiros segundo os diversos domnios, cabendo ao MD e s Foras Armadas a proteo dos domnios .mil.br e defesa.gov.br e ao GSI dos demais .gov.br. Nunca demais lembrar que cada rgo ou instituio tem o dever de, independentemente de coordenao ou subordinao, proceder defesa de seus ativos. Isso tambm vale para o setor privado (.com), especialmente, conforme j mencionado, para aqueles grupos e aquelas companhias detentores de infraestruturas crticas de interesse nacional, os quais devero demandar ateno diferenciada e a busca de coordenao mais estreita por parte dos rgos governamentais. Quanto s possveis aes ofensivas no ciberespao, o mais indicado que elas sejam uma prerrogativa do MD e das Foras Armadas, que, em tempo de paz, devem limitar-se a desenvolver capacidades para que, ante a inevitabilidade de algum conflito, possam ser eficazmente utilizadas para acelerar a derrota de nosso oponente e restringir os danos de seu emprego ao mnimo possvel. A atribuio de responsabilidades anteriormente proposta perfeitamente compatvel com a Lei n 10.683, de 28 de maio de 2003, que dispe sobre o funcionamento da Presidncia da Repblica e dos Ministrios, e d outras providncias (BRASIL, 2003). Nesse diploma legal, inciso IV, artigo 6, fica estabelecida a responsabilidade do GSI na segurana da informao, que pode ser interpretada como a proteo do domnio do governo federal, exceto a do segmento militar, que, naturalmente, est ao encargo do MD e das Foras Armadas, por tratar-se de assunto da Defesa Nacional, portanto, afeto ao MD, conforme estipulado no artigo 27 da mencionada lei.

66

No concernente ao segmento militar, releva mencionar a importncia atribuda ao campo ciberntico pela Estratgia Nacional de Defesa (BRASIL, 2008), que o considera um dos setores estratgicos do Pas, com o nuclear e o espacial. Em 2009, o ministro da Defesa, por meio da Diretriz Ministerial n 14, decidiu designar uma fora responsvel para cada setor estratgico, com o propsito de coordenar as aes em cada um dos mencionados setores (BRASIL, 2009). Assim, coube Marinha o setor nuclear, ao Exrcito o ciberntico e Aeronutica o espacial. No momento, cada Fora responsvel est consolidando a definio da abrangncia do setor e os objetivos setoriais identificados, bem como traando as estratgias setoriais e avaliando a adequabilidade das estruturas j existentes. Em qualquer um dos setores estratgicos, a coordenao dos trabalhos exigir, do responsvel designado, grande dedicao, capacidade de articulao e certa dose de desprendimento, a fim de permitir que sejam contemplados os interesses e as necessidades de todas as Foras e da Administrao Central do MD. No setor ciberntico, esses atributos sero ainda mais exigidos, pois inexiste uma proeminncia determinante da Fora responsvel perante as demais, diferentemente do que ocorre nos setores nuclear e espacial. Ademais, as trs Foras, cumprindo o que delas sempre se espera, foram geis e zelosas na adoo de um sem-nmero de medidas para a proteo de suas informaes, requerendose, portanto, inteligncia e flexibilidade para o mximo aproveitamento possvel dos investimentos j realizados e das estruturas fsicas e organizacionais j erigidas. , de qualquer forma, bastante alvissareiro o fato de que, na rea da Defesa Nacional, passos importantes foram dados no robustecimento da proteo dos sensveis ativos de informao sob sua guarda e na busca do insistentemente recomendado intercmbio de conhecimento e tecnologia.

Marco legal
Uma simples reflexo sobre as questes legais j abordadas neste artigo no deixa margem dvida de que no deveria haver, pelo menos no presente, um interesse maior por parte do Brasil em construir um rgido marco regulatrio internacional para as aes governamentais no espao ciberntico, principalmente porque a tendncia natural seria a consolidao ou mesmo a ampliao das vantagens alcanadas pelos pases situados mais vanguarda neste campo de ao sobre os demais. Conforme j

67

mencionado, o Brasil, no obstante o grande esforo para a acumulao de conhecimento nesta rea, est mais para o segundo grupo do que para o primeiro. Ademais, dadas as grandes dificuldades para o efetivo estabelecimento de responsabilidades por aes perpetradas no ciberespao, seria muito simples para um pas agressor participar e ser signatrio de diversos acordos e mecanismos multinacionais orientados imposio de limitaes ao uso deste espao, ao mesmo tempo em que realiza seus ataques por intermdio de renegados e refuta sua autoria. No se pode olvidar, tampouco, que, ante a conformao de um estado de beligerncia entre o Brasil e outro pas, nenhum acordo internacional nos proteger das ameaas cibernticas produzidas por nosso oponente, pois, como vimos, so recursos que, dependendo da eficcia com que so utilizados, abreviam o conflito e permitem o ataque a alvos que, se fossem engajados por meio de armas tradicionais, provavelmente produziriam ainda mais mortes e destruio. Que tribunal internacional vai condenar esses ataques cibernticos? Mais ainda: mesmo se condenasse, de que isso adiantaria se no impedisse, como no deve impedir, que soframos as consequncias dessas agresses? Assim, recomendvel extrema cautela para que no haja precipitao em aderir-se a marcos regulatrios que visem ao estabelecimento de limitaes quanto explorao e ao uso do ciberespao, porquanto, luz do atual estgio de conhecimento acumulado, eles seriam, provavelmente, incipientes e prematuros. Isso no quer dizer que o Brasil no deva participar de todas as discusses sobre esse assunto, em nvel internacional. Ao contrrio: fundamental que o Pas esteja presente nos foros em que a questo ciberntica seja tratada, no apenas na condio de observador, mas como ator protagonista. Mais frente, quando se atingir um amadurecimento tal que permita a conformao de um marco regulatrio consistente e, sobretudo, aplicvel, teremos alcanado uma posio de destaque e de conhecimento que no possumos hoje. Este autor atreve-se a afirmar que a atual dificuldade em se estabelecer um rgido marco legal no uso do ciberespao no propriamente danosa ao Pas. Devemos, pois, evitar, a todo custo, a assuno de compromissos bilaterais ou multilaterais que possam tolher as pesquisas e as iniciativas ora em curso, as quais, futuramente, podero fazer muita falta defesa e, lato sensu, da Nao.

68

Por outro lado, no campo do direito interno, natural que se deva buscar um contnuo fortalecimento do arcabouo jurdico que respalde o firme combate ao crime ciberntico. Nesse caso, j existe toda uma institucionalizao a definir direitos e obrigaes dos cidados e coletividades, bem como uma srie de instrumentos apropriados sua imposio. Alm disso, na maioria dos crimes cibernticos do tipo fraude ou apropriao indbita, sua autoria acaba sendo, cedo ou tarde, determinada. Tambm h de se considerar que interesse de todo Estado minimamente organizado, a ponto de merecer esta denominao, criar um ambiente de segurana jurdico-financeira para que sua vida econmica possa prosperar de forma pujante.

Estmulo Pesquisa & Desenvolvimento

Preliminarmente, os dois celeiros naturais para o desenvolvimento de conhecimento e tecnologia no campo ciberntico, bem como para a identificao e o aperfeioamento de talentos nesse mister seriam as empresas e as universidades. No caso brasileiro, at onde alcana o conhecimento deste autor, no h nenhuma empresa que tenha alcanado papel proeminente nesse setor, ao menos a ponto de rivalizar com as grandes empresas estrangeiras que tm explorado comercialmente essa atividade, particularmente no segmento de proteo (antivrus, firewalls, entre outros). Isso no quer dizer que no possam existir no futuro. guisa de exemplo, uma empresa relativamente nova que vem disputando espao com as mais tradicionais do setor de origem espanhola, pas cuja capacidade na rea da tecnologia da informao no era notria at pouco tempo atrs. Isso posto, a universidade alinha-se como grande opo para a criao de polos de pesquisa e desenvolvimento nesse setor, proporcionando fora de trabalho para o setor privado e, principalmente, para os rgos governamentais que pretendam atuar no campo ciberntico. Para tanto, ser de todo conveniente que esses rgos, sejam eles da rea da Defesa, de segurana institucional ou pblica, fomentem, mediante diversas formas de atuao, a criao desses polos nas universidades. Esses lugares podero conformar-se como ambientes apropriados para o desenvolvimento de tecnologias e para o surgimento de futuros ciberguerreiros. Desses, uma pequena parte poder ser rotineira e gradualmente incorporada ao servio pblico. A esse pessoal seria oferecida uma carreira de Estado e sua principal atribuio seria conduzir a explorao do ciberespao e a defesa dos

69

ativos de informao de interesse governamental em situao de normalidade. Ante a eventualidade de ameaa potencial, particularmente em situao de guerra ciberntica, poderia ser empreendida uma mobilizao em grande escala dos recursos humanos disponveis nesses polos. Recorda-se, entretanto, que a mobilizao de hackers, se for o caso, implica a assuno de riscos e a adoo de medidas de contrainteligncia e, mais especificamente, de segurana orgnica (NUNES, 2010, p. 29).

Carreira de Estado e reteno de talentos

A preocupao com a reteno de talentos, qualquer que seja o campo de atividade e o segmento a explor-lo, invariavelmente pertinente. Em se tratando do campo ciberntico existente no segmento governamental, tal preocupao ainda mais justificada. O segmento empresarial bastante atrativo, particularmente nas empresas estrangeiras, que drenam uma parte considervel dos brasileiros de alta competncia nesse campo. Essa uma, entre muitas outras, das manifestaes do fenmeno brain drain, magistralmente descrito por Merle (1981) em sua obra. Melhores salrios, qualidade de vida, condies de trabalho e pesquisa so os principais fatores que explicam a migrao de pessoas de qualificao diferenciada dos pases em desenvolvimento para os efetivamente desenvolvidos. Cabe a ressalva de que, mais recentemente, tem-se observado certa inverso nesses fluxos. Nos ltimos anos, tem ocorrido a chegada de estrangeiros buscando colocao no mercado nacional, tanto nas posies mais modestas quanto naquelas de maior nvel, e o que tem chamado mais a ateno o influxo de pessoal mais qualificado. Esse fenmeno se deve, provavelmente, s crises econmicas de considervel porte que tm atingido as principais economias do mundo, particularmente as europeias. Essas crises tiveram efeitos muito mais discretos no Brasil, que, embora no ostente o crescimento pujante de China, ndia e mais algumas outras economias ascendentes, tem podido manter uma taxa de crescimento razovel, sem a ocorrncia de grandes sobressaltos. A indstria do petrleo e toda a cadeia produtiva em seu entorno tambm tm contribudo sobremaneira para atrair estrangeiros.

70

O impacto dessa inverso mais perceptvel nas carreiras de carter mais industrial do que ciberntico (engenharias civil, mecnica, eltrica, produo e outras), mas, de qualquer forma, no contribui para facilitar o trabalho de captao de talentos do campo ciberntico para o servio pblico. Ao contrrio. De modo geral, sempre que a economia se encontra aquecida, a atratividade do servio pblico, tanto militar como civil, acaba sendo reduzida, em todos os campos de atividades. Compensar esse dficit de atratividade no tarefa simples, mas, no caso dos quadros governamentais, pode-se afirmar que, tambm nos ltimos anos, as condies de trabalho tm-se tornado mais positivas. Remuneraes razoveis, estabilidade e, em muitos casos, expectativas de crescimento profissional e salarial mediante a existncia de uma carreira institucionalizada so atributos que, devidamente explorados, podem atrair jovens de boa capacitao para a ocupao de cargos na estrutura do governo federal, tanto na rea militar quanto na civil. Cabe-nos, ento, criar esses cargos e fazer que aqueles talentos gerados nos polos universitrios se interessem por eles. No fcil criar novos cargos, civis ou militares, na administrao pblica federal, mas no impossvel. Ademais, ante a improvvel impossibilidade absoluta de criao de, digamos, novas matrculas, poder-se-ia, paulatina e limitadamente, substituir algumas funes j existentes por novas no campo da explorao do espao ciberntico. Cabe a importante ressalva de que a natureza dessa atividade no requer grandes massas de mo de obra, mas to somente alguns poucos especialistas que possam desenvolver trabalhos e pesquisas de forma sistmica e rotineira e recorrer, na iminncia de grande conflito, queles repositrios de pessoal qualificado existentes nas universidades. Uma vez captados esses talentos para o servio pblico, deve-se buscar, incessantemente, mant-los estimulados para a continuao de seus trabalhos e de sua qualificao. Isso implica a existncia de bons laboratrios, de equipamentos no estado da arte, de cursos, a participao em eventos da rea, outras oportunidades de aprimoramento e, sobretudo, a sua permanncia na atividade para a qual foram recrutados. Esta permanncia parece ser uma observao to bvia, estril e incua que no mereceria sequer ser apresentada, mas nunca demais recordar que, no servio pblico, e mesmo no segmento empresarial, existe forte tendncia para, no curso das carreiras, empurrar o funcionrio para atividades cada vez mais administrativas e menos tcnicas. No caso de um ciberguerreiro, isso pode constituir um desestmulo fatal.

71

Assim, a manuteno desses talentos o mximo possvel na atividade tcnica propriamente dita fundamental e transforma-se em considervel desafio. Algumas empresas de porte na rea de tecnologia da informao tm tentado criar e sustentar carreiras tcnicas, nas quais alguns funcionrios mais talentosos tm prolongado sua permanncia no campo tecnolgico propriamente dito e com acesso aos mesmos incrementos salariais daqueles que migram mais cedo para a mdia e a alta gerncia. Nas carreiras militares, tal artifcio de difcil implementao, mas no nas carreiras civis governamentais. Por outro lado, na rea militar, j existem, nas trs Foras Armadas, os diversos corpos e quadros de engenheiros e tcnicos, que tornam possvel incorporar pessoal para trabalhar na explorao do espao ciberntico. Existem, inclusive, engenheiros de computao e de telecomunicaes j disponveis para emprego imediato. Como foi dito anteriormente, uma questo de prioridade e, indiscutivelmente, as Foras j esto fazendo a sua parte.

Concluso
Aps ter discorrido sobre os principais aspectos que compem o instigante tema deste artigo, ser, enfim, apresentada uma breve sntese conclusiva. Conforme percebido, o Brasil, decerto, no est includo entre os pases de maior desenvolvimento no campo ciberntico. No obstante, perfeitamente possvel vencer esse hiato hoje existente, mediante grande determinao e a execuo de um conjunto de aes perfeitamente factveis, algumas delas apontadas neste texto. Se por um lado devemos ter pressa na execuo dessas medidas de edificao de nossas capacidades cibernticas, por outro devemos ser bastante cautelosos e moderados na busca do desenvolvimento de um marco legal internacional de explorao do espao ciberntico. de se ressaltar, uma vez mais, que tal desenvolvimento, mais do que nos proteger, tenderia a nos desprover de recursos e oportunidades que podero demonstrar seu valor ante a ocorrncia de contencioso com outra nao que, desafortunadamente, desgue em um conflito armado.

72

Conforme defendido, isso no significa que o Pas deva afastar-se dos foros internacionais de discusso do tema, mas deles participar progressivamente fortalecido para que seja um ator de peso a influenciar o curso das discusses e as eventuais decises tomadas, no apenas um mero espectador privilegiado. Relembre-se, tambm, de que, no mbito nacional, a postura deve ser outra e tender ao fortalecimento do marco regulatrio, a fim de contribuir para o combate ao crime ciberntico. Como se viu, a comparao da guerra ciberntica com a guerra eletrnica bastante elucidativa e nos alerta para duas principais reflexes: No podemos privar o Pas da possibilidade de empregar aes cibernticas ofensivas que abreviem os conflitos armados e, potencialmente, reduzam a ocorrncia de perdas humanas, em relao no apenas nossa populao, mas tambm populao de nosso oponente. Diante da ocorrncia de conflito armado e, uma vez tendo-se optado por explorar ofensiva e defensivamente o ciberespao, o que, alis, tende cada vez mais a ser uma imposio e no uma opo, a combinao das aes cibernticas com os ataques convencionais, realizando-se aquelas no limiar do desencadeamento destes, parece ser a forma mais eficaz de alcanar uma vitria rpida e decisiva. Quanto ao estabelecimento de uma taxonomia, tal como a que foi apresentada guerra ciberntica, terrorismo ciberntico, crime ciberntico e, em plano inferior, o ativismo ciberntico , a sua utilidade limitada, j que, em geral, as armas so as mesmas e as motivaes em que ela se baseia somente sero identificadas se assim desejar nosso oponente. Por outro lado, ela nos chama a ateno para a importncia de grande intercmbio de conhecimentos no campo ciberntico. Governo, em seus setores militar e civil, empresas e universidades devem promover encontros e trabalhos conjuntos que potencializem essa troca de informaes e de experincias, apontando-se, assim, para um modelo colaborativo em rede. de se relembrar, contudo, que cada grupo, rgo ou empresa deve buscar, incessante e obstinadamente, o robustecimento de sua prpria capacidade de defesa ciberntica. No se pode esperar que uma nica instituio possa responder pelas necessidades cibernticas de todas as outras, mormente

73

porque, como se pode constatar, o crescimento das ameaas das ameaas exponencial e, mesmo havendo considervel coincidncia nos tipos mais comuns de ameaas, as estruturas e os ativos de informao a defender so muito variados. Cada ator nacional deve fazer a sua parte e isso, certamente, inclui empresas e prestadoras de servios pblicos, principalmente as que lidam com grandes volumes de dados sobre ativos financeiros, como os bancos e as bolsas, as que ostentam grande peso no conjunto das infraestruturas crticas nacionais, como na produo e transmisso de todas as formas de energia, de telecomunicaes, as infovias, as indstrias estratgicas e assim por diante. Quanto a uma possvel diviso de tarefas, especialmente quanto ao uso defensivo do espao ciberntico, parece ser desejvel que haja uma atribuio primria por domnios, cabendo ao MD e s Foras Armadas a proteo dos domnios .mil.br e defesa.gov.br; ao GSI os demais .gov.br; e a cada rgo, empresa ou instituio o seu prprio domnio. Tudo isso sem olvidar-se da propugnada colaborao em rede. No concernente explorao ofensiva do ciberespao, a sugesto natural que ela seja prerrogativa do MD e das Foras Armadas, que devem desenvolver as capacidades necessrias para tal desde o tempo de paz, limitando-se a empregar tais recursos somente em situao de conflito. No parece ser aceitvel admitir a participao de empresas ou de outros rgos governamentais nessa forma de explorao do espao ciberntico, a no ser ante o envolvimento do Brasil em conflito de maiores propores e a decorrente necessidade de mobilizao em larga escala. Finalmente, qualquer que seja a diviso de tarefas e responsabilidades a ser adotada, cada instituio tem a prerrogativa e, mais ainda, o dever de investir tempo, dinheiro, pessoal e ateno gerencial defesa de seus bens infoativos de informao. Esse dever se justifica no apenas pela defesa de seus interesses especficos, mas tambm pela garantia dos interesses nacionais no espao ciberntico, e, luz da pondervel gama de conhecimentos j disponveis, pode-se afirmar que as ameaas so reais e o perigo que elas representam, imediato, assim como so tambm reais e imediatas as oportunidades que a explorao positiva do espao ciberntico nos oferece, sempre no nico e exclusivo interesse da Nao.

74

Referncias bibliogrficas
ADEE, S. The hunt for the kill switch. IEEE Spectrum, 2008. Disponvel em: <http://spectrum.ieee.org/ semiconductors/design/the-hunt-for-the-kill-switch>. Acesso em: 3 dez. 2010. ALVAREZ, T. Guerra e defesa ciberntica. Rio de Janeiro: Blog SegInfo, 2010. Disponvel em: <http:// www.seginfo.com.br/guerra-e-defesa-cibernetica>. Acesso em: 22 nov. 2010. BRASIL. Decreto n 6.703, de 18 de dezembro de 2008. Aprova a Estratgia Nacional de Defesa, e d outras providncias. Dirio Oficial da Unio, Poder Executivo, Braslia, DF, 19 dez. 2008. ______. Lei n 10.683, de 28 de maio de 2003. Dispe sobre a organizao da Presidncia da Repblica e dos Ministrios e d outras providncias. Dirio Oficial da Unio, Congresso Nacional, Braslia, DF, 29 mai. 2003. ______. Ministrio da Defesa. Diretriz Ministerial n 14. Integrao e Coordenao dos Setores Estratgicos da Defesa. Braslia, 9 nov. 2009. CERT Statistics. Software Engineering Institute, 2009. Disponvel em: <http://www.cert.org/stats>. Acesso em: 5 dez. 2010. COMMUNICATIONS Assistance for Law Enforcement Act. Wikipedia, 2011. Disponvel em: <http:// en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act>. Acesso em: 5 nov. 2010. CYBERWAR It is time for countries to start talking about arms control on the internet. The Economist. Londres, 3 jul. 2010, ed. 3 a 9 jul., p. 11-12.

75

FULGHUM, D. A.; BARRIE, D. Israel used electronic attack in air strike against Syrian mystery target, Aviation Week, 2007. Disponvel em: <http://www.aviationweek.com/aw/generic/story_channel. jsp?channel=defense&id=news/aw100807p2.xml&headline=Israel%20used%20electronic%20attack%20in%20air%20strike%20against%20Syrian%20mystery%20target>. Acesso em: 3 dez. 2010. INFORMATION Operations. Joint Staff, 2006. Disponvel em: <http://www.fas.org/irp/doddir/dod/ jp3_13.pdf>. Acesso em: 25 nov. 2010. KILROY JR., R. J. The U.S. Military Response to Cyber Warfare. In: COLARIK, A. M.; JANCZEWSKI, L. J. Cyber Warfare and Cyber Terrorism. Nova Iorque, EUA: Information Science Reference, 2008. Cap. 51. KNAPP, K. J.; BOULTON W. R. Ten Information Warfare Trends. In: COLARIK, A. M.; JANCZEWSKI, L. J. Cyber warfare and cyber terrorism. Nova Iorque, EUA: Information Science Reference, 2008. Cap. 3. LEI DE METCALFE. Wikipedia, 2011. Disponvel em: <http://pt.wikipedia.org/wiki/Lei_de_Metcalfe>. Acesso em: 5 nov. 2010. MERLE, M. Sociologia das relaes internacionais. Braslia: Editora UnB, 1981. 384p. MESSMER E. Kosovo cyber-war intensifies. Network World Fusion, 1999. Disponvel em: <http://www. networkworld.com/news/1999/0512kosovo.html>. Acesso em: 5 nov. 2010. NUGENT, J. H.; RAISINGHANI, M. Bits and bytes vs Bullets and bombs: a new form of warfare. In: COLARIK, A. M.; JANCZEWSKI, L. J. Cyber warfare and cyber terrorism. Nova Iorque, EUA: Information Science Reference, 2008. Cap. 4. NUNES, L. A. R. Guerra ciberntica: est a MB preparada para enfrent-la? Rio de Janeiro, 2010. 98f. Trabalho de Concluso de Curso (Curso de Poltica e Estratgia Martimas, Escola de Guerra Naval, 2010).

76

OPERATION Orchard. Wikipedia, 2011. Disponvel em: <http://en.wikipedia.org/wiki/Operation_Orchard>. Acesso em: 3 nov. 2010. WAR in the fifth domain Are the mouse and keyboard the new weapons of conflict? The Economist. Londres, 3 Jul. 2010, ed. 3 a 9 jul., p. 25-28. WEBB, D. C. ECHELON and the NSA. In: COLARIK, A. M.; JANCZEWSKI, L. J. Cyber warfare and cyber terrorism. Nova Iorque, EUA: Information Science Reference, 2008. Cap. 53. WILSON, C. Information operation, electronic warfare, and cyberwar: capabilities and related policy issues. Congressional Research Service, 2007. Disponvel em: <http://www.fas.org/sgp/crs/natsec/ RL31787.pdf>. Acesso em: 3 dez. 2010.

77

A TENDNCIA MUNDIAL PARA A DEFESA CIBERNTICA

Jos Eduardo Portella Almeida*

Resumo
As naes esto percebendo a velocidade assustadora com que a informtica est preenchendo espaos no cotidiano da humanidade. Em 2005, a Federao Russa, preocupada com o uso malicioso de ferramentas informacionais, props Organizao das Naes Unidas (ONU) a formao de um grupo de peritos governamentais para considerar a regulamentao de emprego de armas cibernticas. A preocupao russa relacionava-se com a possibilidade de alguns efeitos produzidos por essas armas serem catastrficos, chegando aos de armas de destruio em massa. Durante as reunies, a delegao americana no aceitou nenhuma restrio ou regulamentao ao emprego de armas cibernticas por naes em conflito ou em guerra. Em 2010, em uma nova rodada de reunies do mesmo grupo de trabalho, os representantes de todos os pases concordaram em assinar uma resoluo com uma srie de recomendaes aos pases, sobre a ameaa provocada pelo uso de armas cibernticas.

* Coronel Aviador da reserva da Fora Area, atualmente trabalha como consultor independente. Na sua carreira militar, concluiu os cursos de: Formao de Oficiais Aviadores, Aperfeioamento de Oficiais, superior de Comando e Estado-Maior, promoo a oficial general em Portugal e Administrao Estratgica de Sistemas de Informao pela Fundao Getlio Vargas. Desempenhou as seguintes funes: comandante do 1 Grupo de Defesa Antiarea, chefe do Centro de Guerra Eletrnica do Comando Geral de Operaes Areas e vice-chefe do Centro de Comando e Controle de Operaes Areas e chefe interino do Estado-Maior Combinado do Comando de Defesa Aeroespacial Brasileiro.

79

Vrias ocorrncias, provavelmente, provocaram a mudana de postura dos Estados Unidos da Amrica (EUA) em relao ameaa ciberntica. Em funo disso, os EUA e outros pases desenvolvidos criaram uma srie de instituies nacionais e privadas que podem servir de exemplo para o planejamento estratgico brasileiro, no campo da Defesa Ciberntica. Palavras-chave: guerra ciberntica, ataque ciberntico, Defesa Ciberntica.

Introduo
O objetivo deste trabalho apresentar aspectos relevantes de uma experincia vivida em um grupo de trabalho que desenvolveu suas atividades na sede da ONU, durante a ltima reunio do Grupo de Peritos Governamentais em Desenvolvimento no Campo da Informao e Telecomunicaes no Contexto da Segurana Nacional, em 2005, a fim de estabelecer subsdios para a indicao de algumas boas prticas que esto sendo desenvolvidas por governos estrangeiros, na rea da Defesa Ciberntica. O assunto foi abordado sob a premissa de que as naes mais desenvolvidas e detentoras de capacidades tecnolgicas diferenciadas no se submetem aos apelos da comunidade mundial, a no ser que se sintam ameaadas. A experincia relatada ilustra bem esse fato diante de uma ameaa assimtrica que, se bem conduzida, pode levar pequenos grupos ou mesmo naes com poucos recursos a perpetrarem aes de consequncias catastrficas. H vrios trabalhos que comumente abordam o mesmo tema, exceto o exemplo da experincia vivida na ONU, que singular por razes bvias. Grande parte dessas obras est disposta na internet e um bom site de busca poder traz-las ao interessado, desde que seja de seu conhecimento a correta nomenclatura dos termos informticos nos idiomas que deseja procurar. O tema foi indicado por interesse da Secretaria de Assuntos Estratgicos e, devido ao tempo destinado consecuo do trabalho, a pesquisa foi realizada em documentos de propriedade do autor e em buscas na internet. Foi utilizado o mtodo dedutivo, com recurso pesquisa documental.

80

O resultado final esperado so indicaes de boas iniciativas tomadas em pases que esto mais afetos Defesa Ciberntica, para que possam servir de exemplo para os elaboradores de planejamento de longo prazo do Estado brasileiro.

Reunio na ONU 2005

Em 2005, o Brasil foi convidado a participar de um grupo de trabalho na ONU, com o objetivo de estudar conceitos internacionais relevantes, voltados ao fortalecimento da segurana global dos sistemas de informaes e de telecomunicaes. Esse foi o motivo para se reunirem peritos de 15 pases, em trs reunies (a primeira e a terceira em Nova Iorque e a segunda em Genebra), os quais, mais sinteticamente, discutiram acerca do perigo representado pela ameaa ciberntica. Preparando-se para a ltima reunio, o Ministrio da Defesa (MD) orientou que fosse feita a anlise de uma proposta enviada pelo grupo de peritos da Rssia, cujo chefe da comisso havia sido eleito, na primeira reunio, condutor dos trabalhos do grupo. Na verdade, o grupo de trabalho na ONU foi formado por solicitao da Rssia, que alegava que as aes cibernticas nas guerras deveriam ser reguladas por uma norma prpria, pois o uso de armas cibernticas, se no devidamente controlado, poderia ter consequncias muito graves s naes e regies mais despreparadas e mais dependentes de sistemas de controle. O objetivo de analisar a proposta russa era, inicialmente, compor um parecer sobre o teor dos argumentos citados pelos russos, para assessorar um possvel alinhamento do Brasil com a proposta. Com a aprovao do MD, o parecer seria enviado ao Ministrio das Relaes Exteriores (MRE), para se tornar a contribuio do Brasil aos trabalhos da ltima reunio. Foram analisados muitos documentos para compor a assessoria, tais como: Contribuio Russa, Contribuio da Frana, Contribuio da Alemanha, Contribuio dos Estados Unidos, Contribuio da China, Contribuio da Venezuela, Contribuio do Mxico e um documento russo muito interessante, semelhante a um manual, que abordava, de forma doutrinria, a guerra ciberntica: Desafios da Informao para a Segurana Nacional e Internacional 2001.

81

A Contribuio Russa era, por larga margem, a mais completa de todos e trazia conceitos muito interessantes, que foram sumarizados, para que fosse possvel constituir a assessoria necessria ao MD. Alm disso, o manual explicava como se poderia utilizar o potencial das armas cibernticas na guerra e dividia em fases esse emprego, como coleta de informao, defesa e ataque. Na introduo, vrios conceitos eram citados e alguns trouxeram surpresa pelo fato de, poca, no se estar lidando com aquele tipo de pensamento. Uma das citaes relacionava os efeitos do uso de armas cibernticas aos do uso de armas de destruio em massa. Parecia um tanto catastrfico fazer este tipo de comparao e buscaram-se explicaes que pudessem ilustrar melhor essa afirmao. No documento que abordava de forma doutrinria a guerra ciberntica, havia um exemplo que melhorava a compreenso da citao catastrfica da introduo. Dizia que, caso um hacker invadisse o computador de controle de uma estao de distribuio de energia eltrica, na Sibria, durante o perodo do inverno, e desligasse o fornecimento de energia durante a noite, o efeito poderia ser comparvel ao do emprego de uma arma de destruio em massa. Ainda durante as citaes iniciais do documento, havia muitas referncias a armas cibernticas que no se sabia exatamente como classific-las e foram simplificadas como a utilizao de vrus e worms que invadem e afetam o funcionamento dos computadores e, naturalmente, dos sistemas por eles controlados ou assistidos. Outro aspecto interessante da Contribuio Russa era a organizao das ideias e a sequncia em que elas foram apresentadas. Percebe-se uma ordem de apresentao orientadora, quase educativa. Em sequncia, o documento aborda o que deve ser protegido, as principais ameaas, as fontes dessas ameaas, princpios que devem ser seguidos para a segurana das informaes e, finalmente, propostas de aes. Os russos demonstraram com suas contribuies que haviam refletido bastante sobre o contexto da guerra ciberntica, mas deixaram escapar o reconhecimento de que, tecnicamente, no dominavam o assunto tanto quanto seus potenciais adversrios, pois ofereceram sugestes que uma potncia militar nunca colocaria em pauta para tratamento das Naes Unidas, se tivesse hegemonia naquela rea de atividade.

