Faz-se
necessário estabelecer uma estratégia de segurança cibernética equilibrada e
integrada, que avalie de forma precisa as verdadeiras ameaças ao nosso espaço
cibernético mas que também estabeleça respostas proporcionais e eficientes para
o problema
por
Robert Muggah, Gustavo Diniz e Misha Glenny - http://www.diplomatique.org.br/
O
espaço cibernético brasileiro enfrenta um conjunto bastante diversificado de
ameaças digitais, que vão desde pequenos golpes aplicados contra usuários de
internet até a ciber-espionagem internacional voltada contra órgãos do Estado.
Indubitavelmente, essas ameaças são bastante distintas entre si em muitos
aspectos. Em termos de escala, por exemplo, os crimes cibernéticos com
motivação econômica, tendo como alvos bancos, empresas e principalmente o
usuário comum, são o tipo de ameaça digital mais comum no país.
Ao
longo do último ano, e sobretudo no contexto dos protestos de junho de 2013,
verificou-se também o aumento de casos de um tipo de ameaça de fundo político,
o hacktivismo, muito embora haja controvérsia em torno da legitimidade desta
prática. Por fim, apesar de mais pontual, a espionagem cibernética ganhou os
holofotes das ameaças digitais no país depois do caso Edward Snowden, em que
foi revelado que o Brasil foi um dos principais alvos do esquema global de
espionagem colocado em prática pela NSA (Agência de Segurança Nacional dos EUA)
e por alguns outros países do grupo “Five Eyes”. Nem as comunicações da
Presidência e do Ministério de Minas e Energia teriam sido poupadas pelo
esquema de espionagem.
A
despeito de uma preocupação crescente em Brasília e em outras capitais
latino-americanas com as ameaças cibernéticas, muito pouco é conhecido sobre
elas. Praticamente não há debates sobre os responsáveis em potencial por essas
ameaças, e tampouco sobre quais são suas motivações, seus interesses, como
operam, ou como estão conectados a organizações políticas e criminosas. Poucos
são os especialistas que se dedicam a avaliar criticamente essas ameaças digitais
e seus autores, e muito menos as respostas que vêm sendo desenvolvidas e
implementadas pelos setores público e privado.
Assim,
mesmo operando relativamente “no escuro”, o governo brasileiro apressou-se em
construir uma arquitetura de segurança e defesa cibernética para o país, que
possui um foco muito restrito em algumas dimensões do problema, sobretudo as
ameaças “externas”. A peça central desse esquema é o Centro de Defesa
Cibernética do Exército (CDCiber), inaugurado em 2012. Cabe ressaltar, contudo,
que a ênfase em uma resposta militarizada ao problema das ameaças digitais é
que ela pode ser desproporcional e inadequada para se enfrentar os riscos
digitais de fato que já atingem a sociedade brasileira como um todo (em
oposição aos riscos existenciais potenciais, cuja probabilidade de ocorrência é
baixíssima).
Desta
forma, pode-se dizer que o Brasil está desenvolvendo um aparato de segurança
cibernética desajustado à realidade das ameaças de fato e emergentes em seu
espaço cibernético. Ao invés de focar na criminalidade cibernética nacional e
internacional motivada por interesses econômicos, que constitui o tipo de crime
digital mais difundido no país, o governo vem investindo e fortalecendo mais
suas capacidades de combater a guerra e o terrorismo cibernéticos. Isto não
quer dizer que o terrorismo cibernético e a ciber-guerra não sejam um risco em
potencial, mas sim que o governo brasileiro está adotando uma estratégia
“securitizada” para o espaço cibernético, estratégia esta que não resolve os desafios
mais urgentes e tangíveis que já atingem os cidadãos e as instituições, que são
os crimes digitais mais ordinários.
Isto
tem consequências profundas na alocação dos recursos escassos para o setor e no
desenho de políticas e diretrizes institucionais eficazes. Além disso, uma
resposta militarizada desmedida pode incorrer no risco de comprometer os
direitos fundamentais dos cidadãos, devido, entre outras coisas, às capacidades
de vigilância e controle do espaço cibernético, principalmente a internet. Esta
preocupação tem fundamento: tanto o CDCiber (por meio do programa Guardião)
quanto a Abin (por meio do programa Mosaico) estabeleceram esquemas de
monitoramento das redes sociais no contexto dos protestos de junho de 2013, a
fim de se evitar novos episódios maciços de distúrbio na “lei e na ordem”.
