Upload
lamthuan
View
229
Download
0
Embed Size (px)
Citation preview
0
ESCOLA SUPERIOR DE GUERRA
EUZIMAR KNIPPEL DO CARMO
A GUERRA CIBERNÉTICA E A CONTRAINTELIGÊNCIA
VIRTUAL
Rio de Janeiro 2011
1
EUZIMAR KNIPPEL DO CARMO
A GUERRA CIBERNÉTICA E A CONTRAINTELIGÊNCIA
VIRTUAL
Trabalho de Conclusão de Curso - Monografia apresentada ao Departamento de Estudos da Escola Superior de Guerra como requisito à obtenção do diploma do Curso de Altos Estudos de Política e Estratégia. Orientador: Comandante LUIZ FERNANDO
PEREIRA DA CRUZ
Rio de Janeiro
2011
1
C2011 ESG
Este trabalho, nos termos de legislação que resguarda os direitos autorais, é considerado propriedade da ESCOLA SUPERIOR DE GUERRA (ESG). É permitido a transcrição parcial de textos do trabalho, ou mencioná-los, para comentários e citações, desde que sem propósitos comerciais e que seja feita a referência bibliográfica completa. Os conceitos expressos neste trabalho são de responsabilidade do autor e não expressam qualquer orientação institucional da ESG. _________________________________
EUZIMAR KNIPPEL DO CARMO
Carmo, Euzimar Knippel.
A Guerra Cibernética e a Contra-Inteligência Virtual / Cel Art EB
Euzimar Knippel do Carmo. Rio de Janeiro: ESG 2011.
101 f. il.
Orientador: Comandante LUIZ FERNANDO PEREIRA DA CRUZ Trabalho de Conclusão de Curso – Monografia apresentada ao Departamento de Estudos da Escola Superior de Guerra como requisito à obtenção do diploma do Curso de Altos Estudos de Política e Estratégia (CAEPE), 2011.
1. Guerra Cibernética. 2. Inteligência. 3 Fonte de inteligência cibernética. 4. Contrainteligência. I. Título.
À minha esposa Elzimar e aos meus filhos
Mayara e Pedro Henrique, pessoas que
tanto amo, dedico este trabalho, como mais
uma etapa vencida em minha vida.
AGRADECIMENTOS
Ao Comandante LUIZ FERNANDO PEREIRA DA CRUZ, pela amizade, pelas orientações, pelos conhecimentos transmitidos e pela confiança depositada.
Aos Estagiários do Curso Superior de Inteligência Estratégica – CSIE/2011 – da
Escola Superior de Guerra, pela importante colaboração na transmissão de seus
conhecimentos, como especialistas da Área de Inteligência.
Aos companheiros da Turma Segurança e Desenvolvimento do Curso de Altos
Estudos de Política e Estratégia – CAEPE/2011 – da Escola Superior de Guerra,
pela importante colaboração na transmissão de seus conhecimentos, como
especialistas da Área do Direito, de Inteligência, de Comunicações e Cibernética.
“Quando as leis dos homens não mais se fizerem presentes,
e não restarem vestígios, pedra sobre pedra,
restará a Lei Natural.
Eis que surge o soldado,
guardião último de todos os Poderes da Nação,
aquele que trará a paz tão almejada pelos sobreviventes,
para que depois se lhe atribuam a culpa por tudo que aconteceu,
e ele recôndito far-se-á recluso, até que a Nação de novo o chame
e depois lhe dedique bravatas, novamente.”
(O Autor)
RESUMO
A Guerra é um fenômeno social, hoje de amplitude global, cruel, devastadora, destruidora de sonhos e de aspirações. Assim como ela, as Informações tornaram-se globais e isso devemos a Internet, evolutiva da forma primária da ArpaNet, que transformou o mundo e a sociedade. Entretanto, todo esse poder reclama seu preço. Essas ferramentas que tanto contribuem para a inclusão, em mãos erradas, podem causar destruição e inquietação, envolvendo nesse imbróglio homens, organizações e estados. É a Guerra Cibernética. De amplitude que transcende as fronteiras físicas dos envolvidos ela ocorre de forma silenciosa e diária, carece de arcabouço legal e clama pela participação colaborativa entre estados, podendo até questionar os princípios de soberania, tornando-a relativa, além de degradar ou inviabilizar projetos de Estado, inclusive o brasileiro. Ela também se assemelha ao conflito convencional que tem, também, na Inteligência um instrumento fundamental para o seu sucesso. Dentre as vertentes dessa atividade destaca-se a Contrainteligência que abrange as ações destinadas à proteção de estruturas físicas, do capital intelectual, dos meios e das próprias informações.
Palavras chave: Guerra cibernética. Inteligência. Fonte cibernética de inteligência. Contrainteligência.
ABSTRACT
War is a social phenomenon and in today's global environment it is cruel, devastating
and destructive to dreams and aspirations. Like it, information is becoming global and
we owe it to the Internet, the primary form of evolutionary ArpaNet that transformed
the world and society. However, this power demands its price. These tools that
contribute so much to social inclusion, when in the wrong hands, can cause
destruction and unrest, involving men in mass, organizations and states. It's cyber
war. Its characteristics transcends the physical boundaries of those involved and
takes place quietly. Daily, there are calls for collaborative participation amongst legal
framework and even states, it question the principles of sovereignty, with
consequences to degrade or defeat of state projects, including Brazil. Cyber war is
like conventional conflict that has an intelligence component as a key tool of success.
Among the aspects of this activity are Counterintelligence measures covering the
actions for the protection of physical infrastructure, intellectual capital resources and
the information itself.
Keywords: Cyber warfare. Intelligence. Source cyber intelligence.
Counterintelligence.
LISTA DE FIGURAS
Figura 1 IEC e a Necessidade de Proteção.................................................... 23
Figura 2 Ciber Ameaças................................................................................. 42
Figura 3 Interdependência da Educação de Servidores................................. 55
LISTA DE ILUSTRAÇÕES
Quadro 1 Forma de Resolução do Conflito Cibernético....................................... 26
Quadro 2 Ameaças Cibernéticas – Relações....................................................... 34
Quadro 3 Níveis de Ameaças Cibernéticas.......................................................... 35
Quadro 4 Ativos da Informação............................................................................ 37
Quadro 5 Principais Ameaças.............................................................................. 38
Quadro 6 Principais Agentes e Tipo de Ação....................................................... 39
SUMÁRIO
1 INTRODUÇÃO .................................................................................................. 11 2 RELAÇÕES: PODER NACIONAL E A QUESTÃO CIBERNÉTICA. ..... ..........15 2.1 O PODER NACIONAL ...................................................................................... 15 2.2 A QUESTÃOCIBERNÉTICA ............................................................................. 16 2.3 A GUERRA CIBERNÉTICA .............................................................................. 17 3 A GUERRA CIBERNÉTICA E AS AÇÕES DE INTELIGÊNCIA ...................... 27
4 ALVOS, AGENTES DE AMEAÇAS E AMEAÇAS… . ……………………..……37
5 ASPECTO LEGAL ........................................................................................... 45
6 CONTRAINTELIGÊNCIA CIBERNÉTICA OU VIRTUAL................................. 52
7 CONCLUSÃO.................................................................................................. 61
REFERÊNCIAS................................................................................................. 64
APÊNDICE A - RELATÓRIO UD IV/CGSIC/UnB-GSI PR/2009 – 2011.......... 72 APÊNDICE B - RELATÓRIO UD VII/CGSIC/UnB-GSI PR/2009–2011........... 83
ANEXO A -AMEAÇAS CIBERNÉTICAS – DEFINIÇÃO DE TERMOS............ 90
ANEXO B - NÍVEIS DE AMEAÇAS CIBERNÉTICAS.......................................91
ANEXO C - EVOLUÇÃO DOS VÍRUS EM 40 ANOS....................................... 92 ANEXO D - ENTREVISTAS AOS ESPECIALISTAS DA ÁREA JURÍDICA ….95
ANEXO E - SUMÁRIO DO QUESTIONÁRIO AO CSIE-2011/ESG .................96 ANEXO F - SUMÁRIO DO QUESTIONÁRIO AO CAEPE-2011/ESG .............. 97 ANEXO G - SUMÁRIO DA ENTREVISTA DE RAOUL CHIESA ................... 100
11
1 INTRODUÇÃO
Dois séculos separam dois eventos determinantes para a evolução da
humanidade – a Revolução Industrial, que redefiniu as relações econômicas e de
trabalho; e a WEB1, evolução da ARPANet, com seu sentido de velocidade e de
inclusão social.
A ARPANet, por sua vez, trata-se do nome dado a rede desenvolvida pela
empresa americana Advanced Research and Projects (ARPA), em 1969, com
financiamento integral do governo americano, que interligava as bases militares e os
Departamentos de Pesquisas do governo estadunidense, com o objetivo de
desenvolver uma rede de comunicações que não deixasse os EUA vulnerável, no
aspecto de fluxo de informações, em caso de ambiente degradado por ação da
então URSS ao Pentágono. No final dos anos 70, em face do incremento do número
de assinantes – mais de 100 sites em meados de 1975 – teve de alterar o protocolo
que utilizava – Network Control Protocol (NCP), que se tornara obsoleto, para o
Transmission Control Protocol/Internet Protocol (TCP-IP).
Em verdade, a velocidade permitiu um fluxo mais dinâmico das informações e
as melhorias que as inovações tecnológicas trouxeram às infraestruturas de
construção das redes favoreceram à conectividade, a interligação entre os povos, os
processos e tudo mais que esteja apoiado em meios computacionais.
Vivemos em um mundo inteiramente interligado, sem distâncias e dividido em fronteiras formais. Os acontecimentos se fazer sentir automaticamente em todo o globo, provocando reações imediatas, que mexem profundamente em nossa compreensão sobre a vida, sobre a nossa era e a nossa compreensão sobre a vida, sobre a nossa era e a nossa missão como partes de uma engrenagem que não pode parar, se quisermos perpetuar a existência do homem sobre a terra. (BRANT, 2003)
Atualmente, percebe-se que a maioria dos serviços ofertados pela Nação,
politicamente organizada, aos seus cidadãos encontra-se, sobremaneira, apoiada
1 A World Wide Web (que em português significa, "Rede de alcance mundial"; também conhecida
como Web e WWW) é um sistema de documentos em hipermídia que são interligados e executados na Internet [...] As ideias por trás da Web podem ser identificadas ainda em 1980, no CERN- Organização Europeia para a Investigação Nuclear (Suíça), quando Tim Berners-Lee construiu o ENQUIRE. Ainda que diferente da Web atualmente, o projeto continha algumas das mesmas ideias primordiais, e também algumas ideias da web semântica. Seu intento original do sistema foi tornar mais fácil o compartilhamento de documentos de pesquisas entre os colegas. (http://pt.wikipedia.org/wiki/World_Wide_Web. Acesso em: 13 mar. 2011)
12
nos meios computacionais, meios esses alvos de toda a sorte de ataques sob as
mais diversas formas e invariavelmente com interesses espúrios.
Também a definição dos limites físicos do Estado no trato do espaço
cibernético, pela transversalidade e indefinição dos limites desse espaço, pode até
conduzir a uma equivocada redefinição de soberania, derivada do conceito de
soberania limitada2 defendida pelos Estados-membros do G-73, grupo que reúne
sete países, todos do hemisfério Norte, a saber: os Estados Unidos, a Alemanha, o
Reino Unido, o Japão, a França, a Itália e o Canadá.
Esse conceito daninho à existência do Estado-Nação4 sobrepõe, em síntese, o
interesse supranacional ao nacional; o interesse da superpotência ao da potência,
os aspectos geoeconômicos aos aspectos geopolíticos. Os membros do G-7
defendem o dever de ingerência, intervindo onde cada um de seus membros, ou
todos eles, julguem necessário intervir para resguardar os interesses próprios ou do
grupo.
Aderente à questão do fortalecimento da capacidade de defesa brasileira, a
aprovação da Estratégia Nacional de Defesa (END), por meio do Decreto Nº 6.703,
2 WESLEY, Maria Helena de Amorim. Reflexões sobre a Política Nacional de Defesa Brasileira.
Disponível em: http://www.abed-defesa.org/page4/page8/page9/page19-/files/mariawesley.pdf. Acesso em 12 abr. 2011 3G7 – Grupo dos sete - Definição: Conforme as palavras do autor o G7 é antes de qualquer coisa “um
fórum de debates que expressa os interesses de um restrito, mas fundamental, grupo de países”. O G7 foi criado em 1975, no intuito de reunir as nações mais ricas do mundo, para tratarem de questões relevantes na seara internacional. Objetivos: Os temas tratados pelo G7 são: Economia internacional (comércio; paridade cambial; estabilidade monetária e investimentos); Segurança; Terrorismo; Manutenção da paz; Meio ambiente. Características: Concentração do poder econômico-militar mundial; Elaboram metas e usam de seus recursos e influência para atingi-las. Principais ações: A promoção de uma influência mútua de idéias; Decisões coletivas em relação aos grandes problemas mundiais; e Mobilização da imprensa internacional. Principais problemas: A alta concentração de poder é um problema, pois é evidente que os sete países membros do G7 tomam decisões que afetam todas as nações. Dessa forma, todos os países não membros ficam “reféns” das decisões tomadas pelo G7. Tendências: como o G7 é formado pelas nações mais ricas do planeta, se a convergência de idéias entre estes prevalecer, este grupo tende apenas a continuar se fortalecendo, mesmo que, por ventura encontrem alguns “obstáculos”. (Fonte: http://pt.shvoong.com/social-sciences/political-science/1800519-g7-grupo-dos-sete/#ixzz1RdUJ0clC). 4 A ideia de Estado-nação nasceu na Europa em finais do século XVIII e inícios do século XIX.
Provém do conceito de "Estado da Razão" do Iluminismo, diferente da "Razão de Estado" dos séculos XVI e XVII. A Razão passou a ser a força constituidora da dinâmica do Estado-nação, principalmente ao nível da administração dos povos. A ideia de pertença a um grupo com uma cultura, língua e história próprias, a uma nação, foi sempre uma das marcas dos europeus nos últimos séculos, ideal que acabariam por transportar para as suas projeções coloniais. Há um efeito psicológico na emergência do Estado-nação, pois a pertença do indivíduo a tal estrutura confere-lhe segurança e certeza, enquadramento e referência civilizacional. O Estado-nação afirma-se por meio de uma ideologia, uma estrutura jurídica, a capacidade de impor uma soberania, sobre um povo, num dado território com fronteiras, com uma moeda própria e forças armadas próprias também. É na sua essência conservador e tendencialmente totalitário. (http://www.infopedia.pt/$estado-nacao. Acesso em: 25 mar. 2011)
13
de 18 de dezembro de 2008, foi um marco, ao trazer de forma holística à arena
nacional, incluindo-se os meios acadêmicos e político, os assuntos relativos à
Defesa. Nesse diploma legal destaca-se, ainda, a presença de três eixos
estruturantes e de três setores estratégicos, um deles central em relação ao trabalho
aqui desenvolvido, qual seja, o setor cibernético.
Na definição das responsabilidades por meio da Portaria Ministerial Nº 014-MD,
de junho de 2009, coube ao Exército Brasileiro (EB) a implantação do setor
cibernético no âmbito do Ministério da Defesa (MD).
O primeiro passo daquela Força Armada (FA) foi criar, em junho de 2010, o
Núcleo do Centro de Defesa Cibernético (Nu CD Ciber), com a finalidade de
estruturar e implantar por meio de sua própria evolução o Centro de Defesa
Cibernético do Exército (CD Ciber)5.
Assim, o presente trabalho versa sobre a Guerra Cibernética (G Ciber) e a
Contrainteligência Virtual e está restrito a duas dimensões que surgem com inegável
vigor na sociedade da informação: a primeira refere-se à questão cibernética
propriamente dita; e a segunda, atem-se à Fonte6 de Inteligência Cibernética (F Intlg
Ciber), especificamente, o ramo da Contrainteligência (CI), aqui, também, tratada
como CI virtual.
O enfoque desta construção de conhecimento teve como ponto de partida a
experiência profissional deste autor lapidada como relator da sala de talentos
humanos7, inicialmente em ambiente virtual modulado em plataforma Mooddle, como
atividade não-presencial; e, posteriormente, em fase presencial como gestor da sala
temática que versou sobre uma prospecção das competências requeridas aos
talentos humanos, tudo isso, relativo ao I Seminário de Defesa Cibernética, ocorrido,
5 A PORTARIA Nº 666, DE 4 DE AGOSTO DE 2010, Cria o Centro de Defesa Cibernética do Exército
e dá outras providências. A PORTARIA Nº 667, DE 4 DE AGOSTO DE 2010, Ativa o Núcleo do Centro de Defesa Cibernética do Exército e dá outras providências. 6FONTE – Qualquer pessoa, imagem, sinal ou outro meio pelo qual um dado pode ser obtido. (MD35-
G-01) 7Há várias expressões que podem demonstrar o verdadeiro valor que pessoas representam para uma
empresa, entre elas, "capital humano", "valores humanos" ou, simplesmente, "gente". Não se trata de mais um modismo, ultrapassa a questão semântica, trata-se de dar significado, de elevar o pensamento sobre gente e seu valor. O que achamos mais justo é adjetivar cada pessoa como um "talento" e para distingui-la de outras espécies animais que também têm algum tipo de inteligência, basta qualificá-la como "humano". Talento não é só sinônimo de genialidade, é também dos diversos tipos de inteligência, da capacidade de pensar, raciocinar, fazer conexões, imaginar, criar etc. Estas são competências que só a espécie humana tem em maior ou menor grau de desenvolvimento. Informação disponível em: http://www.administradores.com.br/informe-se/administracao-e-negocios/talentos-humanos-em-vez-de-recursos-humanos/43631/.
14
em junho de 2010, na cidade de Brasília-DF. Esse aspecto é corroborado, também,
pela gestão das áreas de doutrina e de talentos humanos do Grupo de Trabalho
interforças instado a responder questões relativas a esse setor estratégico,
atendendo as demandas do MD. Ainda nesse entorno, este pesquisador valeu-se
das percepções das informações e ideias colhidas junto aos especialistas das fontes
ligadas às duas dimensões supramencionadas, das informações colhidas com a
pesquisa bibliográfica em: artigos científicos, reportagens e filmes.
O trabalho permeou a guerra, como fenômeno social, e a atividade de
inteligência (Atvd Intlg)8, focada no aspecto de proteção. Atividades estas
conduzidas pelo homem, cerne de todo e qualquer processo.
Para isso, houve a necessidade de definir quais seriam os alvos a defender, as
características dos agentes maliciosos e seus objetivos, sobre: (a) as necessidades
de marco regulatório ou não para o setor cibernético; (b) sobre a necessidade de
talentos humanos; (c) a aderente formação de capital intelectual baseada em gestão
por competências; (d) sobre mecanismos e processos de reeducação do homem;
(e), sobre a necessidade constante de investimento em pesquisa básica e pesquisa
aplicada na área de Ciência, Tecnologia e Inovação (CT & I) e até pela redefinição
da Atvd Intlg, restrita, neste caso, à CI.
8ATIVIDADE DE INTELIGÊNCIA – Atividade baseada em processo mental, que tem por finalidade
produzir e salvaguardar conhecimento de interesse. Desdobra-se em dois grandes segmentos: de Inteligência - objetivamente voltado para a produção de conhecimentos; e de Contra-Inteligência - objetivamente voltado para a salvaguarda de conhecimentos. (MD35-G-01)
15
2. O PODER NACIONAL, A QUESTÃO CIBERNÉTICA E A GUERRA
CIBERNÉTICA
2.1 O PODER NACIONAL
Para o fortalecimento do Poder Nacional (PN), definido como “[...] a capacidade
que tem o conjunto de Homens e Meios que constituem a Nação apara alcançar e
manter os Objetivos Nacionais, em conformidade com a Vontade Nacional”9, a
participação de todos os segmentos da sociedade é de fundamental importância.
Isso é uma realidade.
O PN é indivisível, entretanto, para fins didáticos, em ambiente acadêmico,
entre eles cito a Escola Superior de Guerra (ESG), ele é fracionado em Expressões
do Poder, cujas definições encerram-se no próprio significado substantivo do nome,
a saber: Expressão Política, Expressão Psicossocial, Expressão Militar, Expressão
Econômica e Expressão Científico-Tecnológica.
Em um escrutínio sobre a END percebe-se a sua aderência com todas as
expressões do PN, com ênfase na Expressão Militar, alinhadas às estratégias
direcionadas ao desenvolvimento nacional. Nesse contexto, o MD criado em junho
de 1999, tem a missão, entre outras, de fazer a interface entre os segmentos civil e
militar da sociedade brasileira, orientando o emprego constitucional das FA com
vistas a manutenção da soberania e a persecução da manutenção da estatura
político-estratégica brasileira, assim definido.