82

A Contribuio do Brasil, resultante de toda essa anlise, foi cautelosa e equilibrada e, depois de aprovada pelo MRE, foi incorporada ao processo estabelecido pela criao do grupo de trabalho. A Contribuio Russa e o documento Desafios da Informao para a Segurana Nacional e Internacional 2001, tambm russo, foram as fontes que melhor prepararam a equipe brasileira para as discusses em Nova Iorque. Entretanto, a suspeita de que os russos estavam querendo, alm de estabelecer uma ordem mundial para a ameaa ciberntica, proteger-se de adversrios mais poderosos foi confirmada no decorrer das reunies, como ser visto a seguir. A reunio ocorreu em duas semanas de julho de 2005, num tpico vero de Nova Iorque, com muito calor e dias longos. O grupo reunia-se todos os dias, desde as 8h at as 18h, numa sala do subsolo do prdio principal da ONU. Os pases que participaram do grupo de trabalho foram: Bielorrssia, Brasil, China, Frana, Alemanha, ndia, Jordnia, Malsia, Mali, Mxico, Coreia do Sul, Rssia, frica do Sul, Reino Unido e Estado Unidos da Amrica. A maior comitiva era a da Rssia e vrias possuam apenas um nico representante. Havia traduo simultnea para as lnguas oficiais da ONU e as comitivas eram dispostas por ordem alfabtica num retngulo de mesas, exceto a da Rssia, que tomava assento na cabeceira mais prxima da entrada da sala, por ter sido o seu delegado escolhido como chairman1 do grupo de trabalho. As reunies foram sempre orientadas pelo chairman e visaram busca de um texto que representasse o consenso dos pases em relao a desenvolvimentos no campo da informao e telecomunicaes no contexto da segurana nacional, que, como j dito anteriormente, resumiam-se ao risco da ameaa ciberntica em atos de terrorismo, conflitos e guerras. Vale dizer que esse grupo de peritos j se reunia seguidamente, desde 1999, sempre por iniciativa da Rssia. Inicialmente, ficou clara a pouca percepo e, como consequncia, a pouca participao de alguns representantes. Mas havia grandes discusses e muitos pontos importantes eram colocados em pauta, os

Pessoa que preside um comit ou reunio.

83

quais, por vezes, surpreendiam pelo ineditismo de suas abordagens e por representarem traos culturais muito distantes da nossa realidade ocidental do novo mundo. Uma das mais marcantes dessas viagens foi uma acalorada discusso entre os representantes da China e do Reino Unido, em que o chins citava a liberdade de distribuio da internet como origem de um problema social em seu pas. O ingls tratou o assunto com pouco caso e o relacionou ao regime poltico adotado na China, voltando-se aos outros participantes com ar de deboche. O representante chins fez uma longa pausa, parecendo procurar entender exatamente o que o ingls havia dito, por meio da traduo simultnea, e subiu o tom de sua voz na resposta. Disse, em resumo, que a internet forava a entrada da cultura ocidental nas famlias chinesas e que isso no era aceitvel, alegando que a cultura chinesa tinha origem h milhares de anos e no poderia ser modificada por sistema de comunicao intruso. Depois de dizer isso aos gritos, o chins calou-se, e restou ao ingls pedir-lhe desculpas pela forma descorts que tratou o assunto. Aos poucos, percebeu-se a formao de subgrupos com opinies alinhadas entre as comitivas. A Rssia, o Brasil, a China, a Malsia e a Bielorrssia alinharam-se pela opinio de que a ameaa ciberntica poderia gerar efeitos catastrficos em guerras e deveria ser tratada com a ateno devida pela ONU, em especial pelo Conselho de Segurana. A Frana, a Alemanha, a Coreia do Sul, a ndia e a frica do Sul no concordaram com a insero do termo catastrfico, mas entenderam que o assunto deveria ser tratado com ateno pela ONU e aceitaram alguma regulamentao acerca do tema. Esse grupo influenciou as representaes que demonstravam menos conhecimento sobre a matria. Um terceiro e ltimo grupo, formado por EUA, Reino Unido e, inicialmente, Mxico, considerou que nenhuma regulamentao deveria ser promulgada e os acordos internacionais que regiam os conflitos armados e guerras eram suficientemente abrangentes para regular o emprego de armas cibernticas. A partir dessas trs opinies, o grupo como um todo buscou redigir um texto que expressasse a opinio de todos os presentes, o que, naturalmente, pendeu para a eliminao das opinies mais extremas. O grupo do qual o Brasil participava passou a aceitar termos menos fortes para os efeitos que seriam gerados pelo emprego de armas cibernticas em conflitos armados. O grupo conduzido pela Frana e Alemanha aceitou algumas ponderaes do grupo do Brasil e da Rssia e incrementou algumas de suas recomendaes para serem abordadas pela Assembleia Geral, mas ainda recusou o fato de que o assunto deveria ser levado ao Conselho de Segurana. A delegao do Mxico aceitou os termos que

84

estavam sedo discutidos pela maioria e comeou a apoiar a hiptese de se alarmarem os pases ao se tratar dessa questo na Assembleia Geral. Os delegados dos EUA e do Reino Unido, sentados lado a lado, conversavam paralelamente s dis cusses e tinham sempre a mesma opinio: no havia nada a ser melhorado nos dispositivos reguladores dos conflitos, por influncia da entrada, nos teatros de operaes, das armas cibernticas. Sendo relatado resumidamente, pode parecer que o trabalho foi-se resolvendo com facilidade, mas cada linha de cada tentativa de se compor um texto comum demorava, s vezes, horas ou dias para ser construda. As opinies eram muitas e diversas e at mesmo a interpretao do que estava sendo escrito era trabalhada para ter o sentido exato do que o grupo queria expressar. Depois das apresentaes iniciais de opinies e das divagaes comentadas anteriormente, que levaram mais da metade da primeira semana, o grupo passou a trabalhar com afinco em um texto que representasse a opinio de todos. O primeiro deste tipo de texto foi proposto pelo representante da Malsia, um general do Exrcito, que o apresentou na segunda-feira da segunda semana. O representante do Reino Unido participava dos debates, mas, quando contrariado, reagia com deboche. Todas as vezes que um texto era apresentado, antes de emitir a sua opinio, ele falava em voz baixa com a representante dos EUA e, via de regra, discordava. A representante dos EUA praticamente no participava. No emitia um rudo sequer durante as discusses. Lia, tomava notas e raramente olhava diretamente para algum dos participantes, a no ser para o do Reino Unido. Em conversas informais entre os representantes das delegaes russa e brasileira, que ficaram todo o tempo muito prximas em suas opinies, procurou-se entender o motivo do comportamento da representante dos EUA, e algumas coisas interessantes foram comentadas. Os EUA, segundo os russos, tinham um conhecimento enorme sobre a capacidade de se protegerem de infiltraes e de ataques cibernticos ou, pelo menos, achavam que possuam. A regulamentao das aes cibernticas em guerra ou em conflito poderia restringir sua liberdade de agir para enfraquecer e mesmo para atacar o adversrio com armas cibernticas. Os representantes dos EUA e do Reino Unido concordavam com todo tipo de proposta de regulamentao sobre crime ou terrorismo ciberntico, quer dizer, sobre a ao deliberada de indivduos contra sistemas pblicos ou privados que viessem a prejudicar o funcionamento ou expor a segurana dos mesmos sistemas, auferindo vantagens ou no por essas aes.

85

Mas, quando se falava em conflito entre naes, no aceitavam nenhuma sugesto acerca de regulamentao. Na quarta-feira da segunda semana, havia um texto considerado aceitvel por quase todas as delegaes. Apenas EUA e Reino Unido discordavam. Com algum trabalho mais prximo e contando com a curiosidade do ingls, conseguiu-se convenc-lo a aceitar o texto com pequenas ressalvas sugeridas por ele mesmo. A americana nada comentou at o fim do dia. Na quinta-feira, todos se sentaram certos de que o rduo trabalho tinha resultado em um texto de aceitao comum. A representante dos EUA, nesse dia, estava fazendo as unhas, enquanto os ltimos ajustes eram feitos no texto final, que foi lido para todos. Prximo ao horrio do almoo, ela tomou a palavra e disse:
Estamos perdendo tempo. Acho que vocs ainda no entenderam o ponto de vista dos EUA. Os EUA no vo concordar com nenhum texto que contenha alguma citao necessidade de qualquer comisso da ONU ouvir, analisar ou regulamentar algo que diga respeito ameaa ciberntica no conflito entre naes. Estamos aqui h duas semanas e ainda no tivemos tempo de visitar os shoppings. Eu proponho que encerremos agora e tenhamos tempo tarde para irmos s compras. Amanh, voltamos aqui e assinamos um report de uma folha, informando que no chegamos a um consenso.

Todos ficaram calados por um tempo, olhando para ela, que voltou a fazer as unhas. O chairman encerrou a reunio e, no dia seguinte, todos os delegados assinaram um report dizendo que, devido complexidade dos assuntos envolvidos, nenhum consenso foi alcanado para a preparao do report final, o qual est disponvel em: <http://disarmament.un.org/Library.nsf/c0996f411fc36951852570 4c00502170/e67ac010a7a643498525708800716e75/$FILE/exgr60.202.pdf>. Durante as conversas com os russos, um assunto foi abordado e tratado como de grande relevncia. Em quase todos os computadores vendidos ao redor do mundo, o sistema operacional j instalado pela fbrica o Windows. Somente a NSA,2 nem mesmo a Microsoft, possui o algoritmo de backdoor3 do Windows. Segundo os russos, isso permite que a NSA acesse qualquer computador ligado internet,
2 3

National Security Agency. um mtodo de contornar a autenticao normal, permitindo o acesso remoto a um computador.

86

direta ou indiretamente, o que traz grande segurana s foras dos EUA, no caso de uma ao ciberntica. Disseram que alguns pases esto protegendo-se contra essa ameaa, desenvolvendo sistemas operacionais nacionais que controlam todos os computadores pblicos. Citaram a Frana e a China como dois dos pases que possuem sistemas prprios. Como pde ser visto, o Grupo de Peritos Governamentais em Desenvolvimento no Campo da Informao e Telecomunicaes no Contexto da Segurana Nacional, formado em 2005, parecia ter sido um fracasso total, mas o fracasso era apenas aparente. O trabalho do grupo de peritos continuou em 2008, 2009 e 2010, sempre solicitado pela Rssia. O report final de 2010 assemelha-se muito ao texto produzido ao fim da reunio de julho de 2005 e ser comentado a seguir.

Report Final 2010

O primeiro ponto importante a se notar no report final de 2010 que o chairman era o mesmo representante russo da reunio em 2005 e a representante dos EUA era, tambm, a mesma pessoa, texto que se encontra disponvel em: <http://www.reachingcriticalwill.org/political/1com/1com10/reports/201.pdf>. Logo no sumrio est escrito que (...) a potencial ameaa no mbito da segurana da informao o mais srio desafio do sculo 21 (....). Isso caracteriza uma mudana radical de posio das naes participantes, em especial dos EUA. E continua (...) H um aumento de reports de que Estados esto desenvolvendo ICT (Tecnologias de Informao e Comunicaes) como instrumentos de guerra e inteligncia, e para propsitos polticos ...). Essa afirmao seria impensvel, no report final de 2005, mesmo para pases que se mostraram mais moderados, como a Frana e a Alemanha. A estrutura do documento traz um captulo sobre ameaas, riscos e vulnerabilidades, onde se pode destacar que (...) A variedade de graus de capacidade em ICT e segurana entre os diferentes Estados aumenta a vulnerabilidade da rede global (...). Da, infere-se que as grandes potncias entenderam que a ameaa ciberntica, muitas vezes, no deixa caminho rastrevel at o inimigo.

87

Em seguida, h um captulo sobre cooperao, que chega a dizer que, Como as atividades irregulares usando tecnologias de informao e comunicaes tendem a ser mais complexas e perigosas, bvio que nenhum Estado capaz de tratar dessas ameaas sozinho (grifo nosso), numa clara aceitao de que nenhuma nao, nem mesmo as mais desenvolvidas e detentoras de tecnologias dominantes em TI, sente-se segura com relao sua capacidade de se defender de um ataque ciberntico. Em cinco anos, a percepo de segurana ciberntica mudou muito. O que aconteceu? H necessidade de uma reflexo de como evoluram as atividades de guerra ciberntica nos ltimos anos, principalmente nos pases mais desenvolvidos e envolvidos em conflitos.

Ocorrncias mundiais
A origem da guerra ciberntica remonta s primeiras aes de espionagem pela internet, ainda nos anos 1980, quando os espies descobriram que podiam recolher dados sigilosos pela rede mundial, sem que corressem nenhum risco pessoal. Mas a tecnologia na sociedade informacional evolui de forma espantosa. Ainda nos anos 1990, os casos mais famosos foram relacionados ao crime ciberntico, tal como a invaso das intranets da GE e da rede de televiso NBC, que imobilizou vrios postos de trabalho dessas gigantes e causaram milhes de dlares de prejuzos, em novembro de 1994. Em 1997, o Departamento de Defesa dos EUA encomendou um experimento de codinome Eligible Receiver. O principal objetivo do exerccio era ver se um grupo de hackers poderia infiltrar-se nos computadores do Pentgono e ter acesso aos sistemas de defesa. Os resultados foram preocupantes. De acordo com John Hamre, secretrio-adjunto da Defesa na poca, passaram-se apenas trs dias para que algum no Pentgono percebesse que os sistemas de computador estavam sob ataque. Os hackers ganharam o controle do Pentgono e dos sistemas de comando e controle militares. Um verdadeiro ataque poderia ter desligado os sistemas. Ainda mais desconfortvel foi o pensamento de que os atacantes poderiam ter tido acesso e roubado informaes. O curioso que, um ano depois, um ataque ciberntico real foi deflagrado contra computadores do Pentgono, da Nasa e de outros rgos governamentais. Esse ataque foi descoberto por acaso, em 2000, e teve como provvel origem a Rssia.

88

Em 1999, o satlite militar ingls Skynet foi posto fora de ao. A agncia Reuters reportou: Hackers supostamente tomaram o controle de um dos satlites militares da Gr-Bretanha e enviaram ameaas de chantagem. A notcia correu o mundo e chegaram a dizer que os sequestradores estavam pedindo um resgate. Na guerra do Kosovo, registrou-se a primeira ao ciberntica de um exrcito regular contra outro, visando a vantagem em combate. Os EUA usaram ataques baseados em computador para comprometer os sistemas de defesa area da Srvia. Os ataques distorciam as imagens geradas pelos sistemas, dando informaes incorretas s foras srvias durante a campanha area. Mike McConnell, antigo diretor da National Intelligence, disse ao presidente Bush, em maio de 2007, que, se os terroristas do 11 de Setembro tivessem escolhido como armas computadores em vez de avies e tivessem empreendido enorme assalto a um banco dos EUA, as consequncias econmicas teriam sido de uma ordem de grandeza maior do que aquelas causadas pelo ataque fsico no World Trade Center. O Centro de Estudos Estratgicos e Internacionais dos EUA divulgou um relatrio sobre Segurana Ciberntica para a 44 Presidncia dizendo que a segurana ciberntica um grande problema de segurana nacional para os Estados Unidos e que apenas uma compreenso estratgica do que segurana ciberntica tornar os EUA mais seguros. O relatrio afirma que os Estados Unidos enfrentam um desafio de longo prazo no ciberespao contra agncias de inteligncia estrangeiras civis e militares, criminosos e outros e que perder essa luta vai causar srios danos para a economia e para a segurana nacional. O presidente Obama disse, em discurso na Universidade de Purdue, em 16 de julho de 2008, que
[...] cada americano depende, direta ou indiretamente, de nosso sistema de redes de informao. Elas so, cada vez mais, a espinha dorsal da nossa economia e da nossa infraestrutura, a nossa segurana nacional e o nosso bem-estar pessoal. Mas no nenhum segredo que os terroristas poderiam usar as redes de computadores para nos dar um duro golpe. Ns sabemos que as ocorrncias de espionagem ciberntica e de crime cibernticos comuns esto em crescimento. E ainda, enquanto pases como a China tm sido rpidos em reconhecer essa mudana, nos ltimos oito anos ns estamos nos arrastando.

89

Alm disso, o presidente Obama afirmou que ns precisamos ter a capacidade de identificar, isolar e responder a qualquer ataque ciberntico. Em 2008, na interveno armada da Rssia na Gergia, vrios computadores do governo da Gergia foram invadidos e ficaram sob controle externo, pouco tempo antes de as tropas russas entrarem em territrio da Gergia. Barack Obama, na poca candidato Presidncia dos EUA, pediu ao governo russo para cessar os ataques cibernticos. Em 2010, um consultor independente do governo dos EUA, chamado Joshua Pollack, registrou que nos ltimos anos, tornou-se quase um rito entre os funcionrios federais americanos terem suas redes de computadores parcialmente interrompidas por dias ou semanas, depois de uma invaso, geralmente (mas no sempre), atribuda China. Em 2010, o Lt Gen Wallace Gregson, assessor do secretrio de Defesa dos EUA para a segurana da sia e do Pacfico, fez a seguinte afirmao: O exrcito chins est fazendo progressos significativos no desenvolvimento de conceitos de guerra ciberntica, que variam da defesa das redes chinesas realizao de operaes ofensivas contra as redes adversrias. Essa realizao de operaes ofensivas, segundo ele, vista pelo Pentgono como uma parcela de um esforo mais amplo por parte de Pequim para desenvolver uma capacidade avanada de guerra de informaes, para estabelecer o controle do fluxo de informaes de um adversrio e manter o domnio do campo de batalha. Alm dessas, outras vrias reportagens com alertas sobre a vulnerabilidade das estruturas governamentais esto disposio na internet. Autoridades, americanas em sua maioria, alardeiam, nos EUA e, por consequncia, no mundo a possibilidade de catstrofes geradas por ataques cibernticos. Mas, ainda, ser que catstrofe ou efeito de arma de destruio em massa no seriam expresses exageradas? H duas ocorrncias muito recentes que podem servir de exemplo para uma avaliao.

90

Ocorrncias recentes
O primeiro caso o vazamento de dados sigilosos da diplomacia mundial pelo site WikiLeaks. Quanto trabalho de coleta, anlise e mesmo de diplomacia no foi perdido por falta de conhecimento sobre os perigos da internet. Um diplomata americano avaliou o escndalo como catastrfico para a diplomacia americana, o qual porm no foi mais grave graas ao teor das matrias. De qualquer maneira, a diplomacia americana ficou manchada e certamente o servio diplomtico e at a economia dos EUA vo sofrer revezes que poderiam ser evitados. O outro caso, mais grave, ocorreu em junho de 2010 e chegou ao Brasil no fim de novembro, numa breve reportagem do Jornal Nacional. Stuxnet foi o nome dado a um worm que pode ter danificado as instalaes da usina nucelar iraniana de Natanz e atrasou o incio das operaes na usina nuclear iraniana de Bushehr. o primeiro worm descoberto que espiona e reprograma sistemas industriais. No caso, foi especialmente desenvolvido para afetar o sistema de controle industrial Scada, da Siemens, que utilizado no Ir. Segundo alguns analistas, o worm poderia ter causado um mau funcionamento nos sistemas de segurana da usina e permitido a elevao da temperatura do reator ao ponto de uma fratura, o que poderia gerar uma catstrofe regional. O Stuxnet, provavelmente, foi inserido por meio de um pendrive, num ato claro de guerra ciberntica. No resta dvida de que a sensao de segurana ciberntica das naes est bastante afetada. H quem diga que a maior proteo contra ataques cibernticos ser a conscincia do atacante de que a arma poder causar mal a si prprio. Nesse aspecto, h pensadores que veem semelhana entre o ataque ciberntico e o nuclear. H vrias medidas a serem tomadas para reagir sensao de insegurana ciberntica. Uma das mais produtivas conscientizar a populao, desde seus lderes polticos e militares at os trabalhadores das classes sociais mais baixas, sobre a possibilidade de estarem sendo alvo de levantamentos de dados, que podem comprometer indivduos ou mesmo naes, ou de ataques, que podem ter efeitos gravssimos. As potncias mundiais tm investido muito em informar seus povos para reconhecer a ameaa ciberntica, alm de preparar suas defesas para reagir a contento. Algumas das instituies criadas nos ltimos anos sero apresentadas a seguir.

91

Boas prticas
Ao se preparar para seguir para Nova Iorque, em 2005, o grupo de peritos do Brasil confrontou-se com uma notcia espantosa. O exrcito dos EUA j possua dois batalhes cibernticos. O curioso foi conhecer como esses batalhes foram formados. Obviamente, reuniram-se os militares de melhor capacitao tcnica na rea de informtica, mas voluntrios tambm foram convocados. Hackers sob processo judicial ou mesmo condenados foram convocados para servir o exrcito, com a promessa de alguns benefcios jurdicos. Um conceito oportuno de ser citado com relao guerra ciberntica a possibilidade de grupos ou naes adquirirem grande potencial de destruio, sem possurem armas poderosas e caras. Esse um dos conceitos fundamentais da guerra assimtrica. No pretenso deste trabalho esgotar a apresentao de instituies que abordam a segurana ciberntica criadas nos ltimos anos. A inteno aqui to somente mostrar algumas iniciativas que possam servir de exemplo para os pensadores do Estado brasileiro, a fim de colaborar com o planejamento nacional de longo prazo. Os EUA anunciaram, em maio de 2010, a criao do Comando Ciberntico, que comandado pelo atual chefe da National Security Agency (NSA) e est subordinado ao Comando Estratgico, apesar de ser um comando de general de quatro estrelas. um Comando Conjunto, isto , tem a participao de pessoal e de unidades operacionais das trs Foras Armadas (nos EUA so quatro, com os Marines). A criao desse comando reflete a importncia que os EUA esto dando ao desenvolvimento da capacidade de Defesa Ciberntica e quanto essa rea da guerra representa para a defesa dos interesses dos norte-americanos. O USCYBERCOM est criando uma unidade que vai gerenciar um estande de treinamento para as atividades relacionadas com a Defesa Ciberntica. (http://en.wikipedia.org/wiki/ United_States_Cyber_Command). O Centro de Crime Ciberntico do Departamento de Defesa dos EUA outra iniciativa interessante. Trata-se de um centro que auxilia investigaes que estejam relacionadas com crimes cibernticos, abrangendo atos terroristas, contrainteligncia e fraudes. As investigaes preparam os efetivos da defesa para lidar com as tcnicas utilizadas pelas organizaes criminosas e terroristas, com a clara inteno de manter seus colaboradores atualizados (http://www.dc3.mil/).

92

Os Profissionais para a Defesa Ciberntica uma instituio criada em 2002, a partir de uma carta enviada ao presidente dos EUA, em que 54 profissionais com experincia em segurana ciberntica alertavam-no sobre a possibilidade de os EUA sofrerem um ataque ciberntico, cujas consequncias poderiam ser devastadoras para a psique do povo e para a economia do pas. Assessores do presidente enviaram s pessoas que assinaram a carta o documento Estratgia Nacional para Segurana Ciberntica, para que ele fosse revisado, antes de ser apresentado para aprovao presidencial. Da nasceu a organizao, que tem como misso defender, aconselhar e servir de porta-voz da poltica de defesa ciberntica dos EUA (http://www.uspcd.org/). A Agncia de Defesa Ciberntica uma empresa privada de consultoria e de pesquisa, nos EUA. Oferece dez diferentes cursos que abrangem desde Estratgias para a Defesa Ciberntica at cursos para hackers que testam as defesas das empresas e organizaes (http://www.cyberdefenseagency.com/). A Agncia Nacional da Segurana dos Sistemas de Informao da Frana outro bom exemplo de organizao ao servio da Defesa Ciberntica. Foi criada, em 2009, com a misso de desenvolver uma capacidade de deteco precoce de ataques a computadores, a utilizao crescente de produtos e redes de alto nvel e estabelecer um conjunto de competncias em benefcio das administraes e dos operadores das infraestruturas crticas (http://www.ssi.gouv.fr/site_article185.html). Em se tratando de documentos que regem as iniciativas de um Estado, o melhor exemplo disponvel o Ato sobre Segurana Ciberntica 2009, proclamado pelo Congresso dos EUA. Sua primeira observao diz o seguinte: A falha da Amrica em proteger o espao ciberntico um dos mais urgentes problemas nacionais do pas. O ato possui cunho de planejamento do Estado, para atender demanda das instituies que tratam da segurana ciberntica, incluindo oramento previsto. , sem dvida, uma demonstrao de que os parlamentares americanos possuem uma conscincia bastante elevada sobre as ameaas cibernticas (http://cdt.org/security/CYBERSEC4.pdf).

93

Concluso
As novas armas quase sempre precederam os conflitos. A evoluo da informtica est introduzindo uma dependncia a um recurso material, no cotidiano do ser humano, jamais experimentada na histria da humanidade. Os pases mais belicosos perceberam a oportunidade advinda do emprego de armas cibernticas nos teatros de operao. Entretanto, alguns pensadores vislumbraram que a possibilidade de serem gerados efeitos catastrficos derivados do emprego dessas armas poderia existir, o que requeria a ateno das Naes Unidas. Inicialmente, as naes que possuam maior desempenho tecnolgico no setor ciberntico reagiram, mas, ao longo do tempo e com as ocorrncias mundiais danosas ao desenvolvimento mtuo em franco crescimento, aceitaram a possibilidade de regulamentao sobre o uso dessas armas. O Brasil, nao que passa por um perodo de grande desenvolvimento social e econmico, precisa atentar e acreditar na possibilidade de ser alvo, em futuro prximo, de ataques cibernticos, que podero gerar grandes perdas materiais, quando no catstrofes poltico-sociais ou humanas. preciso iniciar um programa srio, voltado preparao das instituies nacionais para enfrentar as ameaas cibernticas, o qual abranja a educao no s das autoridades que vo regular os procedimentos e processos, mas de tcnicos capazes de proteger as infraestruturas crticas da Nao, bem como a criao de instituies pblicas e privadas voltadas para o conhecimento, a pesquisa e o assessoramento em mbito nacional.

94

Referncias bibliogrficas
ALMEIDA, Jos E. P. Relatrio de Misso - Grupo de Peritos Governamentais em Desenvolvimento no Campo da Informao e Telecomunicaes no Contexto da Segurana Nacional. Comando-Geral de Operaes Areas. Braslia, 2005. BRUNO, Greg. The evolution of cyber warfare. Council on Foreign Relations. Disponvel em: <http:// www.cfr.org/publication/15577/evolution_of_cyber_warfare.html>. Acesso em: 6 dez. 2010. CAMPBELL, Duncan. Cyber sillies. The Guardian. Disponvel em: <http://www.guardian.co.uk/ uk/1999/may/20/military.defence>. Acesso em: 6 dez. 2010. DoD. DoD Cyber Crime Center. Department of Defense. Disponvel em: <http://www.dc3.mil/>. Acesso em: 6 dez. 2010. Gregson, Wallace. Chinese buildup of cyber, space tools worries U.S. Defense News. Disponvel em: <http://www.defensenews.com/story.php?c=ASI&s=TOP&i=4452407>. Acesso em: 6 dez. 2010. KENDALL, Paul. Cyber attacks could be new weapons of mass destruction. Disponvel em: <http:// www.ourherald.com/news/2010-02-11/Columns/Cyber_Attacks_Could_Be_New_Weapons_of_Mass_ Destruc_001.html>. Acesso em: 6 dez. 2010. POLLACK, Joshua. Is the cyber threat a weapon of mass destruction? Bulletin of the Atomic Scientists. Disponvel em: <http://www.thebulletin.org/web-edition/columnists/joshua-pollack/the-cyber-threatweapon-of-mass-destruction>. Acesso em: 6 dez. 2010. SCHNEIER, Bruce. Did NSA put a secret backdoor in new encryption standard? Wired. Disponvel em: <http://www.wired.com/politics/security/commentary/securitymatters/2007/11/securitymatters_1115>. Acesso em: 6 dez. 2010. SENATE and House of Representatives of the United States of America. Cybersecurity act of 2009. Disponvel em: <http://cdt.org/security/CYBERSEC4.pdf>. Acesso em: 6 dez. 2010.

95

STRICKLAND, Jonathan. Is cyberwar coming? How stuff works. Disponvel em: <http://computer. howstuffworks.com/cyberwar.htm/printable>. Acesso em: 6 dez. 2010. ULLMAN, Harlan. Worms of mass destruction. Daily Times. Disponvel em: <http://www.dailytimes. com.pk/default.asp?page=2010%5C10%5C14%5Cstory_14-10-2010_pg3_5>. Acesso em: 6 dez. 2010.

96

Anexo A Resumo da colaborao russa

Dados gerais
A informao o mais importante recurso da riqueza de um pas. A expanso da informao global pode ser usada com propsitos inconsistentes com a estabilidade e segurana dos pases. A TI aumenta significativamente o potencial militar de um pas. Estamos vivendo uma transio para novos mtodos de controle de foras armadas e armas em todos os nveis. Existe a possibilidade de, nos prximos conflitos, os desenvolvimentos cientficos e tecnolgicos no campo da TI e das comunicaes liderarem a corrida armamentista. H uma grande preocupao de que o desenvolvimento e a disseminao de armas cibernticas incrementem o crime e o terrorismo (cibernticos) e de que o uso dessas armas por exrcitos possa causar catstrofes globais, com efeitos de armas de destruio em massa. O uso de armas cibernticas em atos de terrorismo internacional pe em perigo a vida e o bemestar dos indivduos, alm da paz e a segurana dos Estados. Atualmente, a maioria dos mtodos tradicionais de combate inclui aspectos da guerra da informao, mas est nascendo uma nova gerao de armas que combina caractersticas das guerras da informao e cibernticas. A vulnerabilidade da rea da informao e as caractersticas das armas cibernticas so atrativos evoluo dos cenrios de guerra. Por outro lado, no h padronizao internacional para a aplicao de leis a respeito, e o uso dessas armas continua desregulamentado.

97

 Devido ao que foi dito anteriormente, garantir a segurana das informaes em mbito internacional torna-se muito complicado. Em razo disso, h necessidade urgente de regulamentao internacional sobre leis, metodologias e tecnologias, em mbito civil e militar, para garantir a segurana das informaes.

Objetos da segurana da informao

1 Nacional:
sistemas de apoio a deciso; infraestrutura de informao civil; infraestrutura de informao para a defesa; mdia de massa; e conscincia da populao.

2 Internacional:
organizaes internacionais ONU; sistemas de administrao internacionais; redes abertas de informao; e conscincia individual e da massa PSYOPS.

