FÁBIO PONTE PINHEIRO A CIBERNÉTICA COMO ARMA DE COMBATE Trabalho de Conclusão de Curso - Monografia apresentada ao Departamento de Estudos da Escola Superior de Guerra como requisito à obtenção do diploma do Curso de Altos Estudos de Política e Estratégia. Orientador: Cel Eng R1 Carlos Alberto Gonçalves de Araújo Rio de Janeiro 2013 C2013 ESG Este trabalho, nos termos de legislação que resguarda os direitos autorais, é considerado propriedade da ESCOLA SUPERIOR DE GUERRA (ESG). É permitido a transcrição parcial de textos do trabalho, ou mencioná-los, para comentários e citações, desde que sem propósitos comerciais e que seja feita a referência bibliográfica completa. Os conceitos expressos neste trabalho são de responsabilidade do autor e não expressam qualquer orientação institucional da ESG _________________________________ Assinatura do autor Biblioteca General Cordeiro de Farias Ponte Pinheiro, Fábio. A Cibernética como arma de combate / Cel Av Fábio Ponte Pinheiro. - Rio de Janeiro: ESG, 2013. 49 f.: il. Orientador: Cel Carlos Alberto Gonçalves de Araújo Trabalho de Conclusão de Curso – Monografia apresentada ao Departamento de Estudos da Escola Superior de Guerra como requisito à obtenção do diploma do Curso de Altos Estudos de Política e Estratégia (CAEPE), 2013. 1.Cibernética. 2. Arma de Guerra. 3. Forças Armadas. I.Título. RESUMO Este trabalho terá como objetivo demonstrar e analisar como vem sendo utilizado à informática no meio militar, diante do advento “Cibernética”, apresentando alguns questionamentos sobre essa aplicação, pois o espaço cibernético passou a se constituir num novo e promissor cenário para prática de toda a sorte de atos ilícitos que incluem o crime, o terrorismo e um contencioso bélico entre nações, caracterizado pela assimetria, pela dificuldade de atribuições de responsabilidade e pelo paradoxo da maior vulnerabilidade do mais forte, procurando viabilizar uma melhor padronização do uso dos recursos tecnológicos atualmente disponíveis. Para atingir esse projeto, inicialmente é descrito um panorama histórico e a evolução da Cibernética no mundo, nas Forças Armadas, envolvendo o Ministério da Defesa no Brasil. É apresentada também a situação atual da Cibernética, destacando-se suas limitações. O escopo do trabalho será a Cibernética voltada para a defesa e suas aplicações num sistema informatizado, com seus inevitáveis reflexos no âmbito do Ministério da Defesa e das Forças Armadas, delimitado, no tempo, aos dias atuais. Palavras chave: Cibernética. Arma de Guerra. Forças Armadas. ABSTRACT This work will aim to demonstrate and analyze how the computer is being used in the military, before the advent of "Cybernetics", presenting some questions about this application because cyberspace began to represent a promising new scenario for the practice of all sort of wrongdoing that include crime, terrorism, and a litigation war between nations, characterized by asymmetry, the difficulty of attributions of responsibility and the paradox of increased vulnerability of the stronger, looking better enable standardization of the use of technological resources currently available . To achieve this project, initially described a historical overview and evolution of Cybernetics in the world, in the military, involving the Ministry of Defence. It also presented the current situation of Cybernetics, highlighting its limitations. The scope of work will be Cybernetics towards the defense and its applications in a computerized system, with its inevitable consequences within the Ministry of Defence and Armed Forces, delimited in time to the present day. Keywords: Cybernetics. Weapon of War. Armed Forces LISTA DE ABREVIATURAS E SIGLAS CCA Centro de Computação da Aeronáutica CIA Centro de Informática da Aeronáutica CINFE Centro de Informática e Estatística CISR Centro de Inteligência de Sensoriamento Remoto COMAER Comando da Aeronáutica COMGAR Comando Geral do Ar COMGEP Comando Geral de Pessoal CPU “Central Processing Unit” (Unidade Central de Processamento) DBASE Linguagem de programação DECEA Departamento de Controle do Espaço Aéreo DEPV Diretoria de Eletrônica e Proteção ao Vôo DIRINFE Diretoria de Informática e Estatística da Aeronáutica EDSAC “Eletronic Delay Storage Automatic Calculator” ou Calculador Automático Eletrônico de Armazenagem por Retardo FAB Força Aérea Brasileira GAv Grupo de Aviação ITA Instituto Tecnológico de Aeronáutica PC “Personal Computer” ou Computador Pessoal RCDCA Rede de Comunicação de Dados do Comando da Aeronáutica SDI Subdiretoria de Informática SILOMS Sistema Integrado de Logística, Materiais e Serviços SICAER Sistema de Informática do Comando da Aeronáutica SQL Linguagem de Programação VLSI “Very Large Scale of Integration” ou integrador de Larga Escala SUMÁRIO 1 INTRODUÇÃO ...................................................................................... 06 2 CIBERNÉTICA ...................................................................................... 09 2.1 INTERNET 09 2.2 QUESTÕES LEGAIS 2.3 ATAQUES CIBERNÉTICOS 3 A SEGURANÇA DA CIBERNÉTICA 3.1 OUTRAS INICIATIVAS 3.2 ESTRUTURA EXISTENTE 4 AS ATIVIDADES ATUAIS DA CIBERNÉTICA 4.1 A MARINHA DO BRASIL 4.2 NO EXÉRCITO BRASILEIRO 4.3 NA FORÇA AÉREA BRASILEIRA 4.4 NO MINISTÉRIO DA DEFESA ........................................................................................... ........................................................................... ............................................................... 09 15 .................................................. 19 ........................................................................ 23 ................................................................. 24 ................................... 27 .................................................................... 27 ........................................................... 28 ................................................... 30 .......................................................... 31 4.5 ESTRATÉGIA NACIONAL DE DEFESA (END) ................................... 35 4.6 POLÍTICA DE ESTRATÉGIA DE SEGURANÇA CIBERNÉTICA .......... 37 5 CONCLUSÃO ....................................................................................... 39 REFERÊNCIAS ............................................................................... 41 ........................................................................................ 44 GLOSSÁRIO 6 1 INTRODUÇÃO A utilização da informática na área operacional revolucionou os conceitos doutrinários e tecnológicos. A capacidade de combate das Unidades Militares sofreu alterações bastante significativas, a partir desta transformação, e, por conseguinte, alterações passaram a ser imprescindíveis, no que diz respeito à defesa do espaço cibernético. Em tempos mais recentes, com o advento da Era da Informação e sua sucedânea, a Era do Conhecimento, a informação foi alçada à categoria de ativo estratégico para organizações e Estados-Nação, conferindo àqueles que a detém e dela se utilizam, efetiva e oportunamente, uma inquestionável vantagem num ambiente competitivo e nos contenciosos internacionais. Com a internet, proporcionando conectividade em tempo real e abrangência mundial, trouxe consigo, um crescimento sem precedentes no volume de informações disponíveis aos modernos decisórios, dificultando seu gerenciamento e ensejando o aparecimento de uma nova área de atividade, a Gestão do Conhecimento. O espaço cibernético, neologismo gerado pela Era da Informação, desafia conceitos tradicionais, entre eles o de fronteiras geopolíticas ou mesmo os organizacionais, constituindo um novo território, ainda inóspito, a ser desbravado pelos bandeirantes do século XXI. O Ministério da Defesa e as Forças Armadas têm procurado se adaptar a esta nova era, a Guerra Cibernética, se aperfeiçoando e se preparando para empregar de forma eficaz, a cibernética, voltada para a proteção e tendo como grande obstáculo a ser vencido, impedir a invasão por “hackers”/”crakers”, proporcionando uma virtude eficiente da ação bélica no campo militar. Pois embora, nenhum país nunca tenha admitido oficialmente um ataque cibernético contra outra nação, é certo que ofensivas digitais já aconteceram e continuam acontecendo. Então diante disto, o objetivo geral deste trabalho vem a ser o de identificar a importância de se ter uma Política Nacional de Segurança Cibernética no Brasil, que reúna em um todo, os seguintes objetivos intermediários: - descrever conceitos relevantes relacionados à questão do Espaço Cibernético; 7 - identificar, de uma maneira resumida, aspectos relevantes em relação às ameaças existentes no Espaço Cibernético, que podem comprometer a Segurança Cibernética; - descrever, de forma sucinta, a atual situação do Espaço Cibernético do Brasil; - avaliar a necessidade de estabelecimento de Política Nacional de Segurança Cibernética no Brasil; e - identificar parâmetros a serem considerados no estabelecimento de uma Política Nacional de Segurança Cibernética no Brasil. O desenvolvimento deste trabalho levou em consideração duas hipóteses principais, quais sejam: - as ameaças existentes no Espaço Cibernético do Brasil podem limitar o emprego do Poder Nacional brasileiro. - o estabelecimento de Política Nacional de Segurança Cibernética no Brasil pode contribuir com a Segurança e a Defesa Nacional. A metodologia empregada na pesquisa foi à qualitativa, documental e bibliográfica. Inicialmente foi feita uma revisão bibliográfica sobre o tema, especificamente por intermédio da consulta a livros, publicações, normas existentes, e uma pesquisa na internet. No aprimoramento desta monografia fundamentamo-nos também na Estratégia Nacional de Defesa (END), aprovada pelo Decreto nº 6.703, de 18 de dezembro de 2008, da Presidência da República, que considera que existem três setores estratégicos da Defesa: o nuclear, o cibernético e o espacial. Este dispositivo legal estabelece que as capacitações cibernéticas que incluem, como parte prioritária, as tecnologias de comunicações entre todos os contingentes das Forças Armadas, de modo a assegurar sua capacidade de atuar em rede. Este projeto foi desenvolvido devido às ameaças existentes no Espaço Cibernético mundial, quando se visualizou justificar a importância do estabelecimento de uma Política Nacional de Segurança Cibernética no Brasil, com ênfase nos aspectos de Segurança e Defesa, destacando parâmetros mínimos a 8 serem considerados na elaboração dessa Política, de onde poderão advir propostas de ações. 