A Estatura Político-Estratégica de uma Nação é o conjunto de seus atributos que são percebidos e reconhecidos pelas demais Nações, e que definem o nível relativo de sua participação e influência no contexto internacional. (Escola Superior de Guerra, 2009, p.41)
Todo esse cenário real está aderente ao Poder em sua síntese e expressão
mais pura. Essa percepção aplica-se ao fenômeno da guerra e sua “expressão ou
vertente cibernética”. Assim este pesquisador afirma que “só faz guerra quem tem
poder para tal”, e se aproveita da transcrição abaixo para explicar o sentido estrito
de Poder.
9Escola Superior de Guerra, Manual Básico: elementos fundamentais. v.1. Rio de Janeiro, 2009, p.31.
16
Poder é a capacidade ou autoridade de coagir ou dominar homens, levando-os à obediência ou compelindo-os a atuar de certa maneira. Do ponto de vista jurídico, o Poder é a base de toda a organização política e, nesse sentido, prende-se ao conceito de Estado – poder organizado para dirigir politicamente a Nação. A formação do Estado coincide justamente com o monopólio do uso do Poder e da autoridade, porque ele passa a dispor da coercibilidade, isto é, a capacidade de se fazer obedecer, por meio de uma instrumentação jurídica. (Escola Superior de Guerra, 2009, p.41)
Assim, a convergência de homens e meios, suportados por CT & I, sob o
monopólio do Estado, para, de acordo com as Políticas Públicas e os interesses da
Defesa Nacional, contribuir à preservação da liberdade de ação nas expressões do
PN, defendendo-se e mediante ordem, promovendo ações cibernéticas contra
oponentes, poderia constituir-se numa primeira ideia o que seria Poder Cibernético.
2.2 A QUESTÃO CIBERNÉTICA
Desde que a evolução tecnológica vem reconstruindo escalas de valores e
redesenhando uma nova sociedade, mais dinâmica, mais empreendedora, mais
ávida por conhecimento e por inovações que atendam suas expectativas; o mundo
passou a conviver com uma série de ameaças que transitam entre o simples prazer
de vencer barreiras de sistemas, sem maldade explícita, pelos crimes agora
revestidos e suportados por meios computacionais, até aquelas com o propósito,
claro ou velado, de causar danos e expor Estados. Identificar a origem desses atos,
em face da capilaridade da rede internacional, é tarefa muito difícil, até pela
indefinição dos limites soberanos dos Estados no ambiente cibernético.
De certo modo, as fronteiras nacionais ficaram porosas, principalmente com o advento da TI. Hoje, a internet, surgida a cerca de 45 anos, condiciona o mundo. Nem os EUA têm domínio sobre o fluxo de capital. Economias estão em rede; o crime está em rede; vivemos a sociedade da simultaneidade, conforme afirma Zygmunt Bauman, tudo está em rede. (PEREIRA, 2011)
Esse estado de evolução faz com que, diuturnamente, tenhamos notícias de
tentativas de invasões a sistemas públicos e /ou privados, ou mesmo, a veiculação
17
de segredos de Estados, estremecendo a relação entre os atores internacionais
desse nível, citando-se, por exemplo, o caso WikyLeaks10.
Nesse escopo, ainda, o Centro de Atendimento a Incidente de Segurança
(CAIS), parceiro de pesquisa do Anti-Phishing Working Group (APWG) desde
setembro de 2005, vinculado a Rede Nacional de Ensino e Pesquisa (RNPQ),
contabilizava estatisticamente, em 13 Mar 2011, 47853 incidentes reportados e, até
a data citada, cerca de 9 alertas emitidos11.
2.3 A GUERRA CIBERNÉTICA
A guerra12, fenômeno social, é um problema do Estado. Embora na condução
de suas ações haja preponderância da Expressão Militar do PN, todas as
Expressões do PN se fazem presentes nesse fenômeno, com maior ou menor
participação.
Esse mesmo fenômeno “guerra” exige a restrição do ambiente operacional,
excetuando-se a guerra global, uma vez que o espectro de abrangência dessas se
encerra em seu próprio nome, tendo como conseqüência, o suscitar de respostas às
seguintes questões: o que é a Guerra Cibernética? O que é o espaço cibernético?
Quem são seus atores? Quais são os alvos estratégicos, operacionais e táticos que
povoam esse espaço? Quais os efeitos colaterais decorrentes das ações?
Em auxílio a esses questionamentos a transcrição abaixo se constitui em forte
aliada:
10
Ao longo de 2010, WikiLeaks publicou grandes massas de documentos confidenciais do governo dos Estados Unidos, com forte repercussão mundial. Em abril, divulgou um vídeo de 2007, que mostra o ataque de um helicóptero Apache norte-americano, matando pelo menos 12 pessoas - dentre as quais dois jornalistas da agência de notícias Reuters - em Bagdá, no contexto da ocupação do Iraque. O vídeo do ataque aéreo em Bagdá (Collateral Murder) é uma das mais notáveis publicações do site. Outro documento polêmico mostrado pelo site é a cópia de um manual de instruções para tratamento de prisioneiros na prisão militar norte-americana de Guantánamo, em Cuba. Em julho do mesmo ano, WikiLeaks promoveu a divulgação de uma grande massa de documentos secretos do Exército dos Estados Unidos, reportando a morte de milhares de civis no guerra do Afeganistão em decorrência da ação de militares norte-americanos. Finalmente, em novembro, publicou uma série de telegramas secretos enviados pelas embaixadas dos Estados Unidos ao governo do país. (http://pt.wikipedia.org/wiki/WikiLeaks) 11
Esses dados estão disponíveis em http://www.rnp.br/cais/estatisticas/index.php. 12
Guerra: 1. Conflito no seu grau máximo de violência. Em função da magnitude do conflito, pode implicar a mobilização de todo o Poder Nacional, com predominância da expressão militar, para impor a vontade de um ator ao outro. 2. No sentido clássico, caracteriza um conflito, normalmente entre Estados, envolvendo o emprego de suas forças armadas. Desencadeia-se de forma declarada e de acordo com o Direito Internacional. (Glossário das Forças Armadas, MD-G-01, 2007)
18
Em Singapura no início de junho de 2011, O ministro da Defesa dos EUA, Robert Gates, deu a entender que no futuro, ataques cibernéticos poderiam ser considerados como declarações de guerra. Logo depois que o Diretor da Agência Central de Inteligência da CIA, Leon Panetta, explicou ao Congresso dos EUA que ele vê a "possibilidade real" de um ataque cibernético arrasador. "O Pearl Harbor nós enfrentamos", afirmou o Chefe da CIA, referindo-se a razão para a entrada dos EUA na Segunda Guerra Mundial em dezembro de 1941, poderia muito bem ser um ataque cibernético que mutila os nossos sistemas de energia, a nossa rede, nossos sistemas de segurança, nossos sistemas financeiros e os nossos sistemas governamentais. O Chefe israelense da Inteligência Militar, Yadlin expressou seu entusiasmo surpreendente com essa perspectiva: "O Ciberespaço concede aos países pequenos e indivíduos um poder que foi até agora a prerrogativa dos grandes países. Pode-se convocar uma greve dentro de uma fração de segundo, sem arriscar a vida de nenhum militar. Tudo é feito localmente, sem a necessidade de ajuda externa, em uma área com que jovens israelenses estão muito familiarizados”. (GERLOFF, 2011)
13
É usual que autores, ante ao surgimento de um novo artefato ou um novo modo
de condução dos conflitos, arrisquem-se a nominá-los como forma de destacá-los
dos demais. Preferencialmente, como forma de não banalizar ou mesmo maximizar
o termo “guerra” este pesquisador julga ser oportuno denominar de ações ou de
operações essas variantes aderentes a esse comportamento.
Colabora com essa assertiva o posicionamento estadunidense ao questionar o
termo “guerra” vinculado ao termo cibernética, agregando-se-lhe a necessidade
prévia da Declaração de Guerra, conforme consta do rito formal expresso nas
Convenções de Genebra. Assim, aquele Estado adota a terminologia “Conflito
Cibernético” em substituição ao termo “Guerra Cibernética”, posicionamento assaz
pertinente.
Ainda nessa visão, um termo moderno em nossos dias é o que trata da Guerra
Centrada em Redes (G C Rede), que é uma forma otimizada de gerenciamento de
todas as ações que compõem a magnitude do espectro de um conflito armado. Essa
forma permite ao Comandante o exercício em plenitude da capacidade de Comando
e Controle (C2), estando, entretanto, centrada na Expressão Militar do Poder
Nacional, como se verifica na definição abaixo:
GUERRA CENTRADA EM REDES - Guerra que reúne em rede os mais diversos elementos das forças armadas de um país, permitindo-lhe administrar diversas tarefas que vão desde a coleta até a distribuição de informações críticas entre esses muitos elementos. Outorga-lhe maior
13
GERLOFF, Johannes, Christian Media Association KEP na Alemanha. Tradução Miguel Nicolaevsky. Disponível em: http://www.cafetorah.com/Guerra-Cibernetica. Acesso em 09 ago. 2011.
19
capacidade de combate ao ligar em rede os elementos de sensoriamento, de combate e de comando. Visa obter melhor sincronismo entre aqueles elementos e os efeitos que podem proporcionar, assim como o incremento na velocidade das operações bélicas e do processo decisório de comando. (BRASIL, 2007)
14
Seguindo-se a linha de raciocínio traçada acima, a G Ciber não é um novo tipo
de guerra, mas uma nova faceta das ações desenvolvidas desde o tempo de paz,
com vistas a impor a vontade de um Estado sobre outro. O MD a define como:
Guerra Cibernética como o Conjunto de ações para uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores. Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil. (BRASIL, 2007)
15
Na busca de alinhamento com outras percepções sobre a definição dessas
ações percebe-se que lhe aplicam um status próprio. Ela é tratada como Guerra da
Quinta Dimensão, como Guerra de Comando e Controle, como Guerra
Computacional, como Operações de Informação e como Guerra de Informação (IW
em inglês; G Info, traduzido para o português). Sobre essa última, é digna de registro
a definição de Richiburg (apud ALEXANDER, 2003), que afirma:
Guerra de Informação: Ações tomadas para preservar a integridade dos sistemas de informação próprios contra a exploração, degradação ou corrupção e, ao mesmo tempo, explorar, degradar ou destruir os sistemas de informações adversários.
Ainda em Alexander (2003), verifica-se um pendor conclusivo decorrente da
descrição taxionômica para G Info: “Opera baseada em tecnologia da Informação.
Embora não-letal nos efeitos, as consequências são tão grandes que se transformou
numa forma específica de guerra”.
Para contestar o caráter absoluto de não-letalidade propugnado pelo autor
suprarreferenciado, podemos nos valer de alguns casos hipotéticos que não se
encontram distantes de uma probabilidade bem plausível, em dias de hoje.
14
Glossário das Forças Armadas, MD35-G-01, 2007 15
Glossário das Forças Armadas, MD35-G-01, 2007
20
Primeiramente, imagine-se que um grupo paramilitar, de um Estado soberano, falido
ou conflitado, resolva, por meio de um terminal remoto, gerenciar o Sistema de
Controle de Tráfego Aéreo de determinado Estado alvo, que se encontra sob
severas condições climáticas, e esse agente pernicioso decida degradar a
apresentação das telas Planning Position Indication (PPI) dos radares de
aproximação, fornecendo uma informação incorreta acerca do nível do solo. Isto
pode causar um acidente aéreo com o sacrifício de vidas humanas, mesmo que não
intencional, caso a única maneira de se realizar o pouso das aeronaves seja por
meio de instrumentos.
Outra situação hipotética está afeta à invasão do sistema de controle de trens
suburbanos em que o invasor provoca, indiretamente, o encontro de trens que
trafegavam em sentidos contrários por uma mesma linha.
Mais uma vez é perceptível que a perda de vidas pode ser um dano colateral à
atividade deletéria causada pelo agente invasor que poderia ter o intuito, em ambos
os casos, de provocar o caos nos sistemas de transportes utilizados como exemplo.
Assim, é coerente afirmar que a falência digital provocada, mesmo que
indiretamente, teve um efeito letal derivado da ação principal. Sobre isso, é factível
adjudicar às ações semelhantes as dos exemplos utilizados um caráter de
relatividade quanto à letalidade, em contraponto ao caráter absoluto de não
letalidade defendido por Alexander.
Por outro lado, a G Ciber não se trata de um tema novo, pelo menos nos níveis
estratégico e operacional de planejamento militar brasileiro, uma vez que, desde
2007, por ocasião dos planejamentos reais empreendidos pelo MD, dos quais este
pesquisador participou, e que tinham por base as hipóteses de emprego, já era
objeto de preocupação e requeria cuidados no trato dos sistemas de C2, 16 com
vistas a mantê-los operacionais mesmo em ambiente degradado por ação de cracker
“Especialista que viola um sistema de segurança de tecnologia da informação, de
forma ilegal ou sem ética. (BRASIL, Glossário das Forças Armadas, MD35-G-01,
2007)”.
16
Muitas publicações abordam abreviaturas das mais variadas para dispor acerca de informações sobre os sistemas ás mesmas encerram. Assim temos C3I, para tratar de Comando, Controle, Comunicações e Inteligência; C4I, para designar Comando, Controle, Comunicações, Computação e Inteligência. Vide MD33-M-02.
21
Digno de registro é afirmar que em Mandarino (2010) observa-se uma visão
generalizada no trato das definições dos que praticam atividades dessa natureza
quer para o bem, se é que se pode considerar essa possibilidade, quer para o mal,
colocando-os o mesmo nível. “São todos criminosos”, afirma o autor, confirmando,
tal posição, ao igualar o fim das ações realizadas, conforme se observa na
transcrição que se segue: “A diferença é meramente subjetiva: hackers e crackers
invadem sistemas e violam a privacidade digital alheia, o que já é considerado crime
em muitos países” (p.83).
Todavia, a questão cibernética, dia a dia, assume contornos cada vez mais
abrangentes. Todo o fluxo das comunicações de um Estado, toda prestação de bens
e serviços e a vida privada dos seus cidadãos encontra-se essencialmente apoiada
em informações que trafegam de forma digitalizada, utilizando-se de meios
computacionais destinados para esse fim. Assim, identifica-se que as infraestruturas
críticas (IEC) são o principal alvo dessa atividade deletéria, listando-se entre outras,
o sistema financeiro do país, o sistema de distribuição de energia elétrica, o sistema
de controle do tráfego terrestre, marítimo e aéreo, os sistemas de C2 FA e os
sistemas de telecomunicações do Estado brasileiro.
A infra-estrutura em torno do qual esta guerra está sendo travada não mudou: insumos da agricultura e da indústria, energia e alimentos, o sistema de transporte, água e esgoto, sistemas de comunicação e finanças, e não menos importante, o sistema de saúde. Tudo isso é impossível hoje sem o uso dos computadores. O Ciberespaço é um sistema nervoso no nosso mundo moderno, e têm o seu controle. Em seu cenário mais eficaz, um ataque cibernético pode causar danos tanto para os sistemas de computador de um país como o colapso econômico e das capacidades militares. "Um ataque cibernético poderia levar ao colapso de toda uma nação, se as defesas apropriadas não estão no lugar", adverte Meir Sheetrit, presidente do setor de Ciência e Technologia do Knesset, do parlamento de Israel. "Hoje é possível sem aviões e tanques fazer um país de joelhos, e o poder militar no mundo não pode fazer nada sobre isso. (GERLOFF, 2011)
Senna e Albuquerque (2003) também colaboram com Gerloff (2011) no sentido
da importância para os Estados, beligerantes ou não, do gerenciamento das
vulnerabilidades e dos riscos à exploração daninha que apresentam os sistemas
informatizados nos quais se apoiam suas IEC.
22
Os sistemas informáticos podem constituir brevemente o alvo predileto de ataques terroristas, num quadro ainda visionário de guerra virtual, caso não nos recordemos dos desdobramentos da guerra da OTAN contra a Iugoslávia, em que sistemas informáticos de cada uma das partes constituíram um alvo constante de ataques predatórios. As guerras podem ser perdidas ou ganhas doravante em sistemas informáticos, não em campos de batalha. À medida que a tecnologia da informação torna-se cada vez mais importante para a sociedade, o ciberespaço também se transforma num campo de batalha internacional cada vez mais significativo. Como quase não existe uma ética, hackers, muitas vezes alçados ao status de heróis por uma subcultura que prolifera na Internet, atacam, a seu bel-prazer, sistemas de informática em todo o mundo. O computador pode se tornar o calcanhar de Aquiles da sociedade pós-industrial. (SENNA; ALBUQUERQUE, 2003, p. 269)
Esta constatação é sustentada, também, pela definição contida no Livro Verde
de Defesa Cibernética (LVDC), elaborado pelo Gabinete de Segurança Institucional
da Presidência da República (GSI PR) em 2010, que define as infraestruturas como:
Por infraestruturas críticas (IEC) entendem-se as instalações, serviços, bens e sistemas cuja interrupção ou destruição, total ou parcial, provocará sério impacto social, econômico, político, ambiental, internacional ou à segurança do Estado e da sociedade. (Livro Verde de Defesa Cibernética, 2010).
Assim, este pesquisador arrisca-se a afirmar que: “As IEC oferecem serviços
que, em função das ameaças diuturnas que buscam explorar as
vulnerabilidades que os processos acessórios a consecução desses serviços
apresentam e que causam prejuízos aos usuários e à própria instituição,
requerem proteção que embute um somatório de ações relativas a
identificação de ativos e sua valorização segundo a criticidade que possam
apresentar, a gestão dos riscos a esses ativos, a capacidade de resiliência e a
gestão da continuidade dos serviços ou negócios pela IEC considerada. Tudo
isso periodicamente auditado num ciclo causal ininterrupto visando à melhoria
dos processos e à qualidade dos serviços ofertados.”
23
Figura 1 – IEC e a Necessidade de Proteção Fonte: O Autor
E essa preocupação é compartilhada pelo sistema financeiro brasileiro. O
presidente do Banco Central, em palestra na ESG, realizada em 2011, deixou claro
que isso representa um risco muito grande tanto para o indivíduo, o cliente dos
bancos, quanto para as instituições financeiras, representando prejuízos cada vez
maiores ano a ano, em que pesem os investimentos em desenvolvimento de
softwares (SW), educação, capacitação e treinamento de servidores.
O Banco Central tem uma preocupação grande e constante com os ataques cibernéticos. Isso é de extrema prioridade. Temos redundância de sistemas, estamos preparados para certas interrupções dos sistemas de informação e afirmo que temos tido certo sucesso no trabalho, Temos investido muito nas últimas décadas. (TOMBINI, 2011)
17
A síntese que uma análise conclusiva, mesmo que parcial, indica é que as
operações cibernéticas podem ser ofensivas ou defensivas, visam à proteção das
estruturas de C2 próprias e a negação dessa possibilidade de gerenciamento do
sistema congênere ao oponente; podem ser direcionadas às IEC de um Estado, com
objetivos variados como, por exemplo, causar a insatisfação da população com o
seu estamento político, dissuadir as elites de um Estado de qualquer pretensão
contrária a interesses de outras nações ou provocar um impacto psicológico
direcionado a obtenção de determinado comportamento.
17
Antônio Alexandre Tombini. Palestra proferida para o Curso de Altos Estudos de Política e Estratégia da Escola Superior de Guerra, ago. 2011.
24
É perceptível que em tempos de guerra ou de crise, ataques cibernéticos podem ser usados como forma de intimidação, ou ainda, no caso mais ameno, simplesmente com o objetivo de desestabilização de um governo para desgastar a sua imagem perante a população. (RIBEIRO, 2010)
Assim, elas, as ações cibernéticas não escolhem vítimas; podem ter um caráter
letal colateral à ação principal18, afetam todas as Expressões do PN, com
intensidades variadas, em síntese, podem inviabilizar, mesmo que temporariamente,
os projetos soberanos de um Estado.
No Brasil, a responsabilidade para gerenciar as atividades atinentes à Defesa
Cibernética (Def Ciber) é do EB.
Entretanto, as atividades de se contraporem às ameaças cibernéticas transitam
em todos os campos de um Estado, permitindo a este pesquisador afirmar que “elas
não se constituem em atividades excludentes à sociedade, elas, as ações
cibernéticas, a amalgamam por completo, requerendo diuturnamente ações
proativas e oportunas, além de campanhas educativas para toda Nação,
colaborando com a construção das culturas de proteção individual e coletiva,
preservando instituições e o cidadão de seus danos.”
A chamada G Ciber afeta primeiro ao cidadão, agindo no psicossocial e
causando descontinuidade no seu dia a dia, isso desde o tempo de paz. Ela é
imperceptível a olhos não clínicos (somente sentimos psicologicamente os seus
efeitos e isso quando não gera danos físicos e/ou materiais colaterais), assim sua
detecção e a manutenção da continuidade do serviço ofertado pelos sistemas
degradados é uma ação de especialistas, como também são de responsabilidades
deles o rastreamento e a prontidão perene para se buscar identificar a origem
desses atos.