98

Potenciais ameaas cibernticas no campo da segurana das informaes:

bloqueio e desinformao em recursos de informao e telecomunicao; ao de guerra ou terrorista contra fluxo de informao em estruturas vitais; desestabilizao da sociedade por meio da manipulao da conscincia da populao; adoo de doutrinas e polticas, individualmente, pelas naes, com respeito segurana das informaes, provocando uma corrida armamentista; uso de recursos de TI em detrimento dos direitos humanos e da liberdade de acesso informao; a disseminao generalizada de informao, violando os princpios e as normas da legislao internacional; e o desenvolvimento de conceitos e meios por pases membros, visando guerra ciberntica.

Fontes de ameaas:
o ambiente (desastres naturais etc.); indivduos, incluindo criminosos e terroristas; organizaes criminosas e terroristas; e naes.

99

Princpios para a segurana

1 princpio
As atividades na rea de segurana em TI tm de ser conduzidas para o desenvolvimento social e econmico geral, mantendo a estabilidade global e a garantia dos direitos soberanos de cada Estado. Devem ser consistentes com o direito de cada cidado receber e disseminar informaes e ideias, respeitando a lei e a ordem para proteger a segurana e os interesses dos Estados. Cada Estado e as organizaes internacionais devem ter direito igual para proteger seus recursos de TI, apoiados pela comunidade internacional.

2 princpio
Os Estados devero restringir as ameaas no mbito da segurana internacional s definidas neste documento.

3 princpio
A ONU deve promover a cooperao internacional, limitando as ameaas e criando uma base legal para: identificar e classificar as caractersticas da guerra ciberntica; identificar e classificar as armas e ferramentas cibernticas; restringir o desenvolvimento, a disseminao e o uso das armas cibernticas; prevenir da ameaa de uma guerra ciberntica; reconhecer o perigo do uso das armas cibernticas, comparvel ao perigo de uma arma de destruio em massa; criar condies para um intercmbio equilibrado e seguro entre as naes; prevenir o uso de TI por organizaes terroristas; estabelecer procedimentos para notificao mtua de ataques; desenvolver mecanismos para verificao dos compromissos assumidos;

100

 desenvolver mecanismos para resolver situaes de conflito; desenvolver sistemas para testar as tecnologias de informao contra ameaas; desenvolver sistemas de cooperao internacional para garantir o funcionamento de agncias de aplicao das leis; criar uma atmosfera de confiana nas relaes internacionais (na rea de TI); e harmonizar as legislaes nacionais de forma voluntria.

4 princpio
Orientar a responsabilidade internacional para as atividades na rea de TI, carreadas nos pases membros.

5 princpio
As disputas entre os pases devero ser resolvidas por procedimentos estabelecidos.

Proposta de plano de ao
Continuar estudos conjuntos. Manter o trabalho sob a gide da ONU. Os esforos tm de se concentrar na adoo de resolues da ONU. Desenvolver princpios internacionais (cdigo de conduta das naes). Desenvolver um regime legal internacional mtuo. Regular aes que tenham como obrigaes: restringir aes voltadas para infligir danos nas redes de informaes; proibir o uso de armas cibernticas contra determinados alvos; e criar condies para a disseminao segura das informaes e da TI.

101

 Analisar as possibilidades de: desenvolver procedimentos para notificao mtua e prevenir a disseminao no autorizada de informaes; estabelecer um sistema internacional de monitoramento; estabelecer um sistema internacional de teste de sistema de TI; fortalecer a cooperao internacional entre as agncias de aplicao das leis cibernticas; e prover assistncia internacional a pases vtimas de ataques ou agresses cibernticas.

102

Painel 2

SISTEMA DE SEGURANA E DEFESA CIBERNTICA NACIONAL

103

SISTEMA DE SEGURANA E DEFESA CIBERNTICA NACIONAL: ABORDAGEM COM FOCO NAS ATIVIDADES RELACIONADAS DEFESA NACIONAL
Joo Roberto de Oliveira*

Resumo
O presente trabalho apresenta inicialmente uma viso geral sobre como a expresso Segurana e Defesa Ciberntica vem sendo tratado no Brasil e no mundo, privilegiando a anlise dos programas, estruturas e processos que vm sendo estabelecidos, para, ao fim, indicar sugestes que podero ser teis na organizao e na consolidao de um sistema de segurana e defesa ciberntica nacional. Palavras-chave: Ciberntica, Segurana, Defesa.

* General-de-Diviso da Reserva, exerce o cargo de assessor especial do comandante do Exrcito para o Setor Ciberntico. graduado em Administrao de Empresas. Na sua carreira militar, alm dos cursos da Academia Militar das Agulhas Negras, de Aperfeioamento de Oficiais e de Comando e Estado-Maior, possui o Curso de Poltica, Estratgia e Alta Administrao do Exrcito e o Curso de Estado-Maior do Exrcito Britnico. Desempenhou as seguintes funes: comandante do 4 Batalho de Comunicaes de Exrcito; oficial de ligao do Exrcito Brasileiro junto ao Centro de Armas Combinadas nos EUA; diretor de Material de Comunicaes, Eletrnica e Informtica; comandante da 11 Regio Militar; comandante da 4 Regio Militar e 4 Diviso de Exrcito; e secretrio-executivo do Gabinete de Segurana Institucional da Presidncia da Repblica.

105

Introduo
Tratar de assunto relacionado ao tema Ciberntica requer esprito imaginativo e dedutivo bastante aprofundado, considerando a conotao no consolidada e a dinmica evolutiva bastante acentuada que o termo sugere. Entretanto, ao associ-lo aos conceitos de segurana e defesa, a imprevisibilidade e a incerteza inicialmente afloradas se tornam menos inquietantes e nos remetem a possibilidades mais concretas de visualizarmos contornos viveis para um sistema de segurana e defesa ciberntica nacional, para um horizonte temporal de aproximadamente uma dcada frente. No se trata, porm, de idealizar algo totalmente novo, inusitado, mas sim, partindo-se de organizaes e instrumentos que j existem e que j trabalham nesse tema to atual, procurar chegar-se a uma estrutura que proporcione funcionamento sistmico a conjuntos que hoje se encontram um tanto dispersos e com objetivos, em boa parte, individualizados. A obteno de atitudes sinrgicas nesse campo no tarefa fcil, pois envolve interesses pblicos e privados de caractersticas e intensidades bastante variadas. Apesar dos bices, porm, o foco deve estar voltado para a superao de eventuais divergncias setoriais, em prol do interesse coletivo e, num patamar mais elevado, para a cooperao visando consecuo dos ldimos interesses nacionais no sentido de se obter uma situao consolidada de bem-estar social, prosperidade, desenvolvimento sustentvel e de preservao da soberania nacional. O presente trabalho tem por objetivo apresentar ideias sobre como poderia estar estruturado um sistema de segurana e defesa ciberntica no Brasil, ao fim da segunda e incio da terceira dcada do presente sculo. Talvez esse horizonte temporal seja demasiado longo para um assunto inserido num campo de intensa mutabilidade e o contorno estrutural a ser sugerido j tenha que ser repensado e adequado daqui a trs ou quatro anos ou, at mesmo, antes disso. Entretanto, possvel supor que as ideias bsicas da proposta permaneam vlidas e possam sustentar provveis adequaes.

106

O ponto de partida o entendimento atual sobre o tema e como ele vem sendo tratado no Brasil e em outros pases, principalmente, naqueles de maior projeo no cenrio internacional. prefervel falar em entendimento, pois pode ser prematura a apresentao de conceitos nesse ambiente extremamente dinmico e que envolve reas interdependentes e, muitas vezes, superpostas, como a segurana da informao e das comunicaes e a segurana das infraestruturas crticas. A partir desta base inicial, da anlise de experincias que vm sendo desenvolvidas em outras partes do mundo e, principalmente, dos frutos que j vm sendo colhidos, provenientes dos esforos de coordenao de atividades correlatas no nvel nacional e da estruturao do Setor Ciberntico no ambiente de Defesa Nacional que ser desenvolvido o trabalho, para, ao fim, chegar-se a ideias que possam ser teis na organizao e na consolidao de um sistema de segurana e defesa ciberntica nacional. Tendo em vista o destaque dado ao tema, por sua insero na Estratgia Nacional de Defesa, aprovada pelo Decreto no 6.703, de 18 de dezembro de 2008, e em razo das aes que j vm sendo implementadas no mbito das Foras Armadas, a abordagem a ser feita no presente trabalho privilegiar os aspectos relacionados Defesa Nacional.

Desenvolvimento
O ambiente ciberntico e as ameaas sociedade e ao Estado
Na atualidade, o termo ciberntica utilizado com variadas conotaes, normalmente procurando estabelecer as relaes entre o homem e a mquina e seus efeitos nos ambientes das diversas atividades humanas. Sua origem vem do termo grego kybernetike, que significa condutor, governador, piloto, ou aquele que tem o leme ou o timo. Recebendo um tratamento mais cientfico no sculo passado, o seu emprego procurou caracterizar o estudo do controle e da comunicao nos seres vivos e nas mquinas, sob o enfoque da transmisso da informao nesses ambientes.

107

Com a evoluo tecnolgica, que acelerou, em velocidade vertiginosa, a capacidade de processamento automatizado de dados, o termo vem sendo usado, cada vez mais, como referncia ao uso de redes de computadores e de comunicaes para intercmbio de informaes entre pessoas e instituies. A esse ambiente de interao entre pessoas, empresas e instituies pblicas e privadas, nacionais e internacionais, utilizando modernos recursos de Tecnologia da Informao e das Comunicaes (TIC), convencionou-se chamar de ambiente ou espao ciberntico. Se, por um lado, o uso dessas modernas tecnologias computacionais e de comunicaes, que caracterizam a ciberntica trouxe grandes benefcios humanidade, facilitando o trnsito de informaes, a interao e a aproximao entre indivduos, grupos sociais, polticos e econmicos e at entre naes, por outro lado, possibilitou o aparecimento de ferramentas de intruso nesses sistemas utilizados pelas pessoas no desenvolvimento de suas atividades particulares e profissionais. No mais diversos nveis da gesto pblica ou da gesto de negcios privados de interesse pblico, esses recursos informatizados so utilizados em atividades diversas, inclusive nos sistemas de controle de setores estratgicos de uma nao, como so as infraestruturas crticas de energia, telecomunicaes, transportes, abastecimento de gua, finanas e defesa, entre outras. Nos campo da Defesa, tem-se que considerar, tambm, os recursos informatizados que controlam a utilizao dos modernos equipamentos militares, que compem os sistemas de comando e controle, de armas e de vigilncia. Nesse contexto, aes adversas de ataques cibernticos contra redes de computadores e de comunicaes utilizadas em sistemas estratgicos podem impactar at a segurana nacional, na medida em que podem interromper ou degenerar o funcionamento de estruturas essenciais sociedade e ao Estado, como o caso da estrutura militar de defesa.

108

Aes no ambiente ciberntico, a Estratgia Nacional de Defesa e a misso constitucional das Foras Armadas
A Estratgia Nacional de Defesa (END) estabelece alguns parmetros para a atuao das Foras Armadas, no que concerne s aes a serem realizadas no ambiente ciberntico, guardando consonncia com sua misso prevista na Constituio Federal. A seguir so transcritos os trechos da END que mais se relacionam ao tema tratado no presente trabalho: Diretrizes da END:
[...] 6. Fortalecer trs setores de importncia estratgica: o espacial, o ciberntico e o nuclear. Esse fortalecimento assegurar o atendimento ao conceito de flexibilidade. Como decorrncia de sua prpria natureza, esses setores transcendem a diviso entre desenvolvimento e defesa, entre o civil e o militar. Os setores espacial e ciberntico permitiro, em conjunto, que a capacidade de visualizar o prprio pas no dependa de tecnologia estrangeira e que as trs Foras, em conjunto, possam atuar em rede, instrudas por monitoramento que faa tambm a partir do espao [...] (BRASIL. Decreto n 6.703, de 18 de dezembro de 2008. Aprova a Estratgia Nacional de Defesa, e d outras providncias).

Os setores estratgicos: o espacial, o ciberntico e o nuclear:

[...] 1. Trs setores estratgicos o espacial, o ciberntico e o nuclear so essenciais para a defesa nacional. 2. Nos trs setores, as parcerias com outros pases e as compras de produtos e servios no exterior devem ser compatibilizadas com objetivo de assegurar espectro abrangente de capacitaes e de tecnologias sob domnio nacional. [...]

109

[...] 4. As capacitaes cibernticas se destinaro ao mais amplo espectro de usos industriais, educativos e militares. Incluiro, como parte prioritria, as tecnologias de comunicao entre todos os contingentes das Foras Armadas de modo a assegurar sua capacidade para atuar em rede. Contemplaro o poder de comunicao entre os contingentes das Foras Armadas e os veculos espaciais. No setor ciberntico, ser constituda organizao encarregada de desenvolver a capacitao nos campos industrial e militar.[...] (Id., Ibid.).

As aes estratgicas para implementar a END:

[...] Segurana Nacional Contribuir para o incremento do nvel de Segurana Nacional. Todas as instncias do Estado devero contribuir para o incremento do nvel de Segurana Nacional com particular nfase sobre: o aperfeioamento de processos para o gerenciamento de crises; a integrao de todos os rgos do Sistema Brasileiro de Inteligncia (Sisbin). a preveno de atos terroristas e de atentados massivos aos Direitos Humanos, bem como a conduo de operaes contra-terrorismo, a cargo dos Ministrios da Defesa e da Justia e do Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR); as medidas para a segurana das reas de infraestruturas crticas, incluindo servios, em especial no que se refere energia, transporte gua e telecomunicaes, a cargo dos Ministrios da Defesa, das Minas e Energia, dos Transportes, da Integrao Nacional e das Comunicaes, e ao trabalho de coordenao, avaliao, monitoramento e reduo de riscos, desempenhado pelo Gabinete da Segurana Institucional da Presidncia da Repblica (GSI/PR);[...] [...] - o aperfeioamento dos dispositivos e procedimentos de segurana que reduzam a vulnerabilidade dos sistemas relacionados Defesa Nacional contra ataques cibernticos e, se for o caso, que permitam seu pronto restabelecimento, a cargo da Casa Civil da Presidncia da Repblica, dos Ministrios da Defesa, das Comunicaes e da Cincia e Tecnologia, e do GSI/PR;[...] (Id., Ibid.).

110

Da anlise dessas transcries da END pode-se inferir que, para as Foras Armadas, caracterizam-se duas grandes vertentes de atuao no que se refere ao Setor Ciberntico: a configurao de uma estrutura de Tecnologia da Informao e Comunicaes (TIC) para atuao em rede; e a configurao de uma estrutura de atuao no ambiente ciberntico, quer seja nas situaes de paz ou normalidade institucional, nas situaes de crise ou na evoluo para situaes que caracterizam o estado de beligerncia ou conflito armado. Na primeira vertente, as Foras Armadas, utilizando-se de recursos de TIC, devem buscar o aperfeioamento de sua capacidade de C4I (Comando, Controle, Comunicaes, Computao e Inteligncia), para que atendam ao imperativo de atuao em rede. Isso implica o estabelecimento de uma estrutura intra e inter-foras, que permita o compartilhamento de informaes, em tempo quase real, para o apoio deciso e ao emprego dos atuadores operacionais, desde o tempo de paz ou normalidade institucional. Na segunda vertente, as Foras Armadas devem buscar o aperfeioamento de suas estruturas, de modo que participem efetivamente do esforo nacional de proteo contra as potenciais ameaas cibernticas, bem como para adquirirem capacidade de atuao eficaz no ambiente ciberntico, visando ao cumprimento de suas atribuies constitucionais. No primeiro caso, as aes se enquadram no campo de Segurana Ciberntica, envolvendo a proteo das redes de comunicaes e de computao da prpria estrutura militar de defesa, bem como a interao permanente com os rgos pblicos e privados, visando colaborar efetivamente com o esforo de proteo das infraestruturas crticas nacionais. No segundo caso, as aes se inserem no campo que se vem convencionando internacionalmente chamar de Defesa Ciberntica, envolvendo aes defensivas e de resposta ativa, mormente nas situaes de crise, estendendo-se ao uso mais abrangente de aes ofensivas nas situaes de conflito armado, o que caracteriza, no ambiente militar, o emprego de atividades de guerra ciberntica, associadas s de guerra eletrnica.

111

As atividades de Defesa Ciberntica a serem desenvolvidas pelas Foras Armadas, como parte de suas atribuies funcionais, devem obedecer a salvaguardas e controles que resguardem os direitos e garantias constitucionais, de maneira similar ao previsto na END para as atividades de inteligncia. Alm dos preceitos constitucionais, tambm devem ser obedecidos aqueles estabelecidos na Lei Complementar n 97, de 9 de junho de 1999, e em suas atualizaes posteriores.

As aes cibernticas e a atividade de inteligncia

A atividade de inteligncia exerce papel fundamental nos ambientes de Segurana, Defesa e Guerra Ciberntica. Ela essencial na busca de informaes, empregando todas as fontes disponveis, para identificar e prevenir ameaas cibernticas e proporcionar respostas adequadas, com oportunidade. Alm disso, os profissionais que atuam no Setor Ciberntico devem desenvolver atitude arraigada de contrainteligncia, a fim de proteger o conhecimento e as informaes inerentes s suas atividades. A proposta de Poltica Nacional de Inteligncia, elaborada por um Grupo de Trabalho interministerial de alto nvel, organizado em 2009, elenca os ataques cibernticos com uma das prioridades a serem consideradas nas atividades do Sistema Brasileiro de Inteligncia (Sisbin). O assunto abordado da seguinte forma, na referida proposta:
[...] 6.5 Ataques Cibernticos Referem-se a aes deliberadas com o emprego de recursos da Tecnologia da Informao e Comunicaes (TIC) que visem interromper, penetrar, adulterar ou destruir redes utilizadas por setores pblicos e privados essenciais sociedade e ao Estado, a exemplo daqueles pertencentes infraestrutura crtica nacional. Os prejuzos das aes no espao ciberntico no advm apenas do comprometimento de recursos de TIC. Decorrem, tambm, da manipulao de opinies, mediante aes de propaganda ou de desinformao.

112

H pases que buscam abertamente desenvolver capacidade de atuao na denominada guerra ciberntica, ainda que os ataques dessa natureza possam ser conduzidos no apenas por rgos governamentais, mas tambm por grupos e organizaes criminosas; por simpatizantes de causas especficas; ou mesmo por nacionais que apiem aes antagnicas aos interesse de seus pases.[...] (BRASIL. Decreto n 6.703, de 18 de dezembro de 2008. Aprova a Estratgia Nacional de Defesa, e d outras providncias).

Portanto, os rgos de inteligncia do Sisbin devem cumprir atividades importantes, dentro do pretendido Sistema Nacional de Segurana e Defesa Ciberntica.

A ameaa ciberntica e as iniciativas de resposta em vrios pases

A mdia tem noticiado, particularmente nos ltimos dez anos, vrias tentativas importantes de intruso em redes estratgicas de diversos pases do globo. Abstendo-se de eventuais exageros, possvel aquilatar o elevado potencial de danos que podem ser causados a um pas que seja alvo de um bem orquestrado ataque ciberntico, que no encontre defesas apropriadas para cont-lo. Na rea militar, a arma ciberntica j vem sendo considerada como uma nova dimenso no combate moderno, ao lado das dimenses representadas pelo combate nos ambientes terrestre, areo, martimo e espacial. Dessa forma, o combate no espao ciberntico j considerado como a quinta dimenso no conflito atual. A ameaa ciberntica j colocada, por alguns pases, em nveis semelhantes ameaa nuclear, com a vantagem (se assim pode-se dizer) de poder causar considerveis danos econmicos, polticos, militares ou sociais a um oponente real ou potencial sem que seja necessrio disparar um s tiro ou diretamente causar a morte de uma s pessoa. Trata-se de uma ameaa assimtrica, pois nem sempre o ator que pode causar maior dano o mais capaz tecnologicamente, ou o ator que detm melhores recursos tecnolgicos seja o menos vulnervel.

113

Alguns episdios so apresentados a seguir para ilustrar o grau de ameaa que pode representar o uso da arma ciberntica. Esses episdios nem sempre so reconhecidos oficialmente pelos pases alvos e, obviamente, no so admitidos pelos possveis atores. De 2003 a 2006: nesse perodo, diversas instalaes estratgicas dos Estados Unidos da Amrica (EUA), como laboratrios de pesquisa voltados a inovaes tecnolgicas, foram alvos de tentativas de penetrao em seus sistemas informatizados, provavelmente com o intuito de apropriar-se de conhecimento sensvel. Abril/maio de 2007: ocorrncias de ataques massivos a redes estratgicas da Estnia, causando degenerao no seu funcionamento. Esse episdio ocasionou a instalao de um Centro de Defesa Ciberntica, pela Organizao do Tratado do Atlntico Norte (Otan), no territrio estoniano. Setembro de 2007: suposta ao de apropriao do controle do sistema de defesa area da Sria, antecedendo ao bombardeio areo israelense contra instalaes em construo naquele pas, que seriam destinadas a apoiar o processo de produo de armas nucleares (CLARKE, 2010, p. 1-9). Agosto de 2008: ocorrncias de ataques massivos a redes estratgicas da Gergia, inclusive de Defesa, antecedendo a ao de tropas russas no territrio da Osstia do Sul. Julho de 2009: ataques a stios eletrnicos importantes dos EUA e da Coreia do Sul e suposta tentativa de penetrao no sistema de controle de fornecimento de energia eltrica norte-americano. Setembro/outubro de 2010: ataques aos sistemas de controle de infraestruturas nucleares do Ir e a sistemas estratgicos de outros pases, utilizando o sofisticado software (worm) denominado Stuxnet. No Brasil, no se tem notcia oficial de ataques cibernticos efetuados com finalidade precpua de degenerao de sistemas estratgicos. A mdia, inclusive internacional, chegou a especular que o chamado apago eltrico, ocorrido no fim de 2009, tenha sido ocasionado, tambm, por ataques cibernticos, o que, efetivamente, no foi comprovado.

114

Entretanto, isso no significa afirmar que o Pas no possa ser afetado por aes dessa natureza, j que interesses diversos podem motivar tentativas de penetrao em redes importantes e trazer consequncias danosas imprevisveis. A ameaa ciberntica vem ocasionando iniciativas de sistematizao de aes para cont-la em vrias partes do mundo. Principalmente nos pases de maior visibilidade internacional, tem-se buscado o fortalecimento de suas estruturas nacionais e a cooperao com outros Estados, sempre incluindo os sistemas de Defesa entre suas prioridades. Essas iniciativas incluem atitudes com variadas denominaes, que causam uma considervel confuso e mascaram as verdadeiras intenes por trs das estruturas e processos que so implementados. Essa confuso propagada por intermdio da mdia, com a utilizao indiscriminada de termos diferentes, na maioria com significados semelhantes, como Segurana da Informao e das Comunicaes, Segurana Ciberntica, Defesa Ciberntica e Guerra Ciberntica. Os entendimentos comumente tidos como os mais apropriados para os referidos termos so os seguintes: Segurana da Informao e das Comunicaes e Segurana Ciberntica: Normalmente refere-se proteo de redes de comunicaes e de computadores de sistemas pblicos e privados, de carter estratgico. Defesa Ciberntica: frequentemente utilizado para caracterizar a defesa, pura e simples, contra ataques cibernticos, mas o seu sentido mais amplo envolve medidas de resposta ativa e at atitudes ofensivas de carter preventivo, empregadas principalmente no contexto de aes em prol da Defesa Nacional; Guerra Ciberntica: frequentemente utilizado como referncia ao conflito ciberntico (Ataque x Defesa), entretanto, seu significado mais adequado refere-se utilizao de todo o espectro de

115

recursos cibernticos, no ambiente de preparo e emprego operacional de fraes militares, num sentido semelhante ao utilizado para caracterizar a Guerra Eletrnica. Como j dito anteriormente, vrios pases vm aperfeioando suas estruturas para lidar com essa hodierna e potente ameaa. Notcias diversas tm sido veiculadas, tais como: China e Israel estabeleceram seus Centros de Defesa Ciberntica e Rssia vem tratando o assunto com seus rgos estratgicos de mais elevado nvel na esfera de segurana nacional. Tambm tem sido noticiado que o Reino Unido est em via de pr em operao o seu Centro de Operaes de Segurana Ciberntica, com a misso principal de monitorar o espao ciberntico para detectar ameaas s infraestruturas estratgicas nacionais, atribuindo especial ateno s atividades ligadas Defesa e Inteligncia. As informaes mais comumente disponveis referem-se aos Estados Unidos da Amrica, que recentemente ativaram o seu Comando Ciberntico, o qual constitui o rgo de mais elevado nvel no mbito do Departamento de Defesa (Department of Defense)1 para o trato das atividades cibernticas. No desempenho de suas atribuies, o Comando Ciberntico interage com vrios parceiros governamentais, principalmente do Departamento de Segurana Interna (Department of Homeland Security) e outros do setor privado, de interesse da Defesa. No mbito do Departamento de Defesa, a interao do Comando Ciberntico mais intensa com: os comandos cibernticos das Foras Armadas; a Agncia de Inteligncia de Defesa (Defense Intelligence Agency); a Agncia do Sistema de Informaes de Defesa (Defense Information Systems Agency), encarregada de planejar, instalar, operar e manter, com segurana, a estrutura de Tecnologia da Informao e Comunicaes necessria para apoiar as operaes conjuntas das Foras Armadas, lderes

116

nacionais e outras misses envolvendo parcerias internacionais (coalizes), em todo o espectro de aes militares; e a Agncia de Segurana Nacional (NSA National Security Agency), responsvel pelas atividades de Inteligncia do Sinal nos EUA, as quais enquadram, tambm, as atividades de inteligncia da rea ciberntica. Cumpre ressaltar que no nvel poltico do pas, as atividades cibernticas so tratadas no mbito do Conselho de Segurana Nacional (National Security Council) e existem programas governamentais para tratar o assunto, como a Comprehensive National Cybersecurity Initiative e a National Initiative for Cybersecurity Education. A primeira iniciativa rene vrias agncias governamentais, estendendo suas aes a organizaes privadas de interesse, a fim de buscar proteg-las de tentativas de intruso e antecipar-se a provveis ameaas. A segunda abrange aes de capacitao, sensibilizao e outras necessrias para se ter profissionais adequadamente preparados para o exerccio de funes inerentes ao setor ciberntico, assim como manter o cidado educado a respeito da ameaa ciberntica. A coordenao nacional do Programa encargo do National Institute for Science and Technology e as coordenaes especficas so encargos dos seguintes rgos: Department1 of Homeland Security, para as aes visando obter um estado de prontido nacional face s ameaas cibernticas s infraestruturas crticas do pas; Department of Education e Office of Science and Techonology Policy, para as aes relativas educao formal do cidado a respeito da ameaa ciberntica, em todos os nveis, e com diferentes graus de intensidade;

Nos EUA, o termo Department corresponde a Ministrio, no Brasil.

117

 Office of Personnel Management, para a conscientizao dos servidores pblicos federais, no que se refere ao seu papel no combate s ameaas cibernticas; e Department of Defense, Department of Homeland Security e Director of National Intelligence, para a capacitao e o adestramento profissional em Segurana e Defesa Ciberntica.

Situao no Brasil referente Segurana e Defesa Ciberntica

Segurana Ciberntica e assuntos conexos No Brasil, os assuntos relacionados Segurana da Informao e das Comunicaes, Segurana Ciberntica e Segurana das Infraestruturas Crticas vm sendo tratados no mbito do Conselho de Defesa Nacional (CDN) e da Cmara de Relaes Exteriores e Defesa Nacional (Creden), do Conselho de Governo, por intermdio do Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR), que exerce as funes de Secretaria-Executiva do citado Conselho e de Presidncia daquela Cmara. Os entendimentos dos termos acima citados normalmente referem-se a: Segurana da Informao e das Comunicaes: Proteo das informaes estratgicas nacionais (que transitam por documentos, redes de comunicaes, redes computacionais, entre outros); Segurana das Infraestruturas Crticas: Proteo das instalaes, servios, bens e sistemas cuja interrupo ou destruio, total ou parcial, provocar srio impacto social, ambiental, econmico, poltico, internacional ou segurana do Estado e da Sociedade. Segurana Ciberntica: Proteo e garantia de utilizao das redes estratgicas de comunicaes e computadores.

118

As competncias do CDN esto previstas no artigo 91 da Constituio Federal de 1988 e a regulamentao de sua organizao e de seu funcionamento est contida na Lei n 8.153, de 11 de abril de 1991. As competncias, organizao e normas de funcionamento do Conselho de Governo e da Creden esto contidas na Lei n 10.683, de 28 de maio de 2003, e no Decreto n 4.801, de 6 de agosto de 2003. O artigo 6 da Lei n 10.683/2003 estabelece outras atribuies ao GSI/PR relacionadas aos assuntos anteriormente citados, como, por exemplo, a coordenao das atividades de inteligncia federal e de segurana da informao, bem como a coordenao das aes no sentido de prevenir ocorrncia e articular o gerenciamento de crises, em caso de greve e iminente ameaa estabilidade institucional e, ainda, de realizar o assessoramento pessoal ao presidente da Repblica em assuntos militares e de segurana. Outro dispositivo importante que trata do assunto em pauta o Decreto n 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal (APF) e confere Secretaria-Executiva do CDN, assessorada pelo Comit Gestor de Segurana da Informao, criado pelo prprio Decreto, e apoiada pela Agncia Brasileira de Inteligncia (Abin), por intermdio de seu Centro de Pesquisa e Desenvolvimento para a Segurana das Comunicaes (Cepesc), diversas atribuies para implementao de medidas relativas ao tema. Da anlise dos dispositivos legais citados e, ainda, do Decreto n 6.391, de 11 de agosto de 2009, que revogando o Decreto n 5.772, de 8 de maio de 2006, aprova a Estrutura Regimental do GSI/PR, verifica-se que o Gabinete centraliza a coordenao da grande maioria das medidas relativas Segurana Ciberntica e suas reas conexas de Segurana da Informao e das Comunicaes e Segurana das Infraestruturas Crticas. Na estrutura do GSI/PR destacam-se as seguintes fraes, com atribuies relativas ao tema: o Departamento de Segurana da Informao e das Comunicaes (DSIC); a Agncia Brasileira de Inteligncia (Abin); a Secretaria de Acompanhamento e Estudos Institucionais (Saei); e a Secretaria de Coordenao e Acompanhamento de Assuntos Militares (Scaam).