9 2 CIBERNÉTICA Na atualidade, o termo cibernético é utilizado com variadas conotações, normalmente procurando estabelecer as relações entre o homem e a máquina e seus efeitos nos ambientes das diversas atividades humanas. Sua origem vem do termo grego kybernetike, que significa condutor, governador, piloto, ou aquele que tem o leme ou o timão. Recebendo um tratamento mais científico no século passado, o seu emprego procurou caracterizar o estudo do controle da comunicação dos seres vivos e das máquinas, sob o enfoque da transmissão da informação nesses ambientes. 2.1 A INTERNET A grande conquista do milênio foi o surgimento da Rede Mundial de Computadores. A Internet nasceu da soma de pequenas conquistas tecnológicas feitas por cientistas extraordinários. Uma das mais vitais para o funcionamento da rede é a capacidade de um único computador dividir sua atenção com diversos usuários no mesmo instante, num processo conhecido como tempo compartilhado. Michael Dertouzos, uma das melhores cabeças do Instituto de Tecnologia de Massachusetts, contribuiu para isso acontecer no começo dos anos 60. Sem essa habilidade os chamados roteadores, computadores que controlam e direcionam o tráfego na Internet, lidando simultaneamente com milhares de impulsos, não poderiam existir. Com a Guerra Fria, os americanos optaram por montar uma rede sem hierarquia, com interconexões redundantes; uma espécie de ninho de serpente com milhares de cabeças e ao mesmo tempo sem cabeça alguma. De modo que se os soviéticos jogassem uma bomba sobre Washington ou em qualquer outra grande cidade, a rede de computadores continuaria funcionando sem interrupção. Essa foi à planta sobre a qual a Internet foi construída. Todos já sabemos das enormes transformações que a Internet vem causando. Essa rede de computadores descentralizada, quase anárquica, é um verdadeiro fenômeno mundial. O Brasil não está alheio a essa "revolução". Pelo contrário estamos entre os dez países que mais utilizam a Internet. 10 O ataque dos Hackers contra a rede mundial de computadores ocorrido no dia 2 de fevereiro de 2000, colocou em evidência a fragilidade de nossa rede de computadores. Esse ataque bloqueou temporariamente o acesso a endereços famosos e sofisticados do ponto de vista técnico, como o site de busca Yahoo!, livraria virtual Amazon, o site de leilões on-line, a rede de televisão a cabo CNN e o site brasileiro UOL. Especialistas estimam em milhões de dólares os prejuízos causados pela interrupção desses e de outros serviços. Os motivos desses ataques foram: - competição entre os hackers: quando uma grande façanha como essa vem à tona, piratas do mundo inteiro redobram os esforços para realizar uma proeza ainda maior; - falta de segurança na rede: os sistemas são vulneráveis, e hackers difíceis de identificar. Nos Estados Unidos, a pirataria eletrônica é crime federal, e a pena prevista é de cinco anos de prisão e pode chegar a dez em caso reincidência, além de multa de US$ 250 mil. No Brasil, crimes relacionados à informática não estão previstos na legislação. Porém, o meio usado para punir um pirata eletrônico é enquadrá-lo em outros crimes, como por exemplo, quem rouba números de cartão de crédito numa loja virtual, comete estelionato. 2.2 QUESTÕES LEGAIS Dentre as muitas classificações doutrinárias utilizadas para definição dos crimes virtuais, a classificação adotada é a que acredita estar mais próxima da realidade dos fatos sendo divididas entre crimes virtuais próprios e impróprios. - Crimes virtuais próprios: são aqueles em que o sujeito se utiliza necessariamente do computador o sistema informático do sujeito passivo, no qual o computador como sistema tecnológico é usado como objeto e meio para execução do crime. Nessa categoria de crimes, está não só a invasão de dados não autorizados, mais toda a interferência em dados informatizados como, por exemplo, invasão de dados armazenados em computador, seja no intuito de modificar, alterar, inserir dados falsos, ou seja, que atinjam diretamente o software ou hardware do 11 computador e só podem ser concretizados pelo comutador ou contra ele e seus periféricos. Para alguns doutrinadores, como VIANA (2003), trata esse tipo de conduta como próprios: são aqueles em que o bem jurídico protegido pela norma penal é a inviolabilidade das informações automatizadas (dados), (Fundamentos de direito penal informático). Nesse raciocínio, se posiciona Damásio de Jesus (JESUS, 2003) Crimes eletrônicos puros ou próprios são aqueles que sejam praticados por computador e se realizem ou se consumem também em meio eletrônico. Neles, a informática (segurança dos sistemas, titularidade das informações e integridade dos dados, da máquina e periféricos) é o objeto jurídico tutelado. - Crimes virtuais impróprios: são aqueles realizados com a utilização do computador, ou seja, por meio da máquina que é utilizada como instrumento para realização de condutas ilícitas que atinge todo o bem jurídico já tutelado. Crimes, portanto, que já tipificados, que são realizados agora com a utilização do computador e da rede utilizando o sistema de informática e seus componentes, como mais um meio para realização do crime, e se difere quanto a não essencialidade do computador para concretização do ato ilícito, que pode se dar de outras formas e não necessariamente pela informática, para chegar ao fim desejado como no caso de crimes como: pedofilia. Assim corrobora Jesus (2003): [....] Já os crimes eletrônicos impuros ou impróprios são aqueles em que o agente se vale do computador como meio para produzir resultado naturalístico, que ofenda o mundo físico ou o espaço "real", ameaçando ou lesando outros bens, não-computacionais ou diversos da informática. Essas classificações são eficazes didaticamente para se entender e classificar alguns crimes, mas, por conta da rapidez na evolução e dinâmica da rede de computadores e internet, fica quase impossível acompanhar e afirmar categoricamente que não há modalidades que não estejam elencadas nas classificações adotadas. A imputação objetiva ao autor do crime e sua comprovação é extremamente difícil frente à ausência física do sujeito ativo. Ocorre que, frente à importância da identificação do autor do crime e a dificuldade desta identificação, surgiu à 12 necessidade de se traçar um perfil denominando grupos que praticam determinados crimes virtuais, dentre essas denominações temos a figura do hacker. O significado da palavra Hacker segundo tradução do dicionário Michaelis quer dizer em um de seus resultados: “Como pessoa que usa seu conhecimento técnico para ganhar acesso a sistemas privados”. Ou seja, tecnicamente, pessoas com conhecimentos impares sobre informática e sistemas que se utilizam de seus conhecimentos não necessariamente para práticas ilícitas, a partir do momento que se vislumbra, que os hackers são pessoas com grande conhecimento, confirmando assim, que é possível haver conhecimento técnico de forma positiva e negativa. Com isso, entende-se que hacker é apenas o gênero e as espécies de hackers podem variar de acordo com as práticas. Uma das espécies são os crackers. Essa palavra foi criada no ano de 1985, por um hacker que não concordavam com a utilização do termo hacker pela imprensa para definir técnicos ou usuários de computadores que incorressem em ações ilegais ou que causassem transtornos para outras pessoas. Os hackers e os crackers, geralmente são muito parecidos em relação ao vasto conhecimento aprofundado em informática e a principal distinção é a finalidade que suas praticas resultantes, sendo que os hackers realizam atividades positivas, não criminosas, enquanto a motivação dos crackers é criminosa em sua essência, agindo normalmente premeditadamente com objetivo criminoso de obter vantagens ilícitas. Nesse sentido, se posiciona Coriolano Aurélio de Almeida Camargo Santos – Diretor de crimes de Alta Tecnologia da OAB, em entrevista ao programa CQC: o Hacker é o do bem, aquela pessoa hoje da internet que procura defender as pessoas, contra a pedofilia, contra invasões e o cracker é aquela pessoa que usa a internet e os meios eletrônicos para o mal. Frente à classificação desses perfis de criminosos, temos uma idéia de quem eles são, como agem e o que querem de uma forma genérica. Mas a pergunta é como identificá-los antes deles cometerem condutas ilícitas que os identifiquem, já que quando falamos em sujeito ativo sabemos que realmente os dados obtidos para identificação do sujeito é o endereço da máquina que envia as informações, ou seja, o IP, seu login e senha. Portanto, com a possibilidade de camuflagem dos dados e a utilização de dados inverídicos, dificilmente há uma rápida identificação do sujeito ativo na prática. 13 Quando falamos de um crime específico, logo sabemos quem é o sujeito ativo e passivo da conduta, quem realizou e em quem recaiu a ação ou omissão. No caso dos crimes virtuais de forma generalizada, a única afirmação cabível é que será sempre uma pessoa física ou jurídica ou uma entidade titular seja pública ou privada titular do bem jurídico tutelado. Sempre haverá o sujeito passivo, ou seja, alguém que está sendo lesado, enfim o que sofre a ação. Portanto, o sujeito passivo da infração penal pode ser qualquer indivíduo normal, pessoa física, ou até mesmo uma pessoa jurídica, haja vista o poder, por exemplo, ter seus bens desviados, seu patrimônio deteriorado ou mesmo ter informações violadas. Ambas são capazes de determinar a ação do agente criminoso. Ocorre que, atualmente a maioria dos crimes praticados ainda não são divulgados, seja por conta da não disseminação dessas informações ou pela falta de denuncia, como, por exemplo: grandes empresas evitam a divulgação sobre possíveis ataques virtuais ou mesmo invasões, para não demonstrarem fragilidade quanto à segurança, e quanto às pessoas físicas vemos que por falta da devida punibilidade aos infratores e a falta de mecanismos de denuncia, apesar de já existirem, as vítimas acabam não denunciando, o que facilita a propagação desses crimes. A lei penal no espaço, abrange todo um território não delimitado que pode ser tanto físico, quanto virtual o que dificulta a delimitação da Seara Penal para aplicação da lei. O espaço virtual ou ciberespaço como é conhecido, traz uma facilidade imensurável de interação com diversos países, transpondo barreiras físicas com o único meio em comum “a rede”. A rede pode ser um território onde se encontra a informação. Não temos algo preciso, já que a rede pode ser conectada de qualquer lugar, o usuário pode se utilizar da identidade que desejar e o controle quanto à identificação não é necessariamente pessoal, gerando, ainda, mais complicações para sua localização como exemplificado na possibilidade de se acessar um computador brasileiro com um IP estrangeiro de forma a ser identificado erroneamente, gerando assim, uma barreira para distinção da competência entre os Estados e consequentemente a inexatidão quanto a identidade do criminoso. 