Já em tempo de conflito, declarado ou não, entre Estados ou envolvendo
Estados x Grupos, a prioridade será a proteção dos sistemas vitais ao Estado
(incluindo os de suas FA) concomitantemente com as ações ofensivas, de modo a
preservar a liberdade de ação. Essas ações ofensivas devem restringir o uso de
meios computacionais pelo oponente, e, de forma contrária, retirar-lhe essa
liberdade. “A G Ciber reduz ao mesmo nível os segmentos civis e militares da
sociedade dos Estados. Ademais, ela permite e reduz as assimetrias existentes
18
Embora a ação principal seja a negação de um serviço ofertado por uma IEC, dependendo do seu alcance pode acarretar, de forma indireta, desde ferimentos à perda de vida de inocentes, de acordo com a variação do grau de sua letalidade.
25
na comparação do poder relativo de combate ou detectadas segundo os
diferentes níveis de inovação tecnológica, haja vista que um simples
dispositivo computacional de uso pessoal (i-phone, netbook, palm top, por
exemplos) pode ser usado para que alguém perpetre ações malévolas de
grande alcance e de amplitudes inimagináveis”.
Confirmando Montesquieu quando afirma que “somente o poder freia o poder”
este pesquisador arrisca-se a afirmar que “é necessário certo grau de Poder
Cibernético para garantir o Estado como ente soberano”. Ademais é plausível
caracterizar Poder Cibernético (P Ciber) como: “Capacidade de um Estado de
manter-se incólume aos ataques aos meios computacionais por onde fluam ou
estejam armazenadas quaisquer informações, associada à prontidão em
proceder com impulsão estratégica oportuna e, segundo a vontade política,
realizar retorsão ou retaliação ao agressor, sejam eles Estados, Grupos ou
Indivíduos mal intencionados. Requer permanente prontidão, proatividade e
celeridade de resposta, bem como resiliência para manter a continuidade
própria, convergindo as ações de homens suportados por meios adequados e
perene inovação tecnológica.”
Sobre os tipos de resposta componentes do P Ciber, a retorsão é aplicação de
medidas semelhantes às do atacante enquanto a retaliação consiste na aplicação de
medidas diferentes das aplicadas pelo agressor19, componentes da ação militar
conforme a adaptação feita, por este autor, da Fig 2-3. Métodos e formas
estratégicas de resolução de conflitos, p. 2-7, do C 124-1Manual de Campanha:
estratégia.
De forma diferente da participação militar na solução de conflitos convencionais
valendo-se da Estratégia Indireta ou da Estratégia Direta, este autor arrisca-se a
afirmar que “tratando-se de Conflito Cibernético, a ação militar, no tocante à
Estratégia Indireta e seu caráter persuasório, estará afeta somente à
Diplomacia Militar, celebrada por meio de acordos e encontros bilaterais, de
responsabilidade do MD e com a participação das FA, restando, na Estratégia
Direta, uma ação mais positiva do P Ciber, revestido de caráter dissuasório ou
coercitivo.”
19
Exército Brasileiro. Estado-Maior do Exército. Manual de Campanha. Estratégia. C 124-1. 4 ed. Brasília, DF, 2004.
26
MÉTODO FORMA DE
RESOLUÇÃO MEIOS EXEMPLOS
Estratégia
Indireta Persuasão
Diplomáticos
Realização de congressos, difusão
de boas práticas e celebração de
acordos
Jurídicos A serem desenvolvidos
Políticos Entes supranacionais
Estratégia
Direta
Dissuasão Militares
(Def Ciber)
CD Ciber
Coerção Retorsão ou Retaliação
Quadro 1 – Forma de Resolução do Conflito Cibernético Fonte: Adaptado, pelo Autor, de: EME, C 124-1. Manual de Campanha: estratégia. 4 ed. Brasília, DF, 2004.
Quantificar o P Ciber é algo difícil. Várias podem ser suas componentes com
destaques para o capital intelectual, a capacidade de CT & I, os meios
computacionais no estado da arte, os recursos financeiros dedicados ao setor, a
vontade política e a vontade da Nação. No intento de mantê-lo em alta é necessário
o estímulo à celebração de parcerias e à manutenção de um relacionamento
colaborativo com a iniciativa privada.
27
3. A GUERRA CIBERNÉTICA E AS AÇÕES DE INTELIGÊNCIA
A Infoera ou Era Digital traz consigo uma nova dimensão para o choque de
interesses entre Estados e Não-estados, exigindo proatividade de todos com
responsabilidade legal de proteção, proteção essa que tem nas Atvd Intlg, seja qual
for a fonte, uma importante aliada.
A END tem uma percepção sólida e clara para a Atvd Intlg, com uma
abordagem abrangente e sintética, ressaltando a importância e a exatidão, dos
dados, permeando todos os níveis de planejamento e de decisão20, além do seu
caráter oportuno e confiável.
A inteligência deve ser desenvolvida desde o tempo de paz, pois é ela que possibilita superar as incertezas. É da sua vertente prospectiva que procedem os melhores resultados, permitindo o delineamento dos cursos de ação possíveis e os seus desdobramentos. A identificação das ameaças é o primeiro resultado da atividade da Inteligência Militar. (BRASIL, 2008, p.47)
21
A Atvd Intlg tem sua definição lavrada na Lei Nº 9.883, de 09 Dez 1999, que
prescreve em seu § 2º:
§ 2o Para os efeitos de aplicação desta Lei, entende-se como inteligência a
atividade que objetiva a obtenção, análise e disseminação de conhecimentos dentro e fora do território nacional sobre fatos e situações de imediata ou potencial influência sobre o processo decisório e a ação governamental e sobre a salvaguarda e a segurança da sociedade e do Estado. (BRASIL, 2004)
Esse mesmo diploma legal em seu § 3º, define que “Entende-se como contra-
inteligência a atividade que objetiva neutralizar a inteligência adversa”. Reside nisso
um caráter defensivo e de proteção à infraestrutura, ao próprio sistema, ao capital
intelectual, às instalações e ao talento humano, entre outros, que integram uma
organização, além da própria imagem da instituição.
20
Os seguintes níveis de decisão deverão ser considerados na Estrutura Militar de Defesa (Etta MiD: Político, Estratégico, Operacional e Tático, verticalmente. MD35-D-01- Etta Mil Def (Etta MiD)_1ª Ed 2005. 21
END, 2008.
28
Em adição ao caráter legal supracitado Wendt (2011, p. 15)22 colabora com a
visão de internet orgânica à dinâmica do mundo e ressalta a necessidade de sua
proteção, da proteção ao indivíduo e ao Estado, ações com as quais a Atvd Intlg
pode colaborar.
A internet trouxe melhorias na comunicação e na interação social jamais imagináveis. Com esse advento, também vieram as situações de incidentes, de vulnerabilidades de segurança e exploração de suas falhas. Grande parte dos serviços essenciais estão disponíveis (sic) graças às redes de computadores, interligados e gerenciados remotamente. A vulnerabilidade desses serviços frente à insegurança virtual é uma preocupação, somente combinada com ações proativas e de controle/monitoramento por meio da análise de Inteligência. Insere-se aí um novo conceito de Inteligência Cibernética, com o objetivo de subsidiar decisões governamentais ou não nas ações preventivas de segurança no mundo virtual e de repressão aos delitos ocorridos. (WENDT, 2011)
Vale ressaltar que a Atvd Intlg é imprescindível aos planejamentos estratégicos,
operacional e tático atinentes à lide fim do estamento militar, residindo em si mesma
uma divisão, anteriormente definida, em dois ramos: Intlg e CI. A primeira como
vetor proativo ofensivo e a segunda como vetor proativo defensivo e reativo, também
assessório às medidas finais coercitivas decorrentes de decisões judiciais. Essa
posição é transversal em todas as situações contempladas no espectro dos conflitos.
Para que essa atividade ocorra o trabalho deve ser realizado sobre as F Intlg,
sejam elas de origem humana, sinais, eletrônicas, imagem, abertas, entre outras,
haja vista a velocidade com que as inovações tecnológicas colaboram com essa
atividade.
Ainda sobre essa atividade, desde os primórdios da humanidade ela suportou
decisões políticas, militares e econômicas, constituindo-se em atividade de Estado,
restrita e de responsabilidade da APF, nos dias atuais, ou da Alta Administração
quando os entes são organizações privadas, guardadas as devidas proporções.
Assim, pode ser questionável o surgimento do conceito de Intlg Ciber uma vez
que ela cumpre o papel da Intlg ora como se desenvolve, em contraponto ao
surgimento do conceito de uma nova F Intlg: a Ciber: transversal às demais por ter
origem basicamente em meios computacionais sobre os quais a dinâmica mundial
contemporânea se apoia.
22
Informação disponível em: <http:/www.abin.gov.br/modules/mastop_publish/files/files-4e3ae31e2c-097.pdf>. Acesso em: 10 Ago. 2011.
29
Aliar as ações atinentes a esse novo tipo de conflito com ações de Segurança
Orgânica23 (as empresas e a APF empregam os termos Segurança Operacional
Segurança Corporativa24) é um desafio.
Um pequeno exemplo do aspecto colaborativo da Atvd Intlg, integrando as
várias fontes, valendo-se de meios computacionais, nos é apresentado pela
transcrição abaixo.
Os terroristas tinham aventado a possibilidade de serem localizados, mas acreditavam que os reféns serviriam de escudos contra qualquer tentativa de bombardeá-los. Estavam certos, mas desconheciam a ação real. Durante o rapidíssimo sobrevôo, um pequeno veículo aéreo Não-tripulado (VANT) havia decolado de posição camuflada perto, do leito de estrada. Quase silencioso e com menos de 20 cm de diâmetro o VANT possuía uma câmara com cerca de 60 g capaz de enviar, através de uma cadeia de repetidores de comunicações, para o Posto de Comando (PC) do JSOC. A tecnologia de reconhecimento facial automático já tinha percorrido longo caminho. Os traços de todos os membros das FA norte-americanas estavam armazenados num banco de dados digital juntamente com as a mostras de DNA para o caso de identificação de baixas. Embora o rosto do soldado Clemente estivesse bastante inchado em função dos cruéis espancamentos, houve detalhes suficientes para confirmar as semelhanças [...] Com a identificação positiva, a operação pôde ter prosseguimento. „Executar segunda fase‟, disse o General-de-Brigada Swift „e posicionem as câmeras‟ [...] Distraídos pelos AC-130, os terroristas não perceberam o vôo rasante dos helicópteros Chinook CH-47 equipados com o laser tático avançado desenvolvido pela Boeing. Atirando fótons, a arma laser era bastante precisa para destruir alvos não-consistentes e, intencionalmente, não ferir humanos das proximidades, mesmo a grandes distâncias. No intervalo de 30 segundos, o feixe de laser dançou seletivamente sobre o comboio, furando pneus e derretendo antenas. Naquele ínfimo intervalo de tempo, o comboio foi levado praticamente a parar, apenas os BMP continuaram se movimentando. (ALEXANDER, 2007, p.16-17)
23
SEGURANÇA ORGÂNICA – Segmento da contra-inteligência que visa a obter um grau de proteção ideal, por meio da adoção eficaz e consciente de um conjunto de medidas destinadas a prevenir e obstruir as ações de qualquer natureza que ameacem a salvaguarda de dados, conhecimentos e seus suportes. (MD35-G-01 _Glossário das Forças Armadas_4 ed. Brasília, DF, 2007). As empresas e organizações usam o termo segurança corporativa. 24
Segurança Corporativa é o conjunto de práticas e medidas voltadas para a salvaguarda de conhecimentos e de dados de uma organização, protegendo-os contra uso inadequado, adulteração ou destruição. Seus principais objetivos são prevenir, obstruir, detectar e neutralizar a inteligência adversa. A Controladoria-Geral da União (CGU), ciente da responsabilidade que possui por coletar, deter e produzir informações sensíveis iniciou um programa de segurança corporativa, que terá participação de todos os servidores, prestadores de serviço e estagiários. O primeiro desafio é conscientizar toda a comunidade da Controladoria sobre o valor das informações que cada um coleta, detém ou produz, os riscos envolvidos e as práticas mais adequadas ao desenvolvimento das atividades profissionais com segurança. Disponível em: http://www.cgu.gov.br/AreaPrevencao-Corrupcao/AreasAtuacao/SegurancaCorporativa.asp.
30
Verifica-se uma ação antiterror. Uma ação de planejamento estratégico, que
perpassou o nível operacional e foi executada pelo elemento tático, integrando
várias F Intlg e que se valeu de meios computacionais sofisticados e de tecnologia
de ponta – IEC C2, banco de dados (BD) com amostras de DNA, tecnologia para
reconhecimento facial e as armas de Laser Tático. Foi uma ação responsável,
planejada de forma centralizada, tendo o Estado, por meio de sua Expressão Militar
de PN, como o executante.
O êxito da ação empreendida deveu-se, principalmente à Atvd Intlg, acessória
para a operação tática militar, desde a fase que antecedeu ao planejamento.
A alegoria mostra a importância que devemos dedicar a essa atividade. Assim,
é imperiosa a necessidade de disciplinar, principalmente, a proteção que a Atvd Intlg
pode oferecer ao fluxo das comunicações e das informações nas IEC; pela linha
tênue que separa as relações entre o público e o privado; pelas responsabilidades
do Estado no trato desse assunto; e, principalmente, pela necessidade de fornecer
subsídios para o aprofundamento do problema doutrinário a ser desenvolvido pelas
FA para a implantação do setor cibernético, atribuído ao EB por meio de Diploma do
MD.
De maneira geral, a atividade de Inteligência (Atvd Intlg) visa à Produção de Conhecimento (Ramo da Intlg) e à Proteção das Fontes (Ramo da Contrainteligência – CI). Dentro do escopo da CI, existem medidas preventivas e medidas ativas. No rol das medidas preventivas (Segurança Orgânica) relacionam-se as de segurança das instalações, dos documentos, da comunicação, dos meios de informática ou de tecnologia da informação (TI), dentre outros. Quanto às medidas ativas, encontramos a contraespionagem, contrassabotagem, a desinformação, a contrapropaganda, etc., ou seja, já existe doutrina instrumentalizada que contempla a área cibernética. É oportuno considerar que um dos princípios mais importantes para a Atvd Intlg é a capacidade de integração. A fragmentação de conhecimentos tem sido uma das principais responsáveis pelo insucesso no trabalho de „percepção das ameaças‟. O atentado de 11 de setembro de 2001 é apontado como um exemplo recente da falta de integração na área de Intlg. Portanto, a criação de mais uma Intlg provocará a descentralização e afastará esta importante fonte das demais fontes (humana, de Sinais, de Imagens, etc.), podendo comprometer a precisão além de se perder a oportunidade na difusão dos conhecimentos de Intlg.
25
25
Fonte preservada a pedido do entrevistado.
31
Este pesquisador concorda parcialmente com o depoimento supra transcrito.
Entrementes, quando não temos diploma legal que discipline a questão cibernética,
qualquer doutrina firmada na exploração do espaço cibernético, por meio da Atvd
Intlg pode não se sustentar juridicamente.
Também é coerente fazer coro à necessidade de integração das fontes ausente
no fatídico 11 de Setembro e que resultou nos atentados terroristas ao World Trade
Center e Pentágono, bem como nas ações terroristas às linhas de metrô de Londres
e da Espanha.
Nesse entorno, é oportuno advogar a defesa da criação de mais uma Fonte de
Inteligência (F Intlg), ao invés de defender o gênesis de mais uma Intlg. Por
exemplo, a Intlg de Sinais está essencialmente apoiada em linhas lógicas, softwares
(SW) e meios computacionais diversos, permitindo, enfim, inferir a simbiose
existente entre a Fonte de Sinais e a Cibernética.
Segue-se uma segunda abordagem apresentada por outro servidor que está no
sistema a mais de 10 anos, cabendo nisto uma explicação: foram ouvidos em
entrevistas pessoas ligados ao Sistema Inteligência (Sis Intlg) que contam mais de
17 anos de serviços ininterruptos e pessoas que estão no sistema a pouco mais de
dois meses. Na abordagem que se segue, ele faz uma ligação bem aderente ao que
acima foi relatado, senão vejamos:
[...] atualmente, a cibernética está inserida nas “outras fontes”. O CIE está estudando a possibilidade de adotar a fonte cibernética como a 4ª fonte. A inteligência militar já possui dois ramos: o ramo inteligência e o ramo contrainteligência. Em diversas situações, a cibernética se confunde com sinais, não se caracterizando plenamente como sendo uma ou outra fonte. Portanto, a contrainteligência virtual ou cibernética já é naturalmente um ramo da inteligência cibernética; valorizar a fonte cibernética como mais uma fonte ainda demanda maiores estudos, haja vista a sua fusão parcial, em determinadas situações com a fonte de inteligência de sinais. (ver nota de rodapé 25)
Abordando a questão da Intlg aplicada ao desenho da consciência situacional
aplicada a um Teatro de Operações ou algo similar, o EB trabalha sua organização e
se prepara para o desempenho da atividade fim – Defesa da Pátria – organizado em
sistemas operacionais, entendendo ser a interação entre todos eles a receita para o
sucesso das operações. Assim ele dedica, para o Sis Intlg a seguinte definição:
32
b. Inteligência – É fundamental para o planejamento eficaz e para a segurança das tropas. As operações de inteligência são esforços organizados para coleta, análise e difusão de informações precisas e oportunas sobre a área de operações e o inimigo. Para fornecer uma visão. Para fornecer uma visão precisa do campo de batalha, exige direção centralizada, ação simultânea em todos os níveis de comando e difusão oportuna das informações pela cadeia de comando. O comandante, em todos os escalões, dirige as atividades de inteligência. Esse sistema acha-se intimamente ligado ao comando e controle. (BRASIL, 1997)
26
Percebe-se o quanto é importante ressaltar a complementaridade que as
operações ligadas ao espaço cibernético oferecem aos planejadores e aos
decisores, auxiliando na condução das operações convencionais de encargo da
Diplomacia Militar dos Estados ou ações estanques de conflito cibernético
empreendidas em tempo de paz. Essa é a percepção que as transcrições abaixo
sustentam, agregando logicidade a esse posicionamento.
2. A.15 Vamos transformar as nossas capacidades de Defesa Cibernética do Reino Unido, estabelecendo um Grupo de Operações de Defesa Cibernética como parte da abordagem intergovernamental de transformação definidos na secção 4.C. O conflito futuro verá operações cibernéticas conduzidas em paralelo com as ações convencionais nos ambientes terrestres, marítimos e aéreos. O Grupo de Operações de Defesa Cibernética irá fornecer um quadro de peritos para apoiar nossas próprias operações e de aliados, para proteger nossas redes vitais e para orientar o desenvolvimento de novas capacidades cibernéticas. Vai reunir competências existentes do outro lado da Defesa, incluindo as Forças Armadas e a nossa comunidade científica e tecnológica. Vai garantir que planejemos, treinemos exercícios, e operemos de uma forma que integre nossas atividades em ambos os espaços físico e cibernético, além de ser responsável por desenvolver, testar e validar as capacidades cibernéticas como um complemento às tradicionais capacidades militares. O Grupo de Operações Cibernéticas vai funcionar em estreita colaboração com outros departamentos do governo e da indústria e ajudar a forjar fortes alianças internacionais para aumentar a resiliência e a capacidade operacional conjunta. (Tradução do autor) (CABINET OFFICE. UK Strategic Defence and Security Review, 2009)
27
26
BRASIL. Exército Brasileiro. Manual de Operações. C100-5. ECGCF. 3 ed. Brasília, DF, 1997.
27.2.A.15 We will transform our cyber capabilities within Defence by establishing a UK Defence Cyber
Operations Group as part of the transformative cross-government approach set out in section 4.C. Future conflict will see cyber operations conducted in parallel with more conventional actions in the maritime, land and air environments. The Cyber Operations Group will provide a cadre of experts to support our own and allied cyber operations to secure our vital networks and to guide the development of new cyber capabilities. It will bring together existing expertise from across Defence, including the Armed Forces and our science and technology community. It will ensure we plan, train, exercise and operate in a way which integrates our activities in both cyber and physical space; and be responsible for developing, testing and validating cyber capabilities as a complement to traditional military capabilities. The Cyber Operations Group will work closely with other government departments and
33
A visão da importância que a atividade possui não é exclusividade do Reino
Unido. Mundo a fora a realidade de que a Atvd Intlg é uma atividade de Estado é
verdadeira, assim como existe a certeza de que ela é trabalhada nos mais altos
escalões de governo. Os exemplos de Israel e do Reino Unido colaboram com essas
assertivas e nas transcrições que se seguem percebemos um link muito próximo,
nesses dois países, entre a Atvd Intlg e a exploração do espaço cibernético, reserva
natural de dados a serem trabalhados para a produção de informação oportuna e
qualificada.