119

Alm do j citado Comit Gestor de Segurana da Informao, outros organismos importantes funcionam sob coordenao do GSI/PR, a saber: Grupos de Trabalho de Segurana das Infraestruturas Crticas, nas reas de energia, telecomunicaes, transportes, suprimento de gua e finanas; Grupo de Trabalho de Segurana das Infraestruturas Crticas da Informao; Grupo Tcnico de Segurana Ciberntica; e Grupo Tcnico de Criptografia. Cumpre ressaltar, ainda, a existncia da Rede Nacional de Segurana da Informao e Criptografia (Renasic), que funciona coordenada pela Assessoria de Cincia e Tecnologia do GSI/PR, e que se constitui numa rede virtual de troca de informaes sobre o tema, na qual participam pesquisadores, profissionais de entidades pblicas e privadas, do meio acadmico, e outros interessados nessas atividades. A Renasic tem gerado sinergia na discusso de problemas e solues prticas de Tecnologia da Informao e Comunicaes (TIC) e de Segurana da Informao e Comunicaes (SIC). Importantes fontes de consulta sobre os assuntos tratados at aqui so encontradas em documentos produzidos pelo DSIC/GSI, como, por exemplo, o Livro Verde Segurana Ciberntica no Brasil (MANDARINO JUNIOR; CANONGIA 2010), o Guia de referncia para a Segurana das Infraestruturas Crticas da Informao (MANDARINO JUNIOR; CANONGIA; GONALVES JUNIOR, 2010), a Compilao da legislao vigente sobre Segurana da Informao e Comunicaes (VIEIRA, 2008) e o volume 1 da Gesto da Segurana da Informao e Comunicaes (FERNANDES, 2010). Tambm constitui importante fonte de consulta o livro recentemente editado pelo diretor do DSIC, Raphael Mandarino Junior, sob o ttulo Segurana e defesa do espao ciberntico brasileiro (2010). Outros rgos importantes relacionados ao setor esto localizados, principalmente, nas estruturas da Casa Civil da Presidncia da Repblica, do Ministrio da Defesa, em especial nas Foras Armadas, e do Ministrio da Justia, em especial na Polcia Federal.

120

Defesa Ciberntica O Ministrio da Defesa e as Foras Armadas, como membros da Administrao Pblica Federal (APF), j participam ativamente do esforo nacional nas reas de Segurana da Informao e Comunicaes, Segurana Ciberntica e Segurana das Infraestruturas Crticas. Entretanto, muito importante a ampliao dessas atividades e das estruturas a elas dedicadas, para atender ao amplo espectro das operaes caractersticas de Defesa Ciberntica, as quais devem abranger: no nvel estratgico: as aes cibernticas necessrias atuao das Foras Armadas em situaes de crise ou conflito armado e, at mesmo, em carter episdico, em situao de paz ou normalidade institucional, ao receber mandado para isso; e no nvel operacional: as aes cibernticas, defensivas e ofensivas, relativas ao preparo (capacitao, adestramento ou treinamento) e ao emprego em operaes militares, de qualquer natureza e intensidade, que caracterizam o ambiente de Guerra Ciberntica. Em outras palavras, necessrio que as Foras Armadas disponham de equipamentos e sistemas militares que utilizem modernos recursos de TIC, possibilitando o seu emprego eficaz no cumprimento de suas atribuies previstas no artigo 142 da Constituio Federal e regulamentadas, quanto sua organizao, preparo e emprego, pela Lei Complementar n 97, de 9 de junho de 1999, e suas atualizaes.
Art. 142. As Foras Armadas, constitudas pela Marinha, Exrcito e Aeronutica, so instituies nacionais permanentes e regulares, organizadas com base na hierarquia e na disciplina, sob autoridade suprema do presidente da Repblica, e destinam-se defesa da Ptria, garantia dos poderes constitucionais e, por iniciativa de qualquer destes, da lei e da ordem (grifo nosso). 1 Lei complementar estabelecer as normas gerais a serem adotadas na organizao, no preparo e no emprego das Foras Armadas [....] (BRASIL. Constituio da Repblica Federativa do Brasil de 1988).

121

Ao mesmo tempo, necessrio que as Foras Armadas disponham de recursos tecnolgicos adequados para a proteo de seus sistemas de comando e controle, de armas e de vigilncia, alm de uma slida estrutura de capacitao e adestramento operacionais, bem como de capacitao tcnica para que seus recursos humanos possam atuar, com eficincia, em todo o espectro de aes cibernticas caractersticas do emprego de efetivos militares em situaes diversas, quer seja na paz, na crise ou nos ambientes de conflito armado ou guerra. A END formula diretrizes para o preparo e o emprego das Foras Armadas em atendimento s suas Hipteses de Emprego (HE), estabelecendo aes que devem ser observadas desde o tempo de paz. Como j explanado, a END estabelece que trs setores estratgicos o espacial, o ciberntico e o nuclear so essenciais para a Defesa Nacional. Visando dar provimento ao estabelecido na END para esses setores estratgicos, o Ministrio da Defesa emitiu, em 9 de novembro de 2009, a Diretriz Ministerial n 014, definindo responsabilidades sobre a coordenao e a liderana na conduo das aes referentes aos setores nuclear, ciberntico e espacial, respectivamente, Marinha, ao Exrcito e Aeronutica. Na referida diretriz ficou estabelecido que os trabalhos fossem desenvolvidos em duas fases: na primeira, seriam definidos os objetivos de cada setor e a abrangncia do tema; e na segunda, seriam definidas as aes estratgicas e elaboradas as propostas de estruturas, com o mximo aproveitamento e adequao das j existentes. No que se refere ao Setor Ciberntico, o Exrcito concluiu a 1 fase ainda em dezembro de 2009, com base nos estudos e propostas de um Grupo de Trabalho (GT) interforas. Os trabalhos daquele grupo prosseguiram e o Exrcito concluiu a 2 fase em maro de 2010. O Ministrio da Defesa aprovou as propostas do Exrcito em outubro de 2010, as quais estabelecem nove objetivos estratgicos a serem alcanados para o Setor Ciberntico, juntamente com as aes estratgicas previstas para cada um deles.

122

Os objetivos estratgicos aprovados incluem aes voltadas, especialmente, para atividades de Segurana da Informao e Comunicaes, Segurana Ciberntica e Segurana das Infraestruturas Crticas, tanto no mbito do Ministrio da Defesa e das Foras Armadas quanto na participao colaborativa, no nvel nacional, com as demais instituies envolvidas, em interao com estas, principalmente com o GSI/PR. Na rea de Defesa Ciberntica, cumpre destacar duas aes estratgicas referentes ao Objetivo Estratgico n 1, que estabelece a criao de uma estrutura de Defesa Ciberntica subordinada ao Estado-Maior Conjunto das Foras Armadas para inserir o tema nos planejamentos militares conjuntos e a criao do Comando de Defesa Ciberntica das Foras Armadas para dar execuo aos objetivos estratgicos estabelecidos para o setor e suas aes estratgicas correspondentes. Portanto, na rea de Defesa Ciberntica, j esto estabelecidos os parmetro bsicos para a expanso, o aprimoramento e a consolidao do setor, em atendimento ao estabelecido na END e s demandas para alcanar uma estrutura sistmica eficaz, no mbito nacional. A Fora Terrestre, como fora lder na conduo do processo no mbito da Defesa, antecipou aes no seu campo interno e emitiu, em junho de 2010, a Diretriz para Implantao do Setor Ciberntico no Exrcito e j em agosto do mesmo ano foram emitidas portarias criando o Centro de Defesa Ciberntica do Exrcito (CDCiber) e ativando o seu Ncleo (NuCDCiber), que j se encontra operativo, inicialmente para dar provimento aos oito projetos previstos naquela Diretriz. Os referidos projetos destinam-se a atender s necessidades prioritrias para o Exrcito, j com foco na sua atuao de fora lder no mbito da Defesa, e objetiva, em linhas gerais, (ao): expanso e aprimoramento da estrutura de segurana ciberntica j existente; expanso e aprimoramento da estrutura de capacitao, adestramento e emprego operacional j existente, para atender, tambm, s necessidades do Setor Ciberntico, incluindo, ainda, os assuntos relacionados ao tema nos currculos dos estabelecimentos de ensino da Fora; estabelecimento de uma estrutura de apoio tecnolgico e de pesquisa ciberntica;

123

 estabelecimento de uma estrutura de gesto de pessoal e de arcabouo documental (doutrina, em particular); estabelecimento de uma estrutura para atendimento das necessidades de inteligncia voltadas para o setor; e formatao da estrutura e das misses do Centro de Defesa Ciberntica do Exrcito, a partir do seu Ncleo j ativado. Cumpre destacar que na rea de Defesa Ciberntica de elevada importncia a atuao integrada das estruturas operacional, de inteligncia e de cincia e tecnologia. Nessa rea, tanto quanto na rea de Segurana Ciberntica, tambm relevante a participao de profissionais, militares e civis, das mais diversas reas de interesse, bem como a elevada cooperao entre entidades pblicas e privadas abrangidas pelo setor, inclusive do meio acadmico, tanto no mbito nacional quanto no mbito das parcerias ajustadas com outros pases.

Propostas gerais para a implantao do Sistema Nacional de Segurana e Defesa Ciberntica

Como se pode observar do que foi apresentado neste trabalho, o Brasil j possui uma estrutura bsica atuante nas reas de Segurana Ciberntica (e suas conexas Segurana da Informao e das Comunicaes e Segurana das Infraestruturas Crticas) e de Defesa Ciberntica. Na rea de Segurana Ciberntica e suas conexas, a estrutura atual confere vantagem fundamental ao concentrar a coordenao das aes principais num rgo da estrutura da Presidncia da Repblica, no caso o GSI/PR. O trabalho do GSI/PR nesse setor facilitado pela sua estrutura organizacional que permite congregar esforos das principais reas de interesse, reunindo fraes voltadas aos campos tcnicos da atividade, inteligncia, preveno e gerenciamento de crises e ao campo militar.

124

Outro fator relevante a responsabilidade atribuda ao GSI/PR de executar as atividades necessrias ao exerccio das competncias do CDN e da Creden, organismos que detm prerrogativas essenciais voltadas ao Setor Ciberntico nos campos das decises estratgicas (CDN) e da formulao das polticas pblicas e diretrizes, bem como da articulao de aes que envolvam mais de um Ministrio (Creden). Portanto, essencial que se mantenham todas essas atribuies vinculadas a um rgo da estrutura da Presidncia da Repblica, no caso atual o GSI/PR. Isso se aplica, tambm, s atividades de Defesa Ciberntica, que embora sejam mais diretamente ligadas ao Ministrio da Defesa e s Foras Armadas, necessitam da vinculao ao CDN, para as decises estratgicas, e Creden, principalmente para a articulao de aes com outros rgos pblicos e privados de interesse. Prope-se aqui o fortalecimento das estruturas j existentes e a adoo de mecanismos que proporcionem a sua atuao sistmica, como a formulao das polticas e diretrizes pblicas correspondentes e da emisso de dispositivos legais que amparem e regulamentem a atuao articulada dos rgos participantes do sistema. Pode-se buscar subsdios na instituio do Sistema Brasileiro de Inteligncia (Sisbin) e nos estudos e propostas para a sua reformulao, elaborados pelo Grupo de Trabalho interministerial organizado com essa finalidade. Quanto Defesa Ciberntica, j h estabelecidos objetivos estratgicos e aes estratgicas correspondentes, conforme explanado anteriormente. Trata-se agora de buscar implement-los. Igual processo poderia ser buscado no que se refere Segurana Ciberntica e suas conexas. Outro ponto importante a destacar a imperiosa necessidade de o Sistema contemplar a participao e a interao permanentes com a atividade de inteligncia. Neste particular, importante a expanso das atividades de Inteligncia do Sinal para abranger, tambm, as necessidades cibernticas, como est ocorrendo em outros pases. As Foras Armadas brasileiras j tm estrutura e experincia de atuao nesse ambiente. A partir da expanso e fortalecimento de suas atividades, poder-se-ia pensar em criar uma organizao que atendesse s necessidades do Estado brasileiro.

125

O mais importante, porm, no processo de organizao de um Sistema Nacional de Segurana e Defesa Ciberntica, o estabelecimento de um ambiente colaborativo permanente. Todas as instncias do Estado envolvidas nesse processo devem buscar a interao fcil entre elas e com as outras entidades de interesse, inclusive dos meios acadmico e empresarial. Tambm de capital importncia a expanso dos programas de capacitao e conscientizao hoje existentes na esfera pblica federal, bem como estabelecer outros de carter educativo para atingir outros segmentos prioritrios da sociedade.

Concluso
Se, por um lado, os avanos obtidos na rea de Tecnologia da Informao e das Comunicaes facilitam nossas vidas e trazem benefcios importantes para a humanidade como um todo, por outro, trazem, tambm, efeitos colaterais nocivos com os quais temos que aprender a lidar. A ameaa ciberntica patente e real. Ela se revela na rotina das pessoas e instituies, quer nos ambientes individual, coletivo ou profissional, e se estampa no noticirio da mdia praticamente todos os dias. No ambiente estratgico do Estado, o combate a essa ameaa deve fazer parte de suas prioridades, a fim de prevenir danos sociedade e ao prprio Estado, os quais podem assumir propores considerveis. No Brasil, apesar de ser relativamente recente a preocupao com o tema, as aes tm-se intensificado nos ltimos anos. No campo da Segurana Ciberntica, as aes ganharam maior impulso a partir da criao do DSIC no GSI/PR, em 2006, e no campo da Defesa Ciberntica, nfase maior passou a ser observada a partir da edio da END, em 2008.

126

De qualquer modo, o momento atual propcio para acelerar medidas, a fim de se organizar um eficiente Sistema Nacional de Segurana e Defesa Ciberntica. Nesse sentido, as propostas que foram apresentadas no presente trabalho buscaram indicar como parmetros prioritrios: a expanso e o aprimoramento da estrutura existente de Segurana Ciberntica e suas conexas, Segurana da Informao e Comunicaes e Segurana das Infraestruturas Crticas, mantendo-se o princpio de coordenao no rgo da Presidncia da Repblica que detm a atribuio de prover o funcionamento do CDN e da Creden, no caso o GSI/PR; a consecuo dos objetivos estratgicos, com suas aes estratgicas correspondentes, estabelecidos pelo Ministrio da Defesa, a fim de contemplar uma estrutura eficiente de Defesa Ciberntica no seu mbito e no das Foras Armadas, intensificando a interao das aes no mbito nacional; o estabelecimento de objetivos estratgicos e aes estratgicas correspondentes, a serem alcanados, tambm, no mbito da Segurana Ciberntica nacional e suas conexas Segurana da Informao e das Comunicaes e Segurana das Infraestruturas Crticas; o fortalecimento do esprito cooperativo entre as instituies do setor pblico e dessas com a academia e o setor privado, a fim de obter maior efetividade no combate ameaa ciberntica; a expanso dos programas de capacitao e conscientizao existentes atualmente na esfera federal e o estabelecimento de outros de carter educativo, para atingir outras parcelas consideradas prioritrias da sociedade; e o estabelecimento de um Grupo de Trabalho interministerial de alto nvel, no mbito da Creden, a fim de estudar e propor a organizao de um Sistema Nacional de Segurana e Defesa Ciberntica, com base na expanso, adequao e aprimoramento das estruturas existentes.

127

Referncias bibliogrficas

BRASIL. Constituio da Repblica Federativa do Brasil de 1988. Disponvel em: <http://www.planalto. gov.br/ccivil_03/constituicao/constitui%C3%A7ao.htm>. Acesso em: 16 dez. 2010. . Decreto n 6.703, de 18 de dezembro de 2008. Aprova a Estratgia Nacional de Defesa, e d outras providncias. Disponvel em:< http://www.planalto.gov.br/ccivil_03/_Ato2007-2010/2008/ Decreto/D6703.htm>. Acesso em: 16 dez. 2010. CLARKE, Richard; KNAKE, Robert. Cyber war. New York, USA: CCCO, 2010. 290p. FERNANDES, Jorge Henrique Cabral (Org.). Gesto da segurana da informao e comunicaes. Braslia: Faculdade de Cincia da Informao/UnB, 2010. v. 1. Disponvel em: <htp://dsic.planalto.gov. br>. Acesso em: 16 dez. 2010. MANDARINO JUNIOR, Raphael; CANONGIA, Cludia. Livro Verde Seurana Ciberntica no Brasil. Braslia: GSI/PR, 2010. 63p. Disponvel em: <htp://dsic.planalto.gov.br>. Acesso em: 16 dez. 2010. MANDARINO JUNIOR, Raphael; CANONGIA, Cludia; GONALVES JUNIOR, Admilson. Guia de referncia para a Segurana das Infraestruturas Crticas da Informao. v. 1. Braslia: GSI/PR, 2010. 151p. Disponvel em: <htp://dsic.planalto.gov.br>. Acesso em: 16 dez. 2010. MANDARINO JUNIOR, Raphael. Segurana e defesa do espao ciberntico brasileiro. Recife: CUBZAC, 2010. 182p. VIEIRA, Tatiana Malta. Compilao da legislao vigente sobre Segurana da Informao e Comunicaes. Braslia: GSI/PR, 2008. Disponvel em: <htp://dsic.planalto.gov.br>. Acesso em: 16 dez. 2010.

128

A segurana e as ameaas cibernticas: uma viso holstica

Otvio Carlos Cunha da Silva*

Introduo
O espao ciberntico, a segurana ciberntica e outras expresses relacionadas so amplamente usadas como se o seu significado fosse claro e fora de qualquer debate. A realidade, porm, que esses termos mascaram uma srie de pressupostos ainda no testados e perguntas sem resposta, apresentando uma sria dificuldade para os decisores polticos e os responsveis pela segurana nacional. A segurana ciberntica (segurana a partir do espao ciberntico) amplamente considerada como um problema urgente e de alto nvel, que no pode ser ignorado. Mas a natureza exata desse problema ainda no est bem definida. Essa combinao de intuio e de incerteza (misturada com pessimismo) pode subverter a anlise, incentivando uma mudana na direo da pior avaliao e uma tendncia a focar a poltica (e despesas) quase exclusivamente em eventos de alto impacto e de baixa probabilidade. Desde a introduo do circuito integrado na dcada de 1950, a economia mundial tem crescido cada vez mais dependente de uma infraestrutura de informaes digitais. Atualmente, difcil imaginar uma grande empresa ou organizao que no dependa de Tecnologia da Informao e Comunicaes (TIC). Indstrias que variam desde ferrovias at venda ao atacado, todas dependem de sistemas de TIC para
* O autor Coordenador-Geral do Centro de Pesquisa e Desenvolvimento para Segurana das Comunicaes (Cepesc), da Agncia Brasileira de Informaes (Abin). graduado em Engenharia Eltrica pela Universidade de Braslia (UnB), Administrao de Empresas e Economia, ambos pelo Ceub e possui ps-graduao em Gesto do Desenvolvimento Cientfico Tecnolgico e Gesto de Segurana da Informao, ambos pela UnB e Ps graduao em Comrcio Internacional pela AEUDF. Na sua carreira, trabalhou como Engenheiro Eletrnico na General Eletric, Engenheiro Eletrnico na Siemens S.A. J no Cepesc/Abin foi Pesquisador na Diviso de Projetos, Coordenador-Geral de Suporte Tcnico, Coordenador-Geral de Segurana da Informao e Diretor do Centro de Pesquisa e Desenvolvimento para Segurana Comunicaes.

129

manter comunicaes de negcios essenciais com clientes e fornecedores. No setor financeiro, negcios no valor de centenas de bilhes de dlares so transacionados diariamente por meio de redes de dados globais, pblicos e privados. No setor pblico, as instituies se utilizam de sistemas cibernticos para o fornecimento de servios essenciais sociedade nas mais diversas reas, tais como: sade, educao, bem-estar social etc. A dependncia da sociedade com relao a redes e sistemas de TIC parece apenas aprofundar o advento da computao em nuvem, o que significar que a tecnologia digital ir penetrar cada recanto da economia e da sociedade.1 No , portanto, nenhum exagero dizer que a economia global agora dependente de um conhecimento complexo e habilitado em banda larga ciberntica. Com a dependncia vm a exposio e a vulnerabilidade, alm de um conjunto extenso de oportunidades a serem exploradas pelos inescrupulosos. A dependncia da sociedade em relao a TIC agravada pela interdependncia crescente dos sistemas de informao, tornando difcil saber quais repercusses as falhas em uma parte do sistema tero em outro. Como a dependncia nesses sistemas complexos aumenta, tambm aumenta a vulnerabilidade da sociedade com seu uso indevido e, portanto, cresce a gravidade das consequncias de eventuais ataques ou falhas dos sistemas (que podem, em termos prticos, ser indistinguveis). Como citado anteriormente, a sociedade est cada vez mais dependente talvez absolutamente das tecnologias, as quais os prprios adversrios podem se utilizar para atacar. Nessas circunstncias, no fcil determinar o que deve ser protegido, contra quem e com que meios. Contudo, o desafio da segurana ciberntica muito mais profundo. Segurana ciberntica muitas vezes descrita, explicada e analisada dentro de um quadro de poltica tradicional, onde o idioma e os conceitos organizacionais so muitas vezes derivados dos militares: ameaa, agresso, ataque e defesa esto entre os termos mais familiares. Em alguns casos, pode ser apropriado analisar o problema a partir desse ponto de vista e agir em conformidade com ele. Porm, a aplicao do pensamento ortodoxo da segurana e defesa muitas vezes pode resultar em segurana ciberntica sendo entendida como algo em que a intruso vem de fora, que feito por eles contra ns. No entanto, a correlao entre dependncia e vulnerabilidade d uma indicao importante que segurana ciberntica um problema mais desafiador que isso, que talvez no seja propcio apenas uma anlise linear com base em ao e reao, causa e efeito. Na verdade, segurana ciberntica provavelmente mais bem com1

Retirado da revista The Economist, Let it rise: A special report on corporate IT, The Economist, 25 October 2008, p. 3. Disponvel em <http://www.economist.com/node/12411882> .Acessado em 19 de fevereiro de 2010.

130

preendida como um problema complexo, que caracterizado pela incerteza e no-linearidade, que dinmica e constantemente em evoluo, e no qual pode ser difcil estabelecer relaes causais claras e ntidas dividindo linhas entre sujeito e objeto. A integridade do conhecimento ciberntico global complexo fundamental no s para o funcionamento corrente da economia mundial, mas tambm para a segurana e o bem-estar de governos, organizaes e pessoas: organismos pblicos podem ser atacados, interesses comerciais podem ser fraudados e indivduos podem ser sujeitos a uma srie de agresses. A anlise da segurana ciberntica de qualquer sistema, deve ser efetivamente realizada pela caracterizao das ameaas cibernticas que possam alterar o seu funcionamento em termos de integridade, autenticidade, disponibilidade e, em alguns casos, confidencialidade. Embora a tarefa seja aparentemente simples, descritiva, pode ser um difcil compromisso, especialmente porque essas grandes categorias de desafios de segurana podem sobrepor-se consideravelmente.

A internet: um ecossistema
A internet um sistema global das redes altamente complexo que est constantemente evoluindo e sendo alterado. Os vrios ambientes que compem esse ecossistema2 operam em vrios nveis, cada um dos quais realiza uma funo de apoio para os outros nveis, e assim ocorre por toda a rede e, por extenso, no prprio ecossistema da internet.3 Assim como a internet evolui e muda, o nmero e a complexidade das ameaas em todo o ecossistema da rede tambm se transformam e se alteram. A
Um ecossistema um subconjunto de um ambiente sem limites que funciona como uma unidade. Assim como planejamento prvio em um sistema sem limites intratvel, um ecossistema (ciberntico) fornece um espao de soluo vivel para a resistncia (proteo) e resilincia (recuperao). Modelos de ecossistemas desenvolvidos pelos bilogos para compreender a dinmica complexa dos sistemas na natureza fornecem uma base para percepo da garantia da informao para sistemas em rede. Ecossistemas cibernticos formam pares com outros ecossistemas cibernticos em pontos de troca designados e podem funcionar de forma segura dentro da internet. Exemplos atuais desses ecossistemas dentro da internet incluem intranets, redes ISP, redes virtuais privadas e novas formas de sobreposio de redes, tais como redes de distribuio de contedo. (JORGENSEN, 2001). 3 NORTON, William B. The Evolution of the U.S. Internet Peering Ecosystem, November 19, 2003.Disponvel em: <http:// dev.nanog.org/meetings/nanog31/presentations/norton.pdf>. Acesso em: jul. 2010.
2

131

transformao da internet de uma rede de pesquisa de elite em um meio de comunicao de massa alterou drasticamente a equao da ameaa ciberntica global. O sistema global de TIC pode ser explorado por uma variedade de usurios ilegtimos e ainda pode ser usado como uma ferramenta de agresso em nvel de Estado. Essas atividades podem ser organizadas ao longo de um espectro de execuo do crime de nvel inferior, individual (hacking, por exemplo), ou relacionadas ao comportamento dos intervenientes no estatais e grupos (ou seja, os criminosos e terroristas), e, ainda, aos planos orquestrados pelos governos. importante observar que, embora este espectro de atividades tenha mrito como um dispositivo organizacional, ele errado analiticamente. Esses diversos usurios da internet no se enquadram em campos distintos e muito menos em uma hierarquia simples de ameaas. Por exemplo, hacking pode ter uso muito grave no crime organizado; criminalidade organizada pode ser vinculada ao terrorismo internacional; e terrorismo pode ser usado como uma ferramenta de agresso do Estado. Esse ponto colocado de maneira impressionante na autobiografia, escrita na priso, de Abdul Aziz, tambm conhecido como Imam Samudra um dos responsveis por bombardeio terrorista em Bali em 2002, quando 202 pessoas foram mortas , que incitava, em pgina na internet, jovens muulmanos a take the holy war into cyberspace by attacking U.S. computers, with the particular aim of committing credit card fraud, atacando computadores dos EUA, com o objetivo especfico de cometer fraude de carto de crdito, com o propsito de financiar a luta contra os Estados Unidos e seus aliados.4

Nveis das ameaas cibernticas

Segundo Cornish (2010), em estudo realizado por solicitao do Comit de Assuntos Exteriores do Parlamento Europeu, podem ser as ameaas cibernticas classificadas, em termos de criminalidade, em quatro nveis: crime de baixo-nvel/individual (hacking), criminalidade grave e organizada, extremismo poltico e ideolgico e ataques cibernticos patrocinados pelo Estado. Esses nveis apresentam uma ampla gama de perigos e riscos, muitas vezes interconectados, que os decisores polticos na rea de segurana devem enfrentar.

SIPRESS, A. An Indonesians Prison Memoir Takes Holy War into Cyberspace, Washington Post. Disponvel em: <http:// www.washingtonpost.com/wp-dyn/articles/A62095-2004Dec13.html>. Acesso em: 19 fev. 2010.

132

A seguir sero apresentados os nveis das ameaas cibernticas:

Nvel 1: crime de baixo nvel/individual (hacking)

No espectro das ameaas cibernticas, o ponto de partida o script kiddie, usando ferramentas de software concebidas e fornecidas por terceiros para interferir em redes de computadores, juntamente com o hacker. Em qualquer anlise de hacking de computador um sentimento de equilbrio muitas vezes difcil de manter. Para alguns analistas, hacking deveria ser considerada uma faceta mais ou menos discreta da segurana ciberntica; mas, para outros, no tem coerncia e nenhum sentido equivalente a outras ameaas mais graves. A ameaa do hacking muitas vezes superestimada e at mesmo dramatizada, como se a infraestrutura de redes de TIC global fosse ser destruda pelos esforos incessantes de jovens aborrecidos que procuram algum estmulo.

Nvel 2: a criminalidade ciberntica organizada

A internet tornou-se um ponto central de atividades pessoais, polticas e comerciais, bem como um meio de vital importncia para transaes financeiras e intelectuais. No deve surpreender, portanto, o fato de que o interesse criminoso na internet desenvolveu-se na mesma proporo.O mundo ciberntico tornou-se um alvo tentador e lucrativo para a moderna empresa do crime. A meta de toda essa atividade parece suficientemente clara: muitas dessas ameaas podem ser usadas para ganhos financeiros, realizando aes como o roubo de informaes confidenciais que podem ser vendidas on-line.Essas receitas, em seguida, podem ser usadas para pagar os programadores para continuar criando novas ameaas.5 Quanto aos empreendimentos da criminalidade organizada no espao ciberntico, eles podem continuar mais ou menos conforme as definies tradicionais e os entendimentos da criminalidade, ou ela pode adaptar-se s circunstncias alteradas, evoluindo para algo novo e distinto.Em outras palavras,
SYMANTEC CORPORATION. Global Internet Security Threat Report: Trends for July-December 2007 (v. XIII, p. 45-46, April 2008). Disponvel em: <http://eval.symantec.com/mktginfo/enterprise/white_papers/bwhitepaper_internet_security_threat_report_xiii_04-2008.en-us.pdf>. Acesso em: 01 mar 2010.
5

133

uma ameaa ciberntica pode ser manifestada pela criminalidade organizada de duas maneiras: por um lado, uma organizao criminosa pode fazer uso do espao ciberntico para continuar as suas atividades criminosas, enquanto, por outro lado, um novo gnero de crime organizado pode evoluir, o que exclusivo do espao ciberntico. Choo e Smith (2008) estabelecem uma distino entre tradicionais grupos criminosos organizados e grupos de criminosos cibernticos organizados.6 Poltica de segurana ciberntica que ignore esta distino e que pressuponha que a criminalidade ciberntica seja uma ameaa unitria, monoltica, ir quase certamente falhar quanto ao foco necessrio para o planejamento eficaz. Grupos criminosos graves, tais como as triads asiticas (organizaes criminosas primariamente estabelecidas em Hong Kong e ativas em Taiwan e na China Continental), a Yakuza japonesa e organizaes do Leste Europeu talvez explorem o espao ciberntico para uma variedade de efeitos bastante previsveis, incluindo lavagem de dinheiro, trfico de drogas, extorso, roubo de informaes de carto de crdito, fraude de ATM, pirataria de software, espionagem industrial, falsificao de documentao e assim por diante.7 Esse fenmeno tem sido descrito como a migrao do crime organizado do mundo real para o crime organizado do mundo no espao ciberntico.8 Entretanto, organizaes de crimes cibernticos iro colocar muito menos nfase na fora fsica e sero menos interessadas em desenvolver uma associao exclusiva e extremamente leal. Como sugerem Choo e Smith, os membros de uma organizao de crimes cibernticos podem apenas encontrarem-se on-line.9 A organizao de crimes cibernticos normalmente ser mais pragmtica; movida menos pela fidelidade da gangue que pela necessidade de reunir as competncias tecnolgicas necessrias no momento certo: no mundo ciberntico, sugere Brenner (2002), fora fsica insignificante [] fora est no software, no no nmero de indivduos.10

CHOO, K. R., e SMITH, R. G. Criminal exploitation of Online Systems by Organized Crime Groups. Asian Criminologyv. 3, n. 1, p. 39-40, junho de 2008. 7 Ibid, p. 40. 8 BRENNER, S. W. Organized Cybercrime? How Cyberspace May Affect the Structure of Criminal Relationships. North Carolina Journal of Law & Technology. v.4, Issue 1, p. 24, Fall 2002.
6

CHOO, K. R., e SMITH, R. G. Criminal Exploitation of Online Systems by Organized Crime Groups, Asian Criminology (v. 3, n. 1, p. 39-40, June 2008). 10 Ibid., p. 27.
9

134

Efetivamente, pode haver pouca necessidade de uma organizao complexa (muito menos hierrquica) no espao ciberntico. Brenner argumenta que uma estrutura organizacional elaborada no deve ser necessria para os criminosos operarem em um mundo virtual que pode ser construdo mais ou menos como os desejos do usurio. O espao ciberntico mutvel; o que o criminoso ciberntico necessita agilidade e capacidade de resposta, em vez de estrutura. Se a criminalidade ciberntica requer alguma forma de organizao, ela precisa ser no mais do que uma mfia do momento, que ir desaparecer quando no h mais necessidade de grupos.11 A criminalidade ciberntica usar tecnologia sofisticada e tambm ter cobertura internacional. A queda do Frum Darkmarket ocasionou detenes no Reino Unido, Alemanha, Turquia e os Estados Unidos depois de seguidos anos de trabalho de investigao. Grupos de criminosos cibernticos tendem a adotar uma estrutura no hierrquica em rede. Mais e mais modelos ocasionais de organizao esto melhorando sua capacidade de se adaptar rapidamente s circunstncias em mudana. Geometria varivel deste tipo poderia igualmente ser um apelo aos grupos extremistas baseados na criminalidade por uma razo ou outra. Grupos extremistas valorizam uma estrutura que baseada na eficcia, na criao de riqueza, mas que no requer uma infraestrutura pesada e rastrevel.

