Segurança cibernética: desafio é cultural - Fonte Convergência Digital

O Brasil, assim como boa parte do mundo, está apenas engatinhando no terreno da segurança cibernética - ou em como impedir que ataques via internet causem danos relevantes às informações a às próprias redes e infraestruturas consideradas críticas. Desde a semana passada, o país conta com um órgão específico para tratar do assunto e propor políticas de segurança na rede, num esforço que tentará extrapolar os limites do Estado e conquistar a sociedade.

"O primeiro, o grande desafio, é cultural. Vamos ter que estabelecer, de alguma forma, um projeto de cultura de segurança cibernética. Estamos fazendo isso nos cursos, mas para dentro do Estado, e temos que fazer isso para fora também. Pode ser com um hotsite que ensine como fazer, e que todos os provedores divulguem, com seminários, ou que a gente comece a ensinar na escola", arrisca o diretor do Departamento de Segurança da Informação e das Comunicações (DSIC), Raphael Mandarino Jr. Ele concedeu uma entrevista exclusiva ao portal 

Convergência Digital.

O DSIC é um braço do Gabinete de Segurança Institucional da Presidência da República e será responsável pela coordenação do Grupo Técnico de Segurança Cibernética – órgão criado dentro da Câmara de Relações Exteriores e Defesa Nacional (Creden) e que inclui representantes dos ministérios da Justiça, Relações Exteriores e Defesa, além dos comandos da Marinha, Exército e Aeronáutica.

Os cursos mencionados por Mandarino são a tentativa de convencer os servidores públicos da importância da segurança eletrônica – tendo como premissa que todo o funcionalismo tem acesso a alguma informação de governo. Para isso, há metas de, até o fim de 2010, conscientizar, com cursos de 8 horas, 90 mil funcionários; capacitar, com cursos de 80 horas, 9 mil; e especializar 900 – esses com cursos na Universidade de Brasília para formação de gestores em segurança da informação.

Muito além do Governo

A criação do Grupo Técnico de Segurança Cibernética tem, naturalmente, objetivos mais amplos. “O grupo vai estabelecer as bases. Vai propor à Creden suas ideias de como defender. São estratégias que se tornarão política de governo. Inclusive com medidas para o mundo privado. Afinal, se o sujeito tem uma rede ADSL, pode ser uma porta de entrada para derrubar uma estrutura crítica do país", explica o diretor do DSIC. "Segurança cibernética é além do governo e inclui a sociedade", completa.

Como fazer isso? Não há resposta pronta. "Estamos fazendo contatos no mundo inteiro, até por perceber que precisamos tratar a segurança da informação de forma estruturada. Mas não existe nem taxonomia sobre isso. Tem gente que chama de guerra eletrônica, de defesa cibernética. Fomos nos Estados Unidos, em Israel, na Rússia, na Coreia, mas ninguém sabe muito bem o que é isso. Está todo mundo montando suas estruturas", diz Mandarino.

Ou seja, não há exatamente um modelo a ser copiado, ou mesmo adaptado. Por outro lado, há algumas certezas - o mundo virtual é cada vez mais amplo, a segurança é frágil e qualquer adolescente pode usar um acesso ADSL para causar um problema mais grave nas redes."O que a gente sabe? Sabemos que há capacidade de atacar, seja por um amador, um hacker, um cracker, um picker, pelo crime organizado e até um Estado. E a capacidade de atacar é cada vez maior, com efeito maior. Um mês atrás o Twitter saiu do ar - e o alvo era uma pessoa que tinha um blog", observa Mandarino.

Os alvos são pessoas físicas e jurídicas, acrescenta ainda o coordenador do grupo Técnico de Segurança Cibernética do Brasil. "Há os crimes impróprios, ou seja, aqueles que existem no mundo real, e há os crimes próprios, aqueles que só acontecem no computador. E tem os propriamente ditos, que são ataques às redes, mas não necessariamente denial of service (DoS), mas físicos, com a destruição de um computador, uma quebra de fibra ótica, ou um ataque DoS que não impeça simplesmente o servidor de funcionar, mas toda uma rede da Telefônica, por exemplo."

Mandarino é taxativo. Segundo ele, o Brasil é "barriga de aluguel". "Temos muitos computadores zumbis, até porque temos muitos operadores de rede mal preparados. Veja o caso do Conficker, que já foi solucionado, mas no Brasil continua sendo um problema - somos um dos países mais atacados por ele. Então, se você tem uma máquina dominada, está numa botnet, a partir dali é uma porta de entrada para um ataque mais complicado. Afinal, as pessoas estão usado e-gov, enviando seu imposto de renda", ressalta.

É por isso que Mandarino acredita que a melhor defesa é conscientizar as pessoas de que a internet é vulnerável. "As pessoas precisam ser informadas, porque elas acham que estão seguras na internet, e não estão", diz o diretor do DSIC. Mas isso não quer dizer que o GT de Segurança Cibernética vai se especializar em anúncios de utilidade pública. O Estado, segundo Mandarino, pode muito bem ser indutor de práticas.

"A responsabilidade de armazenar evidências, por exemplo, é algo que precisa ser discutido e isso nós vamos regular na administração pública. E sei que quando fizer isso para o Estado, terá reflexos na sociedade", revela o diretor do DSIC. Houve até uma primeira tentativa de determinar a guarda de logs de acesso no governo, mas a regra se tornou tão técnica que assustou e está sendo reescrita – sinal de que o tema não é polêmico somente quando em projetos de lei no Congresso Nacional.