A Inteligência militar israelense tem uma unidade misteriosa chamada „Unidade 8200‟. É amplamente suspeita de ser a responsável pelo ataque bem sucedido contra os sistemas de computadores do programa nuclear iraniano. Há especulações de retrospectiva a respeito de se os israelenses foram responsáveis pelo colapso do sistema de computador inteiro pertencentes à Defesa Aérea da Síria, quando em 6 de setembro de 2007, os caças israelenses foram, presumivelmente, os responsáveis pela explosão de um projeto nuclear no deserto do norte da Síria. „O Estado de Israel se tornou um líder mundial em guerra cibernética‟, declarou o general Amos Yadlin. Além de Israel, os Estados Unidos, Reino Unido, Alemanha, França e China são nomeados como os países que estão utilizando sua tecnologia de defesa cibernética em grande escala. (GERLLOF, 2011)
28
Este ambiente torna importante determinadas capacidades militares, incluindo a aquisição de inteligência, aquisição de alvos, vigilância e reconhecimento (ISTAR). Exigirá comunicações sofisticadas e resistentes e mobilidade protegida por terra, mar e ar. Isso também significa que o nosso povo deve continuar a ser a nossa vantagem competitiva. Vamos precisar de pessoal altamente capaz e motivado, com competências especializadas, incluindo a compreensão cultural, comunicação estratégica para influenciar e persuadir, e a agilidade, formação e educação para operar com eficiência em um ambiente cada vez mais complexo. (Tradução do autor) (CABINET OFFICE. UK Strategic Defence and Security Review, 2009)
29
É interessante verificar que a atividade cibernética, quer defensiva quer
ofensiva, é trabalhada de forma centralizada nesses dois exemplos citados: temos
industry and help forge strong international alliances to increase resilience and joint operational capabilities. (p.28) 28
GERLOFF, Johannes, Christian Media Association KEP na Alemanha. Tradução Miguel Nicolaevsky. Disponível em: http://www.cafetorah.com/Guerra-Cibernetica. Acesso em 09 Ago 2011. 29
This environment will place a premium on particular military capabilities, including intelligence, surveillance, target acquisition and reconnaissance (ISTAR). It will demand sophisticated and resilient communications and protected mobility by land, sea and air. It will also mean that our people must continue to be our winning edge. We will need highly capable and motivated personnel with specialist skills, including cultural understanding; strategic communications to influence and persuade; and the agility, training and education to operate effectively in an increasingly complex environment. (p.17)
34
no Reino Unido o Grupo de Operações de Defesa Cibernética e, no Estado de
Israel, a Unidade de Inteligência Militar 8200.
Como resultado das decisões tomadas na Defesa Estratégica e Revisão de Segurança, as Agências de Inteligência serão capazes de continuar a investir na luta antiterrorista, combater sua proliferação, bem como atender outros importantes objetivos de segurança nacional. Elas também fornecem uma plataforma técnica suficiente para o programa de segurança cibernética. Para que possamos nos concentrar nessas prioridades em um momento de respostas limitadas, bem como enfrentar o desafio de manter o ritmo da evolução tecnológica e os requisitos específicos de segurança olímpica, vamos aumentar o ritmo do programa de economia alcançado através de trabalhos conjuntos dentro da comunidade de inteligência do Reino Unido e reduzir o esforço em algumas áreas consideradas de menor prioridade pelo Conselho de Segurança Nacional e pelo Comitê Conjunto de Inteligência. As nossas capacidades de inteligência apoiarão, com maior ênfase, a identificação de ameaças e as oportunidades, no início, moldando a evolução e impedindo as ameaças emergentes. (Tradução do autor) ((CABINET OFFICE. UK Strategic Defence and Security Review, 2009)
30
Em Wilson (2003)31, encontramos a relação Motivação, Alvo, Método,
Conhecimento e as Equipes necessárias à consecução de ataques, desde os mais
simples aos mais complexos. Esse delineamento é muito importante para as Atvd
Intlg, em qualquer nível. Essa relação encontra-se listada em duas tabelas,
traduzidas por este pesquisador, cujo texto original encontra-se nos Anexos A e B,
respectivamente.
Atividade Motivação Alvo Método
Terrorismo
cibernético
Mudanças Políticas
e Sociais Vítimas Inocentes
Violência ou Destruição de
Bases de Computador
Hacker
ativismo
Mudanças Políticas
e sociais
Decisores ou
Vítimas Inocentes
Protesto em Páginas
Eletrônicas (Desfiguração) e
Ataques de Negação de
Serviços (DDoS)
30
As a result of the decisions taken in the Strategic Defence and Security Review, the intelligence agencies will be able to continue to invest in counter-terrorism capabilities as well as other key national security objectives like countering proliferation. It also provides a sufficient technical platform for the cyber security programme. To allow us to focus on these highest priorities at a time of constrained responses, as well as meeting the challenge of keeping pace with technological developments, and the specific requirements of Olympic security, we will increase the pace of the programme of savings achieved through joint working within the UK intelligence community and reduce effort in some areas deemed lower priority by the National Security Council and the Joint Intelligence Committee.Our intelligence capabilities will support the increased emphasis on identifying threats and opportunities early, shaping developments and preventing threats from emerging. 31
WILSON, Clay. Cyber Security_ebook. Chapter 18 - Cyber Crime.
35
Engenharia
Social
Ego
Pessoal
Inimizade
Indivíduo
Companhias
Governos
Malware, Vírus, Worms,
Vírus de Hacking
Crimes
cibernéticos
Vantagens
Econômicas
Indivíduo
Companhias
Empresas
Roubo de Identidades
Chantagem
Espionagem
Cibernética
Informações
Políticas e
Econômicas
Indivíduo
Companhias,
Governos
Variadas Técnicas para
Obtenção de Informação
Guerra de
Informação
Vantagens Políticas
e Militares
Infraestruturas
Informações
Tecnologias
Sistemas
Dados (públicos e
privados)
Várias técnicas de ataque ou
de Operações de Influência
Quadro 2 – Ameaças Cibernéticas – Relações Fonte: Adaptado, pelo Autor de: WILSON, Clay. Cyber Security_ebook.Chapter 18- Cyber Crime.
Simples Avançado Complexo
Escopo do
Alvo
Sistema simples ou
rede
Sistemas Múltiplos ou
redes Múltiplas Redes
Análise do
Alvo Nenhum Elementar Detalhada
Controles
Efetivos Desfocado Focado Escalável
Recursos
Necessários
Um ou mais
computadores –
pessoas iletradas
Um ou mais
programadores
especialistas e
plataformas de testes
simples
Vários programadores
especialistas, analistas,
planejadores e plataformas
de testes sofisticados
Estruturas
Requeridas Nenhum Nenhum Equipes sincronizadas
Uso
Potencial Perseguição Ataques Táticos Ataques estratégicos
Quadro 3 – Níveis de Ameaças Cibernéticas Fonte: Adaptado, pelo Autor de: WILSON, Clay. Cyber Security_ebook.Chapter 18- Cyber Crime.
36
Conclui-se parcialmente que o P Ciber é necessário para a sobrevida do
Estado no mundo contemporâneo em face das ameaças que diuturnamente insistem
em causar descontinuidade ao seu dia, residindo uma relação muito próxima com a
Atvd Intlg. Esta última requer, para a consecução dos seus objetivos, alguns
componentes daquele Poder, a saber: capital intelectual (Cpt Intlc), meios
computacionais (Me Cptc) no estado da arte (relacionado à CT& I) e recursos
financeiros (Rec Fin).
Deste modo, a Atvd Intlg traduz-se em forte vertente do P Ciber, pois permite
ao mesmo tempo proatividade e a assessoria à reatividade que o Estado pode
promover por meio da mobilização total ou parcial das Expressões do PN.
37
4. ALVOS, AGENTES DE AMEAÇA E AMEAÇAS
Nos capítulos anteriores perseguimos algumas definições com o intuito de situar
o leitor no contexto e na abrangência que o tema requer, homogeneizando o
pensamento, sendo possível estabelecer uma relação do P Ciber: P Ciber = ∑ (Cpt
Intlct + Me Cptc + Rec Fin + CT & I), não se definido valores ou grandezas. Contudo
essas variáveis se inter-relacionam, refletindo no grau de prontidão da Nação para
fazer face às ameaças cibernéticas.
A definição dos alvos é de suma importância para que se possa estabelecer a
política, as estratégias e as ações para a proteção da degradação decorrente dos
ataques cibernéticos.
Nesse entorno, em Alexander, p. 318, encontram-se listados, segundo a ótica
daquele autor, quais seriam os principais alvos da ação cibernética contrária aos
interesses estatais. Basicamente focados na infraestrutura, abarcam as áreas de
telecomunicações (Estações de Rádio & TV, Telefones, Computadores e Enlaces de
Satélites), Transportes (Combustível, Pneus, Rodovias, Pontes, Pista de Pouso,
Controle de Trafego Aéreo, Transporte Marítimo) Sistemas de Energia (Estações de
Energia, Geradores, Depósitos de Combustíveis) Sistema Financeiro, Instalações
Industriais e Opinião Pública, e na área de Defesa toda a IEC C2. Perceptível é que
nessa relação “todos os alvos são estratégicos”.
O Quadro 4 esmiúça a relação de ativos de que as IEC, públicas ou privadas,
dispõem para a gestão de seus negócios e para a oferta de seus produtos. Ele
resume o resultado da compilação das informações colhidas junto ao Departamento
de Segurança das Informações e das Comunicações do Gabinete de Segurança da
Institucional da Presidência da República (DSIC GSI/PR) que se constitui,
legalmente, na mais elevada instância da Administração Pública Federal (APF)
responsável pela gestão dos trabalhos afetos a área cibernética.
Ativos da informação Exemplos
Informação
- Documentos - Arquivos físicos - Arquivos digitais - Fotos - Backups
38
Ativos da informação Exemplos
Hardwares (HW)
- Roteadores - Switch - Servidores; e - Estações de trabalho.
Softwares (SW)
- Editores de texto; - Editores de Imagens; - Sistemas operacionais; - Antivírus e - Correios eletrônicos
Talentos humanos
- Gestores; - Diretores; - Técnicos; - Colaboradores; - Contratados - Prestadores de serviço (terceirizados) - Estagiários
Instalações Físicas
- Datacenter; - Escritório; - Salas cofre; - Auditórios; - Salas; - Almoxarifados; e
Organização
- Departamento; - Salas; - Filiais; - Divisão; - Superintendência; e - Setores
Quadro 4 – Ativos da Informação Fonte: Compilado pelo Autor: DSIC GSI/PR
Ainda no entorno do problema da análise das ameaças, o DSIC GSI/PR lista as
principais ameaças e seus agentes, apontando os ativos da informação como os
principais alvos desses tipos de ação, conforme os Quadros 5 e 6.
PRINCIPAIS AMEAÇAS
FOGO INUNDAÇÃO
HACKING FENÔMENO CLIMÁTICO
AGUA FENÔMENO SISMICO
FURTO TERRORISMO
ENGENHARIA SOCIAL
Quadro 5 – Principais Ameaças Fonte: Compilado pelo Autor: DSIC GSI/PR
39
PRINCIPAIS AGENTES TIPO DE AÇÃO
Hacker, cracker - Hacking - Engenharia Social - Invasão de sistemas
Terrorista - Guerra de Informação - Penetração de sistemas - Terrorismo com bombas lógicas
Espião
- Exploração econômica - Engenharia social - Penetração de sistemas - Invasão de privacidade pessoal - Acesso não autorizado a sistemas
Criminoso comum
- Crime digital - Ato fraudulento - Suborno por informação - Spoofing (fazer passar-se por outro) - Invasão de Sistemas - Sabotagem de sistemas
Quadro 6 – Principais Agentes e Tipo de Ação Fonte: Compilado pelo Autor: DSIC GSI/PR
Excluindo-se as ameaças de inundação, de fenômenos climáticos e sísmicos,
sobre os quais o homem não tem controle, todas as outras ameaças têm,
exclusivamente, de forma intencional ou não, como agente o homem. E nessa linha
de abordagem um termo muito usual e que assusta pela sua abrangência e pela
forma de cooptação é a “Engenharia Social”.
A Engenharia Social é uma enorme ameaça a Segurança da Informação Organizacional, pois suas técnicas podem levar servidores inocentes e despreparados a fornecerem informações estratégicas sensíveis a terceiros mal intencionados. [...] A Engenharia Social é definida como “um tipo de intrusão que se apóia fortemente na interação humana e frequentemente envolve enganar outra pessoa para quebrar os procedimentos de segurança normais. De acordo com JONSHON (2005), os ataques de engenharia social são muito freqüentes porque funcionam bem. É mais difícil tentar quebrar um algorítimo de segurança inventado por um doutor do que conseguir que um funcionário de uma empresa diga qual é a sua forma de acesso ao sistema. (ROCHA, 2008)
Ainda tratando de ameaças, uma das maiores delas são os vírus. Em 2011
completam-se 40 anos que os primeiros vírus - programa malicioso que tem a
capacidade de se replicar - foram aplicados aos computadores e aos sistemas
operacionais.
40
Quanto à questão do perigo dos vírus, sempre atual e aterradora, verifica-se
uma banalização e barateamento dos custos do conhecimento e das ferramentas
necessárias a sua produção e disseminação, conforme as transcrições abaixo
colaboram, de forma indelével, conduzindo-nos à reflexão:
Um fator inquietante é que o nível de habilidade necessário para realizar a Guerra de Informação está diminuindo. Inicialmente, somente poucos cientistas, altamente instruídos, possuíam requisitos necessários para criar vírus e penetrar sub-reptciamente em sistemas de informação. Um jovem gênio americano precoce, em coordenação com vários especialistas estrangeiros, conduziu caçadores de espiões numa perseguição de dois anos, através de um labirinto eletrônico. Sua captura, pelo cientista em astronomia computadorizada Cliff Stoll, do Laboratório Nacional Lawrence Berkeley, foi um constrangimento para muitos. O americano envolvido, que havia escrito os programas principais – inclusive um, que travou milhares de computadores – descobriu-se ser Robert T. Morris, um estudante graduado da Universidade Cornell, e sua trilha levou aos maiores decifradores de códigos do país. Robert Morris era filho do cientista-chefe do super-secreto centro de Segurança Computacional da Agência de Segurança Nacional. (p. ALEXANDER, 2003)
A idéia de falência digital é sábia e prudente. Os métodos de ataque a computadores são muito variados do que a maioria das pessoas imagina. Qualquer um que usa um computador está ciente do perigo de vírus que podem apagar seus programas. Eles sabem que não devem baixar códigos executáveis de fontes desconhecidas. Mas isso é apenas uma pequena parte do problema. Como exemplo, um colega atual, Eric Davis, que foi professor universitário civil em uma Base Aérea dos Estados Unidos na Coréia, contou que cerca de 30% dos disquetes adquiridos no armazém da Base continham vírus pré-instalados. Isto é surpreendente, pois os discos são fornecidos pelo fabricante em caixas fechadas à prova de violação e, presume-se, livres de vírus. Ele também disse que alguns aviadores tiveram problemas baixando joguinhos da Internet para suas estações-de-trabalho. Como se vê, o problema do vírus é endêmico (ibid. op. cit.)
O fato relatado por “Davis” faz-nos pensar em verdadeiro “presente de grego”.
Sobre o caso: “quem lucraria com uma infestação de vulto naquela base
estadunidense situada na Coréia?” Foi uma ação de um Estado? Foi uma ação de
um grupo, mascarando a ação de um Estado? Foi uma ação deliberada de algum
agente interno insatisfeito com qualquer aspecto, ato ou fato intrínseco à Base?
Como podemos verificar, muitas são as dúvidas acerca desse incidente.
O Anexo C traz a relação dos principais vírus detectados ao longo dessas quatro
décadas32. Percebe-se que os mesmos evoluíram em sofisticação e no efeito da sua
32
As informações são resultado da compilação de informações contidas nos site da Fortinet e da Symantec (empresa de segurança), Virusnet e de reportagem do Creeper ao Stuxnet, disponível em: HTTP://tecnologia.uol.com.br/album/2011_40anosvirus_historia.album.jhtm.
41
ação, podendo permanecer latentes por anos (bomba lógica) e passam hoje pela
sofisticação de explorar com muito mais propriedade as IEC de um Estado, como
ocorreu com as instalações nucleares do Irã, alvo do vírus denominado STUXNET.
Sobre o assunto, em entrevista ao Jornal o Globo, o Senhor Gholamreza Jalil,
Diretor de Defesa Civil do Irã, confirmou essas informações e afirmou que “o país foi
alvo de um “míssil cibernético teleguiado” (STAR)”, nome pelo qual os especialistas
batizam um vírus altamente sofisticado.
Quanto a esse aspecto, é lícito transcrever a entrevista concedida à famoso
periódico inglês, por alta autoridade do Estado de Israel. Certo ou errado, não cabe
aqui julgar o comportamento daquele Estado, mas sim chamar a atenção sobre uma
atitude que em muito se assemelha aos planejamentos de operações de combate
convencionais. Primeiramente o alvo seria a expressão militar de um País e, em
segundo lugar, a infraestrutura dedicada ao cidadão, podendo-se inferir dessa
assertiva tratar-se das infraestruturas de energia, transporte, abastecimento de
água, saúde pública ou as dedicadas ao funcionamento do sistema financeiro.
Um detalhe importante sobre a ação é que a mesma está centrada em dados de
Intlg levantados por diversas fontes, incluindo-se a fonte cibernética.
O Britânico The Sunday Times relatou recentemente que Israel tem configurado um comando militar cibernético especificamente para atacar o Irã. A notícia vinda de oficiais superiores que dizem incerta a probabilidade de que um ataque convencional poderia desativar as ambições nucleares iranianas. "Israel deve se transformar em uma superpotência cibernética global", disse o premiê israelense, Benjamin Netanyahu. A nova unidade vai se reportar diretamente a ele. De acordo com a Foxnews a unidade já foi ativada para atacar o Irã: "O centro, que foi criado sob os auspícios da Unidade de Inteligência Militar 8200 já realizou uma série de missões de espionagem, incluindo as invasões na versão iraniana do Facebook e de outros sites de redes sociais. "Além disso, de acordo com o artigo, Israel tem dois objetivos para o novo comando cibernético: A primeira é reduzir a capacidade militar do Irã, e em segundo lugar para atacar infra-estrutura civil iraniano. Embora não se tenha certeza, esta poderia ser a mesma unidade que Israel criou em maio para a defesa cibernética, o Grupo de Trabalho Nacional Cibernético, um membro da equipe comandada por um general da reserva convocado para liderar a defesa do espaço cibernético israelense. Ou, também, poderia ser uma nova equipe criada sob o comando da chamada UNIDADE 8200 de Israel que está focada exclusivamente em operações ofensivas. (Tradução do autor)
33
33
Britain‟s The Sunday Times has recently reported that Israel has setup a military cyber command
specifically to attack Iran. The move comes as senior officers become uncertain of the probability that a kinetic conventional attack could disable Iran‟s nuclear ambitions. “Israel must turn into a global cyber superpower,” said Israeli Prime Minister Benjamin Netanyahu. The new unit will report directly to him. According to Foxnews the unit has already been active in attacking Iran: "The center, which has
42
Esse posicionamento tem muito de aderente à proposta do Comando de Defesa
Cibernético dos Estados Unidos (USCYBERCOM) que coordena os trabalhos dos
Comandos do Exército, da Marinha, dos Fuzileiros Navais, da Força Aérea e da
Guarda Costeira dos EUA, no trato da questão cibernética. Ressalva deve ser feita
ao fato de aquele Comando Militar tem suas atividades limitadas ao ambiente de
defesa. No cenário interno, atualmente, essa atividade é adstrita a NSA34.
Essa organização tem a missão de coordenar, sincronizar, integrar, conduzir
operações e proteger as redes de informações do Ministério da Defesa
estadunidense, quando ordenado; estar preparado para conduzir operações em todo
o espectro do ciberespaço; e, por fim, assegurar aos aliados a liberdade de
utilização do ciberespaço e negar seu uso aos adversários.
O USCYBERCOM lista quatro campos ou origens de ameaça dos ataques
cibernéticos, conforme lâmina abaixo, oriunda daquele Comando Militar.
Figura 2: Ciber ameaças. Fonte USCYBERCOM
been set up under the auspices of military intelligence unit 8200 has already conducted a series of 'soft' espionage missions, including hacking into Iran’s version of Facebook and other social networking sites." Also, according to the article, Israel has two goals for the new cyber command: The first is to take out Iran‟s military establishment, and secondly to attack Iran‟s civil infrastructure. Though not known for certain, this could be the same unit that Israel created in May for cyber defense, the National Cybernetic Taskforce, an eighty member team led by a retired General to defend Israeli cyber space. Or it could also be a new team founded under Israel‟s famous UNIT 8200 that is focused solely on offensive operations. 34
The NSA/CSS core missions are to protect U.S. national security systems and to produce foreign signals intelligence information. Disponível em: http://www.nsa.gov/. Acesso em: 14 mar. 2011.