Nvel 3: ideolgico e extremismo poltico

Pelo fato de a internet estar se tornando o mais importante local de reunio para jihadis de todo o mundo, para se comunicar, discutir e partilhar as suas opinies.12 O chamado terrorismo ciberntico comea com hacking e baixo nvel de criminalidade.Younis Tsouli, descrito como um dos ciber-jihadistas mais famosos do mundo,13 usa habilidades de hackers para invadir e subverter as redes de computadores a fim de distribuir arquivos de vdeo de ataques terroristas e usar o produto da fraude de carto

Ibid., p. 37-46. STERNESEN, A. The Internet: a virtual training camp? Terrorism and political violence (v. 20, p. 228, 2008) 13 CORERA, G. The worlds most wanted cyber-jihadist, BBC News, 2007. Disponvel em: <http://news.bbc.co.uk/go/pr/ fr/-/2/hi/americas/7191248.stm>. Acesso em: 01 mar 2010.
11 12

135

de crdito comum para configurar stios de jihadi.14 Por esses meios, Tsouli tornou-se o administrador de um dos mais importantes stios extremistas que facilitou contatos entre milhares de indivduos.15 Aps sua deteno e priso subsequente, atividades de Tsouli foram descritas por um oficial de contraterrorismo snior como a primeira conspirao virtual para assassinar que vimos, bem como uma revelao importante quanto forma como os extremistas tornaram-se competentes para desempenhar a conduo de um planejamento de nvel operacional na internet.16 A popularidade da internet entre extremistas ideolgicos e polticos pode ser explicada de diversas formas, i.e., seu objetivo inicial: ser uma rede que pudesse oferecer rotas redundantes de comunicao de dados entre organizaes militares em caso de um ataque nuclear; uma rede com baixo custo de acesso, tendo em vista a questo da guerra fria que predominava poca do estabelecimento da Arpanet (posteriormente denominada Internet). No de se surpreender, portanto, que os extremistas so atrados para um sistema que oferece resistncia em construo e anonimato virtual. Eles tambm podem ser atrados para um sistema que de custo quase gratuito, e no qual os investimentos necessrios para desenvolver e manter a infraestrutura de comunicaes globais j foram feitos ironicamente por seus inimigos. A internet um terreno comum e anrquico que os extremistas podem explorar de maneiras extraordinariamente interessantes, assim como a sociedade o faz, para fins de comunicao e compartilhamento de informaes.17 tambm especialmente adequada para utilizao por organizaes que so deliberadamente opacas na sua estrutura e inteno. Em termos funcionais, a internet oferece uma srie de servios teis para os extremistas. Em primeiro lugar, um meio para comunicaes em vrios nveis: em claro, criptografados e estegnografados.18

Retirado de A world wide web of terror, The Economist, 14 July 2007. Disponvel em < http://www.economist.com/ node/9472498?story_id=9472498 > Acesso em: 01 mar 2010. 15 CORERA, G. The worlds most wanted cyber-jihadist, BBC News, 2007.Disponvel em: <http://news.bbc.co.uk/go/pr/fr//2/hi/americas/7191248.stm>. Acesso em: 01 mar 2010. 16 Ibid.
14

STENERSEN, A. The Internet: a virtual training camp?. Terrorism and Political Violence (v. 20, p.215, 2008). Diferente da criptografia, a estenografia (escrita oculta) uma forma de comunicao encoberta na qual a mensagem em si (e no apenas o significado) escondida.
17 18

136

Ordens executivas podem ser transmitidas por esses meios, operaes podem ser planejadas, e pode-se ainda organizar campanhas para levantamento de fundos. Por meio da utilizao de fruns de discusso, bulletin boards, grupos de mdia, postagens em blogs e web, a internet pode permitir tambm treinamento e tcnicas e at mesmo ideias para serem discutidas de forma interativa. Tticas e procedimentos podem ser melhoradas atravs de um processo de avaliao on-line rpida; e doutrinas e ideologias podem ser objeto de crtica. Existe acordo geralmente mais sobre a importncia da internet para a doutrinao, a contratao e a radicalizao dos extremistas.Recrutamento tornou-se um recurso importante do extremismo ciberntico, de tal forma que um Frum de Internet de jihadi al-Qaeda chegou a carregar um manual de 51 pginas intitulado A arte de recrutamento, que pretende mostrar como indivduos podem ser atrados e, finalmente, estabelecer uma clula ativa jihadi.19 Porm,com tantos recursos disponveis na internet, recrutamento e radicalizao j no so simplesmente uma questo organizacional, mas tambm, e cada vez mais, uma questo de auto-incentivo ou auto-recrutamento e auto-radicalizao.20 Depois de radicalizados e treinados por meio da internet, extremistas podem descobrir que a rede continua a ser til como arma. A ilustrao mais clara dessa tendncia so os extremistas para quem a internet passou a ser um espao de batalha em seu prprio direito; um territrio no qual uma jihad virtual pode ser combatida. Esses indivduos podem contribuir por comentar, reproduzir e distribuir os pensamentos de lderes terroristas, coletando e distribuindo informaes de fontes abertas teis para o planejamento operacional e tomando parte em medidas mais ativas, como hacking e ataques de negao de servio (DOS). Claramente, se a infosfera na verdade um espao no governado, onde os rebeldes esto determinados a lutar e vencer a batalha de ideias.

19

BAKIER, A. H. Jihadis publish online recruitment manual, Terrorism Focus , v. 5 n. 34, THE JAMESTOWN FOUNDATION,

24 September 2008. Disponvel em: <http://jamestown.org/single?no_cache=1&tx_ttnews%5D=5179>. Acesso em:1 mar. 2010. 20 DRENNAN, S. e BLACK, A. Jihad online: The changing role of the internet, Janes Intelligence Review, August 2007.

137

Nvel 4: agresso ciberntica patrocinada pelo Estado

A dimenso interestatal da utilizao incorreta do mundo ciberntico pode comear em um nvel relativamente baixo de tecnologia. Seria um erro assumir, no entanto, que o significado de tais ataques proporcionalmente baixo. Cita-se o caso de abril de 2008, por exemplo, de relatrios de difuso de um ataque contra oito stios da internet operados pela Radio Free Europa/Radio Liberty (RFE/RL).Na tentativa orquestrada para saturar os stios de destino, algo em torno de 50 mil falsos hits foram registados a cada segundo. Isso era praticamente a mais sofisticada forma de operao ciberntica. No entanto, a origem do ataque foi alegada sem nenhuma exceo Do ditador de mais longo mandato na Europa, Aleksander Lukashenko da Bielorrssia, declaradamente com o objetivo de limitar a cobertura miditica dos protestos da oposio contra seu regime.21 provvel que a guerra ciberntica seja um recurso cada vez mais importante no conflito entre Estados-nao nos prximos anos. Na verdade, perdas e ganhos no espao ciberntico podem ser to decisivos que o carter da guerra poderia alterar fundamentalmente, assim como a fsica e os parmetros territoriais do conflito do lugar para o virtual e o digital.

Questes crticas
As questes anteriormente descritas demandam um estudo aprofundado e devem ser consideradas estratgicas por qualquer Nao que venha a pleitear um posicionamento entre os principais atores globais que esto, a cada dia que passa, mais dependentes de sistemas de informao interconectados, por intermdio de redes de comunicao, a outros sistemas nacionais ou estrangeiros, utilizando-se da internet como espinha dorsal para viabilizao do alto nvel de conectividade necessrio para negcios, quer na esfera privada e/ou pblica. Antes de qualquer resposta s questes formuladas, mesmo se a vtima de um ataque ciberntico no planeja lanar outro ataque em resposta, importante caracterizar o ataque recebido, para efeitos de
HUGHES, R. A treaty for cyberspace. International Affairs 86: 2, 2010. Blackwell Publishing Ltd. Disponvel em: <http:// www.cyberdialogue.ca/wp-contents/ Rex-Hughes-A-Treay-for-Cyberspace>. Acesso em: 01 mar. 2011.
21

138

forense computacional e aplicao da lei. Para tal, alguns itens so tidos como fundamentais para a caracterizao de um ataque e eventual resposta, qualquer que seja ela at mesmo o silncio pode ser encarado como uma resposta. Dentre essas questes crticas destacamos: a atribuio, a inteno e a dissuaso ciberntica. Atribuio A atribuio o esforo para identificar o responsvel por um ataque ciberntico. A tcnica de atribuio a capacidade de associar um ataque a um responsvel por meio de meios tcnicos, com base nas informaes disponibilizadas pelo fato do ataque ciberntico em si. A triste realidade que essa tcnica muito difcil de ser realizada (diz-se muitas vezes que bits no vestem uniformes) e pode ser quase impossvel de ser efetivada quando um usurio inconscientemente comprometido ou inocente est envolvido. A atribuio de um ataque no deve ser confundida com estabelecimento ou identificao de um caminho de acesso para a origem do ataque. A diferena entre atribuio e ter um caminho de acesso significativa, porque na ausncia de um caminho de acesso, neutralizao de um ataque ciberntico no possvel, embora a retaliao para ele possa ser. O inverso tambm verdadeiro: na ausncia da atribuio, retaliao ou represlias no so possveis, apesar de ser possvel a neutralizao de um ataque ciberntico. Inteno No domnio do tradicional conflito militar, geralmente presumido que os governos nacionais controlam as armas de guerra fragatas, avies de ataque, tanques e assim por diante. Assim, se qualquer uma dessas armas usada, h uma presuno de que aes envolvendo-as tenham sido sancionadas pelo governo controlador, e inferncias, muitas vezes, podem ser feitas no que diz respeito inteno do governo que deflagra essas aes. Contudo, quando outras armas no so controladas exclusivamente pelos governos, inferir a inteno da ao muito mais problemtico. Tal fato especialmente notrio se no possvel estabelecer comunicao com a parte controladora como pode vir a ser o caso de um ataque ciberntico. Atribuio de um ataque ciberntico ajuda, mas se a parte identificada

139

como responsvel no um governo nacional ou outra parte com intenes declaradas na direo do governo, ser praticamente impossvel determinar a inteno com alta confiabilidade. Determinaes de intenes e atribuio da fonte so muitas vezes complicadas, e inadequadamente tendenciosas, por falta de informao. Em ltima anlise, tais decises so feitas por seres humanos, que procuram integrar todas as informaes disponveis para processar um acrdo. Essa integrao pode ser automatizada, mas so pessoas que programam as regras de integrao. Dissuaso Ciberntica O objetivo da dissuaso desincentivar o incio ou a efetivao de uma ao mais hostil. A dissuaso ciberntica tem de ser passvel de repetio,porque nenhum ato vivel de retaliao ciberntica suscetvel de eliminar o Estado transgressor, conduzir queda ou derrubada do governo, ou, at mesmo, desarmar o Estado. Assim, um Estado poderia atacar, sofrer retaliao e atacar outro dia. A dissuaso ciberntica tambm simtrica porque tem lugar entre os pares.

Consideraes finais
O espao ciberntico pode ser descrito (embora no calculado) como a soma das inmeras interaes entre inmeros usurios globais da infraestrutura de TIC. Para conseguir absoluta e perfeita segurana no espao ciberntico seria necessrio identificar e isolar todos os usurios malignos e impedir seus componentes e interaes. Entretanto, faz-lo mesmo que fosse possvel , seria contradizer a essncia do espao ciberntico como uma tecnologia global de todos; uma repblica das comunicaes e de intercmbio de informao em nvel mundial. De acordo com Vinton Cerf, conhecido como o pai da internet, se cada jurisdio no mundo insistir em alguma forma de filtragem para seu territrio geogrfico especfico, a web vai parar de funcionar.22

22

Retirado de Geography and the Net: putting it in its place, The Economist, 9 August, 2001.

140

A segurana ciberntica constitui-se em assunto complexo e profundo. Sua anlise deve ser executada sob ponto de vista holstico, levando-se em considerao a multiplicidade de reas do conhecimento que se fazem necessrias para o tratamento adequado dessa questo, ou seja, permitir que os integrantes desse espao ciberntico tenham a garantia de que seus ativos informacionais estejam garantidos em termos de disponibilidade, integridade, autenticidade e, quando necessrio, a confidencialidade; que no sejam repudiados e que a infraestrutura crtica seja resiliente o suficiente para continuar operando mesmo sob ataques hostis. Assim como o espao ciberntico evolui, espera-se que as ameaas e os desafios que emanam dele tambm evoluam. A dependncia da rea de TIC acarreta exposio e vulnerabilidades e um conjunto cada vez maior de oportunidades para explorao por parte dos inescrupulosos, como no mundo real. A segurana ciberntica deve ser um esforo coletivo e no pode ser vista apenas como responsabilidade de um nico ator, o governo. Todos os atores devem participar nesse esforo de manuteno de estabilidade, tendo em vista as inmeras interaes entre todos os sistemas de informao existentes. Logo, se a questo no for analisada, debatida, pesquisada e tratada de maneira conjunta, isto , todos os atores envolvidos fazendo cada um a sua parte no processo de assegurar a informao, muito ser despendido e pouco resultado ser obtido. A segurana ciberntica muito mais do que apenas uma questo de segurana nacional ou defesa militar, ela uma questo integrada e, para tal, necessita de um esforo integrado dos setores civil e militar, mantendo-se as suas competncias individualizadas, mas que sob um ponto de vista estratgico seja aplicado de acordo com a gravidade do assunto em pauta. Enfim, acreditamos ser fundamental o estabelecimento de um projeto de parceria pblico-privada na qual as questes relacionadas s ameaas cibernticas, bem como as aes necessrias para a garantia da segurana do espao ciberntico, sejam tratadas de maneira integrada pelos atores anteriormente mencionados.

141

Referncias
BAKER, Stewart; IVANOV, George; WATERMAN, Shaun. In the Crossfire: Critical Infrastructure in the Age of Cyber War. Santa Clara, CA: McAfee, 2010. Disponvel em: <http://resources.mcafee.com/content/NACIPReport>. Acesso em: 10 mai. 2010. BRENNER, S.W. Organized Cybercrime? How cyberspace may affect the structure of criminal relationships. North Carolina Journal of Law and Technology, v. 4 n. 1, 2002. CARR, Jeffrey. Inside Cyber Warfare. Sebastopol, CA: OReilly Media, 2009. CORNISH, Paul. Cyber Security and Politically, Socially And Religiously Motivated Cyber Attacks. Directorate-General for External Policies of the Union, Feb. 2009. Disponvel em: <http://www.chathamhouse.org.uk/publications/papers/view/-/id/702/>. Acesso em: 1 mar. 2010. CORNISH, Paul; HUGHES, Rex; LIVINGSTONE David, Cyberspace and the National Security of the United Kingdom: Threats and Responses. United Kingdom: Chatham House, Mar. 2009. Disponvel em: <http://www.chathamhouse.org.uk/publications/papers/view/-/id/726/>. Acesso em: 1 mar. 2010. GOODMAN, Seymour; PORTNOY, Michael, Global Initiatives to Secure Cyberspace: An Emerging Landscape. New York, NY: Springer Science, 2009. EUROPEAN UNION COMMITTEE, HOUSE OF LORD, PARLIAMENT OF THE UNITED KINGDOM. Protecting Europe against cyber-scale cyber-attacks. Parliament of the United Kingdom, March 2010. Disponvel em: <http://www.publications.parliament.uk/pa/ld200910/ldselect/ldeucom/68/6802.htm>. Acesso em: 10 mai. 2010. JORGENSEN, J. Cyber ecology: looking for insights into information assurance.Washington, DC: DARPAInformation Survivability Conference and Exposition (DISCEX II), p. 287-296, 2001.

142

LIBICKI, Martin C. Cyberdeterrence and Cyber War. Santa Monica, CA. RAND Corporation, 2009. Disponvel em: <http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf>. Acesso em: 1 mar. 2010. MAZZAFRO, Joseph. Addressing cyber security through public-private partnership: an analysis of existing models. Arlington, VA: Intelligence and National Security Alliance, 2009. Disponvel em: <http:// www.insaonline.org/index.php?id=746>. Acesso em: 1 mar. 2010. YAMASAKI, T.; USHIO T. An application of a computational ecology model to a routing method in computer networks. IEEE Transactions on Systems, Man, and Cybernetics-Part B: Cybernetics,v. 32, n. 1, Feb. 2002.

143

Estratgia de proteo da infraestrutura crtica de informao e defesa ciberntica nacional

Srgio Lus Ribeiro*

Resumo
Assim como ocorre em outros pases, papel do Estado proteger suas infraestruturas crticas e, consequentemente, o espao ciberntico e a infraestrutura crtica de informao que a suportam, a fim de criar condies para o desenvolvimento sustentvel do pas. A proteo da infraestrutura crtica de informao faz parte da poltica de Estado, a fim de abranger, alm da definio de estratgias, papis e responsabilidades, um mtodo de entender, analisar e avali-las em termos de elementos crticos, ameaas, vulnerabilidades, riscos e controles que visam preveno de incidentes que causam impactos no somente prpria infraestrutura, mas tambm a outros setores, com uma reao em cadeia que pode afetar toda a sociedade. Uma infraestrutura crtica formada por diversos elementos, que precisam ser conhecidos, a fim de serem priorizados em uma eventual estratgia de proteo. Essa proteo pode e deve ser dimensionada de acordo com os diferentes cenrios e simulaes, o que facilitaria o entendimento e otimizaria os recursos existentes.

* O autor pesquisador em Segurana da Informao da Fundao Centro de Pesquisa e Desenvolvimento (CPqD). Tem graduao em Matemtica e ps-graduao em Anlise de Sistemas, ambos os cursos pela Pontifcia Universidade Catlica de Campinas. Possui, tambm, MBA Executivo Internacional, pela Fundao Getlio Vargas. autor de varias publicaes e tem quatro patentes e duas certificaes em seu nome. Na sua carreira, trabalhou como engenheiro de Redes, pela Equant (Global One Comunicaes Ltda.), e como analista de Suporte em Redes e Telecomunicaes, de Suporte e em Segurana de sistemas, pela Robert Bosh Ltda.

145

Para o pas, importante uma viso holstica da situao atual da infraestrutura crtica de informao, na qual seria possvel monitorar e acompanhar no s a disponibilidade dos servios destinados populao, mas tambm os riscos iminentes do momento. Para tanto, faz-se necessria a definio de uma estratgia e de um sistema de proteo das infraestruturas crticas incluindo a infraestrutura crtica de informao. Palavras-chave: Infraestrutura crtica de informao. Defesa ciberntica. Sistema de proteo de infraestrutura crtica. Sistema de defesa ciberntica. Estratgia de proteo da infraestrutura crtica nacional.

Introduo
Cada vez mais, o tema de proteo da infraestrutura crtica de informao e, consequentemente, a defesa ciberntica tem se tornado um assunto de grande relevncia para todos os pases e vem recebendo ateno crescente, a ponto de alguns destes terem criado rgos governamentais com funes especficas para tratar do assunto. Embora as estratgias adotadas pelos pases sejam distintas, o objetivo final sempre o mesmo: proteger a infraestrutura crtica de informao e seus elementos-chave contra ameaas relacionadas a atividades terroristas e/ou espionagem, desastres naturais e situaes de emergncia. Isso pode ser alcanado com a estruturao de polticas, rgos competentes, tcnicas e mecanismos que envolvem, por exemplo, metodologias de proteo de infraestrutura crtica e sistemas cuja aplicao possibilite antecipar, identificar e analisar riscos a fim de reduzi-los e ter a capacidade de controlar as consequncias de incidentes (tratamento de crise) em situaes adversas.

146

Contextualizao
O nmero crescente de incidentes provocados pela falta de segurana no mundo real ou virtual tem sido uma das grandes preocupaes das naes e empresas, que esto sujeitas a riscos de intensidade cada vez maiores. Porm, notrio que planos de proteo esto sendo constantemente intensificados e aplicados, com o sucesso absoluto ainda no sendo alcanado, principalmente em razo do surgimento de novas ameaas emergentes. Somente como efeito de ilustrao, podem-se citar alguns exemplos de incidentes que possuem relao direta ou indireta com a infraestrutura crtica de informao ou defesa ciberntica: Atentados terroristas de 2001 contra as Torres Gmeas, nos Estados Unidos da Amrica (National Institute of Standards and Technology, 2010); Ataques cibernticos na Estnia em 2007 (tambm referenciado como WWI - Web War I) (SCHNEIER, 2007); Vazamento de informaes sobre o caa F-35 (DEFENSENews, 2009); Ataques cibernticos a empresas de tecnologia em 2009 (BULEY e GEENBER, 2010); Stuxnet: Paralisao das centrfugas no Ir (WASHINGTON POST, 2010); WikiLeaks revela informaes confidencias de governos (WIKILEAKS, 2010) (ABCNews, 2010); Eventos da natureza: Furaco Katrina (NOAA, 2005); Alagamentos no Estado de Santa Catarina (SANTA CATARINA, 2008). perceptvel que, em tempos de guerra ou de crise, ataques cibernticos podem ser usados como forma de intimidao, ou, ainda, no caso mais ameno, simplesmente com o objetivo de desestabilizar um governo no desgaste da imagem perante a populao.

147

Tais riscos e ataques no afetam somente governos ou empresas, mas a nao como um todo. Ataques cibernticos, seja na infraestrutura crtica da informao ou ainda em empresas, afetam diretamente os servios oferecidos aos cidados, incluindo tambm fortes consequncias nos aspectos sociais, polticos e econmicos do pas. Alm disso, a disseminao das redes de informao, a integrao entre diferentes infraestruturas e a interdependncia cada vez maior resultam em algumas consequncias que no podem ser negligenciadas. Uma delas que as vulnerabilidades em infraestruturas crticas tendem a crescer, o que tem tornado os problemas cada vez mais complexos. Outra consequncia que uma interrupo pode se propagar de uma rede para outra, ocasionando o efeito cascata de problemas, tornando indisponvel um ou mais servios. Da mesma forma, um fator que no pode ser esquecido que ataques cibernticos podem ser realizados de forma annima a uma distncia segura, ou seja, so difceis de serem detectados e responsabilizados (NEUMANN, 1995).

Situao atual
Desde fevereiro de 2008, o Brasil vem adotando a seguinte definio para infraestruturas crticas: so as instalaes, servios e bens que, se forem interrompidos ou destrudos, provocaro srio impacto social, econmico, poltico, internacional ou segurana nacional (BRASIL, 2008). Ainda de acordo com o art. 3 da mesma Portaria, as reas prioritrias so: telecomunicaes, energia, transportes, gua e finanas, sem prejuzo de outras que porventura vierem a ser definidas (id ibid). O Brasil atualmente conta com diversos rgos de governos com atribuies na rea de Segurana da Informao e defesa ciberntica, porm, o tema relacionado proteo de infraestrutura crtica ainda pouco explorado pelos centros de pesquisa e universidades. O assunto proteo de infraestrutura crtica objeto de estudo pela Fundao CPqD desde 2004, e desde ento vrios resultados foram obtidos, com destaque para o desenvolvimento de um conjunto de

148

metodologias (ver Figura 1) e de ferramentas de software com o intuito de Proteo da Infraestrutura Crtica de Telecomunicaes, em parceria com a Anatel e com recursos do Fundo para o Desenvolvimento Tecnolgico das Telecomunicaes (Funttel). Esses trabalhos propiciaram tambm depsitos de pedidos de patentes e publicao de artigos em congressos nacionais e internacionais.

Proteo da Infraestrutura Crtica

MI2C

MAI2CM

IdA2

M(CI)2CM

eDI2C

Metodologia para identificao de infeaestruturas crticas

Metodologia para anlise de Interdependcia entre infeaestruturas crticas

Metodologia para identificao e anlise de Ameaas

Metodologia para criao do cenrio para infeaestrutura crtica

Metodologia para diagnstico de Infraestrutura crtica

Figura 1 Conjunto de metodologias para proteo da infraestrutura crtica

Fonte: Elaborao do autor.

No Brasil, alm das demandas que so identificadas no dia a dia com relao ao tema, os grandes eventos esportivos como a Copa do Mundo de 2014 e os Jogos Olmpicos de 2016, so tambm considerados importadores de novas ameaas para o pas. Isto demanda uma ateno especial, exigindo assim um rduo trabalho que envolve no somente o governo, mas tambm a iniciativa privada e a sociedade como um todo. Sendo assim, os desafios vo alm de identificar e tratar os riscos, e incluem agir de forma integrada e coordenada, trabalhando nos principais pilares da segurana da informao preveno, deteco e resposta a ataques cibernticos atividades estas que devem ser suportadas por metodologias formais, sistemas de apoio e pessoal capacitado.

149

Proposta
O principal conceito de proteo da infraestrutura crtica de informao est diretamente relacionado com a capacidade que o pas tem de atuar com a preveno, deteco e resposta aos graves incidentes que envolvem a infraestrutura crtica de informao de uma nao ou regio. Muitos pases vm investindo em planos estratgicos para mitigar, gerir e executar as aes necessrias para retomar a normalidade aps uma situao de emergncia provocada por catstrofe natural (como terremoto, furaco e inundao) ou ainda intencional (terrorismo e ataque ciberntico, por exemplo). Porm, graas s peculiaridades de cada pas, esses planos e estratgias no so necessariamente aplicveis a outros. O grande desafio para o Brasil consiste, assim, em formular e executar uma estratgia nacional de proteo da infraestrutura crtica de informao sintonizada com outras iniciativas mundiais, levando em considerao todas as suas caractersticas prprias. Assim, uma estratgia de proteo da infraestrutura crtica de informao e defesa ciberntica deve permitir ao governo criar organismos e estratgias para agir de forma preventiva e tambm para minimizar o impacto provocado pelos eventos e sinistros, incluindo os consequentes transtornos na demora do restabelecimento dos servios para uma populao atingida. Alm disso, o sistema deve prover informaes e indicadores capazes de gerar subsdios para a formulao e constante evoluo de estratgias, leis, normas e regulamentos. Desta forma, prope-se direcionar os trabalhos de acordo com as necessidades do pas, em ao sinrgica que deve envolver o governo, as universidades e centros de pesquisa, a iniciativa privada (que na sua grande maioria so os proprietrios da infraestrutura crtica de informao), alm da prpria sociedade, num esforo conjunto voltado para a segurana e a defesa ciberntica do Brasil.

150

Modelo de quatro pilares

O primeiro passo para a criao de um rgo de referncia em Segurana e Defesa Ciberntica eficaz e eficiente definir suas prioridades e responsabilidades (International Communication Union-D, 2010), tarefa essa primordial para o sucesso da estratgia a ser traada e seguida pelo pas. Estudos demonstram que um programa efetivo e eficiente deve compreender e tratar tal como sugerido pelo Modelo de Quatro Pilares (ver Figura 2) no qual esto destacadas as quatro tarefas essenciais de proteo da infraestrutura crtica de informao: preveno, deteco, resposta e gesto de crises.

Proteo da Infraestrutura Critica

Figura 2 Modelo de quatro pilares

Fonte: Elaborao do autor.

Preveno A preveno um componente indispensvel de proteo da infraestrutura crtica de informao, tendo como objetivo reduzir o nmero de brechas de segurana da informao. No entanto, uma vez que as ameaas s infraestruturas crticas so mltiplas, interdependentes e complexas, irreal esperar que incidentes possam ser totalmente evitados. Um objetivo mais pragmtico garantir que as infraestruturas crticas sejam menos vulnerveis a perturbaes, que eventuais falhas sejam de curta durao e limitadas em escopo e que os servios sejam facilmente restabelecidos aps interrupes. A principal

Gesto de crises

Preveno

Deteco

Resposta

151

funo da preveno consiste em assegurar que as empresas que operam e gerem a infraestrutura crtica de informao estejam preparadas para lidar com incidentes. De uma forma ou de outra, todos os pilares de proteo da infraestrutura crtica de informao devem conter elementos de preveno. Nessa proposta, a preveno definida em sentido estrito, consistindo de atividades que procuram aprimorar a prontido das instituies para enfrentar incidentes de segurana. Isso envolve a divulgao de recomendaes e orientaes sobre melhores prticas, informaes sobre ameaas especficas e a realizao de treinamentos e exerccios. Vale notar que a preveno no pode ser abordada em um nvel puramente tcnico: perigos potenciais tm de ser avaliados constantemente com auxlio de anlises e avaliaes de risco. Deteco Com o intuito de promover a segurana e evitar tecnologias particularmente vulnerveis, fundamental que as novas ameaas emergentes sejam identificadas e as novas vulnerabilidades sejam descobertas o mais rapidamente possvel. Com esse objetivo, o rgo responsvel pela proteo de infraestrutura crtica da informao deve participar de uma ampla rede nacional e internacional, permitindo o compartilhamento de informaes tcnicas e no tcnicas. A cooperao internacional indispensvel, pois os riscos no esto limitados s fronteiras geogrficas de um nico pas. Em estreita colaborao com os peritos tcnicos dos CERTs (Computer Emergency Response Teams), o rgo deve identificar novas formas de ataques o mais rapidamente possvel. Alm disso, outras anlises da situao geral, no tcnicas, so necessrias como, por exemplo, sobre o surgimento de organizaes criminosas. Assim, o rgo de proteo da infraestrutura crtica de informao deve ter acesso restrito a informaes relevantes prestadas pelos servios de inteligncia. No entanto, a rede de contatos dos CERTs e dos servios de inteligncia se torna limitada sem a estreita colaborao dos operadores da infraestrutura crtica de informao. Afinal, esses operadores so aqueles que so afetados em primeiro lugar por um novo ataque; caso no reportem o incidente, a deteco e o alerta precoce tornam-se impossveis. O compartilhamento de informaes, assim, ocorre apenas em condies de estrita confiana. Por essa razo, a credibilidade e a confiana depositada pelos operadores no rgo de proteo da infraestrutura crtica de informao so essenciais para que este receba informaes sobre incidentes em tempo hbil.