Uma
explicação para essa escolha de se colocar o Exército à frente dos esforços de
segurança cibernética do país é consistente com um movimento mais amplo em
marcha de redefinição do papel das Forças Armadas no Brasil no século XXI. Na
medida em que o país consolida suas instituições políticas e econômicas dentro
de um contexto democrático, o mesmo ocorre com as Forças Armadas, que procuram
adaptar suas funções e atitudes em relação às ameaças ditas não convencionais.
Por um lado, elas estão fortalecendo o controle das fronteiras e atuando com
mais ênfase nas ações contra o narcotráfico. Por outro lado, elas estão
procurando expandir seu alcance e influência no setor cibernético, que é
extremamente dinâmico e oferece novas oportunidades.
Enquanto
isso, observa-se que outras instituições importantes para o enfrentamento das
ameaças cibernéticas, como a Polícia Federal, sofrem com a falta de recursos e
de investimentos. O desenvolvimento de uma capacidade militarizada de resposta
cibernética também é inspirada pelo desejo do governo brasileiro (ainda que um
pouco arrefecido no último mandato presidencial) de aumentar a relevância
geopolítica global do país. Enquanto potência emergente, o governo do Brasil tem
mobilizado alguns avanços do país no setor cibernético mais amplo, incluindo-se
questões de governança cibernética (exemplificada pela importante aprovação do
Marco Civil da internet e da realização do evento Net Mundial no país). Tais
avanços ajudam a projetar o soft power em suas relações bilaterais e em fóruns
multilaterais.
De
toda maneira, a arquitetura de segurança cibernética brasileira ainda está em
fase de desenvolvimento. A despeito de avanços importantes em alguns aspectos,
existem ainda muitos pontos conflitantes que precisam ser trabalhados,
incluindo a atribuição de responsabilidades entre as instituições, a
transparência e prestação de contas de suas ações, a alocação equilibrada de
recursos do orçamento, um debate público mais esclarecedor, medidas
legislativas verdadeiramente eficazes (quais foram os efeitos da Lei Carolina
Dieckmann, por exemplo?), além da própria pertinência da importação de soluções
estrangeiras para a realidade nacional (caso do próprio CDCiber, comum em
países do hemisfério norte, mas não na América Latina). A própria questão da
“captura” do protagonismo da segurança cibernética pelos militares entra nessa
lista, a qual se somam, por consequência, as implicações potencialmente
perigosas desse arranjo para as liberdades civis e políticas.
Além
disso, o conhecido engajamento limitado da sociedade civil em questões mais
gerais de segurança e defesa no país facilitam a consolidação dos interesses
das instituições do Estado, muitas vezes corporativistas. Em assuntos
cibernéticos, a sociedade civil brasileira, incluindo a própria academia, é
fragmentada, com grupos atuando em frentes isoladas: segurança/defesa,
governança, cultura digital, liberdades fundamentais/direitos humanos, proteção
da criança e do adolescente, etc. Faz-se necessário, portanto, estabelecer uma
estratégia de segurança cibernética equilibrada e integrada, que avalie de
forma precisa as verdadeiras ameaças ao nosso espaço cibernético mas que também
estabeleça respostas proporcionais e eficientes para o problema.
Um
primeiro passo nesse caminho é focar justamente nos “pontos cegos” da questão
da (in)segurança cibernética no Brasil. Existe um diálogo muito produtivo em
curso no país sobre alguns temas importantes ligados à questão cibernética,
como evidenciado pelas discussões sobre o Marco Civil, sobre o governo
eletrônico, as smart cities, a soberania na era da internet e os usos sociais
das novas tecnologias de informação e comunicação. Curiosamente, existe quase
um silêncio em questões ligadas a segurança e defesa cibernética. Quando há
espaços de discussão, normalmente eles são reservados aos altos níveis de
governo, às Forças Armadas, às instituições policiais e a um público
especializado restrito da academia, setor privado ou mesmo de usuários comuns.