43
Quanto a essa questão, o Ministério da Defesa do Reino Unido (MoD) trata as
questões cibernéticas em sua Estratégia de Defesa e Segurança, reservando a esse
assunto um destaque especial ao relatá-lo como uma das ameaças a que as Forças
que o integram devem se antepor, valendo-se de meios do aparato governamental e
outros disponíveis no Reino Unido.
Proteger o Reino Unido e os nossos interesses em casa, na nossa fronteira e internacional, para lidar com ameaças físicas e eletrônicas, a partir de fontes estatais e não estatais. Para entregar isto, exigimos: • um elemento mínimo e eficaz mínima nuclear; • fronteiras seguras; • segurança e serviços de inteligência e capacidade policiais de contra-terrorismo [...] quebrar a linha de comando das ameaças terroristas ao Reino Unido; • capacidades militares para ajudar a proteger o Reino Unido de grande ataque terrorista; • A capacidade independente para defender os territórios ultramarinos militarmente; • investimento em novas capacidades e flexíveis, como a cibernética para atender os novos riscos e ameaças. (Tradução do autor) (CABINET OFFICE. UK Strategic Defence and
Security Review, 2009)35
Também é oportuno frisar que aquele governo dedica especial atenção à
necessidade de trazer o segmento civil da sociedade inglesa para as discussões,
verificando ser a mesma o destino final das medidas de proteção cibernéticas
implementadas com base na perseguição tecnológica constante.
Certo é também, a dedicação de recursos financeiros perenes para que o setor
mantenha capital intelectual e meios dedicados à Atvd Def Ciber no estado-da-arte.
A promessa de aporte de 650 x 106£ favorece a consecução das atividades
relacionadas, principalmente garante a certeza de investimentos em CT & I.
Percebe-se nas ações listadas pelo governo britânico que: essa atividade é de
responsabilidade do nível político; as ações devem ser centralizadas, a participação
da área científica tecnológica é fundamental; as atividades de ensino devem estar
focadas nas novas competências que diuturnamente surgem e que são
importantíssimas para suportar todas as ações, tanto na área governamental como
no setor privado; existe a necessidade de comprometimento de toda a sociedade em 35
5. Protect the UK and our interests at home, at our border and internationally, to address physical and electronic threats from state and non-state sources. To deliver this we require: a minimum effective nuclear deterrent; secure borders; security and intelligence services and police counter-terrorism capability to disrupt life-threatening terrorist threats to the UK; military capabilities to help protect the UK from major terrorist attack; an independent ability to defend the Overseas Territories militarily; investment in new and flexible capabilities such as cyber to meet emerging risks and threats. (UK MoD Securing Britain in an Age of Uncertainty: The Strategic Defence and Security Review. Presented to Parliament by the Prime Minister by Command of Her Majesty October 2010)
44
face da abrangência e do alcance das ações deletérias nesse setor; as parcerias
internacionais são fundamentais para o sucesso da atividade de defesa cibernética.
4.c.1 Os riscos provenientes do espaço cibernético (incluindo a Internet, redes mais amplas de telecomunicações e sistemas de computador) são um dos quatro mais importantes para a segurança nacional (previstos na Estratégia de Segurança Nacional). Estes riscos incluem ataques hostis ao Reino Unido de outros Estados, as deficiências em infraestrutura cibernética do Reino Unido, e as ações de terroristas e criminosos cibernéticos [...]. Mas o espaço cibernético também cria oportunidades para o Governo do Reino Unido e empresas britânicas, que irão obter benefícios da proteção que as medidas eficazes de segurança cibernéticas trazem para a economia do Reino Unido. Estas ameaças e oportunidades são susceptíveis de aumento significativo nos próximos cinco a 10 anos, como a nossa dependência do aprofunda espaço cibernético. [...] 4.C.3 O Governo vai introduzir um transformador Programa Nacional de Segurança Cibernética para fechar as lacunas entre as exigências de uma economia moderna digital e os riscos associados com rápido crescimento do espaço cibernético. O Programa Nacional de Segurança Cibernética será apoiado por £ 650 milhões para os próximos quatro anos, em um programa nacional para apoiaras estratégias e com o apoio de outros departamentos. O sucesso deste programa de transformação também depende do papel a ser desempenhado pelo setor privado, o nosso relacionamento com eles deve refletir uma verdadeira parceria onde a política é coprojetada de modo que uma resposta nacional coerente ocorra. [...] (tradução do autor) (CABINET OFFICE. UK Strategic Defence and Security Review, 2009)
36
Das linhas traçadas neste capítulo, algumas verdades podem ser defendidas:
a. a adoção da centralização das ações cibernéticas;
b. a necessidade de aporte de recursos financeiros de forma perene; e
c. a necessidade de meios, talentos humanos e investimentos em C & T,
revertendo as melhorias em inovação, mantendo os Me Cptc no estado da arte.
36
4.C.1 The risks emanating from cyber space (including the internet, wider telecommunications networks and computer systems) are one of the four Tier One risks to national security (set out in the National Security Strategy). These risks include hostile attacks upon the UK from other states, potential shortcomings in the UK‟s cyber infrastructure, and the actions of cyber terrorists and criminals (see box below). But cyber space also creates opportunities for the UK Government and British businesses, which will derive benefits from the protection that effective cyber security measures bring to the UK economy. These threats and opportunities are likely to increase significantly over the next five to 10 years, as our dependence on cyber space deepens. [...] 4.C.3 The Government will introduce a transformative national cyber security programme to close the gap between the requirements of a modern digital economy and the rapidly growing risks associated with cyber space. The National Cyber Security Programme will be supported by £650 million of new investment over the next four years, working to one national programme of activity with supporting strategies in other departments. Successful delivery of this transformative programme also depends on the critical role that the private sector has to play; our relationship with them must reflect a genuine partnership where policy is co-designed so that a credible national response can be delivered. Through this programme, we will [:..].
45
5. ASPECTO LEGAL
Esta é uma abordagem de suma importância tanto para a questão do conflito,
em sua essência plena, como pelo espectro que envolve, qual seja, o campo
cibernético: local comum onde todas as infraestruturas críticas apoiam seus
serviços, os Estados soberanos orientam sua vida e o cidadão administra seu dia-a-
dia.
Por isso, a ausência de leis que regulam ou estabeleçam parâmetros aos ilícitos
cometidos nesse ambiente é uma lacuna que deve ser preenchida o quanto antes. A
transcrição abaixo bem ilustra esse aspecto.
Numa operação chamada „Moolight Maze’, um grupo de hackers invadiu centenas de computadores pertencentes à NASA e ao Pentágono, bem como outras entidades governamentais, universidades privadas e laboratórios de pesquisa. Eles subtraíram milhares de arquivos contendo informações técnicas e científicas essenciais. Eles subtraíram milhares de arquivos contendo informações técnicas e científicas essências. Os ataques, aparentemente, originaram-se de sete endereços russos na Internet. Um hacker filipino, em maio de 2000, disseminou em todo o mundo o vírus „Love Letter’, conhecido no Brasil como „I Love You’. Como resultado, 1.000 arquivos pertencentes à NASA foram danificados. Estima-se que o vírus „Love Letter’, tenha provocado nos Estados Unidos prejuízos da ordem de US$ 4 a US$ 15 bilhões. Embora o hacker filipino tenha sido detido, ele terminou sendo solto, já que o direito filipino não foi capaz de punir esta espécie de crime, por sua atipicidade. (SENNA; ALBUQUERQUE, 2003, p.270)
Outra questão que torna ainda mais difícil a definição do escopo legal é a
identificação da origem dos ataques. Um hacker pode valer-se de uma botnet37 e
ativá-la em várias máquinas zumbis38, espalhadas ao redor do mundo, demandando
37
Bots e Botnets De modo similar ao worm (seção 6), o bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente. (http://cartilha.cert.br/malware/sec7.html) 38
SÃO PAULO - A empresa de segurança Cipher Trust divulgou uma pesquisa que indica um aumento de 21% na incidência de computadores escravos, os chamados micros zumbis em todo o mundo durante o mês de junho. Estas máquinas são cooptadas por hackers, que assumem o controle remoto de grandes quantidades de Pcs (sem que os usuários tenham conhecimento disso) para realizar ataques a sites na Web. Segundo a Cipher Trust, isto eleva o número de novos zumbis a cada dia para cerca de 300 mil. A mesma pesquisa mostra crescimento de 20% no tráfego de e-mail não desejado com relação ao mês passado. A pesquisa concluiu que 64% dos servidores de spam - usados para enviar spams e deflagrar ataques phishing por intermédio de PCs zumbis - encontram-se em Taiwan, 23% nos Estados Unidos e 3% na China. (http://www.istf.com.br/showthread.php/9247-Como-identificar-m%C3%A1quina-zumbi)
46
tempo importantíssimo às investigações. A transcrição abaixo, extraída de Senna e
Albuquerque (2003) é fator colaborativo à assertiva supramencionada.
O ciberterrorismo viceja num ambiente caótico, sem dispositivos normativos adequados. Hackers podem utilizar diferentes caminhos antes de atingir seu alvo, de maneira que um ataque, aparentemente originário de Londres, tenha tido, na realidade, sua origem no Brasil, chegando aos Estados Unidos via Estocolmo e Cidade do Cabo. Identificar a origem de um vírus disseminado via e-mail pode exigir a autorização de cada país através do qual tenha passado. O Patriot Act pune, especificamente, o ciberterrorismo. (SENNA; ALBUQUERQUE, 2003, p. 271)
Ainda para corroborar com a análise da questão legal, este pesquisador colheu
informações específicas junto aos especialistas da área de direito. O universo
abrangeu Desembargadores, Promotores, Defensores Públicos, Delegados de
Polícia, Policiais Militares, Agentes da Receita Federal e Advogados; todos alunos
do Curso Superior de Inteligência Estratégica – CSIE/2011; e estagiários do Curso
de Alto Estudos de Política e Estratégia – CAEPE/2011, ambos da ESG.
Os Anexos D, E e F apresentam as compilações aos questionários aplicados às
autoridades suprarreferenciadas, sintetizando as respostas às hipóteses levantadas.
As observações e colaborações colhidas durante o trabalho de campo foram
importantes ferramentas para sustentar algumas afirmações. Assim, este
pesquisador julga oportuno citar as contribuições de alguns dos entrevistados,
conforme se seguem, primeiramente, referentes à necessidade de leis específicas:
Vigora no rito penal o princípio da “reserva legal” (não há crime sem lei anterior que o defina). Por outro lado faz-se necessário a perfeita adequação típica das condutas tidas como delituosas. Correspondência entre o fato e a lei. O mundo tecnológico e dos meios de comunicação não se viram acompanhados pela legislação. De outro vértice, é também necessário que novas ferramentas de investigação sejam previstas pelo Ministério Público. (LOMBA, 2011) Os avanços tecnológicos permitem que grande parte da população mundial tenha um amplo acesso a sistemas informatizados, notadamente à rede mundial de computadores. Com isso alguns pontos ficam evidentes no nosso dia-a-dia, o incremento de comércio eletrônico, bem como a proliferação de sites de relacionamento. Associado a isto podem aparecer condutas sociais anteriormente inexistentes, além de novas ferramentas que podem servir como meio par a prática de novos delitos. Por isso a existência de leis específicas é muito importante. (GONÇALVES, 2011)
Salvo engano, para crimes cibernéticos ainda são utilizados as normas do Código Penal (crimes gerais) e legislação esparsas, no entanto, esses
47
crimes revelam traços específicos e assim, seria necessária uma legislação específica. (OLIVEIRA, 2011) O crime cibernético carece de descrição legal. A conduta é considerada atípica, por isso, há dificuldade em reprimi-la criminalmente. Em matéria de Direito Penal e sanções relativas às violações das leis e costumes vigora o “princípio da reserva legal”, ou seja, para a repressão de uma conduta é necessária lei anterior que a descreva como criminosa. Aliado a esse princípio, temos também o princípio da tipicidade que estabelece a necessidade de descrição perfeita da conduta criminosa, com todas as suas componentes elementares objetivas e subjetivas, de modo que o comportamento humano a ser sancionado se adéque perfeitamente às elementares do rito legal – princípio da adequação legal. (TAVEIRA, 2011)
Em um segundo momento os especialistas elaboraram opiniões quanto ao
caráter da proteção aos agentes de inteligência e da própria atividade, dentre as
opiniões selecionadas, algumas estão transcritas abaixo:
Por estarmos diante de uma realidade que se transforma com muita velocidade, acredito que situações novas requerem ações das autoridades públicas igualmente ágeis. Neste sentido, ações de inteligência são tão importantes quanto a proteção para uma perfeita atuação. (GONÇALVES, 2011) O agente deve submeter-se a lei da classe, no caso, como servidor público seria a Lei Nº 8112 ou a Lei Nº 6.880 - Estatuto dos Militares (E-1). A atividade de Inteligência deve ser descrita na mesma Lei que tipificar as condutas. Há necessidade de se estabelecer limites a atividade de “contra-hackers” e as circunstâncias em que podem atuar, de modo a preservar princípios constitucionais de preservação da intimidade e da imagem. Uma boa referência é a Lei de Intercepção Telefônica e de Dados. OS recursos destinados a essa atividade deve ter origem na Lei de Dotação Orçamentária, na verba destinada às atividades militares e nas diretrizes decorrentes da Estratégia Nacional de Defesa. (TAVEIRA, 2011)
É como o jornalista que tem a reserva legal de não revelar suas fontes. Considerando que há um bem maior a ser protegido é válido tal profissional ser dotado de alguns recursos e garantias que assegurem informações privilegiadas desde que seriamente as use na proteção de bem maior, que seja a proteção dos sistemas informáticos e redes, sobretudo de órgãos da defesa e de serviços públicos. (NASCIMENTO, 2011)
Ainda sobre essa questão relativa ao aspecto legal, um Alto Comissário da
ONU, Raoul Chiesa, expert em segurança cibernética, em entrevista, afirma a
necessidade legal, mas não sob o seu caráter excludente e que esgota o assunto
em si mesmo; explicita que a ONU não tem a capacidade de impor uma legislação
por não ser um Ator como um Estado soberano e sim uma organização
supranacional; e ressalta o caráter colaborativo que deve reinar entre estados para
48
combater as ameaças cibernéticas e das conflituosas relações entre os mesmos,
principalmente quanto à questão da soberania. (Disponível: em https://www.info-
secisland.com/blogview/3690-An-Interview-with-UN-Cybersecurity-Expert-Raoul-Chi-
esa.html.)
Seguem-se alguns trechos dessa entrevista, traduzidos por este pesquisador, e
que sustentam o que foi dito acima. O extrato do texto original se encontra no Anexo
G:
Q: Pode o direito internacional realmente manter o ritmo com a natureza dinâmica das ameaças? R: Na minha humilde opinião e pessoal a resposta a esta pergunta é não, as leis não são suficientes. Esta constatação também surgiu a partir de nossas pesquisas HPP, questionando mais de 1200 hackers de todo o mundo. A questão específica neste caso foi „você tem a percepção da ilegalidade de suas ações?‟ Ao qual a resposta foi SIM. Mas atenção, este é apenas o começo [ ...] Quando a pergunta foi: „Existe um efeito de dissuasão impulsionada por leis (contra a pirataria e crimes cibernéticos), as condenações sofridas por outros hackers (amigos seus) ou condenações sofridas por eles mesmos‟, a resposta foi NÃO. A resposta foi „Eu não me importo‟ e não „eles nunca vão me prender‟ ou „eu sou mais inteligente do que você‟ [...] Também é relevante o efeito foi de „dificuldades técnicas‟ (Firewalls, IDS / IPS, „cool‟ Sistemas Operacionais, etc), que iria parar apenas algumas categorias de atacantes, como o mais jovem e inexperiente (Wannabes, script kiddies e crackers às vezes), embora não representem um obstáculo para muitos outros perfis.
Q: Será que uma nação soberana tem o direito de defender a integridade de suas fronteiras e estender para o espaço cibernético? R: Minha resposta a esta pergunta é pessoal, que não refletem, necessariamente, as do UNICRI. Este é um debate essencial que só as jurisdições e os decisores políticos serão capazes de definir corretamente. Você sabe, sempre que estamos a falar de direito de Nação soberana de se defender de um Estado, em algum lugar outro Estado vai se sentir ameaçado. Vamos tomar como exemplo a chamada "retenção extraordinária" do governo dos EUA. É este o direito de defender os EUA – e o mundo inteiro, os aliados e não de uma ameaça global? Na minha opinião pessoal, a resposta é sim, é correto tentar de tudo para defender um Estado e seus cidadãos ". Mas, ao mesmo tempo, quando essas ações são feitas para defender um Estado que pode impactar outro Estado que pode as definir como "ações ilegais. Então, quem tem a resposta sobre o que é o "certo? Eu realmente não tenho uma resposta final. Além disso, devemos prestar muita atenção quando se fala em defesa de ataques no "ciberespaço". Vamos tomar como exemplo os incidentes famosos da Estônia e da Geórgia, ou, obviamente, os mais recentes casos da China: Como pode um governo ter 100% de certeza de que „o povo‟ sentado em frente dos monitores e teclados de onde a Rússia ou a China? Como pode uma Equipe de Resposta a Emergência - ou uma equipe governamental, ou uma Força Tarefa - excluir o cenário de que alguém invadiu uma caixa de - digamos Estado ABC - então pulou de volta no Estado XYZ? O que quero dizer é que estes tipos de cenários podem refletir e causar impacto, gerando incidentes diplomáticos entre os governos, e não podemos simplesmente confiar em arquivos de log. Devemos analisar, em vez das ferramentas
49
utilizadas, o MO ataque (Modus Operandi), e devemos definitivamente executar a análise forense de profundidade.
Q: E quanto a contra-ataques contra os terceiros países os não-agressores, cujos sistemas estão envolvidos em ataques, eles devem ser classificados como alvos? R: Como eu comentei acima, na minha opinião pessoal isso representaria um enorme erro. Contra-ataque, vamos dizer a Itália, apenas porque algumas empresas italianas são parte de uma botnet, para mim não é a resposta correta e é ilegal, pelo menos nos termos da legislação italiana. Certamente, botnets devem ser erradicadas, não há dúvida sobre isso, e a cooperação internacional (AEL, CERT / PSIRTs, ISPs, Associações, privadas e empresas públicas) é a resposta real. Tanto quanto eu sei, há algo semelhante atualmente, e nós seremos capazes de ver se isso pode muito bem representar uma resposta, real final, por alguns meses. Sem dúvidas, essas ações devem ser autorizadas por lei e por Governos, caso contrário, o "contra-ataque" seria apenas forma de me fazer sentir como um dos bandidos, fazendo uma coisa ilegal, injustificada, que quebra a lei em algum lugar, no Estado A e / ou no Estado B, e ao longo de todos os Estados (ou seja, leis diferentes) em toda a essas duas entidades.
Assim é perceptível que o aspecto legal deve ser trabalhado tanto internamente
quanto no nível internacional. A ausência do “princípio de reserva legal” – não há
crime sem lei anterior que o defina – é limitadora à uma atitude coercitiva que
favorece às ações de Segurança Orgânica e Segurança Corporativa. O crime
cibernético carece de uma descrição legal, caso contrário será considerado atípico
com as repercussões legais de reprimi-lo criminalmente.
Tampouco não é truísmo afirmar que a defesa dos profissionais que,
resguardados pela ordem estatal, executam tarefas inerentes à defesa do País, deve
se revestir de amparo legal para si e para a segurança dos seus. A Atvd Intlg e seus
ramos, incluindo-se a CI com origem em fonte cibernética, é uma atividade de
Estado. Registre-se, também, que todas as atividades de Estado são atemporais e
apartidárias, ensejando, também a garantia perene do aporte de recursos
financeiros, evitando-se a nefasta solução de continuidade das ações inerentes à
atividade.
Outrossim, no trato dessas questões verifica-se que o aspecto colaborativo
deve reinar nas relações entre as Nações. Também é notório que os talentos
humanos devem ser capacitados, educados e treinados com base em
desenvolvimento de CT& I, trabalhado de forma autóctone, isso com vistas à
proteção de conhecimento nessa área sensível.
Também é factível afirmar que a ONU trata com reservas a questão cibernética,
percebendo a necessidade de uma atuação conjunta em face da abrangência que
50
essas ações possam ter e, principalmente, suas consequências na já conturbada
relações internacionais.
Sobre a opinião pessoal do Sr Raoul Chiesa, Auto Comissário da ONU, este
pesquisador conclui, e com ele concorda, que a relação conflito cibernético x
soberania é bem complexa. Reconhecendo-se o direito do Estado em defender seus
interesses e a inexistência de uma fronteira definida no espaço cibernético, torna-se
questionável ou mesmo relativa às relações dos Estados no trato estrito da
soberania. O sentido de soberania plena, inviolável e inquestionável, torna-se
relativo no espaço cibernético, resultando-se disto uma maior necessidade de
cooperação entre os atores envolvidos, é essa a opinião deste pesquisador.