152

Resposta A resposta inclui a identificao e a correo das causas de um incidente. Inicialmente, o rgo de proteo da infraestrutura crtica de informao deve fornecer suporte tcnico e apoio instituio afetada. No entanto, o ideal que o rgo no cuide diretamente da resposta a incidentes dessas organizaes e nem oferea solues completas, mas sim que preste aconselhamento e orientao sobre a forma de tratar um incidente, auxiliando na estruturao necessria em todos os componentes das infraestruturas crtica e coordenando todas as atividades. Um dos principais requisitos a ser satisfeito por esse rgo operar um servio de notificao de incidentes de segurana em regime ininterrupto (24x7). Atacantes preferem executar seus ataques a infraestruturas de informao fora do expediente normal, esperando encontrar menor reao (isto , menor nmero de contramedidas imediatas). fato que os danos causados por um ataque dependem do tempo decorrido at a resposta, razo pela qual o tratamento do incidente deve comear o mais rapidamente possvel. O apoio prestado pelo rgo de proteo de infraestruturas crticas de informao se torna mais til caso esteja sempre disponvel. No entanto, tal como a preveno e deteco, a resposta a incidentes no deve se limitar a medidas tcnicas. Em particular, a represso aos atacantes pela via legal uma parte vital da resposta. A aplicao da lei pode no ser capaz de ajudar diretamente as vtimas de um ataque, mas pode ajudar a proteger outras vtimas potenciais, aumentando o risco de captura, e julgamento dos atacantes, dissuadindo assim aes semelhantes no futuro. Dado que muitos ataques so levados a cabo por atores internacionais, as instituies afetadas muitas vezes no sabem como acionar as autoridades policiais responsveis em outros pases, tarefa que deve ser conduzida pelo rgo de proteo da infraestrutura crtica de informao. Alm disso, uma resposta adequada deve incluir a anlise dos incidentes. Em cooperao com a vtima, o rgo de proteo da infraestrutura crtica de informao dever elaborar um relatrio final sobre o incidente, a fim de compartilhar as informaes com outras instituies. O setor privado tende a concentrar-se principalmente sobre as lies aprendidas para melhorar seus sistemas internos, cabendo ao governo adotar uma abordagem mais ampla. Os ensinamentos adquiridos devem ser trocados com todos os participantes para melhorar o planejamento para situaes de crise. Empresas e setores do governo que no foram afetados pelo ataque podem rever seus planos de emergncia e tomar medidas para evitar erros.

153

Gesto de crises A gesto de crises deve ser parte integrante de uma estratgia de proteo da infraestrutura crtica de informao desde sua concepo. A minimizao dos efeitos de quaisquer rupturas na sociedade e no Estado uma das misses essenciais dos governos. Por esse motivo, o rgo responsvel pela proteo da infraestrutura crtica de informao deve ser incorporado na estrutura nacional de gesto de crises, posicionado de modo que tenha acesso direto aos tomadores de deciso, uma vez que uma de suas funes primordiais alertar as pessoas e as organizaes responsveis. Em caso de uma crise nacional, o rgo deve ser capaz de oferecer assessoria direta para o governo. No mbito governamental, o rgo de proteo da infraestrutura crtica de informao deve agir como o centro de competncia para todas as questes relacionadas com segurana e defesa ciberntica. Como isso diz respeito a diversas agncias, a unidade deve atuar de forma colaborativa com diversos parceiros do governo. Como consequncia, procedimentos de gesto de crises devem ser ensaiados regularmente. Um plano de gesto de crise bem concebido intil se no funcionar em situaes de emergncia quando realmente necessrio e colocado prova. O rgo de proteo da infraestrutura crtica de informao deve realizar, assim, exerccios frequentes com outras organizaes governamentais e com operadores das infraestruturas crticas, no se limitando somente a infraestrutura crtica de informao, de forma que todos os participantes fiquem familiarizados com suas responsabilidades, deveres e os riscos em tempos de crise.

Estratgia de proteo da infraestrutura crtica de informao

Com o desenvolvimento formal de uma estratgia de proteo, mtodos e sistemas e a consequente aplicao no contexto da anlise, possvel fazer que a infraestrutura crtica de informao funcione adequadamente, com a minimizao da interferncia de problemas naturais, ambientais, erros humanos e operacionais ou, ainda, de ataques maliciosos. A organizao e a formalizao possibilitadas pelos mtodos permitem que diferentes aspectos de um mesmo problema sejam tratados, evitando assim a falsa sensao de segurana, que bastante

154

comum. Alm disso, a aplicao faz que erros no projeto e na implementao possam ser evitados, eliminados, conhecidos ou tolerados. Outro objetivo deve considerar o desenvolvimento de ferramenta e sistema de gerenciamento de segurana ciberntica para identificar, prevenir, tratar e responder de forma adequada aos incidentes de segurana (intencionais ou no) dentro da infraestrutura crtica de informao. Esse trabalho deve tambm considerar questes como privacidade, legislao e regulamentos, e tem a necessidade de ser executado em estreita cooperao com todos os atores, governo, iniciativa privada e sociedade. Nesse contexto, ficam claras a necessidade e a importncia de se formular uma estratgia nacional para proteo da infraestrutura crtica de informao e defesa ciberntica, a qual defina os objetivos a serem perseguidos, as polticas a serem implementadas, os rgos de governo a serem engajados e as atribuies e responsabilidades de seus executores. Objetivos Os principais objetivos de uma estratgia de proteo da infraestrutura crtica de informao so: Garantir que a infraestrutura crtica de informao funcione adequadamente a despeito da ocorrncia de incidentes como fenmenos naturais, erros humanos ou ataques maliciosos. Evitar a ocorrncia de incidentes que possam afetar a operao da infraestrutura crtica de informao. Sobrevindo tais incidentes, minimizar seu impacto na infraestrutura crtica de informao e em outras infraestruturas crticas. Aes Com foco nos objetivos mencionados, propem-se as seguintes aes: Identificar a infraestrutura crtica de informao Identificar os elementos (chave) que compem a parte crtica da infraestrutura de informao.

155

 Priorizar os elementos da infraestrutura crtica de informao Atribuir prioridade aos elementos mais crticos identificados, a fim de permitir uma alocao mais eficiente dos recursos disponveis. Definir informaes necessrias superviso Definir e estabelecer indicadores e mtricas para superviso e controle da infraestrutura crtica de informao. Identificar e avaliar e riscos Identificar ameaas. Identificar vulnerabilidades. Estimar impactos. Implementar controles. Monitorar controles. Comunicar eventos. Prevenir a ocorrncia de incidentes Tomar aes pr-ativas que reduzam a ocorrncia de incidentes que afetem a infraestrutura crtica de informao ou outras infraestruturas crticas. Definir normas e padres aplicveis Estabelecer as normas e padres a serem seguidos na definio de polticas, implantao de controles, realizao de auditorias, homologao ou certificao de sistemas e produtos etc. Homologar ou certificar sistemas e produtos Garantir que os sistemas e produtos utilizados obedeam a padres de segurana mnimos. Identificar instrumentos legais necessrios (existentes ou no) Analisar e inventariar leis, decretos, portarias etc. necessrios para o tratamento jurdico de incidentes (para atribuio de responsabilidades, criminalizao de condutas etc.). Detectar a ocorrncia de incidentes e prover respostas adequadas Identificar, registrar e avaliar incidentes. Informar, avisar e alertar. Responder adequadamente a incidentes.

156

 Recuperar ambiente operacional. Identificar instrumentos legais necessrios. Definir normas e padres aplicveis.

Fatores crticos Para que a estratgia seja bem-sucedida, necessrio observar ao menos os seguintes fatores crticos: Coordenao nacional A importncia para a nao das diversas infraestruturas crticas demanda a formulao de uma estratgia nacional de proteo da infraestrutura crtica de informao integrada. Mobilizao de outros setores Os rgos de governo responsveis pelas infraestruturas crticas devem criar e executar estratgias de proteo especficas e, considerando a interdependncia entre as diversas infraestruturas crticas, devem atuar de forma coordenada entre si, trocando ferramentas, informaes e experincias. A utilizao de recursos de fundos setoriais pode contornar dificuldades burocrticas e agilizar o incio do processo. Cooperao pblico-privada Dada sua complexidade, a proteo da infraestrutura crtica de informao requer que rgos de governo, empresas do setor privado e organizaes do terceiro setor trabalhem de forma coordenada, harmnica e cooperativa. Formao de competncias A proteo da infraestrutura crtica de informao demanda profissionais altamente especializados de diversas reas, fator que deve ser contemplado com a incluso do tema proteo de infraestruturas crticas em programas de graduao j existentes e com a criao de programas de ps-graduao sobre o assunto, fomentando atividades de P&D e contribuindo para o estabelecimento de uma comunidade acadmica nacional interessada em proteo de infraestruturas crticas.

157

 Cooperao internacional A interconexo entre a infraestrutura crtica de informao de diferentes pases faz que nenhum pas possa proteger sua prpria infraestrutura de forma isolada, tornando imperativa a cooperao internacional para permitir o intercmbio de experincias e a troca de informaes, em situaes de crise ou no. Conscientizao da sociedade A proteo da infraestrutura crtica de informao no tarefa apenas de governos e empresas, mas tambm da sociedade como um todo. A informatizao crescente faz que o cidado no seja apenas espectador (que pode apenas sofrer as consequncias de um eventual incidente), mas sim protagonista, j que suas aes podem contribuir involuntariamente para afetar (positiva ou negativamente) o funcionamento das infraestruturas crticas.

Sistema de segurana e defesa ciberntica

de extrema importncia que os sistemas a serem desenvolvidos possuam, ao menos, as caractersticas citadas anteriormente, alm de uma futura capacidade de monitoramento, de criao de cenrios e de simulao que consequentemente fornecem insumos suficientes para a segurana e a proteo do espao ciberntico. Essas funcionalidades previstas no sistema possibilitaro tambm a gerao de subsdios para criao de leis, polticas e normas, alm do gerenciamento tcnico de todos os aspectos envolvidos com a preveno, monitoramento e resposta a incidentes (que devem ser realizadas pelos diferentes atores envolvidos) e tambm da internalizao de novos conhecimentos e competncias por meio do desenvolvimento de ncleos de excelncia e transferncia de conhecimentos nas reas abordadas. Assim, seria factvel a capacitao dos centros de P&D, universidades nacionais, bem como do Estado, trazendo, desta forma, melhores condies para o desenvolvimento do pas em reas essenciais para a sociedade e para o prprio governo. Conforme pode ser observado na Figura 3, esse sistema de segurana e defesa ciberntica possibilitar o mapeamento e anlise em tempo real da infraestrutura crtica de informao, permitindo a visualizao e o gerenciamento dos elementos crticos, de acordo com os nveis de risco e criticidade envolvidos. As funcionalidades de cenrios e simulao so essenciais em eventos de grande porte, como a Copa do Mundo de 2014, por exemplo, para que possam ser planejados com a viso dos elementos funda-

158

mentais para o seu sucesso, o que possibilita preveno, deteco e resposta de eventos nos diferentes servios pblicos e privados que estabelecem a infraestrutura crtica de informao e so essenciais para a realizao com sucesso do evento.

Aes de P&D

Arcabouo legal

Comunicao

Recursos financeiros

Formao e qualificao

Preveno Elementos-chave Deteco Controles Sistemas Vulnerabilidade Padres Mtrica Ameaas Certificao Normas Riscos Homologao Resposta

Gesto de crises

Sistema de Segurana e Defesa Ciberntica Figura 3 Sistema de segurana e defesa ciberntica

Fonte: Elaborao do autor.

O sistema fornece tambm insumos e subsdios suficientemente fortes para que o planejamento de marcos regulatrios seja realizado, favorecido pela viso holstica da interdependncia existente entre diferentes infraestruturas crticas. Assim, de suma importncia a elaborao de uma estratgia e de um sistema que apiem e direcionem decises para a proteo da infraestrutura crtica de informao e da defesa ciberntica nacional.

159

Concluso
No deve ser motivo de surpresa que vrios pases acompanhados por organizaes internacionais como International Communication Union-D (ITU), Organizao para Cooperao e Desenvolvimento Econmico (OCDE), Grupo dos Oito etc. j tenham tomado iniciativas com relao proteo de suas infraestruturas crticas de informao, que so essenciais para a operao de outras infraestruturas crticas (energia, transporte, gua etc). Alm disso, o tema universalmente reconhecido como um componente essencial da poltica de segurana nacional. Com essa viso, esses pases definiram necessidades de curto prazo apoiados em planos de longo prazo, criando rgos de governo especficos para tratar do tema, definindo estratgias e implantando sistemas de proteo sofisticados e abrangentes. Tais programas buscam contemplar diferentes aspectos da proteo da infraestrutura crtica de informao, tratando desde a reduo de vulnerabilidades at a luta contra a criminalidade ciberntica at a defesa contra o ciberterrorismo. fcil constatar que a dependncia de cidados, empresas e governos em relao aos servios oferecidos por tais infraestruturas crticas tanto maior quanto mais expressivo for o desenvolvimento econmico do pas em questo. A percepo dessa crescente dependncia, intensificada pelo aumento da ameaa de atos terroristas, contribuiu decisivamente para que tais iniciativas fossem desencadeadas em curto espao de tempo. Esse mesmo desenvolvimento econmico tem resultado, entretanto, na necessidade de vultosos recursos financeiros e tecnolgicos para proteger eficientemente tais infraestruturas crticas, bem como a infraestrutura crtica de informao subjacente. praticamente considerada um consenso a necessidade da cooperao internacional para a proteo da infraestrutura crtica de informao nacional. Essa atitude tambm incentivada pelo fato de o cibercrime e o ciberterrorismo ignorarem as fronteiras geogrficas. Outro ponto a destacar a necessidade da cooperao pblico-privada, j que partes significativas da infraestrutura crtica de informao so de propriedade de empresas privadas, que so as responsveis pela operao e gerenciamento.

160

A proteo da infraestrutura crtica de informao no somente tarefa para especialistas, mas tambm diz respeito ao cidado comum, pois um computador domstico pode ser utilizado como plataforma de ataques de negao de servio, por exemplo, caso medidas adequadas de proteo no sejam tomadas. O cidado tambm e deve ser considerado parte integrante da infraestrutura crtica, pois pode ser pessoalmente prejudicado ao usar um servio como internet banking pela presena de um vrus ou por uma mensagem eletrnica de phishing. Uma manifestao clara desse entendimento o relatrio OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security (OECD, 2010), que busca conscientizar governos, empresas e cidados sobre a importncia da segurana da informao e, assim, colaborar para a criao de uma cultura a esse respeito. Num pas de dimenses continentais como o Brasil, a infraestrutura crtica de informao possui carter estratgico diferenciado, pois desempenha papel essencial tanto para a segurana e a soberania nacionais como para a integrao cultural e o desenvolvimento econmico. Por essa razo, deve ser um objetivo estratgico e permanente proteger a infraestrutura crtica de informao, a fim de assegurar a continuidade de operao dos servios considerados essenciais. A proteo da infraestrutura crtica de informao uma tarefa difcil, no somente pela complexidade dos sistemas, redes, pessoas e ativos da infraestrutura crtica de informao que fornecem os servios essenciais em nossas vidas dirias, mas tambm por causa da grande interdependncia com relao a outras infraestruturas crticas (energia, finanas, guas, transporte, comunicaes entre outras). Assim, devem ser conduzidos, no escopo de um direcionamento estratgico que contemple a criao de um centro especializado de referncia, o desenvolvimento de metodologias e sistemas, a definio de mtricas e indicadores e a cooperao entre os setores pblico e privado, alm da comunidade internacional. Esses elementos devem ser baseados em um arcabouo legal e um marco regulatrio consistentes com essas finalidades.

161

Referncias
ABCNews. WikiLeaks Releases Confidential Diplomat Cables, 2010. Disponvel em: <http:// abcnews.go.com/Politics/wikileaks-releases-classified-diplomat-cables-us-state-department/ story?id=12260376>. Acesso em: 1 nov. 2010. DEFENSENews. Hackers Crack Pentagon F-35. Data: report, 2009. Disponvel em: <2009.http://www. defensenews.com/story.php?i=4048737>. Acesso: 30 nov. 2010. SANTA CATARINA (Estado). Defesa Civil, 2008. Disponvel em: <www.defesacivil.sc.gov.br>. Acesso em: 30 nov. 2010. BRASIL. Portaria n. 2, de 8 de fevereiro de 2008, art. 2 e 3. Dirio Oficial da Unio, n. 27. Gabinete de Segurana Institucional, Braslia, DF, 11 fev. 2008. Seo 1, Ano CXLV. BULEY, Taylor; GEENBER, Andy. Google China Hackers Unexpected Backdoor, 2010. Disponvel em: <http://www.forbes.com/2010/01/14/google-china-mcafee-technology-cio-network-hackers.html>. Acesso em: 30 nov. 2010. International Communication Union-D. Generic National Framework For Critical Information Infrastructure Protection, 2010. Disponvel em: <http://www.itu.int/ITU-D/cyb/cybersecurity/docs/generic-national-framework-for-ciip.pdf>. Acesso em: 2 dez. 2010. LEWIS, T. G. Critical Infrastructure Protection in Homeland Security: Defending a Networked Nation. Hoboken, John Wiley & Sons, Inc., 2006. 474 p. NEUMANN, Peter G. Computer-Related Risks, Addison-Wesley, 1995. 384p. NATIONAL Institute of Standards and Technology. NIST and the World Trade Center, 2001. Disponvel em:<http://wtc.nist.gov/>. Acesso em: 1 dez. 2010. NOAA. Hurricane Katrina - Most destructive hurricane ever to strike the U.S., 2005. Disponvel em: <http://www.katrina.noaa.gov>. Acessado em: 1 dez. 2010.

162

RIBEIRO, Srgio Lus; FRANCO, Joo Henrique de Augustinis; SUIAMA, Danilo Yoshio. Contextualizao e estratgia para a proteo de infra-estrutura crtica, fev. 2008. Projeto Funttel Proteo de Infra-estrutura Crtica de Telecomunicaes (PICT). PD.30.11.67A.0058A-RT.01.AC. Campinas: CPqD, 2008. 56 p. (Relatrio tcnico; cliente: Anatel). ORGANISATION for Economic Co-operation and Development. OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security. 2002. http://www.oecd.org. Acesso em: 6 dez. 2010. SCHNEIER, Bruce. Cyberwar in Estonia, 2007. Disponvel em: <http://www.schneier.com/blog/archives/2007/08/cyberwar_in_est.html>. Acesso em: 30 nov. 2010. WASHINGTON POST. Ahmadinejad: Irans nuclear program hit by sabotage. Disponvel em: <http:// www.washingtonpost.com/wp-dyn/content/article/2010/11/29/AR2010112903468.html>. Aceso em: 30 nov. 2010. WIKILEAKS. Disponvel em: <http://wikileaks.ch/mirrors.html>. Acesso em: 2 dez. 2010.

163

USO DE REDES SOCIOTCNICAS PARA A SEGURANA CIBERNTICA NACIONAL

Jos Eduardo Malta de S Brando*

Resumo
Este artigo apresenta algumas propostas de estratgia para a formao de redes sociotcnicas em segurana ciberntica, com o objetivo de enfrentar os desafios para a definio de polticas e a criao e implantao de um Sistema de Segurana e Defesa Ciberntica Nacional. Para isso, foi realizado um estudo sobre a situao da pesquisa em segurana da informao e de sistemas computacionais no Brasil, mapeando os principais grupos de pesquisa e suas linhas de atuao. Tal estudo deve servir de base para a identificao e o desenvolvimento de competncias no setor, para a formao das redes. Palavras-chave: segurana ciberntica, defesa ciberntica, segurana da informao, rede sociotcnica.

* Possui doutorado em Engenharia Eltrica pela Universidade Federal de Santa Catarina (2007), mestrado em Cincia da Computao pela Universidade Federal da Paraba (1996) e bacharelado em Estatstica pela Universidade de Braslia (1990). Atualmente pesquisador do Instituto de Pesquisa Econmica Aplicada (Ipea) na rea de informtica, no Distrito Federal. Tem experincia acadmica em cursos de graduao e ps-graduao e extensa experincia profissional na rea de Cincia da Computao, atuando principalmente nos seguintes temas: gerenciamento de redes, sistemas distribudos e segurana. O foco atual de suas pesquisas cientficas est na segurana de sistemas computacionais.

165

Introduo
O termo infraestrutura referia-se originalmente s redes fsicas que suportavam o funcionamento das cidades e incluam estradas, gua, esgoto, cabos de energia e linhas de telecomunicaes. O conceito atual de infraestruturas crticas ultrapassa a noo fsica, envolvendo estruturas para interconexes e funes que permitem que a sociedade possa sobreviver e prosperar, incluindo a informao. As infraestruturas crticas da informao so vitais para os Estados. A incapacidade ou a destruio de tais ativos, sistemas ou redes teria um impacto debilitante na segurana nacional, na economia nacional, na sade e na segurana pblica ou em qualquer combinao desses elementos (MILLER; LACHOW, 2008). Os ativos de informao esto todo o tempo sob a ameaa de violao de sua integridade, disponibilidade e confidencialidade. Essas ameaas podem vir na forma de desastres naturais, acidentes normais ou ataques deliberados (ibid.). Devido carncia de recursos humanos capacitados, o Estado sozinho no conseguir assegurar a segurana das infraestruturas crticas de informao. Por isso, este artigo prope algumas alternativas estratgicas, que envolvem: a busca pela multidisciplinaridade; o incentivo formao de redes sociotcnicas com objetivos especficos; o fomento pesquisa temtica; e a formao acadmica e profissional. A seo seguinte deste documento visa contextualizar os temas tratados no texto. A Seo 3 apresenta uma anlise da situao da pesquisa ciberntica no Brasil. Na quarta seo, so apresentadas propostas para a criao e a manuteno das redes sociotcnicas em segurana ciberntica. A quinta seo prope algumas estratgias para a segurana ciberntica envolvendo as redes. Finalmente, na ltima seo, so apresentadas as concluses do documento.

166

Contextualizao
Conceitos iniciais
Neste artigo, adotamos os conceitos de Infraestruturas Crticas da Informao e de Ativos de Informao definidos pelo Grupo de Trabalho de Segurana das Infraestruturas Crticas da Informao (GT-SICI), institudo pela Portaria n 34 CDN/SE, de 5/8/2009, no mbito do Comit Gestor de Segurana da Informao (CGSI). As Infraestruturas Crticas da Informao so o subconjunto de ativos de informao que afetam diretamente a consecuo e a continuidade da misso do Estado e a segurana da sociedade. Os Ativos de Informao so os meios de armazenamento, transmisso e processamento, os sistemas de informao, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso. So consideradas prioritrias as reas definidas nos incisos de I a V do art. 3 da Portaria n 2, do Gabinete de Segurana Institucional da Presidncia da Repblica, de 8 de fevereiro de 2008: energia, transporte, gua, telecomunicaes e finanas. A expresso segurana ciberntica, no contexto deste documento, envolve as reas de segurana das infraestruturas crticas de informao.

Estratgias tradicionais de segurana

Segundo Miller e Lachow (2008), as estratgias de segurana das infraestruturas crticas envolvem: preveno e proteo; resilincia; e dissuaso. A preveno e a proteo incluem todas as aes que envolvem tanto para prevenir a ocorrncia de um incidente, quanto para minimizar o seu impacto. A histria demonstra que falhas de infraestrutura so inevitveis. Por isso, os sistemas crticos devem incorporar o conceito de resilincia, pelo qual um sistema deve continuar operando sob presso ou condies adversas. Apesar de a dissuaso ser considerada uma medida de preveno, ela deve incorporar a capacidade de retaliao a fim de coagir os adversrios contra ataques aos ativos do Estado.

167

Os mtodos de segurana citados no so novidade. Porm, os processos, os mecanismos e as tcnicas utilizados para implement-los devem evoluir constantemente, acompanhando as ameaas potenciais. Essa evoluo torna imprescindvel o investimento constante em pesquisa e capacitao de recursos humanos.

Redes sociotcnicas
Segundo Law (1992), a cincia no diferente de outras instituies. Assim o que verdadeiro para a cincia tambm para outras instituies. Dessa forma, as construes cientficas tambm podem ser adotadas por outros elementos sociais, como o Estado. A teoria das redes sociotcnicas sugere que a evoluo simultnea da sociedade, dos artefatos tecnolgicos e do conhecimento da natureza deve ser estudada a partir de trs conceitos: traduo, ator-mundo e rede (LATOUR, 1994, 2000; CALLON, 1986). Para Law (1992), as redes sociotcnicas so formadas por elementos humanos e inumanos. Assim, no escopo da segurana ciberntica, elas podem ser compostas por pessoas, instituies, equipamentos, softwares e pelo prprio conhecimento. O conceito de traduo permite entender como as relaes so estabelecidas, como se expandem e como so mantidas. Essa se realiza quando, em determinada situao, um ator consegue produzir uma nova interpretao dos seus interesses e divulg-la para outros, convencendo-os de sua viso, isto , consegue construir uma verso e imp-la sociedade. Assim, traduzir (ou trasladar) significa deslocar objetivos, interesses, dispositivos e seres humanos. Implica a inveno de um elo antes inexistente e que de alguma forma modifica os elementos imbricados. As cadeias de traduo referem-se ao trabalho pelo qual os atores modificam, deslocam e trasladam os seus vrios e contraditrios interesses. O ator-mundo, ou ator iniciador, aquele que inicia a construo de uma rede. Ele busca ligar-se a entidades heterogneas, especificando a sua identidade, seu espao dentro da rede, o tipo de lao que os une, o seu tamanho e a histria de que eles vo fazer parte (LATOUR, 2000). O ator-mundo

168

ento quem faz as associaes e as ligaes de um objeto tcnico ou de um conhecimento cientfico aos demais componentes da rede. Ainda com relao rede, Latour (2000) afirma que o nmero de atores envolvidos na construo dos fatos cientficos no se limita aos cientistas que esto em laboratrio, a quantidade de atores que participam da rede bem maior. Os trabalhos dos cientistas em laboratrio parecem alcanar sucesso, quando outros atores prepararam o terreno. Por isso, para se compreender a construo da rede, necessrio acompanhar um nmero muito maior de atores do que aqueles que esto fazendo cincia em laboratrio. A aplicao e o estudo das redes sociotcnicas na rea de segurana ciberntica permitiriam ao Estado incentivar a formao dessas redes estratgicas e assumir o papel de ator-mundo delas. O acompanhamento das redes sociotcnicas pelo Estado implica conhecer no somente os artefatos gerados, mas, segundo Latour (2000), como fatos e artefatos so modificados pelos atores, no sendo apenas transmitido de um ator a outro, mas tambm coletivamente composto pelos atores.

Recursos humanos e gesto

Segundo Kalil e Irons (2007), o apoio do governo s pesquisas na universidade ajuda a criar e a ampliar a fora de trabalho com competncias especializadas. A criao dessa fora de trabalho pode ser fundamental para o desenvolvimento de polticas especficas. Aps detectar que no seria capaz de recrutar pessoas com as habilidades necessrias em segurana ciberntica, o governo norte-americano buscou aumentar o nmero de alunos de graduao e ps-graduao com experincia no setor. Um dos mecanismos encontrados para o fomento da pesquisa e a capacitao no setor foi a criao de um programa governamental especfico, o Federal Cyber Service: Scholarship for Service (SFS)1, que distribui bolsas de servio para estudantes de graduao e ps-graduao na rea de segurana da informao e segurana computacional.

Mais informaes em: <https://www.sfs.opm.gov/>.

169

No Brasil, o Gabinete de Segurana Institucional da Presidncia da Repblica, por meio do Departamento de Segurana da Informao e Comunicaes, vem promovendo o curso de formao de gestores de segurana (FERNANDES, 2010). Foram capacitados 35 alunos no curso 2007-2008, e cerca de 180 esto realizando o curso no momento. Essa quantidade de gestores ainda nfima diante da demanda do prprio governo, que possui aproximadamente 6 mil entidades pblicas e 320 redes de governo2. Levando-se em conta somente a legislao, seria necessria em cada entidade pblica a presena de um gestor. Em um cenrio simples, cada entidade precisaria ainda de, pelo menos, dois analistas de segurana para auxiliar no planejamento e na execuo das atividades mnimas, que envolvem a poltica de segurana, a gesto de riscos, a continuidade do negcio, o tratamento e a resposta a incidentes. Portanto, h no momento uma demanda de 6 mil gestores e de 12 mil tcnicos em segurana ciberntica. Isso significa capacitar cerca de 2% de toda a fora de trabalho dos 927 mil servidores pblicos federais. Mantendo a velocidade atual de formao de 180 gestores a cada dois anos, levaramos quase 70 anos para formar somente este perfil profissional para atender apenas demanda atual. Para completar a situao, no h carreira especfica de analistas em segurana ciberntica, incentivos financeiros aos gestores em SIC nos rgos pblicos nem oramento especfico para a segurana ciberntica nos rgos de governo (MANDARINO JUNIOR; CANOGIA, 2010).

Fomento pesquisa e ao desenvolvimento

O Brasil possui programas genricos de distribuio de bolsas de pesquisa promovidos pela Coordenao de Aperfeioamento de Pessoal de Nvel Superior (Capes), vinculada ao Ministrio da Educao, e pelo Conselho Nacional de Desenvolvimento Cientfico e Tecnolgico (CNPq), vinculado ao Ministrio da Cincia e Tecnologia.

Informaes contidas na palestra proferida por Eduardo Wallier Vianna, no 16 seminrio RNP de capacitao e inovao SCI. Disponvel em: <http://www.rnp.br/capacitacao/sci/2010/programa.php?apresentacao=576>.

170

Os programas de fomento especficos so promovidos pela Financiadora de Estudos e Projetos (Finep)3, no mbito do governo federal. Essa empresa pblica, vinculada ao Ministrio da Cincia e Tecnologia, atua na cadeia da inovao com foco em aes estratgicas, estruturantes e de impacto para o desenvolvimento sustentvel do Brasil. As empresas e as instituies pblicas e privadas de ensino e pesquisa podem utilizar os recursos pblicos para o desenvolvimento de pesquisa cientfica ou tecnolgica ou de inovao. Os financiamentos so concedidos por meio de concorrncias pblicas divulgadas em editais dos fundos setoriais. Entre os fundos setoriais da instituio est o CT-Info, que estimula as empresas nacionais a desenvolver e produzir bens e servios de informtica e de automao, investindo em atividades de pesquisa cientficas e tecnolgicas. Outro fundo de financiamento importante o Funtel, que est sob a gesto do Ministrio das Comunicaes. O objetivo do fundo estimular o processo de inovao tecnolgica, incentivar a capacitao de recursos humanos, fomentar a gerao de empregos e promover o acesso de pequenas e mdias empresas a recursos de capital, para ampliar a competitividade da indstria brasileira de telecomunicaes. Outros fundos tambm atuam diretamente no fomento das infraestruturas crticas definidas na Portaria n 34 do CDN/SE e de outras reas consideradas estratgicas: os fundos de transporte CT-Aero, CT-Aqua e CT-Transportes, para os setores aeronutico, aquavirio e de logstica, respectivamente; o CT-Energ e o CT-Petro, para as rea de energia, petrleo e gs natural; e o CT-Hidro, para a rea de recursos hdricos. Alm dos fundos setoriais, foram definidas, em 2004, as aes transversais, que so programas estratgicos do Ministrio da Cincia e Tecnologia (MCT), que tm nfase na Poltica Industrial, Tecnolgica e de Comrcio Exterior (Pitce) do governo federal e utilizam recursos de diversos fundos setoriais simultaneamente.