14 Entretanto, não há que se mensurar delimitação do espaço cibernético, pois é certo que cada país possui sua soberania e jurisdição. Temos, portanto, um primeiro aspecto que demonstra a complexidade do tema e a atenção a que se deve despender. Levantando-se a questão da tipificação dos crimes virtuais no ordenamento jurídico Brasileiro, pensa-se logo em precariedade, mas muitos não sabem que a legislação Brasileira alcança de 90 a 95% os crimes praticados no âmbito virtual em nosso país, pois os crimes praticados por meio do computador para realização do delito mais conhecido como a modalidade de crimes próprios são normalmente já tipificados em nosso Código Penal. Frente a essa situação, alguns exemplos de crime elencados em um quadro elaborado pela DRCI - Delegacia de Repressão aos Crimes de Informática, que enumerou as modalidades de atos ilícitos cometidos por meio de internet e que já possuem previsão legal. Esses crimes em sua maioria são cometidos por meio da internet, mas não necessariamente por esse meio. Portanto, a previsão legal em sua maioria não o trata como crime virtual e sim como crime penal ao qual independente do meio utilizado para sua consumação, se for realizado, será enquadrado na lei penal em questão. O combate aos crimes da informática se faz necessário e obriga-se a refletir sobre quais seriam os meios de contingência que poderiam levar à sociedade a maior segurança. Com base neste contexto, uma lei apelidada de Lei Carolina Dieckmann, a Lei dos Crimes Cibernéticos (12.737/2012), tipifica como crimes infrações relacionadas ao meio eletrônico, como invadir computadores, violar dados de usuários ou "derrubar" sites. O projeto que deu origem à lei (PLC 35/2012) foi elaborado na época em que fotos íntimas da atriz Carolina Dieckmann foram copiadas de seu computador e espalhadas pela rede mundial de computadores. O texto era reivindicado pelo sistema financeiro, dada a quantidade de golpes aplicados pela internet. Os crimes menos graves, como “invasão de dispositivo informático”, podem ser punidos com prisão de três meses a um ano, além de multa. 15 A lei prevê ainda o aumento das penas de um sexto a um terço se a invasão causar prejuízo econômico e de um a dois terços “se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos”. As penas também poderão ser aumentadas de um terço à metade se o crime for praticado contra o presidente da República, presidentes do Supremo Tribunal Federal, da Câmara, do Senado, de assembléias e câmaras legislativas, de câmaras municipais ou dirigentes máximos “da administração direta e indireta federal, estadual, municipal ou do Distrito Federal”. As considerações demonstradas objetivam ensejar a prevenção de crimes virtuais, bem como, entender o tema que apesar de complexo, vem tomando grande espaço de nossas vidas, levando em conta a necessidade da regulamentação das condutas praticadas, a legislação já existente e o reflexo dessa nova era da tecnologia no universo jurídico. 2.3 ATAQUES CIBERNÉTICOS Por mais armamentos que se tenha, por mais poderosa que seja uma armada, uma força terrestre, uma força aérea, nós temos hoje esse outro elemento que é fortíssimo, que é o chamado ciberterrorismo ou ataque cibernético. Quem está preparado para se defender de algum ataque cibernético? Senador Fernando Collor Nós sabemos agora que o espaço cibernético será importante na próxima guerra. Nós realmente sabemos como? Dick Crowell Professor Information Operations Cyberspace Operations U. S. Naval War College, 2012 O Brasil está entre os países mais vulneráveis do mundo quando se trata de segurança da informação. A produção científica brasileira na área é baixa e, por isso, o país é considerado “seguidor”, por lançar novas tecnologias muito tempo depois dos outros países. Estas constatações estão no livro Tecnologias da Informação e Comunicação: Competição, Políticas e Tendências, escritas por pesquisadores e colaboradores do Instituto de Pesquisa Econômica Aplicada (IPEA) e também colocada inicialmente neste item, como problemas a serem considerados e resolvidos pelo nosso Governo. 16 Diante destas afirmações o desafio de gerir a segurança do espaço cibernético é grandioso. Harmonizar ações envolvendo pessoas, processos e tecnologias é a chave. Possuir uma visão do ponto de vista ofensivo é a nova fronteira. Saber pensar ofensivamente não significa atacar para se defender, mas entender a anatomia de um ataque em prol da proteção da rede. Manter-se atualizado é vital. Não é fácil determinar o que deve ser protegido, contra quem e com que meios. Contudo, o desafio da Segurança Cibernética é muito mais profundo. Segurança cibernética é às vezes descrita, explicada e analisada dentro de um quadro de política tradicional, onde o idioma e os conceitos organizacionais são usualmente derivados dos militares: ameaça, agressão, ataque e defesa estão entre os termos mais familiares. Em alguns casos, pode ser apropriado analisar o problema a partir desse ponto de vista e agir em conformidade com ele. Porém, a aplicação do pensamento ortodoxo da segurança e da defesa, acaba resultando em Segurança Cibernética, sendo entendida como algo em que a intrusão vem de fora, que é “feito” por “eles” contra “nós”. No entanto, a correlação entre dependência e vulnerabilidade dá uma indicação importante que Segurança Cibernética é um problema mais desafiador que isso, que talvez não seja propício apenas uma análise linear com base em ação e reação, causa e efeito. Na verdade, Segurança Cibernética é provavelmente mais bem compreendida como um problema complexo, que é caracterizado pela incerteza e não-linearidade, que é dinâmica constantemente em evolução, e no qual pode ser difícil estabelecer relações causais claras e nítidas dividindo linhas entre sujeito e objeto. O mundo vem se estruturando para se contrapor às ameaças cibernéticas. Países como EUA, Rússia, China, Alemanha, França e Estônia, entre outros, já possuem estruturas em operação. Destaca-se o CDCCOE (NATO Cooperative Cyber Defence Centre of Excellence), em Tallinn (Estônia), considerado referência na Europa. Ressalta-se que a Estônia sofreu um ataque cibernético de grande escala em 2007. O Centro de Coordenação do Computer Emergency Readiness Team (CERT/CC), um centro de pesquisa e desenvolvimento na área de segurança de internet, financiado pelo governo norte-americano e operado pela universidade de 17 Carnegie-Mellon, produziu um gráfico com dados referentes ao número de incidentes anualmente relatados, que demonstram cabalmente sua afirmação: “A percepção de que as ameaças cibernéticas vêm-se expandindo exponencialmente com a Internet pode ser corroborada, entre outras formas e fontes disponíveis, pela apreciação do número de incidentes relatados ao Centro”. Cabe ressaltar que, diferentemente do que ocorre com a espionagem humana, física, sua correspondente cibernética é, além de muito difícil controle, tacitamente aceita, à medida que o impedimento do acesso aos conteúdos colocados em computadores conectados à rede mundial é fundamentalmente, responsabilidade daqueles que optaram por arquivá-los em um meio que pode, ao menos teoricamente, ser perscrutado de qualquer parte do mundo. Assim, em linhas gerais, as ameaças cibernéticas poderiam ser classificadas conforme os três grandes eixos principais, a saber: guerra cibernética, terrorismo cibernético e crime cibernético, admitindo-se, ainda, uma quarta modalidade, que seria o ativismo cibernético, que, no entanto, representa uma ameaça de menor monta. O Brasil, precisa estar habilitado para resguardarem sua informação, entendido aqui como o somatório de seus ativos de confrontação, suas informações críticas, seus sistemas de informação, suas infraestruturas críticas, em suma, tudo 18 que pode ser identificado como componente da sociedade da informação, presente no espaço cibernético. Para tanto, é necessário adotar medidas para a proteção, mediante a elaboração de uma doutrina e de uma construção de estratégias de segurança e de defesa do espaço cibernético brasileiro. 19 3 SEGURANÇA CIBERNÉTICA Do histórico descrito no início deste trabalho, observa-se a velocidade de crescimento dos computadores e programas. A vantagem que isto nos traz, é que cada vez mais as máquinas ficaram mais rápidas e com maior capacidade. Porém, torna-se difícil acompanhar este desenvolvimento e manter-se atualizado para aproveitar ao máximo o que esta área nos propicia e, além disto, estarmos preparados para o desafio que é proeminente em nossos dias a Segurança Cibernética. Outro aspecto relevante é o fato de que alguns setores do Governo, ainda estão com uma visão primária sobre a Segurança Cibernética. A maioria dos países trabalha com o conceito de “imposição de regras”, enquanto que o Brasil ainda admite o conceito de “sugerir regras”, fato este que demonstra ser um processo primário de determinação de uma política. O diretor do Departamento de Segurança da Informação e das Comunicações (DSIC), Raphael Mandarino Jr.