Por concluso, a compilação dos dados colhidos entre os especialistas da área
do direito e da área de Intlg, permite-nos inferir, mesmo que registremos a ausência
de unanimidade, que, sobre determinadas hipóteses:
a. Existe a necessidade de marco legal que discipline as condutas
criminosas no espaço cibernético, requerendo ação conjunta entre o MD, o
Ministério da Justiça, a Casa Civil, o GSI PR e as Casas Legislativas.
b. A Atvd Intlg deve ser acessória à prevenção e solução de delitos e
crimes no ambiente cibernético.
c. Devemos possuir marco regulatório que, ante a necessidade do Estado
brasileiro, permita a contratação ou o comissionamento de indivíduos com notório
saber na área, saber esse autodidata ou construído.
d. Devemos aprimorar os marcos legais que tratam da Atvd Intlg com
vistas à proteção de servidores e de seus familiares.
e. Faltam especialistas ao Estado brasileiro para fazer face às ameaças
do setor cibernético.
f. O espaço cibernético deve ser explorado como uma nova F Intlg e não
como outra Atvd Intlg, permitindo-se a economia de Cpt Intlct, Me Cptc e Rec Fin.
g. Devem ser veiculadas campanhas educativas geridas pelo Estado para
mitigar o alcance psicossocial das ações marginais que atentem contra o indivíduo e
o Estado e que se valham do espaço cibernético.
h. O caráter colaborativo deve nortear as relações entre os Estados em
face das ameaças comuns à interdependência necessária às relações entre os
mesmos.
51
i. Deve ser estimulada a Segurança Corporativa nas organizações,
também centrada nos meios computacionais.
j. O advento da aprovação de marco legal, por si só, não inibirá a ação
de cibercriminosos e ciberterroristas.
k. Existe a necessidade de estudos para a definição de novos fluxos de
carreira e de promoções em decorrência das especificidades das competências
necessárias à gestão dos serviços do espaço cibernético, nos diversos órgãos da
APF, incluindo-se as FA.
É perceptível, desta maneira, que a atividade de proteção, deve resguardar a
informação, o pessoal, as instalações e os materiais, incluindo-se todos os meios
necessários à consecução da atividade fim, de ações de Estados (AI e FA), hackers,
crackers, espiões, terroristas e criminosos. Essa é a essência das atividades de CI
ou de Segurança Corporativa.
52
6 CONTRAINTELIGÊNCIA CIBERNÉTICA OU VIRTUAL
Muitos podem se questionar o porquê de se abordar com um escopo mais
amplo, inclusive transcendente ao que a restrição sugerida ao ambiente militar
indicava, a questão da CI Ciber, mas a resposta é simples: “o Conflito Cibernético
fere tanto o cidadão comum quanto ao Estado. Quanto mais forte e preparado
estiverem a sociedade, as organizações e o Estado para esse Conflito menor
serão os seus impactos no dia-a-dia do indivíduo, das instituições e do próprio
Estado.”
Por outro lado, o próprio Estado deve entender a importância da atividade de
Inteligência, em suas diversas vertentes para sua própria sobrevida. O Estado é o
principal cliente das Atvd Intlg em todos os seus ramos.
Assim, o enfoque é que a guerra cibernética tem um caráter global. Esse
entendimento deve permear todas as ações dedicadas ao setor cibernético.
A partir do entendimento gerado pelas conclusões que podemos tirar dos
capítulos anteriores, podemos inferir que:
a. a atividade de CI é um ramo da Atvd Intlg;
b. a CI Ciber deve ser tratada como uma atividade decorrente da F Intlg
Ciber, com vistas a proteção da organização a que seus especialistas
integram;
c. como se trata de uma atividade voltada à proteção ela deve ater-se aos
ativos da informação, às instalações, aos talentos humanos e aos
produtos ofertados pela organização;
d. a existência de marco legal por si só não será inibidora de que
ciberterroristas ou cibercriminosos realizem ataques conta Estados,
organizações ou indivíduos. Existe a latente vontade embutida nos egos
dos indivíduos que com essa índole distorcida insistem em desafiar a
ordem legal instituída;
e. os ataques cibernéticos possuem características singulares como a difícil
rastreabilidade de sua origem e podem causar danos psicossociais,
econômicos, políticos e militares à Nação ofendida;
f. a cooperação internacional é fator de sucesso, mas suscita uma dúvida:
“como partilhar informações e se manter com credibilidade se as mesmas
podem utilizadas como armas no caso de conflito?”
53
g. o vetor humano é crucial em todo esse processo, quer como agente de
ameaça (vide agentes de ameaças), como vítima ou como agente de
proteção contra essas ameaças. Ele não se dissocia do ambiente
cibernético, da sociedade da informação e tampouco da comunidade
internacional;
h. investimentos financeiros permanentes devem ser feitos em CT & I para
manter equipamentos e ferramentas no estado da arte e permitir a
prontidão do capital intelectual para enfrentar as ameaças que evoluem
de forma célere;
i. A CI ou a Segurança Corporativa visam à preservar a Gestão de
Continuidade dos Negócios (GCN). Elas se assemelham nos propósitos,
mas possuem sensíveis diferenças quanto aos meios disponíveis.
Entretanto, pensando de forma sistêmica deve reinar a coexistência
colaborativa entre ambas, por meio das Agências que representam.
Assim, podemos entender que uma organização deve possuir pessoal
qualificado que possa garantir segurança em grande escala, partindo do homem
como vetor principal, ponto fulcral e de maior vulnerabilidade, sabendo-se que o
grande foco é a segurança da informação e que os administradores de rede são
incapazes de por si só realizarem essa tarefa.
A sociedade humana só existe nas, e pelas, interações entre as pessoas. A sociedade que emerge dessas interações, retroage sobre os indivíduos e os submete. É impossível isolar o ser vivo e o seu ecossistema, o indivíduo de sua sociedade e o sujeito do objeto. (RITTO, 2011)
39
Por outro lado a necessidade de convergência das ações de proteção deve
nascer na Alta Administração de qualquer organização, pública ou privada, a quem
caberá, assessorada por especialistas, estabelecer as políticas e estratégias para a
Organização. Especificamente para o setor cibernético, são bem vindas as normas,
a definição de responsabilidades, as auditorias, e o processo de educação em sua
forma holística. As transcrições que se seguem, emanadas por órgãos da APF,
reforçam esse pensamento.
39
Antônio Carlos Ritto. Palestra proferida para o Curso de Altos Estudos de Política e Estratégia, da Escola Superior de Guerra, jul 2011)
54
A arquitetura de Segurança da Informação é um conjunto composto pelos elementos fundamentais de um sistema de segurança, concebido para proteger informações e definido com base na criteriosa análise de riscos de uma organização. Dentre tais elementos, destacam-se: a documentação normativa; os serviços e mecanismos de segurança; as infra-estruturas de gerência, auditoria e validação; as medidas de contingência e um programa de conscientização. (BRASIL, 2001)
40
Existe a percepção de que os administradores de redes e sistemas não podem proteger sozinhos os sistemas e as informações da organização, que em muitos casos dependem da integração, interação, interoperabilidade e interdependência de processos, sistemas, órgãos e/ou entidades (BRASIL, CFGSIC, 2010)
Também é correto afirmar que a F Intl Ciber é de longa data muito explorada por
Estados e por organizações, tudo com vistas à obtenção de informações.
Existem sinais de que agências de inteligência em todo o mundo estão investigando constantemente as redes de outros governos em busca de pontos fortes e fracos, e estão desenvolvendo novas formas de coletar informações. (SOMMER, in Gisele, 2009)
41
O DSIC, em sua Norma Complementar Nº 02, sintetiza de forma objetiva ações
com vistas a proteção das informações.
3.1.7 Selecionar as ações de segurança da informação e comunicações consideradas necessárias para o tratamento de riscos. (Alguns exemplos de ações de segurança da informação e comunicações são: Política de Segurança da Informação e Comunicações, infra-estrutura de segurança da informação e comunicações, tratamento da informação, segurança em recursos humanos, segurança física, segurança lógica, controle de acesso, segurança de sistemas, tratamento de incidentes, gestão de continuidade, conformidade, auditoria interna, além de outras que serão exploradas em outras normas complementares. (BRASIL, 2008)
42.
Esse órgão da PR lista uma série de providências a serem tomadas pela APF, e
especificamente no trato dos talentos humanos. Ele próprio promove cursos, em
plataforma de Ensino à Distância (EAD), de Fundamentos de Gestão das
Informações e das Comunicações dedicados aos funcionários da APF, e, tampouco
realiza palestras e parcerias com a iniciativa privada, além de promover cursos de
especialização em parceria com a Universidade de Brasília (UnB), com vistas à
40
BRASIL, MD, EB. IG 20-19, 2001. 41
SOMMER, in TRUZZI. Palestra sobre direito digital. Rio de Janeiro, DECEx, 2009. 42
BRASIL, GSI, DSIC, NC 02, 2008.
55
capacitação de servidores públicos em Gestão da Segurança da Informação e das
Comunicações (CGSIC/UnB - DSIC GSI PR) de forma semipresencial. Esses
exemplos de capacitação do homem são a origem. Devem seguir-se a eles a
educação e o treinamento contínuo. A educação deve abranger servidores e a
Nação43.
Especificamente falando sobre os servidores, revestem-se de caráter perene a
educação e as auditorias. Quanto às auditorias, sugere-se que sejam realizadas por
equipes autóctones e externas ao ambiente organizacional, se possível, conferindo
um caráter de maior credibilidade haja vista não possuírem vínculos organizacionais.
Figura 3 Interdependência da Educação de Servidores Fonte: O Autor
O ciclo da educação, transversal ao serviço a ser protegido, deve ser completo
a guisa de construir uma cultura de proteção para se evitar que episódios como os
listados abaixo se repitam. Devem ser envidados esforços com vistas à capacitação,
43
Uma vez que existe o caráter do efeito psicossocial decorrente da ação de um Estado contra as infraestruturas críticas de outro Estado, podendo gerar pânico na sociedade a educação é uma forma de mitigar a possibilidade de um cidadão comum ser porta de entrada para um ataque além de contribuir para sua segurança individual.
56
à educação e o treinamento continuado de servidores deve ser uma constante e
permanente ação da alta administração das organizações.
Passagem de ônibus: R$ 3,20. Uniforme: R$ 30,00. Tuitar no computador da firma com seu chefe do lado não tem preço [...]. Esse tweet foi postado pelo auxiliar de escritório Rodrigo Santos, 21, por meio de um aplicativo chamado Spreadtweet. O programa simula uma planilha do Excel e, com ele, é possível tuitar, ver o que outros usuários escreveram sobre você e enviar mensagens diretas na rede social: tudo isso sem ser notado pelos colegas sentados a uma baia de distância. (TAGIAROLI, 2010) Rodrigo Santos, 21, usa o Spreadtweet, cliente Twitter que parece uma planilha de Excel. Como Rodrigo, há uma série de funcionários de empresas com políticas rígidas de acesso a redes sociais que arrumam um jeito de burlar o sistema e acessar Orkut, Windows Live Messenger, Facebook e outros serviços proibidos. O fato é que, por mais que as empresas tentem impedir, é difícil desconectar totalmente os internautas das redes sociais – aliás, de acordo com pesquisa da Nielsen, 86% dos brasileiros acessam sites de relacionamento. (ibdi. op. cit.)
O analista de suporte F.T., 23 (que não quis ter o nome divulgado), usa acesso remoto para acessar fóruns e o serviço de e-mail particular. Ou seja, estando na empresa, ele conseguia acessar o computador de casa, que deixava ligado, para acessar o que quisesse. “Ficava difícil identificar esse tipo de prática, pois a empresa prestava serviços de suporte. Logo não dava para saber quando estava sendo usado a trabalho e quando era utilizado para burlar. (ibid. op. cit.)
Esse comportamento não é exclusividade do meio civil. É cultura de o brasileiro
crer que está imune a qualquer tipo de mazela. Essa liberalidade no trato de meios
computacionais também atinge pesquisadores, talvez pela própria necessidade de
diálogo com outros profissionais que lidam nesse campo de construção de
conhecimento, conforme afirma Ritto (2011).
O Pesquisador trabalha em rede aberta que todos sabemos não é um lugar, absolutamente, seguro. A liberdade perdulária gera problemas de indefinição de fronteiras, mas no mundo dos negócios, no mundo financeiro existem fronteiras. As fronteiras tem que ser tratadas por especialistas na área já que os que trabalham na área de tecnologia que são de uma irresponsabilidade idealista, não estão preocupados com isso. As empresas de segurança de rede estão preocupadas com a segurança do País. As FA imporiam limites por meio de desenvolvimento de competências. O Pessoal da área de tecnologia não está preocupado com isso. (RITTO, 2011)
44
Quanto ao universo de abrangência desse tipo de comportamento, este
pesquisador vale-se das provas colhidas, no triênio de 2009 – 2011, durante a
44
Antônio Carlos Ritto. Palestra proferida para o Curso de Altos Estudos de Política e Estratégia, da Escola Superior de Guerra, jul 2011)
57
conclusão de disciplinas do CGSIC/UnB - DSIC GSI PR, cujos extratos escolhidos
encontram-se nos Apêndices A e B.
A síntese que os documentos suprarreferenciados permitem-nos afiançar é de
que:
a. A existência de uma Política não é garantia de que tudo que foi
amealhado na Alta Administração está sendo executado.
b. A rotatividade dos servidores é perversa ao sistema de proteção.
c. Faltam servidores para compor as diversas equipes necessárias à
proteção dos ativos de Organização.
d. As normas previstas no Decreto Nº 4553 devem ser cumpridas e
espelhar os procedimentos relativos à Seg Org.
e. A questão relativa aos recursos financeiros deve estar acima das
restrições orçamentárias e dos contingenciamentos sistemáticos.
f. Deve ser criada, mantida e verificada continuamente a Cultura de
Segurança Orgânica.
g. As inovações tecnológicas devem caminhar lado a lado com a Seg
Org.
h. As auditorias devem ser realizadas por equipes externas ao ambiente
organizacional.
i. As normas devem ser constantemente avaliadas, revisadas e
atualizadas.
Ainda no entorno da tríade educação - capacitação - treinamento, durante a
realização do I Seminário de Defesa Cibernética foram conduzidos estudos para que
fossem listadas as competências a serem trabalhadas para suprir as necessidades
das FA nesse setor, chegando-se, como conclusão, as seguintes especialidades:
a. Controle de Acesso;
b. Segurança em Aplicações;
c. Continuidade de Negócios e Plano de Recuperação de Desastres;
d. Criptografia;
e. Segurança da Informação e Gerenciamento do Risco;
f. Leis, Regulamentações, Conformidade e Investigações;
g. Segurança em Operações;
h. Segurança Física e Ambiental;
i. Projeto e Arquitetura de Segurança;
58
j. Segurança de Rede e de Telecomunicações;
k. Perícia Forense Computacional;
l. Auditoria em Segurança da Informação;
m. Testes de Invasão; e
n. Tratamento de Incidentes de Redes.
Com a visão prospectiva sobre as competências listadas acima elas só poderão
caminhar evolutivamente se aderentes às mesmas tivermos um desenvolvimento em
CT&I, implementando as inovações em benefício “da sociedade brasileira”. Tão
verdadeira é essa afirmação que a ausência desse casamento reduz um Estado a
nada, o escraviza e o torna fantoche nas mãos de outros. Tecnologia não se vende.
Para corroborar com essas afirmações podemos observar as palavras de Ritto
(2011) e de Silva (2011), ambas em conferências proferidas na ESG para o CAEPE-
2011.
O ritmo das mudanças transforma todos em aprendizes. O limite da tecnologia está na capacidade do ser humano absorvê-la. A tecnologia é bastante em todos os níveis. [...] As sociedades se caracterizam pela capacidade de absorção dos impactos de inovações tecnológicas, capacidade de conhecer, entender e utilizar os recursos tecnológicos e suas implicações éticas, sociais e ambientais. (RITTO, 2011)
45
Destruir um País é mais fácil que construir. É só dizer que ele não tem tecnologia, que é mais barato. Quanto ganha o Brasil com a construção, aqui, em postos de trabalho, em impostos, em pagamento de pessoal, em tecnologia. Essa tem que ser a conta. (SILVA, 2011)
46
Percebe-se uma dependência muito grande da F Intlg Ciber com essas
competências que também estão atreladas ao desenvolvimento nacional.
Outro aspecto importante a ser considerado quando falamos de CI Ciber trata-
se do controle de acessos. A classificação das áreas de circulação por si só não
existirá, efetivamente, se a ela não associarmos outros tipos quaisquer de vigilância.
A combinação dos meios disponíveis, ativos e passivos, é fundamental para a o
sucesso do controle em questão.
45
Antônio Carlos Ritto. Palestra proferida para o Curso de Altos Estudos de Política e Estratégia da Escola Superior de Guerra, jul. 2011. 46
Luiz Inácio Lula da Silva. Palestra proferida para o Curso de Altos Estudos de Política e Estratégia da Escola Superior de Guerra, jul. 2011.
59
2.5. Para implementar os controles de acesso aprovados é fundamental a elaboração e divulgação de normas, bem como programas periódicos de sensibilização e conscientização em conformidade com a Política de Segurança da Informação e Comunicações dos órgãos ou entidades da APF. (BRASIL, 2010)
47.
Os controles acima especificados constituem-se em mais uma medida destinada
à proteção das instalações, a qual nós podemos somar, de forma combinada, outras
medidas, como as seguintes:
a. os controles de acesso físico, barreiras humanas e os controles de
acesso lógico, tudo escalonado em profundidade coerente com as normas
emanadas pela alta administração e se possível combinar a logicidade com aspectos
de biometria, tecnologia essa já disponível no mercado;
b. entradas diversificadas de energia elétrica devem ser previstas, se
possível contando com ramais estanques;
c. devem ser previstos sistemas de combate a incêndio e de evacuação
de ativos da informação e de meios computacionais segundo o plano de evacuação;
d. deve prever locais distintos e protegidos para o Banco de dados e para
armazenamento de Back-up;
e. Banco de dados coma relação dos prestadores de serviço terceirizados
ou autônomos;
f. cadastramento de servidores com suas informações biográficas
necessárias à concessão da Credencial de Segurança;
g. acompanhamento da desmobilização de servidores que trabalhem em
áreas sensíveis; e
h. eliminação das entradas para mídias removíveis.
É importante ressaltar que o Brasil possui expertises nessa área, com ênfase na
capacidade de usufruir dos potenciais talentos humanos, bem como no suporte que
pode ser dado aos mesmos pela prontidão C & T.
Em tempos de preocupação com ameaças a redes de dados, Brasil e Rússia assinaram um acordo de ajuda mútua para evitar e se preciso reagir a ataques realizados pela internet. Batizado de "Acordo de Não Agressão por Armas de Informação", o acerto prevê, além de trocas de informações para capacitação de pessoal, a realização de exercícios conjuntos de guerra cibernética. [...] A iniciativa para o acordo partiu da Rússia e há pretensões de que ele seja ampliado. O Conselho de Defesa Nacional daquele país
47
BRASIL, GSI, DSIC, NC 07, 2010
60
identificou no mundo 16 países capazes de se valer de ataques de informação, e o Brasil faz parte dessa lista. O acordo ainda precisa ser ratificado pelo Congresso Nacional, mas os efeitos práticos já começaram a valer. (GROSSMAN, 2010)
Conclui-se este Capítulo afirmando que temos legislações tanto na Associação
Brasileira de Normas Técnicas (ABNT) como na APF (DSIC, EB, MB FAB, ..., etc.)
que orientam os procedimentos para a proteção e as auditorias relativas à
conformidade dos serviços prestados, como auxílio às auditorias, que devem ser
objeto constante de revisão e atualização, agregada ao caráter educativo perene
que essa atividade requer.
61
7. CONCLUSÃO
É notório, após uma digressão sobre tudo que foi escrito, e fácil afirmar
primeiramente que a inadequação do tema por questões filosóficas sugere a
substituição do termo “Guerra” por “Conflito”. As pesquisas também colaboraram na
ideia deste autor no sentido de que não se deve criar uma nova Atvd Intlg, mas sim
investir na nova F Intlg e nas suas vertentes, doutrinariamente consagradas, qual
seja: a F Intlg Ciber que se divide em Intlg Ciber e CI Ciber.
Por outro lado o verbete “virtual” tem por significado “ser uma categoria tão
verdadeira quanto ao real, algo que é apenas potencial, ainda não realizado,” o
que contradiz a definição de ativos da informação e choca-se com a o trânsito de
informações digitais que pode ser tanto por meio de um meio de transmissão físico
(cabos, por exemplo) ou podem ser transmitidas pelo ar e necessitam, em ambos os
meios de transmissão de proteção, e assim, de ação de CI Ciber.