Mais informaes em: <http://www.finep.gov.br>.

171

Pelo menos duas experincias de polticas pblicas de fomento com enfoques especficos so referncia na formao de redes sociotcnicas: o Programa Nacional de Educao na Reforma Agrria (Pronera) e a TV digital brasileira. No caso do Pronera, o Estado fomenta a formao bsica e a capacitao tcnica nos assentamentos da reforma agrria (FREITAS, 2008). As universidades, as escolas municipais, as instituies de extenso rural, as organizaes no governamentais e os movimentos sociais formam redes sociotcnicas. Para a discusso e a criao do Sistema Brasileiro de TV Digital (SBTVD), a Finep direcionou, com sucesso, investimentos na pesquisa e no desenvolvimento de processos, tecnologias e produtos para um segmento especfico (ROCHA, 2007).

Rede Nacional de Segurana da Informao e Criptografia

Por meio da Portaria n 31, de 6 de outubro de 2008, o Gabinete de Segurana Institucional da Presidncia da Repblica instituiu a Rede Nacional de Segurana da Informao e Criptografia (Renasic)4. O principal objetivo da Renasic elevar a competncia brasileira em SIC, buscando a integrao entre as pesquisas que ocorrem nas universidades, nos institutos de pesquisa, nos rgos governamentais e nas empresas. Essa uma primeira experincia na formao de uma rede sociotcnica com enfoque em segurana ciberntica. Apesar de ter sido criada h mais de dois anos, com durao prevista de quatro anos, so poucos os produtos gerados. A falta de recursos o principal entrave. O acompanhamento dessa rede pode servir de aprendizado para a formao de outras redes.

Mais informaes em: <https://wiki.planalto.gov.br/comsic/bin/view/ComSic/RENASIC>.

172

Um perfil da pesquisa em segurana ciberntica no Brasil

Um dos passos iniciais para o desenvolvimento do setor conhecer melhor a situao da pesquisa e do desenvolvimento tecnolgico da segurana ciberntica no Brasil. Esse conhecimento permite identificar e acionar potenciais atores sociais para a formao de redes sociotcnicas em segurana ciberntica. Para obter um panorama inicial da situao da pesquisa em segurana ciberntica no Brasil, foi elaborado um questionrio com 11 perguntas que buscavam identificar os principais pesquisadores, a sua formao acadmica, o tipo de pesquisa e a atuao dos pesquisadores, os grupos, as linhas e as instituies de pesquisa. O questionrio foi aplicado pela internet, de forma on-line, no perodo de 23 de novembro a 31 de dezembro de 2010. Sua divulgao ocorreu por meio das listas de discusso mantidas pela Sociedade Brasileira de Computao (SBC), para um grupo selecionado de 70 pesquisadores que atuam, ou atuaram nos ltimos anos, em segurana da informao e de sistemas computacionais no Brasil. Tambm foi solicitada a divulgao do questionrio a outros grupos que atuam no setor. Essa pesquisa preliminar obteve 109 respostas e reflete parcialmente a situao atual da pesquisa em segurana ciberntica no Brasil, cujos resultados sero apresentados e analisados a seguir.

Perfil dos pesquisadores

A pesquisa permitiu que os entrevistados classificassem sua atuao profissional em uma ou mais reas: lder de grupo de pesquisa, pesquisador, profissional, professor, estudante, empresrio e interessado no assunto. Do grupo pesquisado, 62,4% so lderes de grupos de pesquisa ou se consideram pesquisadores em segurana da informao ou de sistemas computacionais. Entre esses, 51,4% so lderes de grupos de pesquisa, correspondendo a 32,1% do total pesquisado. A grande quantidade de lderes de pesquisa pode ser um indcio de que os grupos de pesquisa no Pas ainda so muito pequenos.

173

Daqueles que no se consideram pesquisadores, 12,8% atuam como professores, 13,8% so estudantes, 2,8% so empresrios e 8,3% se dizem profissionais, conforme ilustra a Figura 1.
3% 8%

14%

Pesquisador Professor 13% Estudante Profissional Empresrio

62%

Figura 1 - Distribuio por rea de atuao profissional

Fonte: Elaborao do autor.

Locais de pesquisa
Os pesquisadores que responderam ao questionrio indicaram o estado federativo em que atuam no Pas ou se atuam no exterior. Desses, 4,6% esto atuando no exterior, enquanto os demais 95,4% esto distribudos em 16 estados da Federao, conforme ilustra a Figura 2. Os pesquisadores que atuam no exterior trabalham principalmente em instituies de ensino ou de pesquisa no Uruguai, no Canad, na Gr-Bretanha, em Israel, no Peru e em Portugal.

174

Alm dos estados que aparecem na Figura 2, tambm foram identificados pesquisadores em outros quatro estados: Amazonas, Pernambuco, Rio Gande do Norte e Sergipe, porm no responderam ao questionrio. A atuao em segurana ciberntica no distribuda uniformemente no Pas. A maior concentrao de pesquisadores est no Estado de So Paulo, que tem quase um quarto do total, seguido pelo Paran, pelo Rio Grande do Sul e por Santa Catarina. A Regio Sul concentra mais de 40% dos pesquisadores, superando a Regio Sudeste. No Centro-Oeste, o Distrito Federal tambm se destacou, com 9% do total.
SP 23%

BA 3% DF 9% ES 1% GO 1% MA 2% MG 2% MT 4% PA 1% PB 1% PI 3%

SP 23%

SC 13%

PR 18% RS 13% RJ 4%

Figura 2 - Locais de atuao dos pesquisadores

Fonte: Elaborao do autor.

175

Os pesquisadores atuam em 66 instituies distintas, do Brasil e do exterior. A maioria dos pesquisadores, 73%, atua em instituies pblicas de ensino ou de pesquisa, 23% esto em instituies privadas no Brasil e 4% atuam no exterior, conforme a distribuio na Figura 3.

Instituio de ensino ou pesquisa privada 17% Instituio de ensino ou pesquisa municipal 1%

rgo ou empresa pblica federal 4% Indstria, servios ou comrcio no Brasil 6% Indstria, servios ou comrcio no exterior 1%

Instituio de ensino ou pesquisa estadual 26% Instituio de ensino ou pesquisa federal 42% Instituio de ensino ou pesquisa extrangeira 3% Figura 3 - Distribuio da atuao nas instituies
Fonte: Elaborao do autor.

176

Quanto formao acadmica, a Figura 4 apresenta uma distribuio com 65,6% dos pesquisadores com formao de ps-graduao stricto sensu. Outros 19,6% dos entrevistados j concluram cursos de especializao. Essa distribuio indica alta capacitao das pessoas que atuam na rea.

Ensino mdio Graduao Especializao (lato-sensu) Mestrado Doutorado Livre-docncia

0,1% 17% 20% Mestrado 29% 0,3% 33%

Figura 4 - Distribuio da formao acadmica dos pesquisadores

Fonte: Elaborao do autor.

Linhas de pesquisa
A relao de linhas de pesquisa foi baseada na classificao adotada pela Comisso Especial em Segurana da Informao e de Sistemas Computacionais da Sociedade Brasileira de Computao5, para a identificao dos artigos cientficos do Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais (SBSeg).6

5 6

Mais informaes em: <http://labcom.inf.ufrgs.br/ceseg/index.php>. Mais informaes em: <http://labcom.inf.ufrgs.br/ceseg/index.php?option=com_content&task=view&id=48&Itemid=81>.

177

A lista no uma unanimidade entre os pesquisadores. Porm, a nica classificao atualmente disponvel no Brasil. Foram acrescidas ao formulrio outras linhas de pesquisa e os pesquisadores indicaram mais 16 opes. desejvel a criao de uma nova taxonomia que inclua a identificao de grandes reas e de subdivises, permitindo melhor identificao de especialistas e das reas cobertas por eles. Os entrevistados tiveram liberdade de selecionar quantas linhas de pesquisa desejassem, de acordo com sua preferncia. Cada um indicou, em mdia, seis opes, nem sempre correlacionadas. Alguns entrevistados chegaram a marcar quase todas as opes disponveis. A grande quantidade de linhas de pesquisa selecionadas pelos pesquisadores indica que muitos deles podem estar atuando de forma dispersiva, em reas nem sempre correlatas. A fim de atender grande demanda de oportunidades e cobrir as lacunas da falta de pessoal capacitado no setor, os poucos pesquisadores acabam atuando em diferentes reas. Por outro lado, esse perfil profissional atenderia s necessidades de multidisciplinaridade desejadas no setor de segurana ciberntica, desde que comprovada sua capacidade tcnica de autuar em diversas reas simultaneamente. Observando a Tabela 1, constata-se que a maior concentrao ficou na rea de segurana em redes, que foi relacionada por 43% dos entrevistados, seguida por vulnerabilidades, ataques e deteco de intruses.

178

Tabela 1 - Atuao dos pesquisadores nas linhas de pesquisa

Linhas de pesquisa
Segurana em redes Vulnerabilidades, ataques e deteco de intruses Polticas de segurana Segurana em sistemas distribudos Segurana em servios web Auditoria e anlise em sistemas Controle de acesso Segurana em dispositivos mveis, sistemas embarcados e redes sem fio Teste e avaliao da segurana Tolerncia a falhas Tecnologias de firewall Algoritmos e tcnicas criptogrficas Segurana em grades computacionais e em nuvem Segurana em sistemas operacionais Tolerncia a intruses Metodologias de gesto de riscos Padronizao e normalizao em segurana Criminalstica computacional Guerra e defesa ciberntica Protocolos de segurana Autenticao e gerncia de identidade Metodologias de desenvolvimento de sistemas seguros Segurana em aplicaes (TV digital, e-banking, etc.) Segurana em redes virtuais Pragas virtuais (desenvolvimento, anlise e defesa) Segurana na internet do futuro Medidas e sistemas de contingncia face a desastres Segurana em redes P2P e redes de sobreposio Modelos de confiana Hardware criptogrfico, RFID e cartes inteligentes Anonimato

% de pesquisadores atuando
43% 39% 30% 28% 25% 24% 21% 21% 21% 18% 17% 17% 17% 17% 16% 15% 15% 14% 14% 14% 13% 13% 11% 11% 10% 10% 9% 9% 8% 7% 6%

179

Linhas de pesquisa
Gerncia de chaves Metodologias de certificao de sistemas e de softwares seguros Sistemas de confiana Votao eletrnica Biometria e sistemas biomtricos Segurana em middleware (Java RMI, J2EE, CorbaSec, .Net, etc.) Segurana adaptativa Ataques e contramedidas de hardware Autenticidade de dados Computao de alto desempenho e robtica autnoma Desenvolvimento gil Ecossistemas de negcios e servios Informtica educativa Integraco de redes heterogneas Mtodos formais para segurana Privacidade Proteo de propriedade intelectual e DRM Protocolos de autenticaco Segurana em sistemas embarcados crticos Sistema de BI Sistemas de computao mvel Sistemas de deteco de intrusos Smart Grid SmartCards e certificao digital Veicular Ad-Hoc Network (Vanet) Fonte: Elaborao do autor.

% de pesquisadores atuando
6% 6% 6% 6% 6% 6% 5% 1% 1% 1% 1% 1% 1% 1% 1% 1% 1% 1% 1% 1% 1% 1% 1% 1% 1%

180

Tipos de pesquisas realizadas

Os pesquisadores foram questionados quanto aos tipos de pesquisa que realizavam. Os entrevistados tiveram liberdade de selecionar quantos tipos de pesquisa desejassem, de acordo com sua preferncia. Cerca de 44% dos pesquisadores indicaram atuar em somente um tipo de pesquisa, com predominncia na pesquisa aplicada (21%), seguida pela pesquisa terica (13%) e pelo desenvolvimento de novos produtos, processos e tecnologias voltados ao mercado (7%). Computando-se todas as respostas, verificou-se, conforme a Figura 5, uma predominncia da realizao de pesquisa acadmica aplicada, com 70,6%. A realizao de pesquisa acadmica pura ou bsica (terica) obteve 40,4%.

Pesquisa Acadmica Pura ou Bsica (terica) Pesquisa Acadmica Aplicada (resoluo de problemas) Desenvolvimento de novos produtos, processos e tecnologias voltados ao mercado Desenvolvimento de novos produtos, processos e tecnologias voltados ao Governo Desenvolvimento de novos produtos, processos e tecnologias para uso prprio ou na instituio Outros 3% 16% 16% 28%

40% 71%

Figura 5 - Tipos de pesquisas conduzidas

Fonte: Elaborao do autor.

181

Grupos de pesquisa
Os pesquisadores entrevistados fazem parte de 26 grupos de pesquisa no Brasil, distribudos em 16 instituies. Os pesquisadores tambm relacionaram sua participao em cinco grupos no exterior, conforme a Tabela 2. A maioria dos grupos indicados no est registrado formalmente no Diretrio de Grupos de Pesquisa7 mantido pelo CNPq, que deveria conter as informaes sobre os grupos de pesquisa em atividade no Pas.
Grupo de pesquisa
CPqD Laboratrio de Transferncia de Tecnologia Instituto Nacional de Cincia e Tecnologia em Sistemas Embarcados Crticos (INCT-SEC) Distributed Systems Research Group Laboratrio de Direito e Tecnologia Senai Santa Catarina Laboratrio de Sistemas Distribudos Laboratrio de Sistemas Distribudos (LSD) Labsac - Laboratrio de Sistemas em Arquiteturas Computacionais Escalabilidade e Eficincia em Sistemas de Computao Ncleo de Redes Sem Fio e Redes Avanadas (NR2) Grupo de Redes de Computadores do Instituto de Informtica da Universidade Federal do Rio Grande do Sul. Distributed Mobile Computing and Network Security Grupo de Pesquisa em Automao e Sistemas (GPAS) Laboratrio de Segurana em Computao (Labsec) Grupo de Redes e Gerncia GMob - Sistemas de Computao Mvel e Pervasiva Grupo de Linguagens de Programao e Banco de Dados (GLPBD) SEGet - Grupo de pesquisa em Segurana e Gesto da Informao - UFSM Gente - Grupo de Estudos sobre Novas Tecnologias na Educao

Instituio
CPqD FURB INCT-SEC PUC-PR PUC-PR SENAI Santa Catarina UFBA UFMA UFMA UFMG UFPR UFRGS UFSC UFSC UFSC UFSC UFSM UFSM UFSM UNEMAT

Mais informaes em: <http://www.cnpq.br/gpesq/apresentacao.htm>.

182

Grupo de pesquisa
Sistemas Computacionais Avanados Anlise de Algoritmos LCA Computao Pervasiva e Alto Desempenho Laboratrio de Segurana de Dados Laboratrio de Arquitetura e Redes de Computadores (Larc) Garoa Hacker Clube iDefense Labs Vulnerability Contribution Program Navigators Centre for Applied Cryptographic Research (CACR) Cloud Security Alliance

Instituio
UNESP Bauru Unicamp Unicamp USP USP USP Garoa iDefense Universidade de Lisboa University of Waterloo Cloud Security Alliance

Tabela 2- Grupos de Pesquisa

Fonte: Elaborao do autor.

Estratgias para a formao das redes sociotcnicas

As redes sociotcnicas em segurana ciberntica podem ser formadas e mantidas por meio das estratgias definidas a seguir.

O papel do Estado
Prope-se que o Estado deve assumir o papel de ator-mundo nas redes sociotcnicas em segurana ciberntica, incentivando a criao dessas redes e participando ativamente na construo do conhecimento. A formao das redes, contudo, no se d sem conflitos. Cabe ao ator-mundo mediar esses conflitos, definindo a temtica a ser tratada, traduzindo, analisando, entendendo e respeitando as relaes dinmicas estabelecidas dentro de cada rede.

183

Criao das redes

As redes sociotcnicas podem ser usadas tanto para as discusses, quanto para a execuo das estratgicas de segurana ciberntica. A discusso, a definio clara e a reviso constante das estratgias de segurana ciberntica para proteo das infraestruturas crticas fazem parte da construo das redes sociotcnicas em segurana ciberntica. A identificao dos atores envolvidos e os temas a serem tratados tambm devem ser priorizados. Essas aes permitiro ao Estado acompanhar, analisar e interagir com as redes, porm sem interferir na criatividade e nas solues apresentadas, mas incentivando a dinmica das redes focadas nas estratgias nacionais.

Funcionamento das redes

As redes sociais, por meio de ferramentas de colaborao e listas de discusso, vm prestando enorme auxlio rea de segurana ciberntica. Porm, as discusses mantidas nesses fruns ainda carecem de focos estratgicos. Em seu documento de desafios, a SBC (2006) argumenta que eventos de brainstorming para discutir estratgias so muito raros e prope a criao de um centro para discusso de pesquisa que incentive tais atividades. Os encontros e discusses focados em temas especficos tendem a ser mais produtivos, como ocorrem em Dagstuhl8, na Alemanha, onde os participantes podem ficar imersos por at uma semana para discutir os temas de pesquisa em computao. As redes sociotcnicas em segurana ciberntica podem funcionar tanto de forma virtual quanto presencial, desde que mantidos os temas que unem os atores envolvidos.
8

Mais informaes em: <www.dagstuhl.de>.

184

Redes dinmicas
As redes podem ser formadas para auxiliar na resoluo de crises e de problemas urgentes. Para isso, pr-requisito o mapeamento prvio das competncias e perfis de pessoas, grupos e instituies que possam ser ativados dinamicamente, quando necessrio. Tambm preciso o inventrio de recursos fsicos e tecnolgicos que sero usados pelos envolvidos. O uso de recursos de modelagem e a ativao de processos computacionais dinmicos podem ser adaptados para a modelagem e a ativao dinmica das redes. A linguagem BPEL4People (KLOPPMANN et al., 2005), uma extenso da linguagem WS-BPEL (Web Services Business Processes Execution Language) (JORDAN; EVDEMON, 2007) para a definio de web services, pode ser usada para modelar as redes dinmicas. A adoo de ferramentas computacionais para a criao, a ativao e o acompanhamento das atividades das redes sociotcnicas desejvel, mas no deve ser a nica opo. Em momentos de crise, por exemplo, nos quais os recursos computacionais podem estar inoperantes, as redes sociotcnicas devem ser montadas e acessadas por qualquer meio de comunicao disponvel.

Interao entre redes

Como discutido anteriormente, necessrio promover a multidisciplinaridade na soluo dos problemas relacionados segurana das infraestruturas crticas. As redes sociotcnicas temticas so uma soluo para assuntos especficos. Porm, preciso identificar os pontos de interseco entre as redes para que os temas possam ser discutidos de forma mais abrangente e integrada. Temas que permeiam mais de um assunto devem ser transversais s redes estabelecidas, criando-se redes sobrepostas, que possam contribuir para as questes relacionadas multidisciplinaridade. Outro requisito para a formao das redes multidisciplinares a identificao e o incentivo aos atores que podem ser o ponto de interseco entre as redes e que tero como misso auxiliar na interao entre os diversos temas que devem ser abordados.

185

Taxonomia unificada
Conforme verificado durante a pesquisa apresentada na seo Um perfil da pesquisa em segurana ciberntica no Brasil, a identificao dos temas relacionados segurana ciberntica essencial no s para a pesquisa no setor, mas, tambm, para a formao e o acompanhamento das redes sociotcnicas. Uma taxonomia unificada ajudar na identificao de competncias e na organizao e recuperao do conhecimento gerado pelas redes.

Estratgias em segurana ciberntica

Em maio de 2006 a Sociedade Brasileira de Computao produziu um documento listando os principais desafios da computao no Brasil (SBC, 2006). Desde a produo desse documento, pouca coisa mudou no cenrio nacional. As propostas apresentadas para superar esses desafios envolvem os seguintes quesitos, que podem ser integralmente transpostos para a rea de segurana ciberntica e das infraestruturas crticas: multidisciplinariedade; integrao com a indstria; transformao da fuga de crebros em vantagem; e estabelecimento de um centro para discusso de pesquisa. A seguir so apresentadas algumas propostas que envolvem esses e outros quesitos, visando ao desenvolvimento de aes e de polticas pblicas. As estratgias propostas a seguir devem servir de subsdio para a formao das redes sociotcnicas de segurana ciberntica incentivadas pelo Estado.

Incentivo multidisciplinaridade
A multidisciplinaridade um quesito identificado tambm por Mandarino Junior e Canogia (2010), quando reconhecem que h muitos atores de governo envolvidos no desafio poltico-estratgico da segurana ciberntica. Esse quesito tambm necessrio para identificar e solucionar a questo da

186

interdependncia das infraestruturas crticas identificadas por Canoglia, Gonalves Jnior e Mandarino Junior (2010). No quesito multidisciplinaridade, o documento da SBC (2006) prega que se deve desenvolver modelos de ensino e pesquisa joint venture entre reas, que visem formao de profissionais e cientistas que possam trabalhar neste novo mundo, com nfase em multi e interdisciplinaridade. Essa interao no deve ocorrer apenas entre a computao e outros domnios cientficos, mas tambm dentro da computao. No caso especfico das infraestruturas crticas, a multidisciplinaridade envolve, no exaustivamente, conhecimentos dos vrios domnios da computao e das diversas reas de segurana, alm de conhecimentos jurdicos e especficos dos setores crticos j citados.

Integrao entre governo, universidade e indstria

A necessidade de maior integrao das instituies governamentais com a indstria tambm tratada como um desafio por Mandarino Junior e Canogia (2010), que verificaram que cerca de 80% dos servios de rede esto a cargo do setor privado. Tambm sugerem ajustes na Poltica de Desenvolvimento Produtivo (PDP) para insero do setor ciberntico e maior integrao do setor privado segurana ciberntica do Pas. Para a SBC (2006), a pesquisa de boa qualidade reverte-se em benefcios sociais e econmicos e deve ser considerada a aproximao entre a pesquisa e a indstria para efeitos do desenvolvimento tecnolgico de qualidade e indicao de novas reas com o potencial de se transformarem em mercados emergentes. Apesar de a pesquisa no Brasil propor novas tecnologias de segurana, estas raramente chegam a se tornar produtos que atendam s demandas governamentais ou podem ser adotadas de forma confivel. A aproximao do governo com a indstria e com os pesquisadores essencial, para fomentar a transformao das novas tecnologias em produtos especficos que atendam s estratgias de Estado para a segurana ciberntica.

187

Formao de recursos humanos

A formao de recursos humanos na rea de segurana ciberntica no Brasil ainda muito lenta, problema esse compartilhado com outras naes. O governo norte-americano saiu frente na busca de solues, incentivando financeiramente seus cidados a buscar formao em segurana ciberntica. No Brasil, apesar dos recentes esforos governamentais, as aes de capacitao em segurana ciberntica ainda so incipientes e isoladas. A formao em massa de mo de obra uma necessidade urgente. O incentivo formao acadmica de graduao e ps-graduao deve ser considerado para o atendimento urgente e fique, pelo menos, em conformidade com a legislao. Para se enfrentar o desafio da formao de mo de obra em segurana ciberntica no Brasil, as polticas pblicas devem focar na capacitao de gestores, de tcnicos e de novos pesquisadores. Devem ser consideradas aes urgentes de curto prazo para a capacitao de servidores pblicos em mdio e longo prazo, visando formao de mo de obra especializada para atender s demandas do Estado e da sociedade. A formao de gestores em SIC por uma nica instituio de ensino no conseguir atender a toda a demanda. Com a experincia obtida nos cursos de formao de gestores, j seria possvel estruturar uma ementa mnima e estend-los s instituies que possuam competncia acadmica para ministr-los. O fomento ao ensino no curto, mdio e longo prazo pode ser feito por meio de programas de ctedras que incentivem a incluso de disciplinas focadas na segurana ciberntica, a criao de novos cursos de graduao e ps-graduao, a distribuio de bolsas de iniciao cientfica para alunos de graduao e a criao de cursos tcnicos de nvel mdio.

188

Aproveitamento de crebros
Ao longo dos anos, tcnicos e pesquisadores brasileiros foram atrados para o exterior. Como pde ser observado na seo anterior, cerca de 5% dos pesquisadores esto atuando em instituies de pesquisa ou em entidades privadas no exterior. Esses recursos humanos altamente capacitados poderiam ser incentivados a focar suas pesquisas e atividades nas reas estratgicas do Pas. Conforme identificado pela SBC (2006), (...) eles podem ser usados como contato para aumentar a cooperao em pesquisa do Brasil com o resto do mundo. Esses pesquisadores podem facilitar a integrao com instituies, professores e pesquisadores estrangeiros, alm de auxiliar na formao de mo-de-obra brasileira no exterior.

Fomento pesquisa e ao desenvolvimento

Os programas de fomento j existentes nos fundos setoriais da Finep podem ser usados para incentivar a pesquisa e o desenvolvimento de tecnologias de segurana nos setores crticos especficos. Como a segurana das infraestruturas crticas envolve diversas reas interdependentes, seria possvel criar no mbito da Finep uma nova ao transversal especfica que promovesse a capacitao de recursos humanos, a disseminao do conhecimento, a pesquisa e o desenvolvimento de novos produtos e metodologias de segurana ciberntica, abrangendo os diversos setores envolvidos.

189

Concluses
Este artigo apresentou uma proposta de uso das redes sociotcnicas como poderosa ferramenta de auxlio na gesto do conhecimento em segurana ciberntica voltado principalmente s infraestruturas crticas. As redes sociotcnicas permitem ao Estado otimizar o uso dos recursos humanos e materiais existentes e a interao entre as diversas reas de conhecimento envolvidas na segurana das infraestruturas crticas. No papel de ator-mundo das redes, o Estado pode incentivar a discusso de solues para os temas estratgicos e interagir com os diversos atores envolvidos em mltiplas redes temticas. Com essas redes, tambm foi proposto um conjunto de aes de polticas pblicas especficas para o incentivo e o fomento s atividades de segurana ciberntica, envolvendo a criao da cultura de multidisciplinaridade, a formao e o aproveitamento de recursos humanos. Como parte do processo de formao das redes, foi realizada uma pesquisa visando identificar pesquisadores, suas linhas de pesquisa, a sua formao e atuao e os principais grupos de pesquisa em segurana ciberntica.

190

Referncias bibliogrficas
CALLON, Michel. The sociology of an actor-network: the case of electric vehicle. In: CALLON, M.; LAW, J.; RIP, A. (Eds.). Mapping the dynamics of science and technology. Sociology of science in the real world. London: The Macmillan Press, 1986. CANONGIA, Cludia.; GONALVES JNIOR, Admilson.; MANDARINO JUNIOR, Rafael (Orgs.). Guia de referncia para a segurana das infraestruturas crticas da informao. Braslia: Gabinete de Segurana Institucional, Departamento de Segurana da Informao e Comunicaes, 2010. FERNANDES, Jorge H. C (Org.). Gesto da segurana da informao e comunicaes. Braslia: Faculdade de Cincia da Informao/UnB, 2010. v. 1 FREITAS, Helena C. A. In: ARCE, Alberto; BLANCO, Gustavo; HURTADO, Margarita (Orgs.). Poltica pblicas como objeto social. Guatemala: Flacso, 2008. v. 1, p. 271-287. JORDAN, Diane; EVDEMON, John. Web Services Business Process Execution Language Version 2.0. OASIS Standard, 2007. KALIL, Tom; IRONS, John. A national innovation agenda progressive: policies for economic growth and opportunity through science and technology. Washington, DC: Center for American Progress, 2007. KLOPPMANN, Matthias et al. WS-BPEL Extension for People BPEL4People. A Joint White Paper by IBM and SAP, 2005. LATOUR, Bruno. Cincia em ao: como seguir cientistas e engenheiros sociedade afora. So Paulo: Editora Unesp, 2000. LATOUR, Bruno. Jamais fomos modernos: ensaio de antropologia simtrica. Rio de Janeiro: Ed. 34, 1994. LAW, J. Notes on the theory of the actor network: ordering, strategy and heterogeneity. Systems Practice, v. 5, n. 4, p. 379-393, 1992.

191

MANDARINO JUNIOR, Raphael; CANONGIA, Cludia. Livro verde Segurana ciberntica no Brasil. Braslia: GSI/PR, 2010. MILLER, Robert A.; LACHOW, Irving. Strategic fragility: infrastructure protection and national security in the Information Age. Defense Horizons, Center for Technology and National Security Policy, n. 59, Jan. 2008. ROCHA, Juliana A. Financiamentos impulsionam tecnologia da TV Digital. Revista Inovao em Pauta, Finep, v.1, n.1, 2007.

192

Concluso
193

CONCLUSO
Otvio Santana do Rgo Barros * e Ulisses de Mesquita Gomes **

No h bons ventos para quem no sabe aonde quer chegar. (Provrbio chins)

Setor estratgico ciberntico

A partir da anlise dos artigos elaborados pelos autores, em complemento Reunio Tcnica de Segurana e Defesa Ciberntica, os organizadores apresentam, como concluso, uma proposta para estudo do setor de segurana e defesa ciberntica, visando a fundamentar futuras polticas pblicas. Ressaltam, ainda, a necessidade de que a Secretaria de Assuntos Estratgicos e o Ministrio da Defesa atuem sinergicamente para a concretizao de metas de curto prazo que mobilizem o governo e a sociedade para o desafio de proteger o espao ciberntico brasileiro.

* O Coronel Otvio Santana do Rgo Barros exerce o cargo de Assessor Especial Militar do Ministro de Assuntos Estratgicos da Presidncia da Repblica. Na sua carreira militar realizou os cursos da Academia Militar das Agulhas Negras, de Aperfeioamento de Oficiais, de Comando e Estado-Maior e o Curso de Altos Estudos de Poltica e Estratgia da ESG. Desempenhou as seguintes funes: Instrutor da Escola de Sargento das Armas e da Escola de Aperfeioamento de Oficiais, integrou a Cooperao Militar Brasileira no Paraguai, Oficial do Gabinete do Comandante do Exrcito no Centro de Inteligncia do Exrcito e Chefe da Segunda Assessoria do Gabinete do Comandante do Exrcito. Comandou o 10 Esquadro de Cavalaria Mecanizado, o 11 Regimento de Cavalaria Mecanizado e o Batalho de Infantaria de Fora de Paz Brasileiro na ONU em Porto Prncipe - HAITI. ** O Tenente Coronel Ulisses de Mesquita Gomes exerce o cargo de Assessor Militar do Ministro de Assuntos Estratgicos da Presidncia da Repblica. bacharel em Direito pela UFMG. Na sua carreira militar realizou os cursos da Academia Militar das Agulhas Negras, de Aperfeioamento de Oficiais, de Comando e Estado-Maior e de Preparao de Militares do Exrcito Brasileiro para Misses de Paz. Desempenhou as seguintes funes: Instrutor do Centro de Preparao de Oficiais da Reserva, Oficial de Planejamento da Misso das Naes Unidas no Haiti e Comandou a Companhia de Comando da Brigada de Infantaria Paraquedista.