(MANDARINO JUNIOR, 2009), afirma que: O primeiro, o grande desafio, é cultural. Vamos ter que estabelecer, de alguma forma, um projeto de cultura de segurança cibernética. Estamos fazendo isso nos cursos, mas para dentro do Estado, e temos que fazer isso para fora também. Pode ser com um hotsite que ensine como fazer, e que todos os provedores divulguem, com seminários, ou que a gente comece a ensinar na escola. O espaço cibernético pode ser descrito (embora não calculado) como a soma das inúmeras interações entre inúmeros usuários globais da infraestrutura de TIC. Para conseguir absoluta e perfeita segurança no espaço cibernético seria necessário identificar e isolar todos os usuários malignos e impedir seus componentes e interações. Entretanto, fazê-lo – mesmo que fosse possível –, seria contradizer a essência do espaço cibernético como uma tecnologia global de todos; uma “república” das comunicações e de intercâmbio de informação em nível mundial. De acordo com Mandarino, conhecido como o pai da internet, “se cada jurisdição no mundo insistir em alguma forma de filtragem para seu território geográfico específico, a web vai parar de funcionar”. Resumidamente, para que uma organização identifique seus requisitos de segurança, ela deve basear-se em três pilares. O primeiro é o conjunto dos 20 princípios, objetivos e necessidades para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. O segundo é a legislação vigente, os estatutos, as regulamentações e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender. E o terceiro, oriunda das duas anteriores, são os requisitos de segurança derivados da avaliação de riscos, processo responsável por identificar as ameaças aos ativos, às vulnerabilidades com suas respectivas probabilidades de ocorrência e os impactos ao negócio. A Segurança Cibernética é muito mais do que apenas uma questão de Segurança Nacional ou Defesa Militar, ela é uma questão integrada e, para tal, necessita de um esforço integrado dos setores civil e militar, procurando manter as suas competências individualizadas, mas que sob um ponto de vista estratégico venha ser aplicado de acordo com a gravidade do assunto em pauta. Os primeiros relatos de invasões ao espaço cibernético, em que nações ou grupos terroristas usam hackers para atacar estruturas nacionais ou empresariais com fins políticos, econômicos ou ideológicos, datam do início dos anos 2000. Em 2005, por exemplo, o governo da Coreia do Norte teria recrutado 500 hackers que teriam conseguido penetrar em redes dos governos da Coreia do Sul, Japão e outros países. Alvos não faltam: ferrovias, metros, hospitais, refinarias, polos químicos, oficinas federais, sistemas bancários e redes elétricas. Hoje, nada funciona de maneira isolada. Os países estão convertendo cada vez mais seus sistemas de controle em sistemas controlados por redes de computador. E existem portas de entradas digitais em todas elas. Isto significa que, se alguém conseguir infectá-las, poderá causar muitos danos. O próprio presidente dos Estados Unidos Barak Obama admitiu que, há dois anos, a rede elétrica americana foi invadida por hackers na Rússia. Felizmente, os ataques não eram intencionais e foram realizados para testar a capacidade de segurança norte-americana. Entretanto, se a invasão fosse real, poderia se transformar em ataques que afetariam milhões de pessoas e negócios nos Estados Unidos. E as armas para realizar esses ataques estão cada vez mais sofisticadas. O vírus por exemplo, que 21 atacou o programa nuclear iraniano, chamado Stuxnet, em 2010, foi projetado para infectar sistemas industriais, no caso, as centrifugas nucleares iranianas. A sofisticação do código utilizado pelo Stuxnet era tão grande que levaram muitos especialistas a acreditar que algum governo estivesse ligado à criação do vírus. O código é considerado complexo, porque utiliza quatro formas inéditas de ataque, ao contrário de um único método como se vê normalmente. Uma vez dentro do sistema, o vírus modifica os códigos da rede de gerenciamento industriais para permitir que os atacantes tomem o controle sem que os operadores percebam. Em outras palavras, o vírus pode dar a ordem que quiser, como, por exemplo, fazer as máquinas funcionarem a um nível tão excessivo que poderiam se autodestruir. O Stuxnet é apenas um modelo, mais existem muitos outros vírus com capacidade para infectar e causar danos em qualquer rede de computadores do planeta. A questão é: será que o Stuxnet pode ser o sinal de que estamos no começo de uma nova era: a era da Guerra Cibernética? Porém, o Brasil está bem atrasado em relação a toda essa tecnologia, devido a uma série de fatores. O Eng. Simon Rosental (ROSENTAL, 2010), integrantes do Corpo Permanente da Escola Superior de Guerra (ESG), afirmou que: “as potências mundiais não querem permitir que o Brasil e outros países emergentes tivesse acesso ao que se chama de ‘tecnologias sensíveis”. O alerta teria sido dado ainda em 1996, durante Congresso Internacional sobre Tecnologias Sensíveis, realizado no Rio de Janeiro e patrocinado pela ONU e pela Subsecretaria de Inteligência da Presidência da República. Os países desenvolvidos colocaram claramente: ‘Brasil e demais países que possuem riquezas naturais em abundância não vão avançar em tecnologias sensíveis’. Vocês ficam com bens de baixo conteúdo tecnológico e valor agregado. Tecnologias sensíveis ficam conosco, porque, como podem ser aplicadas para o bem e para o mal, vocês poderão fazer mau uso. (ROSENTAL, 2008). Essa conferência não foi tranquila. Tanto o Brasil como os demais países em desenvolvimento não se conformaram com uma situação dessas. Se já temos um hiato tecnológico grande em relação aos países desenvolvidos, e a tecnologia está avançando cada vez mais, a velocidades maiores, se aceitarmos uma barbaridade dessas, cada vez vamos andando para trás e cada vez vamos ficando mais distantes da tecnologia, (ROSENTAL, 2008). 22 Em comunicado à imprensa, o Gabinete de Segurança Institucional da Presidência (GSI) disse, sobre a Guerra Cibernética, que: “os ataques mais preocupantes são aqueles que visam acesso indevido a informações sigilosas da administração pública federal” e afirmou que a preparação do órgão contra possíveis ataques tem sido adequada. De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança (Cert), que reúne sobre a Guerra Cibernética, notificações de ataques eletrônicos em todo o país, o Brasil registrou quase 400 mil ataques a computadores em 2011. O total de notificações recebidas em 2011 foi quase 300% maior que em 2010. Cerca de metade das fraudes registradas, segundo o Cert, foram de páginas falsas, geralmente de bancos, criadas para roubar dinheiro dos usuários. Segundo a Federação Brasileira dos Bancos (Febraban), as fraudes cibernéticas custaram R$ 685 milhões aos bancos só no primeiro semestre de 2011, 36% a mais do que no mesmo período em 2010. Para complementar podemos verificar a figura abaixo. Título: Ataques a Internet. 23 Portanto, considerando que os desafios da Segurança Cibernética são muitos, é de fundamental importância desenvolver um conjunto de ações colaborativas entre Governo, setor privado, academia e sociedade em geral, de forma a melhor entender a situação e fazer frente aos aspectos vulneráveis que a perpassam. E será que estas ações serão suficientes para proteger as nossas informações de ataques cibernéticos? È o que veremos nos próximos capítulos. 3.1 OUTRAS INICIATIVAS Ao longo do tempo o Governo brasileiro, tem demonstrado relativa preocupação com a segurança de nosso Espaço Cibernético e, ainda que se possa afirmar que não se esteja completamente protegido, várias ações foram realizadas para tal fim, destacando-se a criação de órgãos e a implementação de iniciativas. Com este propósito destacam-se as principais ações implementadas: - criação do Comitê Gestor da Internet – CGI, com a participação dos diversos segmentos da sociedade; cabe salientar que segurança não é a preocupação central do CGI; - a publicação do Decreto 3505/2000, que estabeleceu a Política de Segurança da Informação (PSI), a ser implantada pelo Gestor de Segurança da Internet da Presidência da República - GSIPR; no entanto, não houve a definição dos meios a serem utilizados nessa implementação, sendo que, no momento, esta já se encontra defasada perante as mudanças da última década; - criação do Departamento de Segurança da Informação e Comunicação (DSIC), no Gabinete de Segurança Institucional da Presidência da República (GSIPR), em 2006, com o objetivo de coordenar as ações normativas e operacionais no âmbito da Administração Pública Federal (APF), previstas na PSI; - criação da Comunidade de Segurança da Informação e Criptografia (ComSic) e da Rede Nacional de Segurança da Informação e Criptografia (Renasic) no GSI, em 2008, para cuidar dos aspectos de fomento de Ciência e Tecnologia (C&T) em todos as áreas da Segurança Cibernética, também previstos na PSI; essa iniciativa transcende à APF e foi estabelecida em articulação com o Ministério da Ciência e Tecnologia (MCT); e 24 - a publicação da Estratégia Nacional de Defesa, que estipula a Segurança Cibernética como sendo uma de suas prioridades. Outra iniciativa interessante foi a criação da CESeg – Comissão Especial em Segurança da Informação e de Sistemas Computacionais, que é uma das Comissões Especiais da Sociedade Brasileira de Computação (SBC), criada em 2004, como resultado de um amadurecimento da comunidade acadêmica, e que conta com a participação de associados da (SBC) que manifestem interesse. A Comissão foi criada com os objetivos de: - congregar e articular a comunidade acadêmica brasileira em segurança da informação e de sistemas computacionais; - representar comunidade acadêmica de segurança junto à Sociedade Brasileira de Computação; e - promover eventos acadêmicos na área. 3.2 ESTRUTURA EXISTENTE São os seguintes os órgãos que estão relacionados a atividades do Setor Cibernético, a nível político (Estado ou Governo): - Conselho de Defesa Nacional (CDN) Órgão de consulta da presidência da República nos assuntos relacionados à soberania nacional e à defesa do Estado democrático de direito. Constitui-se como um órgão de Estado e não de governo, que tem sua secretaria-executiva exercida pelo ministro-chefe do Gabinete de Segurança Institucional da Presidência da República (GSI-PR). - Câmara de Relações Exteriores e Defesa Nacional (Creden) A Creden é um órgão de Governo para assessoramento do presidente da República nos assuntos pertinentes às relações exteriores e à defesa nacional. Sua presidência cabe ao ministro-chefe do GSI-PR e, entre suas atribuições, encontra-se a segurança da informação, atividade essa que se insere no escopo do Setor Cibernético. 25 - Casa Civil da Presidência da República Entre as atribuições da Casa Civil da Presidência da República, merece destaque, por sua inequívoca relação com o Setor Cibernético, a aquela relacionada com a execução das políticas de certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da Infraestrutura de Chaves Públicas Brasileiras (ICP-Brasil). Tal atribuição é da competência do Instituto Nacional de Tecnologia da Informação (ITI), uma autarquia federal vinculada à Casa Civil da Presidência da República, que tem o objetivo de manter a ICP-Brasil, da qual é a primeira autoridade na cadeia de certificação, ou seja, é a Autoridade Certificadora Raiz (AC Raiz). - Gabinete de Segurança Institucional da Presidência da República (GSI-PR) O GSI-PR é o órgão da Presidência da República encarregado da coordenação, no âmbito da APF, de alguns assuntos estratégicos que afetam a segurança da sociedade e do Estado, quais sejam: Segurança das Infraestruturas Críticas Nacionais, SIC e Segurança Cibernética. No tocante às infraestruturas críticas nacionais, foram selecionadas seis áreas prioritárias, a saber: energia, telecomunicações, transportes, água, finanças e informação. Esta última permeia todas as anteriores, pois as ICs dependem cada vez mais de redes de informação para a sua gerência e controle. - Departamento de Segurança da Informação e Comunicações (DSIC) O DSIC tem como atribuição operacionalizar as atividades de Segurança da Informação e Comunicações (SIC) na APF, nos seguintes aspectos: a. regulamentar a SIC para toda a APF; b. capacitar os servidores públicos federais, bem como os terceirizados, sobre SIC; c. realizar acordos internacionais de troca de informações sigilosas; d. representar o País junto à Organização dos Estados Americanos (OEA) para assuntos de terrorismo cibernético; e e. manter o Centro de Tratamento e Resposta a Incidentes de Redes da APF (CTIR.Gov). 