Se
o país quiser desenvolver uma resposta mais equilibrada e efetiva no setor, a
segurança cibernética deve ser entendida como parte integrante das discussões
sobre governança cibernética e, sobretudo, como um determinante-chave para o
pleno exercício dos direitos civis, políticos e sociais dos cidadãos. No
mínimo, os especialistas brasileiros da área devem começar a compreender as
dinâmicas por trás dos ataques de hackers e grupos de criminosos digitais, as
maneiras pelas quais a criminalidade mais tradicional tem migrado para o
ciber-espaço, como as forças de segurança têm se apropriado das tecnologias de
vigilância, entre muitos outros assuntos que ainda merecem atenção especial.
Mais ainda, o governo deve encorajar um debate mais amplo, com uma estratégia
mais clara de comunicação sobre o porquê da segurança cibernética ser importante
e como que ela vem sendo colocada em prática.
Um
segundo passo seria o estabelecimento de um diálogo aberto sobre qual seria a
forma e o conteúdo de uma estratégia balanceada e eficiente para se combater as
ameaças digitais presentes no Brasil. Órgãos militares, policiais e mesmo da
administração pública tendem a exagerar os riscos ligados às suas atribuições a
fim de garantir acesso a recursos. Uma negociação transparente e mais bem
informada poderia ajudar a estabelecer um portfólio de respostas de segurança
cibernética mais comedido, porém mais eficaz. Prioridades-chave para o Brasil
incluem a melhoria das capacidades investigativas da Polícia Federal e das
polícias civis dos estados (incluindo em relação à perícia cibernética) e uma
melhor coordenação entre as instituições policiais, os juízes e os ministérios
públicos para desbaratar grupos ligados aos crimes cibernéticos mais comuns
cometidos a partir de nosso território.
Mais
radical seria adotar a estratégia, já testada em alguns outros países (como os
EUA e o Reino Unido), de identificar e recrutar hackers nacionais habilidosos
para que ajudem o Estado a fortalecer suas capacidades, enquanto ficam mantidos
longe das atividades ilícitas. Tanto o ex-ministro da Ciência e Tecnologia
quanto o ex-comandante do CDCiber chegaram a aventar essa possibilidade.
Contudo, o Departamento de Segurança da Informação e Comunicações (DSIC) do
Gabinete de Segurança Institucional, órgão tão importante quanto o CDCiber para
a arquitetura de segurança cibernética nacional, parece ser relutante à ideia,
conforme algumas declarações de seu diretor.
Finalmente,
um terceiro passo é o início de um debate sofisticado sobre o que constitui uma
ameaça digital e os tipos de respostas que cada uma delas demanda. Há uma tendência
à simplificação excessiva sobre ameaças digitais e crimes cibernéticos. Algumas
vezes, vários tipos distintos de atividades são tratados sob um mesmo rótulo,
assim como as diferentes respostas para cada um. Outras vezes, foca-se
excessivamente em apenas uma categoria de crime, como se todo o problema da
criminalidade cibernética se restringisse àquela manifestação específica. Se o
Brasil deseja adotar uma estratégia inovadora e reconhecidamente eficaz de
combate às ameaças digitais, deverá também começar a investir pesado na
qualidade da educação.
O
fato é que o nível de conscientização sobre (in)segurança cibernética no país é
muito baixo, devido ao baixo grau de instrução geral da população. Um esforço
concertado é necessário para aumentar o grau de entendimento e de engajamento
individual com a questão, assim como aconteceu nos Estados Unidos e na Europa
Ocidental, já que o usuário da tecnologia é o elo mais fraco na cadeia de
proteção do espaço cibernético. Todos esses debates deverão ser abertos aos
múltiplos interesses representados em nossa sociedade, assim como deverá estar
apoiado em dados empíricos sólidos. Esse diálogo qualificado e sua tradução na
arquitetura de segurança cibernética do país é fundamental para que o Brasil
seja reconhecido como um protagonista internacional de fato nas questões
ligadas ao espaço cibernético.
*Este
artigo é um resumo de Artigo Estratégico a ser lançado pelo Instituto Igarapé,
em inglês – Deconstructing Cyber Security in Brazil: Threats and Responses. Ver
www.igarape.org.br.
Robert
Muggah, Gustavo Diniz e Misha Glenny
Robert
Muggah, Gustavo Diniz e Misha Glenny são membros do Instituto Igarapé
Nenhum comentário:
Postar um comentário