Assim, na opinião deste autor o termo mais adequado ao trabalho seria: “O
Conflito Cibernético e a Atividade de Contrainteligência”.
A partir dessa defesa, pode-se afirmar também que o Conflito Cibernético
nivela o público e o privado, o civil e o militar, o individual e o coletivo, pois, não
escolhe ou delimita os efeitos colaterais de suas ações, perpassa a dimensão
humana ao ter o homem como alvo apenas quanto ao aspecto do dano psicológico,
uma vez que seus alvos potenciais são as IEC. Também é fato que pela perfeita
noção da indefinição dos limites físicos do espectro cibernético, o Conflito
Cibernético torna relativa a percepção de soberania dos Estados
Apoiada essencialmente em Tecnologia da Informação, em Capital Intelectual,
em Talentos Humanos, em Ciência, Tecnologia e Inovação, e em Meios
Computacionais, as ações decorrentes de um Conflito Cibernético, que nem sempre
será declarado, visam, principalmente, à invasão de sistemas, à negação ou
degradação de serviços, ao furto de informações, à espionagem, e ao estelionato.
Entretanto, as armas para a Def Ciber são as mesmas dedicadas ao Atq Ciber.
Assim, quanto melhor for o P Ciber, que também pode ser definido como
“Convergência de talentos humanos e de meios computacionais, suportados
por tecnologia de ponta e por uma gestão de inovação perene, para proteger
os sistemas e as informações próprios, bem como monitorar, invadir e/ou
danificar sistemas, negando ou interferindo nos serviços ofertados; furtar ou
62
degradar as informações de congêneres alvos, tudo com o objetivo de
controlar e/ou subjugar outro Estado, retirando-lhe a liberdade de ação,
causando-lhe sensação de insegurança, desestabilizando, internamente, seu
poder político”, melhor será a capacidade de Def ou de Atq Ciber.
Destacando-se, ainda, que reside na Atvd Intlg um caráter acessório às ações
de Def Ciber, então o P Ciber reflete, também, a marcante contribuição da Atvd Intlg
F Ciber, permitindo-nos outra afirmação: Quanto maior forem a prontidão,
oportunidade e confiabilidade, das informações produzidas pelas Agências de
Inteligência, mormente relativas ao espectro cibernético, maior serão as suas
contribuições para o fortalecimento do P Ciber.
Ainda sobre a Atvd Intlg, ela doutrinariamente e legalmente já está definida e
seus processos apenas se ajustam as nuances do binômio tecnologias e ameaças,
não carecendo de revisão ou mesmo de outra atividade.
Já o ramo da CI tem uma nova fonte para onde deve volver seus olhares: a F
Intlg Ciber. Mesmo assim ela em nada difere dos processos dedicados à proteção
das instalações, dos meios, das informações e dos talentos humanos, nesse caso
todos voltados para as ações no setor de TI.
Uma vez que o homem é o vetor central de todas as atividades realizadas no
mundo contemporâneo, não é heresia afirmar que, para se antepor às ameaças da
Infoera o Estado deve ter por gênesis o investimento em educação, desde a fase
básica da formação humana, correspondente ao nível expressado pelo aprendiz, no
sentido de protegê-lo de sua ingenuidade ao lidar com o desconhecido, gerando o
nascer de uma “Cultura proativa de Def Ciber”. Ao se educar o homem é possível
criar um estado de prontidão mínima a salvaguardá-lo de ações nefastas no espaço
cibernético. Essa é uma ação setorial e deve ser empreendida pela Casa Civil da
Presidência da República em estreita ligação com o DSIC GSI/PR, em face da
expertise desse Ministério na área de educação em Def Ciber, e o Ministério da
Educação e Cultura.
Ainda neste trabalho, esse posicionamento é extensivo às Escolas Militares, no
ensino das medidas de Contrainteligência inserindo as ações de Contrainteligência
centrada na F Intlg Ciber, requerendo um reestudo nos cursos, dentro da dinâmica
evolutiva que a atividade de formação/qualificação requer, com a elaboração de
Planos de Disciplinas alinhados com as novas demandas.
63
Também é perceptível que, à semelhança do que se verifica em países como
os EUA, Reino Unido, Israel, Alemanha, entre outros, a centralização das ações
nesse setor são deveras bem vindas, assim como a estratificação de um marco legal
que discipline as questões relativas ao setor cibernético.
A questão da CI Ciber é aplicada, principalmente, às FA que têm a Atvd Intlg
estratificada em seu metiê. A Segurança Corporativa é, usualmente, um termo mais
aplicado ao segmento civil da nossa sociedade, quer em ambiente público quer em
ambiente privado. No entanto, ambas atividades devem ser trabalhadas de forma
colaborativa, matricial, sem subordinação e de forma independente, com vistas à
preservação das IEC necessárias à sobrevida do Estado no concerto dos
congêneres e à proteção do cidadão.
A ABNT e o EB, cita-se essa Força por ter sido a que mais fontes ofereceu à
pesquisa, possuem registros formais que orientam procedimentos e estabelecem
parâmetros a serem atendidos nas auditorias que periodicamente devem ser
realizadas, preferencialmente, por auditores externos ao ambiente organizacional
auditado.
Por fim, ressalta-se que, dentre as principais características que a CI Ciber ou
a Segurança Corporativa devem ter, ressalta-se a de estar sempre no estado da arte
em talentos humanos, meios e tecnologias. Isso tudo é fruto, além da ação política
da alta administração, da ação corretiva que as auditorias possuem, tornando um
dogma a afirmação de que a auditorias a afirmação de que a CI Ciber tem que ser
inovadora e proativa por excelência.
REFERÊNCIAS
ALEXANDER, Bevin. A guerra do futuro. Tradução Vicente Gudolf. Rio de Janeiro: BIBLIEX, 1999. 223 p. ALEXANDER, John B. Ganhando a Guerra: Armas avançadas, estratégias e
conceitos para o mundo pós-onze de setembro. Tradução de Joubert de Oliveira Brízida. Rio de Janeiro: BIBLIEX, 2007. 362 p. _______.Armas Não-Letais: Alternativas para os conflitos do século XXI. Tradução
de José Magalhães de Souza. Rio de Janeiro: Condor, 2003. 374 p. BANDEIRA, Luiz Alberto Moniz. Geopolítica e política exterior Estados Unidos, Brasil e América do Sul. Brasília, DF. Fundação Alexandre Gusmão, 2008. 128 p.
BEAL, Adriana. Segurança da informação. São Paulo: Ed Atlas, 2005.
Bots and Bornets. Disponível em: http://cartilha.cert.br/malware/sec7.html. Acesso em 15 maio. 2011. BRANT, Leonardo Nemer Caldeira. Terrorismo e direito. Os impactos do terrorismo na comunidade internacional e no Brasil: perspectivas político-jurídicas. Rio de Janeiro: Editora Forense, 2003. 557 p. BRASIL. Constituição (l988). Constituição da República Federativa do Brasil: promulgada em 5 de outubro de 1988: atualizada até a Emenda Constitucional nº 46, de 10-8-2005, acompanhada de novas notas remissivas e dos textos integrais das Emendas Constitucionais da revisão. 38. ed., atual. São Paulo: Saraiva, 2006. _______. Decreto nº. 3.505, de 13 de junho de 2000: Institui a política de segurança da informação nos órgãos e entidades da administração pública federal. Brasília, DF, 2000. Disponível em: <http:www:planalto:gov:br/ccivil 03/decreto/D3505:htm>. Acesso em: ago. 2009. _______. Ministério da Defesa. Estrutura Militar de Defesa. MD35-D-01. Brasília, DF, 2005. _______. _______.Glossário das Forças Armadas. MD35-G-01. Brasília, DF,
2007. _______._______. Manual de Abreviaturas, Siglas, Símbolos e convenções Cartográficas das Forças Armadas. MD33-M-02. Brasília, DF, 2008.
_______. _______. Exército Brasileiro. Manual de Operações. C100-5. Brasília, DF:
EME, 1997.
BRASIL. Ministério da Defesa. Exército Brasileiro. Portaria Nº 483. Instruções gerais de segurança da informação para o Exército Brasileiro – IG 20-19. EME. Brasília, DF, 2001. _______. _______. _______. Diretriz estratégica de informações organizacionais – proposta. EME. Brasília, DF, 2010. _______. _______. _______.Portaria nº011. Aprova as instruções gerais para salvaguarda de assuntos sigilosos. IG 10-51. Brasília, DF, 2001. _______. _______. _______. Portaria Nº 666, de 4 de agosto de 2010, Cria o Centro de Defesa Cibernética do Exército e dá outras providências. Brasília, DF, 2010. _______. _______. _______. Portaria Nº 667, de 4 de agosto de 2010, Ativa o Núcleo do Centro de Defesa Cibernética do Exército e dá outras providências. Brasília, DF, 2010. _______. _______. _______. Portaria nº 026-DCT. Aprova as instruções reguladoras para emprego sistêmico da informática no Exército Brasileiro – IREMSI. IR 13-07. Brasília, DF, 2006. _______. _______. _______. Portaria nº 002-DCT. Aprova as Instruções reguladoras sobre análise de riscos para ambientes de tecnologia da informação do Exército Brasileiro – IRRISC. IR 13 -10. Brasília, DF, 2007. _______. _______. _______. Portaria nº 003-DCT. Aprova as instruções reguladoras sobre auditoria de segurança de sistemas de informação do Exército Brasileiro - IRASEG (IR 13-09). Brasília, DF, 2007. _______. _______ _______.Portaria nº 006-DCT. Aprova as normas para o controle da utilização dos meios de tecnologia da informação no Exercito - NORTI. 2 ed. Brasília, DF, 2007. _______._______._______. Manual de Campanha: estratégia. C 124-1. 4 ed. Brasília, DF: EME, 2004. _______. Presidência da República. Casa Civil. Lei nº 9.983, imprensa nacional, 2000. _______. Presidência da República. Casa Civil. Decreto nº 4.553 - de 27 de dezembro de 2002 -. Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências. Diário Oficial da União de 30 dez. 2002. Brasília, DF: Imprensa nacional, 2002. _______. Presidência da República. Departamento de Segurança da Informação e Comunicações do GSIPR. Instrução Normativa nº 01. Brasília, DF, 2008. Disponível em: <http://dsic.planalto.gov.br>. Acesso em: jul. 2010.
BRASIL. Presidência da República. Departamento de Segurança da Informação e Comunicações do GSIPR. Norma Complementar 02/IN01/DSIC/GSIPR, de 13 de outubro de 2009: Metodologia de gestão de segurança da informação e comunicações. Brasília, DF, 2008. Disponível em: <http://dsic.planalto.gov.br>. Acesso em: out. 2010. _______. _______. _______. Norma Complementar 03/IN01/DSIC/GSIPR, de 30 de junho de 2009: Diretrizes para elaboração de política de segurança da informação e comunicações nos Órgãos e entidades da administração pública federal. Brasília, DF, 2008. Publicada no DOU Nº 115, de 18 Jun 2008 - Seção 1. Disponível em: <http://dsic.planalto.gov.br>. Acesso em: 15 out. 2010. _______. _______. _______. Norma Complementar 04/IN01/DSIC/GSIPR, de 14 de agosto de 2009: Gestão de riscos de segurança da informação e comunicações - grsic. Brasília, DF, 2009. Disponível em: <http://dsic.planalto.gov.br>. Acesso em: 15 out. 2010. _______. _______. _______. Norma Complementar 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009: Criação de equipes de tratamento e resposta a incidentes em redes computacionais - etir. Brasília, DF, 2009. Disponível em: <http://dsic.planalto.gov.br>. Acesso em: 15 out. 2010. _______. _______. _______. Norma Complementar 06/IN01/DSIC/GSIPR, de 11 de novembro de 2009: Gestão de continuidade de negócios em segurança da informação e comunicações. Brasília, DF, 2009. Disponível em: <http://dsic.planalto.gov.br>. Acesso em: Novembro de 2010. _______. _______. _______. Norma Complementar 07/IN01/DSIC/GSIPR, de 06 de maio de 2010: Diretrizes para implementação de controles de acesso relativos á segurança da informação e comunicações. Brasília, DF, 2010. Disponível em: <http://dsic.planalto.gov.br>. Acesso em: 16 out. 2010. _______. _______. _______. Norma Complementar 08/IN01/DSIC/GSIPR, de 19 de agosto de 2010: Gestão de etir: Diretrizes para gerenciamento de incidentes em redes computacionais nos órgãos e entidades da administração pública federal. Brasília, DF, 2010. Disponível em: <http://dsic.planalto.gov.br>. Acesso em: 17 out. 2010. CABINET OFFICE. UK Cyber Security Strategy of the United Kingdom: safety, security and resilience in cyber space. (UK Office of Cyber Security (OCS) and UK Cyber Security Operations Centre (CSOC)). UK: TSO – The Parliament Bookshop. June. 2009. 25p.
CABRAL, Fábio Alves. PEREIRA, Márcio César Dantas. A Produção do Conhecimento e o Método Científico. Ensaio (Curso Superior de Inteligência Estratégica). Escola Superior de Guerra, Rio de Janeiro, 2009. 23 p. Cartilha Primeira Compra. Disponível em: http://www.criancamaissegura.com.br/-cartilha-primeira-compra.pdf. Acesso em: 28 maio. 2010.
Cartilha Criança Mais Segura. Disponível em: http://www.criancamaissegura.com.br-/cartilha-crianca-mais-segura.-pdf. Acesso em: 28 maio. 2010. CHIESA, Rauol. Entrevista concedida à Anthony M. Freed. Disponível: em https://www.infosecisland.com/blogview/3690-An-Interview-with-UN-Cybersecurity-Expert-Raoul-Chiesa.html. Acesso em: 16 abr. 2011. Como identificar uma máquina Zumbi. Disponível em: http://www.istf.com.br/-showthread.php/9247-Como-identificar-m%C3%A1quina-zumbi. Acesso em 21 maio. 2011. CONTROLE ABSOLUTO (EAGLE EYE). Direção: D.J. Caruso. EUA / Alemanha: Paramount Pictures, 2008. 12 DVD (117 min) COSTA, Danielle Rocha. Fatores críticos de sucesso para elaboração de políticas de segurança da informação e comunicações no âmbito da administração pública federal. Trabalho de Conclusão de Curso (Curso de
Segurança da Informação e das Comunicações). UnB. Brasília, DF, 2008. COSTA, Max Maurman Pantoja. Evolução e Perspectivas da Inteligência Estratégica. 2009. Trabalho de Conclusão de Curso (Curso de Altos Estudos de
Política e Estratégia). Escola Superior de Guerra. Rio de Janeiro, 2009.
DAOUN, Alexandre Jean; LIMA, Gisele Truzzi de. Crimes informáticos o direito penal na era da informação. Disponível em: http://www.truzzi.com.br/pdf/artigo-crimes-informativos-gisele-truzzi-alexandre-daoun.pdf. Acesso em: 28 maio. 2010.
ESCOLA SUPERIOR DE GUERRA (Brasil). Manual para elaboração do Trabalho de Conclusão de Curso: monografia. Rio de Janeiro, 2011.
_______. Manual básico: elementos fundamentais. Rio de Janeiro, 2008. v. 1.
Estado-Nação. Disponível em: http://www.infopedia.pt/$estado-nacao. Acesso em: 25 mar. 2011. Estatísticas. Disponível em: http://www.rnp.br/cais/estatisticas/index.php. Acesso em: 15 mar. 2011. FREED, Anthony M. An Interview with U.N. Cybersecurity Expert Raoul Chiesa. Disponível em: https://www.infosecisland.com/blogview/3690-An-Interview-with-UN-Cybersecurity-Expert-Raoul-Chiesa.html. Acesso em: 16 abr. 2011. GERLOFF, Johannes, Christian Media Association KEP na Alemanha. Tradução Miguel Nicolaevsky. Disponível em: http://www.cafetorah.com/Guerra-Cibernetica. Acesso em: 09 ago. 2011. GONÇALVES, André Machado. Entrevista concedida à Euzimar Knippel do Carmo. Rio de Janeiro, 04 jul. 2011. (informação verbal).
GROSSMANN, Luís Osvaldo. Brasil e Rússia se aliam por Segurança Cibernética. Convergência Digital, 24 maio. 2010. Disponível em: http://convergencia-digital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=22683&sid=18. Acesso em: 12 abr.2011. Grupo dos Sete. Disponível em: http://pt.shvoong.com/social-sciences/political-science/1800519-g7-grupo-dos-sete/#ixzz1RdUJ0clC. Acesso em 30 abr. 11. Guia SIC. Disponível em: http://dsic.planalto.gov.br/documentos/publicacoes/2_Guia-_SICI.pdf. Acesso em: 31 mar. 2011. HUGHES, Rex B. NATO and cyber defence: mission accomplished? Disponível em: http://www.carlisle.army.mil/DIME/documents/NATO%20and%20Cyber%20Defence.pdf. Acesso em: 30 maio. 10. HURRELL, Andrew. Pax Americana ou o império da insegurança? Revista Brasileira Política Internacional. v. 48, nº 2, p. 30-54. 2005. Disponível em: http://www.scielo.br/pdf/rbpi/v48n2/a02v48n2.pdf. Acesso em: 24 Jun 2011. LIMA, Almir Paz de. et al. A pesquisa em criptografia no instituto militar de engenharia. Rio de Janeiro: IME, 2008.
LIMA, Gisele Truzzi de. Cyberbullying, cyberstalking e redes sociais: os reflexos da perseguição digital. Disponível em: Acesso em: 28 maio. 10. Livro GSIC UnB. Disponível em: http://dsic.planalto.gov.br/documentos/publicacoes-/3_Livro_-GSIC_UNB.pdf. Acesso em: 31 mar. 2011. Livro Verde de Defesa Cibernética. Disponível em: http://dsic.planalto.gov.br-/documentos/publicacoes/1_Livro_Verde_SEG_CIBER.pdf. Acesso em: 31 mar. 11. LOMBA, Reinaldo Moreno. Entrevista concedida à Euzimar Knippel do Carmo. Rio de Janeiro, 06 jul. 2011. (informação verbal) MAGNOLI, Demétrio. No Espelho Da Guerra. Disponível em:
http://www.olivreiro.com.br/pdf/livros/cultura/3228884.pdf. Acesso em: 24 jun. 11. MANDARINO JUNIOR, Raphael. Segurança e defesa do espaço cibernético brasileiro. Recife: Cubzac, 2010.182p.
_______. Um Estudo sobre a Segurança e a Defesa do Espaço Cibernético Brasileiro. Trabalho de Conclusão de Curso (Curso de Gestão da Segurança das Informações e das Comunicações). UnB. Brasília, DF, 2009. MARCHETI, Vitor; MARKS, John B. A CIA e o culto à Inteligência. Traduzido por
Milton Persson; Ruy A. de Sá. Rio de Janeiro: Editora Nova Fronteira, 1974. 298 p. MÜLLER, Carlos Augusto; BARROSO, Luiz Marco Lagoeiro. Inteligência Estratégica: a atividade de inteligência e o estado democrático de direito – caso
Brasil. Ensaio (Curso Superior de Inteligência Estratégico). Escola Superior de Guerra, Rio de Janeiro, 2009, 22 p. NASCIMENTO, Aldo Batista. .Entrevista concedida à Euzimar Knippel do Carmo. Rio de Janeiro, 05 jul. 2011. (informação verbal) NSA‟s MISSIONS. The NSA/CSS core missions are to protect U.S. national security systems and to produce foreign signals intelligence information. Disponível em: http://www.nsa.gov/. Acesso em: 14 mar. 2011. O ENIGMA DE ANDRÔMEDA. Direção Ridley, Tommy Scott. EUA: A&E, 2008. 2 DVD (180 min). OLIVEIRA, Liliane Maria Mendes de. Entrevista concedida à Euzimar Knippel do Carmo. Rio de Janeiro, 04 jul. 2011. (informação verbal)
PEREIRA, Antônio Celso Alves. Elementos do Direito Internacional e Relações Internacionais. In. CONFERÊNCIA PARA O CURSO DE ALTOS ESTUDOS DE POLÍTICA E ESTRATÉGIA, 2011, Rio de Janeiro, RJ. Apresentação... Rio de
Janeiro: ESG, 2011. PINHEIRO, Patrícia Peck. Crimes virtuais. Disponível em: http://www.truzzi.com.br/pdf/artigo-crimes-virtuais-gisele-truzzi-ppp-advogados.pdf. Acesso em: 28 maio. 2010. RITTO, Antônio Carlos. A Tecnologia como Agente do Desenvolvimento Nacional. In. CONFERÊNCIA PARA O CURSO DE ALTOS ESTUDOS DE POLÍTICA E ESTRATÉGIA, 2011, Rio de Janeiro, RJ. Apresentação... Rio de Janeiro: ESG, 2011. ROCHA, Rogério Xavier. Proposta de procedimento simplificado de auditoria de gestão em segurança da informação em órgãos do Poder Executivo Federal. Trabalho de Conclusão de Curso (Curso de Gestão da Segurança da Informação e das Comunicações). UnB, Brasília, DF, 2009. SALES, Fábio Augusto Cornazzani; LIMA, Gisele Truzzi de; MIRANDA Rodrigo Barros de. Privacidade e internet. Disponível em: http://www.truzzi.com.br/pdf/-
artigo-privacidade-internet-gisele-truzzi-fabio-augusto-cornazzani-sales-rodrigo-bar-ros-de-miranda.pdf. Acesso em: 28 maio. 2010. Segurança Corporativa. Disponível em: http://www.cgu.gov.br/AreaPrevencao-Corrupcao/AreasAtuacao/SegurancaCorporativa.asp. Acesso em: 15 jul. 2011. SENNA, Adrienne Giannette Nelson de; ALBUQUERQUE, Roberto Chacon de. As recomendações especiais da Força Tarefa de Ação Financeira (FTAF) para o combate ao financiamento do terrorismo. Título III: A Cooperação Internacional e a Repressão da Atividade Terrorista. In: BRANT, Leonardo, CALDEIRA, Nemer (org.). Terrorismo na Comunidade Internacional e no Brasil: perspectivas político-Jurídicas. Rio de Janeiro: Companhia Editora Forense, 2003. 557 p.