26 - Agência Brasileira de Inteligência (Abin) A Abin é o órgão central do Sistema Brasileiro de Inteligência (Sisbin), que tem como objetivo estratégico desenvolver atividades de inteligência voltadas para a defesa do Estado democrático de direito, da sociedade, da eficácia do poder público e da soberania nacional. Dentre suas atribuições, no que interessa especificamente ao Setor Cibernético, destaca-se a de avaliar as ameaças internas e externas à ordem constitucional, entre elas a cibernética. 27 4 AS ATIVIDADES ATUAIS DA CIBERNÉTICA Não resta dúvida de que a sensação de segurança cibernética das nações está bastante afetada. Há quem diga que a maior proteção contra ataques cibernéticos será a consciência do atacante de que a arma poderá causar mal a si próprio. Nesse aspecto, há pensadores que veem semelhança entre o ataque cibernético e o nuclear. Há várias medidas a serem tomadas para reagir à sensação de insegurança cibernética. Uma das mais produtivas é conscientizar a população, desde seus líderes políticos e militares até os trabalhadores das classes sociais mais baixas, sobre a possibilidade de estarem sendo alvo de levantamentos de dados, que podem comprometer indivíduos ou mesmo nações, ou de ataques, que podem ter efeitos gravíssimos. As potências mundiais têm investido muito em informar seus povos para reconhecer a ameaça cibernética, além de preparar suas defesas para reagir a contento. Neste contexto serão apresentadas a seguir as atividades desenvolvidas pelas Forças Armadas neste sentido. 4.1 NA MARINHA DO BRASIL A Marinha do Brasil também se encontra envolvida em atividades que visem aumentar a Segurança da Informação nos sites e Sistemas da mesma. Este trabalho tem sido concentrado no Centro de Análises de Sistemas Navais (CASNAV), que vem desenvolvendo uma forte infraestrutura em metodologias, softwares e equipe nas áreas de Criptologia, Análise de Vulnerabilidade de Softwares, Técnicas de Varredura e Desenvolvimento Seguro. Na guerra centrada em rede, os atos ilícitos são caracterizados como crimes cibernéticos e ocorrem por intermédio de redes sociais, de invasões em sites ou emails privados ou corporativos, como já foi vastamente abordado anteriormente. Se posicionando contra os ataques indesejados, têm sido criados projetos que vão ao encontro à necessidade de se possuir elementos que possam ser utilizados na segurança do setor cibernético, tais como: Projeto Guerra Cibernética 28 Objetiva (GUERCIB), que tem desenvolvido softwares inteligentes para minimizar ataques praticados nos sistemas de informações digitais da Marinha do Brasil (MB); o Projeto Metodologia para Avaliação e Homologação de Aplicações de Sistemas Criptográficos (HSC), resultante do Acordo de Cooperação Técnica e Científica entre a Secretaria de Ciência, Tecnologia e Inovação da Marinha (SecCTM) e a Fundação Centro de Pesquisas e Desenvolvimento em Telecomunicações (CpqD). Tem metodologia baseada em normas nacionais e internacionais, em técnicas de análise de código e de engenharia reversa, que estão voltadas para avaliações de software criptográfico. O objetivo deste investimento seria o de agregar robustez ao processo de homologação de sistemas criptográficos, realizado pela Diretoria de Ciência, Tecnologia e Inovação da Marinha (DCTIM), através da incorporação de novas funcionalidades e processos para assegurar a qualidade e a segurança do software criptográfico indicado para uso na MB; o projeto Volume Criptografado (VolCript), objetiva o desenvolvimento de um algoritmo criptográfico proprietário da MB para utilização em aplicações de software destinadas ao gerenciamento e proteção de volumes e arquivos digitais. O desenvolvimento desse algoritmo permitirá a MB manusear arquivos sigilosos estratégicos nos computadores armazenando-os de forma segura e, assim, minimizar o risco de sabotagem e adulteração por pessoas não autorizadas. Estes são projetos e ações indispensáveis ligados a Ciência, Tecnologia e Inovação, tendo como marco concorrer para a realização do desenvolvimento da estratégia da guerra cibernética que a Marinha está adotando para proteger com eficiência as fronteiras digitais do País. 4.2 NO EXÉRCITO BRASILEIRO Alinhado à sua tradição pacifista, o Brasil não planeja lançar ataques no campo cibernético, mas começa a investir pesado na defesa do mesmo. No segundo semestre do ano de 2013, as Forças Armadas inauguram seu primeiro Centro de Defesa Cibernética (CDCiber), que reunirá cerca de cem oficiais do Exército em um prédio nos arredores de Brasília. 29 O centro criado em 4 de agosto de 2010, tem como objetivo coordenar e integrar as ações de defesa cibernética do Exército, Marinha e Aeronáutica. Será equipado com simuladores para exercício de guerra cibernética, laboratório para análise de artefatos maliciosos na rede e centro de tratamento de incidentes. As características da guerra cibernética, em primeiro lugar, é existência de uma assimetria muito grande. Quanto mais um país se sofistica tecnologicamente, mais vulnerável ele fica. Quanto mais refinado é seu sistema, mais ele está suscetível a ser interferido e destruído por uma potência com uma estrutura menor. Por exemplo, se você tem uma rede wi-fi em casa, está mais vulnerável do que se tivesse apenas uma rede por cabo. E para fazer um ataque, você não precisa de muita tecnologia ou estrutura. Outra característica é a anonimidade, é muito difícil saber de onde partiu o ataque. O computador de qualquer pessoa pode ser um zumbi, sem que você saiba, e vai trabalhar em proveito de uma organização criminosa. Por isso, quando é feita uma perícia, nem sempre encontramos a origem do ataque. Na guerra de 30 anos atrás, era muito fácil saber quem era o adversário - o inimigo era quem estava do outro lado da fronteira, do rio, da ponte. Agora não, o inimigo pode estar tanto a 10 mil quilômetros de distância como dentro da sua própria organização. Bem, dentro do exposto até aqui, podemos afirmar que as armas disponíveis e mais usadas para a defesa são muito similares às utilizadas para fazer um ataque, e esse é um grande problema. Temos que ter muito cuidado, se você ensina a se defender, também está ensinando a atacar. Um exemplo de arma cibernética é o Stuxnet, um vírus que prejudicou principalmente as centrífugas do Irã. É um vírus sofisticado, que ataca um determinado tipo de equipamento, alterando a velocidade das centrífugas e fazendo com que elas se autodestruam. Dizem que foi criado para atrasar o programa nuclear iraniano. Na guerra cibernética, não se precisa fazer um vírus para um ataque massivo ou uma destruição coletiva. Pode especificar: destruir as centrífugas de uma central nuclear de determinado país e pronto o vírus executará seu programa. O Exército Brasileiro conta, desde o começo do ano, com um simulador de conflitos digitais. Nele, os soldados brasileiros aprendem a realizar todo tipo de operação de guerra. Segundo o general José Carlos dos Santos, comandante do 30 Centro de Defesa Cibernética, o Brasil sofre uma média de 30 mil ataques na internet diariamente. Título: Os Principais Alvos – Os países que sofreram o maior número de Ataques em 2013. FONTE: WWW.revistastatus.com.br 4.3 NA AERONÁUTICA Uma característica que a Aeronáutica apresenta é o pioneirismo. O uso do computador, como a criação do motor a álcool, foram realizações que modificaram profundamente o modo de viver dos brasileiros. No âmbito da aviação, a instalação dos Centros Integrados de Defesa Aérea e Controle de Tráfego Aéreo, que inicialmente foi questionada, pois se colocava em dúvida esta combinação, de controle militar e civil seria a melhor. Depois do ocorrido em 11 de setembro de 2001, nos Estados Unidos, pode-se comprovar o acerto da Aeronáutica brasileira. 31 Para atender a necessidade de mudança do Setor Cibernético, a FAB tem um componente adicional; possui três centros de computação – em São José dos Campos-SP, Rio de Janeiro e Brasília – mas, reconhece que as novas demandas vão além das capacidades da equipe. Por isso, o plano é contratar a iniciativa privada para projetar, desenvolver, testar, validar e dar manutenção às soluções definidas internamente. Devida a extrema necessidade na qualificação em tecnologia da informação – cujo déficit de profissionais assusta -, é certo atuar primeiramente na formação de pessoal qualificado, para cobrir sua própria lacuna. Atualmente essa necessidade já está sendo minimizada nas escolas militares, formando-os com foco no planejamento e utilização de TICs e Segurança da Informação, atendendo as imposições do Setor Cibernético. Muito resta por fazer, é certo, mas questionamentos sobre a conveniência do esforço, imediato e futuro, na implantação da nova Doutrina, já estão desaparecendo, pois o Comando passa a enxergar os benefícios advindos desta nova Filosofia. Todavia, a Aeronáutica deve priorizar o segmento militar da informática, pois uma Força Aérea moderna depende, sobremaneira, dos recursos proporcionados por essa atividade. 