195

Metas de curto prazo (2011 a 2014)

Esto listadas, a seguir, as trs metas que devem ser atingidas em curto prazo pelo Governo brasileiro, na viso da Secretaria de Assuntos Estratgicos, com a finalidade de implementar o Setor Estratgico Ciberntico no Pas: estabelecer a Poltica Nacional de Segurana e Defesa Ciberntica; estabelecer a Estratgia Nacional de Segurana e Defesa Ciberntica;1 e estabelecer o Sistema de Segurana e Defesa Ciberntica.

Cenrio atual
A Estratgia Nacional de Defesa (END) define o setor ciberntico, juntamente com os setores nuclear e espacial, como estratgico e essencial para a Defesa Nacional. O que se deseja que as trs Foras, em conjunto, possam atuar em rede, de forma segura, quer para atender s suas especificidades, quer para o emprego em Operaes Conjuntas (Op Cj). Textualmente, a END prev que:
As capacitaes cibernticas se destinaro ao mais amplo espectro de usos industriais, educativos e militares. Incluiro como parte prioritria, as tecnologias de comunicao entre todos os contingentes das Foras Armadas de modo a assegurar sua capacidade para atuar em rede. Contemplaro o poder de comunicao entre os contingentes das Foras Armadas e os veculos espaciais. No setor ciberntico, ser constituda organizao encarregada de desenvolver a capacitao ciberntica nos campos industrial e militar.

Pases como os Estados Unidos da Amrica (EUA), Reino Unido, Japo, Espanha e Austrlia, j possuem suas polticas e estratgias nacionais de segurana ciberntica (Junior & Canongia, 2010).

196

Todas as instncias do Estado devero contribuir para o incremento do nvel de Segurana Nacional, com particular nfase sobre as medidas para a segurana das reas de infraestruturas crticas, incluindo servios, em especial no que se refere energia, transporte, gua e telecomunicaes2, a cargo dos Ministrios da Defesa, das Minas e Energia, dos Transportes, da Integrao Nacional e das Comunicaes, e ao trabalho de coordenao, avaliao, monitoramento e reduo de riscos, desempenhado pelo Gabinete de Segurana Institucional da Presidncia da Repblica. Nos trs setores, as parcerias com outros pases e as compras de produtos e servios no exterior devem ser compatibilizadas com o objetivo de assegurar espectro abrangente de capacitaes e de tecnologias sob domnio nacional. O Ministrio da Defesa e as Foras Armadas intensificaro as parcerias estratgicas nas reas ciberntica, espacial e nuclear e o intercmbio militar com as Foras Armadas das naes amigas, neste caso particularmente com as do entorno estratgico brasileiro e as da Comunidade de Pases de Lngua Portuguesa e militar (Brasil, 2008).

No Brasil, conforme preconizado no Decreto n 4.801/2003 e suas atualizaes, o Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR) responsvel pela coordenao das medidas de segurana da informao3, segurana ciberntica e segurana das infraestruturas crticas, a serem tomadas pelos diversos rgos da Administrao Pblica Federal (APF). No mbito do Ministrio da Defesa, ateno especial recai sobre o Exrcito Brasileiro, responsvel por coordenar e integrar as aes atinentes Defesa Ciberntica dentro das Foras Armadas, conforme Diretriz Ministerial n 0014/2009, de 9 de novembro de 2009.

2 3

O GSI/PR introduziu o setor finanas como mais uma rea a ser monitorada dentre as infraestruturas crticas. Segurana da Informao a proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento (Brasil, 2000).

197

A formulao de polticas pblicas que promovam um robusto sistema de Segurana e Defesa Ciberntica para o Pas requer insumos de todos esses domnios e pode beneficiar-se de iniciativas de cooperao internacional. importante conhecer o grau de vulnerabilidade do pas com relao aos diversos sistemas e s infraestruturas crticas de informao, bem como conceber um sistema eficaz de medidas preventivas e de respostas contra ataques cibernticos (Junior & Canongia, 2010). Destaque-se a importncia do estabelecimento de programas de cooperao entre o governo e a sociedade, com apoio da academia, bem como a cooperao com governos e a comunidade internacional, a fim de desenvolver programas de capacitao e a implementar o Sistema de Segurana e Defesa Ciberntica Brasileiro (Junior & Canongia, 2010). Verifica-se na atualidade que a maioria dos pases possui uma estrutura similar de Defesa Ciberntica. Dentro da viso estratgica desses governos, a Defesa Ciberntica est a cargo do Ministrio da Defesa, que responsvel pela implantao de um Comando de Defesa Ciberntico centralizado. Este coordena como as Foras Armadas devem se equipar, se preparar e empregar seus recursos humanos e materiais para fazerem frente s ameaas que advm do espao ciberntico (Rgo Barros & Gomes, Seminrio Cyber Warfare, 2011). Para o Brasil, a estratgia a ser empregada no campo ciberntico a de dispor de um rgo de referncia em Segurana e Defesa Ciberntica, com recursos humanos dotados de alta competncia tcnica e parque tecnolgico especializado e atualizado (Rgo Barros & Gomes, Seminrio Cyber Warfare, 2011).

198

Anlise do cenrio atual

Usando a ferramenta de anlise SWOT (sthrengths, weaknesses, opportunities, threats) e admitindo como empresa o governo federal, os organizadores apresentam a seguir os principais fatores de fora, de fraqueza, de ameaa e de oportunidade, tanto no ambiente interno quanto no externo, em relao implementao do Setor Estratgico Ciberntico pelo governo federal.
POSITIVO A publicao da END A publicao do PNSIEC INTERNO A criao do CTIR.Gov A criao do CDCiber A Segurana Ciberntica includa nos objetivos da Creden A proposta de criao do CDCFA O reconhecimento do Brasil como protagonista em vrios temas globais Os acordos bilaterais de cooperao em segurana da informao com outros pases Excelentes Universidades e Institutos de Pesquisa Nacionais em Segurana da Informao O reconhecimento do Brasil como ator importante no cenrio ciberntico mundial As parcerias e as aes colaborativas entre pases NEGATIVO A falta de oramento especfico para a rea de Segurana e Defesa Ciberntica A dificuldade do Governo Federal em coordenar a SIC na APF A ausncia de linhas de fomento para desenvolvimento de solues tecnolgicas A ausncia de carreira de Estado na rea de ciberntica A falta de integrao nos sistemas de proteo das IEC A necessidade de ajustar o SISBIN para enquadrar o setor ciberntico A complexidade nas relaes entre Estados A falta de clareza sobre a importncia da Segurana e Defesa Ciberntica para diversos atores A inexistncia de marco jurdico legal sobre ciberntica A convergncia tecnolgica facilitando a perpetrao de crimes O aumento significativo de sistemas de comunicao e de rede e suas interconexes A falta de desenvolvimento de uma cultura em Segurana e Defesa Ciberntica A falta de preocupao do setor privado quanto Segurana e Defesa Ciberntica

Figura 1 - Anlise SWOT

Fonte: Elaborao dos autores.

EXTERNO

199

Objetivos a conquistar
Aes polticas
Visando cumprir sua atribuio de promover o planejamento governamental de longo prazo e contribuir para implementao da Estratgia Nacional de Defesa no que tange ao setor ciberntico brasileiro, a SAE projeta, no mbito de sua Assessoria de Defesa, instituir o Comit Gestor de Atividades de Ciberntica e de Tecnologia da Informao (CGCTI).4 O comit ser responsvel pela elaborao das polticas e estratgias para o setor ciberntico e, posteriormente, pelo acompanhamento e atualizao desses documentos, em coordenao com os integrantes do comit e demais usurios da Administrao Pblica Federal (APF). O comit ter como objetivos principais: elaborar estudos e prestar subsdios para a preparao de aes dos rgos da Presidncia da Repblica em temas relacionados a atividades de ciberntica e de tecnologia da informao; e promover a articulao dos rgos da APF com competncia sobre atividades de ciberntica e de tecnologia da informao para a discusso e estudo das opes estratgicas do Pas sobre o tema. Visualiza-se, ainda, o desencadeamento das seguintes aes: conceber um modelo institucional de proteo contra ataques cibernticos e criar o respectivo marco legal; desenvolver programa nacional interdisciplinar de pesquisa em segurana de sistemas de informao, envolvendo recrutamento e capacitao de recursos humanos; e estabelecer programas de cooperao entre governo, sociedade civil e comunidade tcnica internacional (Junior & Canongia, 2010).
4

A Exposio de Motivos Interministerial n 003 - SAE/MP, de 05 de Fevereiro de 2010, enviada Casa Civil, prope a criao do CGCTI.

200

Outra importante ao a ser desencadeada alterar o Decreto n 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal, a fim de incluir a Secretaria de Assuntos Estratgicos/PR como integrante do Comit Gestor de Segurana da Informao (CGSI).

Aes estratgicas e operacionais

Estabelecidos os critrios e as aes por meio do CGCTI, ser necessrio operacionalizar as seguintes aes: criar o Comando de Defesa Ciberntica das Foras Armadas (CDCFA), com participao de civis e militares das trs Foras Armadas, vinculado ao EMCFA e subordinado ao Exrcito Brasileiro (Rgo Barros & Gomes, Seminrio Cyber Warfare, 2011); assegurar, de forma conjunta, o uso efetivo do espao ciberntico pelas Foras Armadas e impedir ou dificultar a sua utilizao contra os interesses da defesa nacional; capacitar e gerir recursos humanos necessrios conduo das atividades do setor ciberntico no mbito das Foras Armadas; colaborar com a produo do conhecimento de inteligncia, oriundo da fonte ciberntica, de interesse para o Sistema de Inteligncia de Defesa (Sinde) e demais rgos de governo envolvidos na proteo do Estado brasileiro; elaborar e manter atualizada a doutrina de emprego das Foras Armadas nas atividades do setor ciberntico; integrar as estruturas de C&T das trs Foras Armadas e as atividades de pesquisa e desenvolvimento para atender s necessidades do setor ciberntico; e contribuir para a segurana dos ativos de informao da Administrao Pblica Federal, situados fora do mbito do Ministrio da Defesa, bem como daqueles vinculados s estruturas civis.

201

Necessidades oramentrias
Atualmente, quando as possibilidades de estabelecimento de aes na rea da segurana e defesa ciberntica so analisadas, verifica-se que prematuro apresentar propostas oramentrias globais para concretizao das metas aludidas anteriormente. fato que os atores envolvidos nessa rea de segurana e defesa ciberntica j esto em movimento, mas cada elemento com foco especfico em seus interesses institucionais. No entanto, a END prev que, de maneira associada, o Ministrio da Defesa, em coordenao com os Ministrios da Fazenda; do Desenvolvimento, Indstria e Comrcio Exterior; do Planejamento, Oramento e Gesto; e da Cincia e Tecnologia com as Foras Armadas dever:
Estabelecer ato legal que garanta a alocao, de forma continuada, de recursos financeiros especficos que viabilizem o desenvolvimento integrado e a concluso de projetos relacionados Defesa Nacional. (Brasil, 2008)

Necessidades de recursos humanos (RH)

Identificou-se que se deve desenvolver um programa nacional de capacitao em segurana ciberntica e de recrutamento, que seja construdo a partir da viso interdisciplinar que o tema requer no curto, mdio e longo prazos, nos nveis: bsico; tcnico; de graduao; especializao; mestrado; e doutorado. Percebe-se, ainda, a imperiosa necessidade de se incluir nos currculos de ensino do Pas a obrigatoriedade de temas como segurana da informao, segurana ciberntica e correlatos. Por fim, augura-se a possibilidade de formar mais especialistas com conhecimento das tecnologias avanadas na rea de ciberntica e computao de alto desempenho.

202

Indstria nacional de produto de defesa

As complexas estruturas tecnolgicas que serviro de base para o estabelecimento de uma segura proteo ciberntica do Pas exigem a implementao de programas que desenvolvam a pesquisa e o desenvolvimento, suportados por computadores de alto desempenho. A supercomputao e suas possibilidades so nichos tecnolgicos no compartilhados por naes mais poderosas e desenvolvidas. A Secretaria de Assuntos Estratgicos e o Ministrio da Defesa, ao perceberem essa lacuna em nosso esqueleto tecnolgico e aproveitando acordo firmado entre o Brasil e a Frana para cooperao em diversas reas sensveis, resolveram promover a instalao de um polo cientfico na rea de supercomputadores. Por solicitao do governo francs, a parceria em nosso territrio dever ser firmada com uma empresa ligada diretamente ao governo brasileiro.

Proposta de modelo institucional

Viso geral do sistema de segurana e defesa ciberntica brasileiro
Apresenta-se, a seguir, quadro contendo uma proposta do Sistema de Segurana e Defesa Ciberntica Brasileiro nos nveis Poltico, Estratgico e Operacional, na viso da SAE, o qual representa a estrutura bsica necessria para atuar, simultaneamente, nas reas de segurana e defesa ciberntica.

203

Poltico
Segurana ciberntica

coordenao Subordinao

PR

a definir

CDN

GSI

CREDEN

Estratgico
defesa ciberntica

MD ABIN SAE MJ CASA CIVIL APF DPF EMCFA

Operacional
Guerra ciberntica

FA/EB

CDCFA

figura 2 - sistema de segurana e Defesa Ciberntica Brasileiro

fonte: elaborao dos autores.

Observando-se o diagrama, depreende-se que o sistema visualizado ter abrangncia nacional e capilaridade desde o mais alto nvel poltico, representado pelo GSI/PR e a APF, passando pelo MD, que realiza a ligao Poltico-Estratgica, at os mais baixos escales de comando das Foras Armadas que atuem no nvel operacional e ttico. Engajar toda a sociedade na preservao dos interesses nacionais que venham a ser afetados dentro do espao ciberntico objetivo ambicioso, mas que deve ser perseguido. Sua consecuo constitui condio sine qua non para a melhoria da defesa contra ataques cibernticos dirigidos aos interesses nacionais. 204

Integrantes do sistema de segurana e defesa ciberntica brasileiro

Segurana Ciberntica Conselho de Defesa Nacional (CDN) O CDN o rgo de consulta do Presidente da Repblica nos assuntos relacionados soberania nacional e defesa do Estado democrtico de direito. Constitui-se em um rgo de Estado, com sua secretaria-executiva sendo exercida pelo ministro-chefe do Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR). As competncias do CDN esto previstas no artigo 91 da CF/88 e a regulamentao de sua organizao e de seu funcionamento esto contidas na Lei n 8.153, de 11 de abril de 1991. Cmara de Relaes Exteriores e Defesa Nacional (Creden) A Creden um rgo de assessoramento do Presidente da Repblica nos assuntos pertinentes s relaes exteriores e defesa nacional. Foi criada pelo Decreto n 4.801, de 6 de agosto de 2003, e sua presidncia cabe ao ministro-chefe do Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR). Entre suas atribuies, encontram-se a segurana da informao, segurana ciberntica e segurana das infraestruturas crticas (Brasil, 2003). Comit Gestor de Segurana da Informao (CGSI) O Decreto n 3.505, de 13 de junho de 2000, instituiu a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal (APF) e criou o Comit Gestor de Segurana da Informao. Este tem a atribuio de assessorar a secretaria-executiva do Conselho de Defesa Nacional na consecuo das diretrizes da Poltica de Segurana da Informao, bem como na avaliao e anlise de assuntos relativos aos objetivos estabelecidos naquele Decreto.

205

Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR) O GSI/PR o rgo da Presidncia da Repblica encarregado da coordenao, no mbito da APF, de alguns assuntos estratgicos que afetam a segurana da sociedade e do Estado, quais sejam: Segurana Ciberntica, Segurana da Informao e das Comunicaes (SIC) e Segurana das Infraestruturas Crticas Nacionais. No tocante s infraestruturas crticas nacionais, foram selecionadas cinco reas prioritrias, a saber: energia, telecomunicaes, transportes, gua e finanas. Avalia-se a incluso do setor informao, visto que permeia todas as reas anteriores, pois as infraestruturas crticas dependem cada vez mais de redes de informao para a sua gerncia e controle (Carvalho, 2010). Para o cumprimento da atribuio de coordenar as atividades de Segurana da Informao, o GSI/PR conta, em sua estrutura organizacional, com os seguintes rgos subordinados: Agncia Brasileira de Inteligncia (Abin) A Abin o rgo central do Sistema Brasileiro de Inteligncia (Sisbin), que tem como objetivo estratgico desenvolver atividades de inteligncia voltadas para a defesa do Estado democrtico de direito, da sociedade, da eficcia do poder pblico e da soberania nacional. Dentre suas atribuies, no que interessa especificamente ao setor ciberntico, destaca-se a de avaliar as ameaas internas e externas ordem constitucional. Conta em sua estrutura organizacional com o Centro de Pesquisa e Desenvolvimento de Segurana das Comunicaes (Cepesc), o qual busca promover a pesquisa cientfica e tecnolgica aplicada a projetos de segurana das comunicaes. Departamento de Segurana da Informao e Comunicaes (DSIC) O DSIC tem como atribuio articular as atividades de Segurana da Informao e Comunicaes (SIC) na APF nos seguintes aspectos: regulamentar a SIC para toda a APF;

206

 capacitar os servidores pblicos federais, bem como os terceirizados, sobre SIC; realizar acordos internacionais de troca de informaes sigilosas; representar o Pas junto Organizao dos Estados Americanos (OEA) para assuntos de terrorismo ciberntico; e manter o Centro de Tratamento e Resposta a Incidentes de Redes da APF (CTIR.Gov). Secretaria de Acompanhamento e Estudos Institucionais (SAEI) Dentre as misses atribudas SAEI, que podem se enquadrar no campo da segurana ciberntica, destacam-se: realizar estudos estratgicos, especialmente sobre temas relacionados com a segurana institucional; apoiar o ministro de Estado no exerccio das atividades da secretaria-executiva do Conselho de Defesa Nacional e da presidncia da Cmara de Relaes Exteriores e Defesa Nacional, do Conselho de Governo; e apoiar o secretrio-executivo nas atividades de coordenao do Comit da Cmara de Relaes Exteriores e Defesa Nacional, do Conselho de Governo. Demais grupos coordenados pelo GSI/PR relacionados com a rea: Grupos de Trabalho de Segurana das Infraestruturas Crticas, nas reas de energia, telecomunicaes, transportes, suprimento de gua e finanas; Grupo de Trabalho de Segurana das Infraestruturas Crticas da Informao; Grupo Tcnico de Segurana Ciberntica; e Grupo Tcnico de Criptografia.

207

Rede Nacional de Segurana da Informao e Criptografia (Renasic) A Rede Nacional de Segurana da Informao e Criptografia (Renasic) funciona coordenada pela Assessoria de Cincia e Tecnologia do GSI/PR e se constitui numa rede virtual de troca de informaes sobre o tema, na qual participam pesquisadores, profissionais de entidades pblicas e privadas, do meio acadmico, e outros interessados nessas atividades. A Renasic tem gerado sinergia na discusso de problemas e solues prticas de Tecnologia da Informao e Comunicaes (TIC) e de Segurana da Informao e Comunicaes (SIC). Casa Civil da Presidncia da Repblica Dentre as atribuies da Casa Civil da Presidncia da Repblica, merece destaque, por seu inequvoco enlace com o Setor Ciberntico, a relacionada com a execuo das polticas de certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da Infraestrutura de Chaves Pblicas Brasileiras (ICP-Brasil). Ministrio da Justia O Ministrio da Justia, por meio do Departamento de Polcia Federal (DPF), responsvel pelas aes de represso a crimes praticados no espao ciberntico. Secretaria de Assuntos Estratgicos A SAE possui a atribuio de realizar estudos e pesquisas destinados a promover o planejamento de longo prazo governamental e contribuir para a implementao da Estratgia Nacional de Defesa. Em razo dessas misses, realiza encontros para discutir, no mbito da APF e academia, a orientao do tema Segurana e Defesa Ciberntica. O ltimo encontro realizado com essa caracterstica discutiu as bases para o estabelecimento de um Sistema de Segurana e Defesa Ciberntica Brasileiro que venha a envolver tambm os sistemas de informao ligados s infraestruturas crticas.

208

Defesa Ciberntica Ministrio da Defesa O Ministrio da Defesa e as Foras Armadas, como membros da Administrao Pblica Federal (APF), j participam ativamente, no nvel poltico, do esforo nacional nas reas de Segurana da Informao e Comunicaes, Segurana Ciberntica e Segurana das Infraestruturas Crticas. Entretanto, muito importante a ampliao dessas atividades e das estruturas a elas dedicadas, para atender ao amplo espectro das operaes caractersticas de Defesa Ciberntica, as quais devem abranger: no nvel estratgico: as aes cibernticas necessrias atuao das Foras Armadas em situaes de crise ou conflito armado e, at mesmo, em carter episdico, em situao de paz ou normalidade institucional, ao receber mandado para isso; e no nvel operacional: as aes cibernticas, defensivas e ofensivas, relativas ao preparo (capacitao, adestramento ou treinamento) e ao emprego em operaes militares, de qualquer natureza e intensidade, que caracterizam o ambiente de guerra ciberntica. Em outras palavras, necessrio que as Foras Armadas disponham de equipamentos e sistemas militares que utilizem modernos recursos de TIC, possibilitando o seu emprego eficaz no cumprimento de suas atribuies previstas no artigo 142 da Constituio Federal e regulamentadas, quanto sua organizao, preparo e emprego, pela Lei complementar n 97, de 9 de junho de 1999 e suas atualizaes. Estado-Maior Conjunto das Foras Armadas (EMCFA) Compete ao Estado-Maior Conjunto das Foras Armadas elaborar o planejamento do emprego conjunto das Foras Armadas e assessorar o Ministro de Estado da Defesa na conduo dos exerccios conjuntos e quanto atuao de foras brasileiras em operaes de paz, alm de outras atribuies que lhe forem estabelecidas pelo Ministro de Estado da Defesa (Brasil, 2010).

209

Comando de Defesa Ciberntica das Foras Armadas (CDCFA) Vinculado ao Estado-Maior Conjunto das Foras Armadas visualiza-se a criao do Comando de Defesa Ciberntica das Foras Armadas. Este ser composto por civis e militares das trs Foras Armadas, o qual realizar o planejamento, o emprego, a coordenao e a orientao tcnica e normativa das atividades do sistema brasileiro de defesa ciberntica, particularmente no tocante aos seguintes aspectos: capacitao de talentos humanos; doutrina; operaes; inteligncia; e cincia, tecnologia e inovao. Poder, ainda, encarregar-se da interao do Ministrio da Defesa com o GSI/PR, para fins de participao na segurana ciberntica e obteno da indispensvel cooperao dos setores pblico e privado e da comunidade acadmica no esforo nacional de segurana e defesa ciberntica. Centro de Defesa Ciberntica do Exrcito Brasileiro (CDCiber) O Exrcito Brasileiro, como Fora coordenadora e integradora na conduo do processo de estabelecimento das estruturas de Defesa Ciberntica no mbito da Defesa, antecipou aes no seu campo interno e emitiu, em junho de 2010, a Diretriz para Implantao do Setor Ciberntico no Exrcito, e j em agosto do mesmo ano foram assinadas as portarias criando o Centro de Defesa Ciberntica do Exrcito (CDCiber) e ativando o seu Ncleo (Nu CDCiber), que j se encontra operativo, sendo a referncia no mbito das Foras Armadas.

Modelo institucional do sistema de segurana e defesa ciberntica brasileiro

Considerando os aspectos abordados at este ponto, apresenta-se a seguir um organograma contendo uma proposta do modelo institucional do Sistema de Segurana e Defesa Ciberntica Brasileiro a ser adotado no Pas. Tal proposta representa a estrutura bsica necessria para atuar, simultaneamente, nas reas de segurana e defesa ciberntica.

210

PR CDN CREDEN

GSI/PR

SAE

MJ

CASA CIVIL

MD

APF (Outros)

AD

DPF

EMCFA

MB

EB

FAB

Civis

CGSI ABIN DSIC

coordenao

CDCFA Militares Civis

SAEI RENASIC

Subordinao a definir

figura 3 - Modelo institucional do sistema de segurana e Defesa Ciberntica Brasileiro

fonte: elaborao dos autores.

No organograma apresentado, esto destacados os rgos que podero assumir a responsabilidade, como rgo central, por normatizar, supervisionar, coordenar e controlar as atividades cibernticas brasileiras, desde o campo da segurana ciberntica at o campo da defesa ciberntica. O GSI encontra-se envolvido na elaborao de propostas que normatizem a atividade ciberntica na APF, por meio do DSIC. Esta estrutura, por estar ligada diretamente a um rgo de assessoramento da Presidncia da Repblica, poder, se elevado o seu status na cadeia decisria, assumir a funo de rgo gestor central do sistema.

211

A SAE, rgo cuja misso propor polticas pblicas de longo prazo no campo estratgico, possui no seu DNA a carga gentica de coordenar as atividades que envolvam vrios ministrios, o que facilitar a integrao das decises a serem tomadas e que normatizem o sistema brasileiro de segurana e defesa ciberntico. No entanto, carece de um reforo em recursos humanos para abarcar todas as tarefas imaginadas para o rgo central. O MD, por estar envolvido na materializao dos objetivos previstos para os setores estratgicos, de acordo com a END, encontra-se maduro para solucionar os desafios relacionados defesa ciberntica. No entanto, poder sofrer resistncia ao assumir o papel de rgo central do sistema, em razo da sociedade brasileira no estar conscientizada da importncia que o tema defesa desempenha para o futuro do pas.

Figura 4 - Modelo Institucional do Sistema de Segurana e Defesa Ciberntica Brasileiro Outra Abordagem - 1
Fonte: Elaborao dos Autores

212

Figura 5 - Modelo Institucional do Sistema de Segurana e Defesa Ciberntica Brasileiro Outra Abordagem - 2
Fonte: Elaborao dos Autores

Nas figuras 4 e 5, sugere-se uma nova proposta do modelo institucional, na qual o rgo central se ligaria de forma matricial a todos os atores que lidam com a segurana das infraestruturas crticas do Pas e que comporiam o Sistema de Segurana e Defesa Ciberntica Brasileiro. O mesmo poderia se chamar de Secretaria de Segurana da Informao e Comunicao (SSIC). Seu chefe teria status de Ministro de Estado5 e estaria vinculado diretamente Presidncia da Repblica, como hoje se verifica com a Secretaria de Assuntos Estratgicos, Secretaria de Comunicao Social, Secretaria de Direitos Humanos, Secretaria de Relaes Institucionais e outras.
Um conselheiro ad hoc para assuntos relacionados segurana e defesa ciberntica.

213

A Secretaria de Segurana da Informao e Comunicaes (SSIC) teria por misso principal: normatizar; supervisionar; coordenar; e controlar o Sistema Brasileiro de Segurana e Defesa Ciberntica. A ligao direta da SSIC com a Presidncia da Repblica, o que significaria FORA, e a capilaridade com outros rgos, o que significaria COMPARTILHAMENTO, permitiria a essa Secretaria unir esforos para vencer os obstculos que se apresentam na quinta dimenso do combate. Sua estrutura base contaria com representantes de todos os rgos participantes do conselho consultivo, atuando em carter episdico, que teriam a liberdade de ligar-se diretamente com aqueles a quem representassem, visando a identificar as ameaas, fraquezas, oportunidades e foras da constante anlise do ambiente ciberntico brasileiro e internacional. Para a conduo dos trabalhos da SSIC, seria constitudo um gabinete permanente com atribuies especficas de tratar da relatoria das reunies, produo da documentao e elaborao das normas a serem elevadas Presidncia da Repblica. As agncias e quaisquer outros rgos governamentais e no governamentais com responsabilidades na rea de segurana e defesa ciberntica, dentro de suas especificidades, continuariam atuando com a independncia necessria at que todo o sistema estivesse integrado. Os grupos tcnicos6 constitudos para tratarem da segurana das infraestruturas crticas seriam, inicialmente, os principais clientes da SSIC, para, a partir desse suporte, aumentarem a segurana de suas operaes e, por consequncia, da sociedade brasileira.

O assunto Segurana dasInfraestruturas Crticas foi includo no Artigo 1 do Decreto 4.801, de 6 de agosto de 2003 (de-

creto que cria a Cmara de Relaes Exteriores e Defesa Nacional - Creden), como proposta desta Cmara, por intermdio da Resoluo n 2, de 24 de outubro de 2007, sendo modificado pelo Presidente da Repblica pelo Decreto n 7.009, de 12 de novembro de 2009.

214

Referncias bibliogrficas
BRASIL. Constituio da Repblica Federativa do Brasil. out. 1998. Disponvel em: <http://www.planalto.gov.br/ccivil_03/constituicao/constitui%C3%A7ao.htm>. Acesso em 6 abr. 2011. BRASIL. Decreto n 3.505, de 13 de julho de 2000.. Disponvel em: <http://www.planalto.gov.br/ccivil_03/decreto/D3505.htm>. Acesso em: 1 de jun. 2011. BRASIL. Decreto n 4.801, de 6 de agosto de 2003. Disponvel em: <https://www.planalto.gov.br/ccivil_03/decreto/2003/d74801.htm>. Acesso em: 1 jun. 2011. BRASIL.. Decreto n 4.801. de 6 de agosto de 2003. Disponvel: <http://www.planlato.gov.br/ccivil/decreto/2003/d4801.htm>. Acesso em: 1 jun. 2011. BRASIL. (18 de Dezembro de 2008). Estratgia Nacional de Defesa. Acesso em 1 de Junho de 2011 Disponvel: <http://www.planalto.gov.br/ccivil_03/_Ato2007-2010/2008/Decreto/D6703.htm>. BRASIL. Ministrio da Defesa. Diretriz Ministerial n 014/2009. Braslia,2009. BRASIL. Lei Complementar 136, de 25 de agosto de 2010. Disponvel: <https://www.planalto.gov.br/ ccivil_03/leis/lcp/lcp136.htm>. Acesso em: 30 mai. 2011. CARVALHO, P. S. O Setor Cibernticos nas Foras Armadas. In: REUNIO TCNICA DE SEGURANA E DEFESA CIBERNTICA. Braslia, 2010. JNIOR, R. M. Reflexes sobre Segurana e Defesa Ciberntica. In: REUNIO TCNICA SEGURANA E DEFESA CIBERNTICA. Braslia, 2010a. JNIOR, R. M. Um estudo sobre a segurana e a defesa do espao ciberntico brasileiro. In: REUNIO TCNICA DE SEGURANA E DEFESA CIBERNTICA. Brasia, 2010b. JNIOR, R. M., Canongia, C. Livro Verde: Segurana Ciberntica no Brasil. Braslia, 2010. OLIVEIRA, J. R. Sistema de Segurana e Defesa Nacional: abordagem com foco nas atividades relacionadas Defesa Nacional. In: REUNIO TCNICA SOBRE SEGURANA E DEFESA CIBERNTICA. Braslia, 2010. RGO BARROS, O. S., GOMES, U. M. Seminrio Cyber Warfare. Londres, 2011. 215

Esta obra foi impressa pela Imprensa Nacional SIG, Quadra 6, Lote 800 70610-460, Braslia - DF, em agosto de 2011 Tiragem: 2.000 Exemplares