4.4 NO MINISTÉRIO DA DEFESA Como atividades recentes, no âmbito do MD, relacionadas à Consolidação do Setor Cibernético, pode-se citar a expedição da mencionada Diretriz Ministerial nº 014/2009, a realização do I Seminário de Defesa Cibernética do Ministério da Defesa, a criação do Centro de Defesa Cibernética do Exército e a ativação de seu núcleo, bem como o prosseguimento da capacitação de talentos humanos. O Ministro da Defesa atribuiu ao Exército Brasileiro à coordenação do Setor Cibernético no âmbito da Defesa e dividiu os seus estudos iniciais com vista à sua consolidação em duas fases, definindo, respectivamente, as seguintes tarefas a serem realizadas em cada uma delas: 32 a. primeira fase: definição da abrangência do tema e dos objetivos setoriais; e b. segunda fase: detalhamento das ações estratégicas, adequabilidade das estruturas existentes nas três Forças Armadas e proposta de alternativas e soluções, se for o caso. Os documentos contendo a solução aos quesitos das 1ª e 2ª fases, relativos ao Setor Cibernético, foram elaborados por um Grupo de Trabalho Inter-Forças, coordenados pelo Estado-Maior do Exército (EME), e encaminhados ao MD, respectivamente, em janeiro e julho de 2010, os quais foram analisados e aprovados com pequenas ressalvas. O I Seminário de Defesa Cibernética do MD foi realizado no período de 21 a 24 de junho de 2010, cabendo ao EB – condutor do Setor Cibernético no âmbito da Defesa – o seu planejamento, preparação, coordenação, execução e supervisão. O evento abrangeu duas fases a seguir descritas. A primeira fase, denominada de “Perspectiva Político-Estratégica”, aberta ao público convidado, consistiu de uma série de palestras, com a participação da comunidade acadêmica, de representantes de infraestruturas críticas nacionais, dos setores público e privado, das Forças Armadas e do próprio MD, versando, basicamente, sobre Segurança Cibernética. Destinou-se a prover uma base de conhecimentos para a fase seguinte. A segunda fase, denominada “Perspectivas Estratégica e OperacionalMilitar”, teve participação restrita ao MD e às Forças Armadas. Iniciou-se com palestras específicas sobre a situação do Setor Cibernético em cada Força Armada e continuou com a realização de debates distribuídos em quatro salas temáticas: Gestão de Pessoal; Doutrina; Estruturas; e Ciência, Tecnologia e Inovação (CT&I). Como resultado do evento, foi constituído um Grupo de Trabalho InterForças, coordenado pelo EME, o qual elaborou uma Nota de Coordenação Doutrinária. Prevê-se a aplicação desta nota em operações conjuntas, de modo que sejam obtidas lições aprendidas para que sirva de subsídios para a atuação de outro GT Inter-Forças, que pode ser constituído pelo MD, com a missão de elaborar a Doutrina Militar de Defesa Cibernética. 33 O Ministro da Defesa, na pessoa do Embaixador Celso Amorim, declarou que o termo “guerra” ainda e exagerado em se tratando dos chamados cibercrimes, entretanto, é inegável que a internet já é um cenário de ataques. Daí, a preocupação do País em proteger também suas fronteiras virtuais. Um dos fortes fatores que se utiliza o Governo brasileiro, como razão a sua opinião de que se deve investir também no Setor Cibernético, são alguns registros de ofensivas de hackers a sistemas importantes de alguns países, atacando, principalmente, setores como o da energia. Em acontecimentos grandiosos que já estão ocorrendo no Brasil, como a Copa das Confederações e outros eventos que ainda irão ocorrer (Copa do Mundo), envolvem um volume muito grande de pessoas, geram uma grande movimentação de dados, que acabam ficando vulneráveis a ataques. Portanto, fica confirmada a hipótese de que os ataques cibernéticos limitam o emprego do Poder Nacional. Então, com esse intuito, foi inaugurado no ano passado, pelo Ministro da Defesa, o CDCiber que atua com outros órgãos para melhorar a proteção virtual brasileira. Mesmo assim, “nenhum país no mundo está totalmente preparado para um ataque cibernético massivo”, defende o General de Divisão José Carlos dos Santos, atual Diretor do Centro, em entrevista exclusiva ao Olhar Digital. Diante deste fato, o MD e as Forças Armadas participam das atividades coordenadas pelo GSI-PR – Gabinete de Segurança Institucional da Presidência da República, particularmente a SIC – Segurança da Informação e Comunicação e a Segurança Cibernética. Em face da crescente importância do domínio do espaço cibernético em nível mundial, faz-se necessário ampliar o escopo de sua atuação de modo a abranger, também, a Defesa Cibernética. Pois bem, as ameaças ao Espaço Cibernético brasileiro não tem uma delimitação clara como há nos conceitos clássicos, utilizados pelas empresas privadas. Embora o Exército Brasileiro mantenha domínio preponderante sobre o assunto, é importante que ocorra um envolvimento civil. Não parece ser proporcional envolver os civis somente quando há um ataque declarado. A prevenção transita pelas mais diversas áreas, principalmente em um mundo com empresas privadas desempenhando papeis tão importantes. Das infraestruturas críticas prioritárias, todas possuem o envolvimento de empresas privadas. 34 E, são algumas as situações que tem limitado o emprego do Poder Nacional brasileira, que tomam status de alguns desafios pela frente para assim alcançar a consolidação das políticas do setor cibernético: (1) Políticas públicas e de marco legal para uso efetivo do espaço cibernético, especialmente no que concerne à manutenção das infraestruturas críticas do país. (2) Estabelecimento de medidas que contribuam para a gestão da segurança da informação e comunicação para a produção do conhecimento de inteligência. (3) Retenção de talentos. (4) Estabelecimento do perfil da carreira. (5) Caráter sensível da atividade, dificultando a aquisição de conhecimento vindo do exterior. Então dentro do exposto verifica-se a necessidade tenaz de um investimento nestes pontos abordados para o estabelecimento de uma Política Nacional de Segurança Cibernética no Brasil que venha contribuir com a Segurança e a Defesa Nacional, concluindo como verdadeira a segunda hipótese do trabalho. No que diz respeito a este investimento o orçamento da União de 2012, com a rubrica denominada "Implantação do sistema de defesa cibernética", teve dotação autorizada de R$ 111,0 milhões, dos quais R$ 61,6 milhões foram empenhados, mas apenas R$ 34,4 milhões foram efetivamente pagos, o equivalente 31% do total. O levantamento é do site da ONG Contas Abertas. Outros R$ 49,4 milhões constituíram crédito orçamentário perdido, e nem sequer foram empenhados. Para este ano, a dotação autorizada é de R$ 90 milhões. Até o início de julho apenas R$ 8 milhões foram empenhados. O total pago é de R$ 11,3 milhões, incluindo R$ 11 milhões de restos a pagar provenientes de 2012. O fato de ter havido o empenho de apenas parte do valor previsto não significa que os recursos não serão desembolsados, já que o orçamento da área cibernética segue histórico de execução que registra concentração de empenho dos recursos no segundo semestre do ano, segundo a Defesa e Segurança, afirmou em entrevista ao Jornal “O Globo”, Gil Castello Branco, secretário geral da ONG Contas Abertas. Visualiza-se então, a implantação do Sistema Brasileiro de Defesa Cibernética, cujo organograma encontra-se na Figura 1. 35 Título: Sistema Brasileiro de Defesa Cibernética Fonte: Desafios Estratégicos para a Segurança e Defesa Cibernética Trata-se de um objetivo ambicioso, que deve ser perseguido. Sua consecução constitui condição sine qua non para a defesa das infraestruturas críticas nacionais contra ataques cibernéticos, a qual se insere na missão constitucional das Forças Armadas, com o apoio da Sociedade Civil. Dentro dessa linha este Comando estará também encarregado da interação do Ministério da Defesa com o GSI-PR, para fins de participação na Segurança Cibernética e de obtenção da indispensável cooperação dos setores público e privado e da comunidade acadêmica no esforço nacional de Defesa Cibernética. 4.5 ESTRATÉGIA NACIONAL DE DEFESA (END) Aprovada pelo Decreto nº 6.703, de 18 de dezembro de 2008, considera que existem três setores estratégicos da Defesa: o nuclear, o cibernético e o espacial. O mencionado dispositivo legal também estabelece que as capacitações cibernéticas incluirão, como parte prioritária, as tecnologias de comunicações entre todos os contingentes das Forças Armadas, de modo a assegurar sua capacidade de atuar em rede. 36 A END enfatiza que os setores cibernético e espacial devem permitir que as Forças Armadas, em conjunto, possam atuar em rede. Todas as instâncias do Estado deverão contribuir para o incremento do nível de segurança nacional, com particular ênfase nos seguintes aspectos do Setor Cibernético: a. as medidas para a segurança das áreas de infraestruturas críticas; e b. o aperfeiçoamento dos dispositivos e procedimentos de segurança que reduzam a vulnerabilidade dos sistemas relacionados à Defesa Nacional contra ataques cibernéticos e, se for o caso, que permitam seu pronto restabelecimento. Verifica-se que o Setor Cibernético, na visão da END, não se restringe às atividades relacionadas à Segurança e Defesa Cibernética, mas abrange, também, a Tecnologia da Informação e Comunicação (TIC), ferramenta básica para a implementação de redes de computadores. Nesse contexto, podem-se listar os seguintes componentes básicos do Setor Cibernético para a sua atuação em rede: a. estrutura de comando, controle, comunicações, computação e inteligência (C&I) para a atuação operacional e o funcionamento administrativo das Forças Armadas; b. recursos de TIC; e c. arquitetura matricial que viabilize o trânsito de informações em apoio ao processo decisório em tempo quase real. Diante destas propostas, vários são os desafios do Setor Cibernético no âmbito da defesa, sendo a efetivação das ações estratégicas, listadas e detalhadas no documento referente aos quesitos previstos para a 2ª fase na Diretriz Ministerial nº 014/2009, constitui o grande desafio à Consolidação do Setor Cibernético na Defesa, uma vez que óbices de natureza diversa dificultam a sua concretização. Entre esses óbices, merecem destaque os seguintes: a. óbices de natureza cultural, associando as ações cibernéticas a atividades ilícitas de intrusão, quebra de privacidade das pessoas, roubo de dados etc.; b. necessidade de conscientização de governantes e da sociedade como um todo em relação ao tema, decorrente do óbice anterior, que dificulta a obtenção da indispensável mobilização para a participação nas atividades de Segurança e Defesa Cibernéticas; 37 c. escassez de recursos financeiros ou não priorização do setor na alocação de recursos financeiros, também, em parte, decorrente dos óbices anteriores; d. caráter sensível da atividade, dificultando a aquisição de conhecimento vindo do exterior; e e. integração e atuação colaborativa incipientes dos diversos atores envolvidos. Entre as citadas ações estratégicas, as julgadas mais relevantes como desafios à consolidação do Setor Cibernético na Defesa são: a. Criar o Comando de Defesa Cibernética das Forças Armadas, com a participação de civis e militares das três Forças, para executar os objetivos do Sistema Brasileiro de Defesa Cibernética. b. Elaborar a Política de Defesa Cibernética. c. Propor a criação de uma estrutura de Defesa Cibernética subordinada ao Estado-Maior Conjunto das Forças Armadas para inserir o tema nos planejamentos militares conjuntos. d. Levantar as ICIs (Infraestrutura Crítica da Informação) associadas ao Setor Cibernético para formar a consciência situacional necessária às atividades de Defesa Cibernética. e. Levantar critérios de riscos e sua gestão para reduzir a probabilidade e o impacto de ameaças cibernéticas nas ICIs de interesse da Defesa Nacional. 4.6 POLÍTICA DE ESTRATÉGIA DE SEGURANÇA CIBERNÉTICA Assegura, entre outros aspectos, a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações de interesse do Estado e da sociedade brasileira. O Método de Planejamento da Escola Superior de Guerra descreve conceitos relevantes relacionados às ameaças existentes no Espaço Cibernético brasileiro, buscando estabelecer distinção entre os dois conceitos, identificando os elementos fundamentais, que poderão ser úteis ao estabelecimento de uma Política Nacional de Segurança Cibernética. 38 Existem outras definições para estes termos, fato este que pode gerar algum tipo de discrepância no estabelecimento de políticas públicas relacionada ao tema Segurança Cibernética. Alguns exemplos disso são apresentados a seguir. Segundo o Manual da Escola Superior de Guerra e Fundamentos da Escola Superior de Guerra (2009, p. 59), “Segurança é a sensação de garantia necessária e indispensável a uma sociedade e a cada um de seus integrantes, contra ameaças de qualquer natureza.” Conforme o Glossário das Forças Armadas MD 35-G-01 (BRASIL, 2009, p. 75), “Defesa é o ato ou conjunto de atos realizados para obter, resguardar ou recompor a condição reconhecida como de segurança, ou ainda, reação contra qualquer ataque ou agressão real ou iminente.” Observa-se uma quantidade considerável de conceitos que se relacionam ao tema em estudo e, com a finalidade de apresentar outras definições de termos relacionados ao espaço cibernético, que podem ser úteis no estabelecimento de políticas para a Segurança Cibernética, foi elaborado o glossário deste trabalho. Baseado no exposto, no que se refere à exploração ofensiva do ciberespaço, a sugestão natural é que a mesma seja prerrogativa do Ministério da Defesa e das Forças Armadas, que devem desenvolver capacidades necessárias, para tal desde o tempo de paz, limitando-se a empregar tais recursos somente em situação de conflito. Numa primeira linha não se deve envolver empresas ou outros órgãos governamentais nessa forma de exploração do espaço cibernético, a não ser ante o envolvimento do Brasil em conflito de maiores proporções e a decorrente necessidade de mobilização em larga escala. Finalmente, qualquer que seja a divisão de tarefas e responsabilidades a ser adotada, cada instituição tenha a prerrogativa e, mais ainda, o dever de investir tempo, dinheiro, pessoal e atenção gerencial à defesa de seus bens incentivos de informação. Esse dever se justifica não apenas pela defesa de seus interesses específicos, mas também pela garantia dos interesses nacionais no espaço cibernético, e, à luz da ponderável gama de conhecimentos já disponíveis, pode-se afirmar que as ameaças são reais e o perigo que elas representam, imediato, assim como são também reais e imediatas às oportunidades que a exploração positiva do espaço cibernético nos oferece, sempre no único e exclusivo interesse da Nação. 39 5 CONCLUSÃO Como já foi dito anteriormente, o espaço cibernético é um ambiente sem fronteiras que carece de regulamentação, com potencial para se tornar palco de uma disputa de influência no cenário internacional. Seu domínio constitui-se em um grande desafio para a humanidade neste século, podendo, até mesmo, ser comparado ao domínio dos mares no período das grandes navegações. O desenvolvimento de parcerias e colaboração são as chaves para o desenvolvimento e controle do setor. Assim sendo, podemos então, afirmar que as medidas adotadas pelo Brasil, sejam no nível de governo (END), seja no âmbito do MD (consolidação do setor cibernético), são muito pertinentes e oportunas, não apenas no contexto da afirmação da capacidade brasileira perante o mundo, mas também, para preparar o País para a defesa de seus interesses e para a proteção das suas infraestruturas críticas. Nesse contexto, o Brasil, pelo menos, aparentemente, encontra-se em boa situação, pois alguns dos protagonistas das discussões já em curso, particularmente a Rússia, têm elogiado o alegado potencial brasileiro para atuação no espaço cibernético. Os Estados Unidos da América também têm buscado diálogo e apresentando propostas de cooperação e parceria. Faz-se mister ressaltar, no entanto, que os países mais desenvolvidos, por se sentirem mais vulneráveis, têm buscado ampliar seu leque de parcerias internacionais, pois sabem que sua defesa depende do estabelecimento de laços de cooperação com os demais países. Verificou-se que o objetivo da identificação da importância de se ter uma Política Nacional de Segurança Cibernética no Brasil foi atingido. Mas, para tanto, abordou-se a própria Segurança Cibernética, mostrando que não se trata somente de uma questão de Segurança Nacional ou Defesa Militar, mas sim uma questão integrada e que necessita de um esforço integrado dos setores civil e militar, mantendo sempre suas competências individualizadas. Também foram abordadas algumas iniciativas do Governo brasileiro mostrando a preocupação com a segurança do nosso Espaço Cibernético e para isto, estão sendo implementadas ações e a criação de órgãos voltados para este sentido. Identificamos as estruturas 40 já existentes relacionadas a atividades do Setor Cibernético brasileiro a nível político. Ainda, atividades atuais da cibernética brasileira na Marinha, Exército, Aeronáutica e Ministério da Defesa, relacionando empreendimentos que agilizarão todo o sistema de Segurança Cibernética. Em síntese, pode-se afirmar que estamos no caminho certo e que, em termos de conhecimento e talentos, não ficamos a dever a nenhum dos países mais bem situados econômica e tecnologicamente. 41 REFERÊNCIAS ADEE, S. The hunt for the kill switch. Brasília, 2008. Disponível em: <http://spectrum.ieee.org/semiconductors/design/the-hunt-for-the-kill-switch>. Acesso em: 3 dez. 2010. ALVAREZ, T. Guerra e defesa cibernética. Rio de Janeiro ,2010. Blog SegInfo, Disponível em: <http://www.seginfo.com.br/guerra-e-defesa-cibernetica>. Acesso em: 22 nov. 2010. ALMEIDA, Patrícia Donati. STJ analisa competência para os chamados crimes informáticos (crimes virtuais = cybercrimes): competência territorial do local de hospedagem do site Disponível em: <http://www.lfg.com.br/public_html/article.php?story=20110426113540900&mode=pri nt> Acesso em: 16 set. 2011. ATHENIENSE, Alexandre. Phishing faz o Brasil liderar ranking de ataques aos dados bancários Disponível em: <http://www.sucesumg.org.br/index.php?option=com_content&view=article&id=230:p hishing-faz-o-brasil-liderar-ranking-de-ataques-aos-dadosbancarios&catid=45:ultimas-noticias&Itemid=1> Acesso em: 9 maio 2011. BRASIL. Ministério da Defesa. MD31-D-03: Doutrina Militar de Comando e Controle. Brasília, 2006. ______. MD 35-G-01: Glossário das Forças Armadas. Brasília, 2009. ______. Diretriz Ministerial nº 14: integração e coordenação dos Setores Estratégicos da Defesa. Brasília, 9 nov. 2009. BRASIL. Presidência da República. Gabinete de Segurança Institucional da Presidência da República. Instrução Normativa GSI/PR nº 1, de 13 jun. 2008. Brasília, 2008. BRASIL. Decreto nº 6.703, de 18 de dezembro de 2008. Aprova a Estratégia Nacional de Defesa, e dá outras providências. Diário Oficial da União, Brasília, DF, 19 dez. 2008. ______. Lei nº 10.683, de 28 de maio de 2003. Dispõe sobre a organização da Presidência da República e dos Ministérios e dá outras providências. Diário Oficial da União. Brasília, DF, 29 maio 2003. BRASIL. Exército Brasileiro. Estado-Maior do Exército. Minuta de Nota de Coordenação Doutrinária relativa ao I Seminário de Defesa Cibernética. Brasília, 2010. ESCOLA SUPERIOR DE GUERRA. (Brasil). Manual básico: elementos fundamentais. Rio de Janeiro, RJ, 2013, v. 1, p. 59. 42 BRASIL. Ministério da Defesa. Estratégia Nacional de Defesa. Brasília, 2008. BRASIL. Senado Federal. Projeto de Lei da Câmara, nº 35, de 2012. Brasília/DF, 2012. BRESCIANE, Eduardo. Senado aprova projeto de lei para crimes cibernéticos. Disponível em: <http://g1.globo.com/Noticias/Tecnologia/0,,MUL641696-6174,00SENADO+APROVA+PROJETO+DE+LEI+PARA+CRIMES+CIBERNETICOS.html> Acesso em: 12 maio de 2011. CARVALHO, Paulo S M. O setor cibernético nas Forças Armadas brasileiras. Brasília: Forense, 2011. CORIOLANO, Aurélio de Almeida Camargo Santos. As múltiplas faces dos crimes eletrônicos e dos fenômenos tecnológicos e seus reflexos no universo jurídico. São Paulo, 2009. Disponível em: <http://pt.scribd.com/doc/24156044/ILivro-sobre-Crimes-Eletronicos-da-OAB-SP>. Acesso em: 10 mar. de 2011. CORRÊA, Gustavo Testa. Aspectos jurídicos da internet. 3. ed. rev. e atual. São Paulo: Saraiva, 2007. COMMUNICATIONS assistance for law enforcement act In: WIKIPEDIA: a enciclopédia livre. 2011. Disponível em: <http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act Estados>. Acesso em: 5 nov. 2010. Unidos: Fundação Wirimedia, 2003. CYBERWAR: it is time for countries to start talking about arms control on the internet. The Economist. Londres, 3 jul. 2010, p. 11-12. FERREIRA, Ivette Senise. Direito & Internet: aspectos jurídicos relevantes. 2 ed. São Paulo: Quartier Latin, 2005. p.261. JORGE, Fernando de Sandy Lopes Pessoa. Ensaio sobre os pressupostos da responsabilidade civil. Coimbra: Almedina, 1995. MANDARINO Jr., Raphael. Um estudo sobre a segurança do espaço cibernético brasileiro. Brasília: Cubzac, 2009. MIRABETE, Julio; FABBRINI, Renato. Manual do direito penal: 24. Ed. São Paulo: Atlas, 2008. v. 1: parte geral. NUNES, L. A. R. Guerra cibernética: está a MB preparada para enfrentá-la? 2010. 98 f. Trabalho de Conclusão de Curso (Curso de Política e Estratégia Marítimas). Escola de Guerra Naval, Rio de Janeiro, 2010. PIMENTEL, Manoel Pedro. O crime e a pena na atualidade. São Paulo: Revista dos Tribunais, 1983. ______. Estudos jurídicos em homenagem a Manuel Pedro Pimentel. São Paulo: Revista dos Tribunais, 1992. 43 SAFERNET. Brasília, 2009. Disponível em: <http:safernet.org.br./site/sid2010/resultados-de-nova-pesquisa>. Acesso em: 12 ago. 2010. VIANA, Marco Túlio. Fundamentos de direito penal informático: a acesso não autorizado a sistemas computacionais. Rio de Janeiro: Forense, 2003, p. 13-26 44 GLOSSÁRIO AMEAÇA: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ABNT, 2005). ARTEFATO MALICIOSO: Qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores (NC 05 DSIC/GSIPR, 2009). ATIVO DE INFORMAÇÃO: Meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso (Portaria 45 SE-CDN, 2009). AUTENTICIDADE: Propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade (IN 01 GSIPR, 2008). CIBERGUERRA: é uma modalidade de guerra em que as armas normais são substituídas por ataques virtuais. A existência da ciberguerra deve-se ao fato de que atualmente, os meios digitais estão completamente integrados aos governos e a todas as pessoas. Neste contexto, se toda a rede de um país for atacada, os transtornos à população podem ser grandes e pode se gerar um enorme caos. COMPUTER EMERGENCY RESPONSE TEAM – CERT: pode ser entendido como uma equipe de respostas emergenciais relacionadas aos problemas oriundos das áreas de segurança da informação, ocasionados nos computadores existentes e em funcionamento em todo mundo. COMUNIDADE INTERNACIONAL: integração de nações amigas com mesmas aspirações de Segurança Cibernética independentes de variáveis econômicas ou geográficas. CONFIDENCIALIDADE: Propriedade de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado (IN 01 GSIPR, 2008). CONTINUIDADE DE NEGÓCIOS: Capacidade estratégica e tática de um órgão ou entidade de se planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido (NC 06 DSIC/GSIPR, 2009). CONTÊINERES DOS ATIVOS DE INFORMAÇÃO: o contêiner é o local onde “vive” o ativo de informação. É qualquer tipo de recurso onde a informação está armazenada, é transportada ou processada (STEVENS, 2005). 45 CRITICIDADE: priorizar os segmentos de maior vulnerabilidade que poderia acarretar em grande prejuízo ao país. DESENVOLVIMENTO NACIONAL: O Desenvolvimento deve ser entendido como um processo social global em que todas as estruturas passam por connuas e profundas transformações (ESG, 2009). DEFESA: O ato ou conjunto de atos realizados para obter, resguardar ou recompor a condição reconhecida como de segurança, ou ainda, reação contra qualquer ataque ou agressão real ou iminente. (Glossário MD35-G-01;2007). DEFESA: é um ato ou conjunto de atos realizados para obter ou resguardar as condições que proporcionam a sensação de Segurança (ESG, 2009). DEFESA CIBERNÉTICA: atividade que busca proteger os sistemas de governo relevantes em relação à determinada ameaça. DISPONIBILIDADE: Propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade (IN 01 GSIPR, 2008). EQUIPE DE TRATAMENTO E RESPOSTA A INCIDENTES EM REDES COMPUTACIONAIS – ETIR: Grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores (NC 05 DSIC/GSIPR, 2009). ESTRATÉGIA NACIONAL: A arte de preparar e aplicar o poder para conquistar e preservar objetivos, superando óbices de toda ordem (ESG, 2009). EXPRESSÃO ECONÔMICA: Expressão Econômica do Poder Nacional é a manifestação de natureza preponderantemente econômica do Poder Nacional, que contribui para alcançar e manter os Objetivos Nacionais (ESG, 2009). EXPRESSÃO CIENTÍFICA E TECNOLÓGICA: Expressão Científica e Tecnológica do Poder Nacional é a manifestação preponderantemente científica e tecnológica do Poder Nacional, que contribui para alcançar e manter os Objetivos Nacionais (ESG, 2009). EXPRESSÃO MILITAR: Expressão Militar do Poder Nacional é a manifestação de natureza preponderantemente militar do Poder Nacional, que contribui para alcançar e manter os Objetivos Nacionais (ESG, 2009). FASE DO DIAGNÓSTICO: envolve o conhecimento onde deverá se produzir a ação, subdividindo-se em duas etapas: a Análise do Ambiente e a Análise do Poder (ESG, 2009). FASE POLÍTICA: onde se formula o objetivo ou conjunto de objetivos, subdividindose em duas etapas: a Elaboração de Cenários e a Concepção Política (ESG, 2009). 46 FASE ESTRATÉGICA: onde se concebe o caminho a seguir para alcançar o objetivo ou conjunto de objetivos, subdividindo-se em duas etapas: a Concepção Estratégica e a Programação (ESG, 2009). FASE DA GESTÃO: onde se procedem à execução, o acompanhamento e o controle das ações programadas, subdividindo-se em duas etapas: a Execução e o Controle (ESG, 2009). FONTE DE RISCO: Elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco (ISO 31000, 2009). GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES: Conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos (NC 04 DSIC/GSIPR, 2009). GRAU DE SIGILO: gradação atribuída a dado, conhecimentos, áreas ou instalações, considerados classificados, em decorrência de sua natureza ou conteúdo (adaptação do Glossário MD35-G-101, 2007). GUERRA DE INFORMAÇÃO: Conjunto de ações destinadas a obter a superioridade das informações, afetando as redes de comunicação de um oponente e as informações que servem de base aos processos decisórios do adversário, ao mesmo tempo em que garante as informações e os processos amigos. (Glossário MD35-G-01, 2007). GUERRA CIBERNÉTICA: Conjunto de ações para uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores. Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil. (Glossário MD35-G-01, 2007). INFRAESTRUTURAS CRÍTICAS: Instalações, serviços, bens e sistemas cuja interrupção ou destruição, total ou parcial, provocará sério impacto social, ambiental, econômico, político, internacional ou à segurança do Estado e da sociedade. INFRAESTRUTURAS CRÍTICAS DA INFORMAÇÃO: Subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade (Portaria 34 SE-CDN, 2009). INTERDEPENDÊNCIA: Relação de dependência ou interferência de uma infraestrutura crítica em outra, ou de uma área prioritária de infraestruturas críticas em outra (Política Nacional de Segurança de Infraestruturas Críticas, 2010 – aprovada na CREDEN, e ainda não sancionada pelo Presidente da República). LIVRO BRANCO: Documento de caráter público, por meio do qual se permitirá o acesso ao amplo contexto da Estratégia de Defesa Nacional, em perspectiva de médio e longo prazos, que viabilize o acompanhamento do orçamento e do planejamento plurianual relativos ao setor.Método para o Planejamento: oriundo dos estudos e pesquisas realizados ao longo da existência da Escola Superior de Guerra 47 (ESG), o método tem como objeto principal, da sua origem e aplicação, a busca da maior racionalidade nas decisões nacional, fundamentado no Pensamento da ESG e em estudos acadêmicos, teóricos e empíricos, assumindo caráter finalístico e teleológico, ao procurar associar os fatos às suas causas, de modo a obter explicações e alcanças a compreensão e desenvolver o conhecimento, dividindo-se em quatro fases: do Diagnóstico, Política, Estratégica e da Gestão. NECESSIDADE DE CONHECER: condição indispensável, inerente ao exercício funcional, para que uma pessoa possuidora de credencial de segurança tenha acesso a dado e informação classificada, compatível com seu credenciamento. Desta forma a necessidade de conhecer caracteriza-se como fator restritivo de acesso, independente do grau hierárquico ou função que a pessoa exerça (adaptação do Glossário MD35-G-101, 2007). OBJETIVOS NACIONAIS (ON): são aqueles que a Nação busca satisfazer, em decorrência da identificação de necessidades, interesses e aspirações, em determinada fase de sua evolução histórico-cultural. Os Objetivos Nacionais são classificados segundo sua natureza, em três grupos: Objetivos Fundamentais (OF), Objetivos de Estado (OE); e Objetivos de Governo (OG) (ESG, 2009). OBJETIVOS FUNDAMENTAIS (OF): são Objetivos Nacionais (ON) que, voltados para o atingimento dos mais elevados interesses da Nação e preservação de sua identidade, subsistem por longo tempo (ESG, 2009). OBJETIVOS DE ESTADO (OE): são Objetivos Nacionais intermediários, voltados para o atendimento de necessidades, interesses e aspirações, considerados de alta relevância para a conquista, consolidação e manutenção dos Objetivos Fundamentais (ESG, 2009). OBJETIVOS DE GOVERNO (OG): são Objetivos Nacionais intermediários, voltados para o atendimento imediato de necessidades, interesses e aspirações, decorrentes de situações conjunturais em um ou mais períodos de Governo (ESG, 2009). Poder Nacional: Conjugação interdependente de vontades e meios, voltada para o alcance de uma finalidade. A vontade, por ser um elemento imprescindível na manifestação do Poder, torna-o um fenômeno essencialmente humano, característico de um indivíduo ou de um grupamento de indivíduos. POLÍTICA NACIONAL: Manifesta-se quando se busca aplicar racionalmente o Poder Nacional, orientando-o para o Bem Comum, por meio do alcance e manutenção dos Objetivos Fundamentais (ESG, 2009). POLÍTICA PÚBLICA: Conjunto de ações desencadeadas pelo Estado, no caso brasileiro, nas escalas federal, estadual e municipal, com vistas ao bem coletivo. Elas podem ser desenvolvidas em parcerias com organizações não governamentais e, como se verifica mais recentemente, com a iniciativa privada. PROJEÇÃO DO PODER NACIONAL: processo pelo qual a Nação aumenta, de forma pacífica, sua influência no cenário internacional, por intermédio da manifestação produzida com recursos de todas as Expressões de seu Poder Nacional (ESG, 2009). Resiliência: Poder de recuperação ou capacidade de uma 48 organização resistir aos efeitos de um desastre. (NC 06 DSIC/GSIPR, 2009) Capacidade de resistir a fatores adversos e de recuperar-se rapidamente. (Política Nacional de Segurança de Infraestruturas Críticas, 2010 – aprovada na CREDEN, e ainda não sancionada pelo Presidente da República). RISCO: Efeito da incerteza nos objetivos (ABNT ISO GUIA 73, 2009). RISCOS DE SEGURANÇA DA INFORMAÇÃO: Possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira, prejudicando a organização (ABNT, 2008). RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES: Potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização. (NC 04 DSIC/GSIPR, 2009). SEGURANÇA: é a sensação de garantia necessária e indispensável a uma sociedade e a cada um de seus integrantes, contra ameaças de qualquer natureza (ESG, 2009). SEGURANÇA CIBERNÉTICA: Arte de assegurar a existência e a continuidade da Sociedade da Informação de uma Nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infra-estruturas críticas (Portaria 45 SE-CDN, 2009). SEGURANÇA DA INFORMAÇÃO: Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento (PRESIDÊNCIA, 2000). SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES: Ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações (IN 01 GSIPR, 2008). SISTEMAS DE CONTROLE DE SUPERVISÃO E AQUISIÇÃO DE DADOS: ou abreviadamente SCADA (proveniente do seu nome em inglês Supervisory Control and Data Aquisition) são sistemas que utilizam software para monitorar e supervisionar as variáveis e os dispositivos de sistemas de controle conectados através de drivers específicos. Estes sistemas podem assumir topologia monoposto, cliente-servidor ou múltiplos servidores-clientes. TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO (TIC): podem ser definidas como o conjunto de recursos tecnológicos, utilizados de forma integrada, com um objetivo comum. As TICs são utilizadas das mais diversas formas, na indústria (no processo de automação), no comércio (no gerenciamento, nas diversas formas de publicidade), no setor de investimentos (informação simultânea, comunicação 49 imediata) e na educação (no processo de ensino aprendizagem, na Educação à Distância). VULNERABILIDADE: Propriedade intrínseca de algo resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma conseqüência (ISO 31000, 2009). Conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação interna de segurança da informação (NC 04 DSIC/GSIPR, 2009).