SILVA, Lenilson Vieira e. A 4ª Onda. Os novos rumos da sociedade da informação.
Rio de Janeiro: Editora Record, 1995. 208 p.
SILVA, Luiz Inácio Lula da. O Brasil do Século XXI. In. CONFERÊNCIA PARA O
CURSO DE ALTOS ESTUDOS DE POLÍTICA E ESTRATÉGIA, 2011, Rio de Janeiro, RJ. Apresentação... Rio de Janeiro: ESG, 2011.
SIMIÃO, Reinaldo Silva. Segurança da informação e comunicações: conceito
aplicável em organizações governamentais. Trabalho de Conclusão de Curso (Curso de Gestão da Segurança da Informação e das Comunicações). UnB, Brasília, DF, 2009. SOMMER, Peter. In: Gisele Truzzi de Lima. A Espionagem Eletrônica e os Desafios da Segurança da Informação. In. CONFERÊNCIA PROFERIDA DEPARTAMENTO DE EDUCAÇÃO E CULTURA DO EXÉRCITO. Rio de Janeiro, RJ. Apresentação... Rio de Janeiro: DECEx, 2009. SOUZA FILHO, José Hermínio de. O Ministério da Defesa e a Mobilização Nacional: o sistema de controle do espaço aéreo como elo do Sistema de mobilização aeroespacial. Trabalho de Conclusão de Curso (Curso Intensivo de Mobilização Nacional). Escola Superior de Guerra, Rio de Janeiro, 2000. SOUZA FILHO, Jayme José de. Investigação criminal à luz da lei 9.034/95: a atuação de agentes infiltrados e suas repercussões penais. Disponível em: http://www2.uel.br/revistas/direitopub/pdfs/vol_02/ANO1_VOL_2_07.pdf. Acesso em: 31 maio. 10. TAGIAROLI, Guilherme. Artigo: Funcionários dão 'olé' nas empresas para acessar sites proibidos no trabalho. 2010. Disponível em: http://tecnologia.uol.com.br/ultimas-noticias/redacao/2010/07/23/funcionarios-dao-ole-nas-empresas-para-acessar-sites-proibidos-no-trabalho.jhtm. Acesso em: 23 jul. 2010. TAVEIRA, Ângela Montenegro. Entrevista concedida à Euzimar Knippel do Carmo. Rio de Janeiro, 04 jul. 2011. (informação verbal) TOMBINI, Antônio Alexandre. O Banco Central do Brasil. In. CONFERÊNCIA PARA O CURSO DE ALTOS ESTUDOS DE POLÍTICA E ESTRATÉGIA, 2011, Rio de Janeiro, RJ. Apresentação... Rio de Janeiro: ESG, 2011. TOMIZAWA, Guilherme. A invasão de privacidade através do uso da Internet. Jornal do Estado do Paraná, Curitiba, p. 11 - 11, 10 out. 2004. Disponível em: Acesso em:
30 maio. 2010. ________. A invasão de privacidade através da internet. 1. ed. Curitiba: JM Livraria Jurídica, 2008. 198 p. US Army. Cyber operations and cyber operations DCSINT: Handbook No. 1 US
Army TRADOC 2005 Version 3.0. Disponível em http://www.-
scribd.com/doc/2514092/Army-TRADOC-G2-Handbook-No-1-02-Cyber-Operations-and-Cyber-Terrorism. Acesso em: 30 maio. 2010. United States Army Criminal Investigation Command. CID warns, beware of email scams. Disponível em: http://www.cid.army.mil/documents/Lookout/CID%20LOO-
KOUT_Email_%20Scams2.pdf. Acesso em: 30 maio. 10. VELOSO, Rubem Ribeiro. Avaliação de conformidade a modelos de gestão de segurança da informação na Marinha do Brasil (MB). Trabalho de Conclusão de
Curso (Curso de Gestão da Segurança da Informação e das Comunicações). UnB, Brasília, DF, 2008. WENDT, Emerson. Ciberguerra, inteligência cibernética e segurança virtual: alguns aspectos. Revista Brasileira de Inteligência, Brasília, DF, n. 6, p. 15 – 25 abr. 2011. WESLEY, Maria Helena de Amorim. Reflexões sobre a Política Nacional de Defesa Brasileira. Disponível em: http://www.abed-defesa.org/page4/page8/page9/page19-/files/mariawesley.pdf. Acesso em 12 abr. 2011.
WikiLeaks . Disponível em: http://pt.wikipedia.org/wiki/WikiLeaks. Acesso em: 12 abr. 2011. WILSON, Clay. CyberSecurity_ebook.Chapter 18- Cyber Crime. World Wide Web. Disponível em: http://pt.wikipedia.org/wiki/World_Wide_Web. Acesso em: 13 mar 2011. ZAKARIA, Fareed. O mundo pós-americano. Tradução Edgar Rocha. Lisboa: Gradiva, 2008. 251 p. ZOLNERKEVIC, Igor. Rede em pé de guerra. Unespciência, 2011, p 28-29.
Disponível em: http://www.unesp.br/aci_ses/revista_unespciencia/acervo/16/a-rede-em-pe-de-guerra. Acesso em: 31 mar. 2011.
40 Anos de Vírus. Disponível em: HTTP://tecnologia.uol.com.br/album/2011_40-anosvirus_historia.album.jhtm. Acesso em: 13 abr. 2011.
APÊNDICE A – RELATÓRIO UD IV/CGSIC/UnB-GSI PR/2009 - 2011
1. Faça no espaço abaixo uma breve revisão dos fundamentos científicos,
escritos por outros autores, que estejam diretamente relacionados com o tema
do estudo de caso.
Omitido
2. Apresente, no espaço abaixo, a questão de pesquisa de seu interesse, que
foi investigada no seu estudo de caso. Não coloque simplesmente a questão
em uma linha de texto. Faça uma narrativa na qual a sua questão esteja
inserida, de modo que haja uma estrutura de discurso.
A Organização onde trabalho faz parte da APF e é responsável pela
elaboração de Políticas e Diretrizes Estratégicas relativas a todos os setores da
organização, como por exemplo: RH, TI, Informações Organizacionais, Relações
Internacionais, Aquisição de Material e Planejamento Estratégico, entre outros.
Para que todo esse conglomerado coexista de forma matricial e vertical,
traduzindo e fazendo a interface das orientações do estamento político (APF) com os
anseios da organização, atendendo aos clientes internos (da própria organização),
eaos clientes externos, que executarão e porão em prática seus produtos, torna-se
imprescindível o trabalho proficiente da Seção de Informática (Seç Info), que, por
intermédio de seus RH especializados, ativos de informação e outros, suporta o fluxo
diário das comunicações internas e externas, favorecendo com que as informações
fluam. O Sistema de Informática é um “sistema de missão crítica” para a
Organização!
É ponto comum que a proteção às organizações atravessa por um processo de
maturação que se inicia com a observação das normas do conjunto ao qual integra,
seguindo-se a elaboração das próprias normas (normatização), a educação e
formação da massa crítica da organização capaz de difundir as ideias e por fim o
treinamento constante, a capacitação atuante e a verificação da execução daquilo
que foi normatizado.
O decreto no 3.505, de 13 de junho de 2000, orienta os procedimentos a serem
adotados pela APF no tocante à POSIC. Dele decorreram várias normas infra das
instituições que integram a APF. A gestão das ações de segurança deve estar
aderente à política de segurança das informações e das comunicações: a política diz
o que fazer, a estratégia para como fazer, a gestão faz o gerenciamento de todos os
processos para se alcançar os objetivos propostos..
Assim o questionamento de “Como a Política de Segurança das
Informações e das Comunicações orienta a Gestão da Segurança das
Informações e das Comunicações na organização”, objeto de análise deste
estudo de caso, procurará identificar a harmonia entre a política e a gestão de SIC
na organização:
3. Apresente o desenho da sua pesquisa, realizado na semana 2. Aperfeiçoe o
texto aqui, tomando por base o anteriormente descrito na semana 2. Apresente
as categorias de dados que foram investigadas, o plano de coleta de dados
que foi elaborado por você e os resultados que seriam esperados com a
coleta.
Inicialmente, cronograma de trabalho pensado para atender as demandas
criadas pelo questionamento foi o descrito abaixo.
Atividade Local Data Hora/período
Pesquisa
documental
Visita à Biblioteca da
Organização
05 Jul 10 1300 - 1500
06 Jul 10
Arquivo da Seção de
Informações
Organizacionais
07 Jul 10
0800 – 1100
Entrevista ao Chefe
da Seção de
Informações
Organizacionais
Seção de Informações
Organizacionais 08Jul 10 15:00 h
Entrevista aos
Servidores da
Organização
Organização 05 a 08
Jul 10 Durante o expediente
Entretanto, na medida em que a pesquisa documental e a entrevista ao Chefe
da Seção de Informações Organizacionais foram realizadas, verificou-se um novo
realinhamento do trabalho pensado, permitindo, salvo outro juízo, um trabalho de
melhor qualidade.
O novo plano de pesquisa traçado segue abaixo delineado.
Atividade Local Data Hora/período
Pesquisa
documental
Visita à Biblioteca da
Organização
05 Jul 10 1300 - 1500
06 Jul 10
Arquivo da Seção de
Informações
Organizacionais
07 Jul 10
0800 – 1100
Entrevista ao Chefe
da Seção de
Informações
Organizacionais
Seção de Informações
Organizacionais 08Jul 10 15:00
Entrevista ao Chefe
da Seção de
Tecnologia da
Informação
Seção de Tecnologia
da Informação 08 Jul 10 16:00
Entrevista aos
Servidores da
Organização
Organização 05 a 08
Jul 10 Durante o expediente
Questionário
aplicado aos
Servidores da
organização
Organização 08 a 09
Jul Durante o Expediente
Entrevista ao Chefe
da Seção de
Planejamento
Estratégico
Seção de
Planejamento
Estratégico
09Jul 08:00
Revisão
Bibliográfica Arquivos Classificados 09 Jul 09:00 – 12:00
Revisão
Bibliográfica Residência
10 e 11
Jul 08:00 – 10:00
4. Três opções se apresentam nesta seção:
Fazer uma descrição dos dados coletados, por meio da indicação dos fatos,
seguidos de evidências de que outras coisas ocorrem com base nos fatos* Fazer um
registro de que os dados foram coletados e de forma geral apresentam
características A, B e C.* Camuflar as informações, apresentando uma descrição
dos dados coletados, mas fazendo substituições de nomes, pessoas, lugares,
objetos, adotando um determinado tipo de organização (por exemplo, uma padaria)
que seja de pouca sensibilidade no trato da informação.
a) Dados qualitativos As entrevistas realizadas constituíram-se em fontes muito importantes para a
condução dos trabalhos.
Primeiramente o Chefe da Seção de Informações Organizacionais, seção
que engloba e gerencia as demais afetas a SIC na Organização. Com essa
autoridade me foi possível:
1) conhecer a Diretriz Estratégica de Informações Organizacionais, a
vigente aprovada em Por nº 485, de 9 jun 08, e a em elaboração. Esse documenta
unifica e orienta os procedimentos de todos os processos de Gestão, incluindo-se a
GSIC; conhecer os integrantes do Grupo de Trabalho que conduz a revisão;
perceber que a documentação em elaboração está alinhada com o Decreto 3505,
que trata da POSIC, com as Instrução normativa Nº 01 e as instruções
Complementares de Nºs1 a 7, todas do GSI; perceber que tem orientado os
trabalhos das seções subordinadas e que segue também as orientações dos
acórdãos de Nºs 1603 e 2471, ambos de 2008,e elaborados pelo tribunal de Contas
da União. Percebi junto a essa autoridade que existe o entendimento de uma política
única elaborada pela Seção de Planejamento Estratégico;
2) realizar a entrevista com o Chefe da Seção de Tecnologia da
Informação, o que me possibilitou conhecer os trabalhos afetos a revisão das
Instruções gerias de Segurança da Informação – IG 20-19, e verificar que, embora
sem o nome de política, esse documento traduz as orientações para a SIC, no nível
alta administração; essa autoridade também me orientou no sentido de procurar um
servidor que trabalhasse diretamente no planejamento estratégico da organização.
3) realizar entrevista com integrante da organização com a
responsabilidade de propor a política única da organização, colocando sob seu jugo
todas as outras normas setoriais, inclusive as que versam sobre SIC. Essa
autoridade relatou-me que a celeridade das transformações, principalmente as
advindas da era da informação tem promovido reajustes antes do tempo previsto e
que normas infra tem necessidade acompanhar esse ritmo; que existe a questão
semântica que não exime de se tratar as IG 20-19 como Política; também ficou claro
que todas as documentações infra decorrem da hierarquia das leis, da política da
organização, das instruções da organização e das normas da organização,
documentos que transitam nos níveis estratégico, operacional e tático, guardando-se
analogia com os níveis de condução das operações militares, que reservam o nível
político somente para o estamento político, conforme orientação do MD. As
publicações são difundidas nos boletins e são do conhecimento da alta
administração, que orienta inclusive a reserva de recursos financeiros ou a
capacitação, por meio de convênios e parcerias, para aplicação nas gestões de SIC;
percebeu uma limitação quando se trata da publicidade da documentação
reservada, restringindo-se seu alcance.
4) a entrevista com integrantes da Seção de Informática quanto o alcance
da POSIC na organização trouxe informações relevantes quanto a implementação
das medidas a saber: existem drives intrassistema de acesso compartimentado onde
é feito backup diário; o backup semanal fica armazenado em outro sistema fora das
instalações; existem firewalls e barramento em níveis específicos de sistema (outra
organização recebe de início todo o fluxo de informações e controla todo o fluxo de
informações que saí da organização, contando inclusive com laboratórios para tratar
os artefatos que são barrados. Esse monitoramento é diuturno e os incidentes são
reportados ao GSI. A organização possui uma equipe responsável por tratar os
incidentes de rede internamente, mantém perfis diferenciados para os seus
servidores, possui laboratório de apoio para as necessidades imediatas e possui
suporte de três entradas de rede elétrica, além de gerador com acionamento
automático no caso de queda das estações de rede elétrica comercial, não existe
controle para o monitoramento de drives removíveis e todas as estações de trabalho
permitem a inserção desse tipo de mídia e a sala dos servidores não possui
sistemas de combate a incêndio (sala cofre) embora apenas dois servidores que ali
trabalham tenham acesso a ela e possuam senhas diferentes para esse tipo de
acesso. Conhecem as normas que orientam a POSIC e a GSIC da organização. Não
houve auditoria ou não se recordam da existência da mesma
b. A consulta à documentação revelou-se bastante significativa, entretanto teve
como óbices a questão do acesso às informações classificadas. Suportaram as
pesquisas as seguintes documentações:
1) Decreto 3505, que trata da POSIC na APF;
2) IN 01- GSI;
3) Série de IC de Nºs1 a 7;
4) Cap III, SIPLEX, EB 2008 (Política da Organização);
5) G 20-19, Instruções Gerais de Segurança da Informação para o
Exército Brasileiro;
6) Acórdão nº 1603, TCU, 2008;
7) Acórdão nº 2471, TCU, 2008;
8) Questionário do GSI sobre governança de TI, mar 2010;
c. Durante as entrevistas pode-se observar, de forma não participante, acerca
da GSIC e das medidas de implantação
1) Dados quantitativos Foram conduzidos questionários nos servidores em públicos específicos
com os seguintes resultados:
a) Em relação aos servidores usuários do Sistema de Informática: - a amostra em estudo sobre a ótica de questionários, observação
e entrevista de usuários corresponde a 50% de uma Subseção, que no computo da
Organização equivale a aproximadamente 9% dos servidores da Seção, permitindo
concluir que a mesma equivale a aproximadamente 3,5% do efetivo da Organização;
- todos responderam aos questionários;
- 85% possuem curso superior, alguns na área de TI, alguns são
possuidores de pós-graduação;
- 15% possuem o nível fundamental de instrução;
- 0% conhece o PSO da organização, embora saibam do que se
trata;
- 7% possuem credencial de segurança, embora vencida;
- 100% utilizam a estação de trabalho para acesso à internet e
realiza trabalhos alheios ao desempenho funcional;
- 100% não adotam as medidas de segurança em relação à
estação de trabalho, quando da sua ausência, embora saiba que as mesmas são
necessárias;
- 100% relataram que não teve treinamento específico sobre
segurança orgânica;
- 100% julgam o sistema de informática confiável;
- observou-se o consumo de alimentos, líquidos e sólidos, junto às
estações de trabalho, embora houvesse local destinado para isso;
- 100% dos entrevistados desconhecem as IN/IC do GSI sobre
SIC;
- observou-se um ambiente organizacional favorável; e
- 100% dos entrevistados utilizam-se de mídias removíveis na
estação de trabalho ou de estações móveis particulares sem qualquer tipo de
controle.
b) Em relação aos servidores operadores do Sistema de Informática:
- a amostra em estudo sobre a ótica de questionários, observação
e entrevista a operadores do Sistema de Informática corresponde a 75% de uma
Subseção, que no computo da Organização equivale a aproximadamente 2,4% dos
seus servidores;
- 10 responderam aos questionários, dois não o responderam;
- 80% possuem curso superior, todos na área de TI, alguns são
possuidores de pós-graduação;
- 20% possuem o nível médio de instrução e possuem
qualificações como técnico em computação ou congênere;
- 0% conhece o PSO da organização, embora saibam do que se
trata;
- 0% possui credencial de segurança, mesmo que vencida;
- 100% utilizam a estação de trabalho para acesso à internet e
realizam trabalhos alheios ao desempenho funcional;
- 72,3% não adotam as medidas de segurança em relação à
estação de trabalho, quando da sua ausência, embora saibam que as mesmas
sejam necessárias;
- 100% relataram que não teve treinamento específico sobre
segurança orgânica;
- 70% julgam o sistema de informática confiável;
- observou-se o consumo de alimentos, líquidos e sólidos, junto às
estações de trabalho, embora houvesse local destinado para isso;
- 100% dos entrevistados desconhecem as IN/IC do GSI sobre
SIC;
- observou-se um ambiente organizacional favorável;
- não existe controle de acesso à Seção;
- não existe escala de permanência fora do horário de expediente.
A escala existente visa a atender necessidades de suporte à alta administração; e
- 100% dos entrevistados utilizam-se de mídias removíveis na
estação de trabalho ou estações móveis particulares sem qualquer tipo de controle.
c) Em relação ao Gestor do Sistema de Informática:
- a amostra em estudo sobre a ótica de questionário e entrevista
ao Gestor do Sistema de Segurança, corresponde a 100% de uma Subseção. No
computo da Organização equivale a aproximadamente 0,2% dos seus servidores,
mas representa uma posição chave no caso em estudo;
- 100% responderam aos questionários;
- 100% possuem curso superior na área de TI;
- 0% conhece o PSO da organização, embora saiba do que se
trata;
- 0% possui credencial de segurança;
- 100% utilizam a estação de trabalho para acesso à internet e
realiza trabalhos alheios ao desempenho funcional;
- 100% relataram que não teve treinamento específico sobre
segurança orgânica;
- 100% julgam o sistema de informática confiável, porque faz
parte de um sistema maior com outras especificações;
- 100%conhece as IN/IC do GSI sobre SIC;
- 100% afirmaram que o ambiente organizacional é bom;
- 100% afirmaram que não existe controle de acesso à Seção;
- 100% afirmaram que não existe escala de permanência fora do
horário de expediente e que a escala existente visa a atender necessidades de
suporte à alta administração;
- 100% acrescentaram que a Seção precisa de uma sala forte
para os servidores;
- 100% não crê ser necessário aumentar o espaço físico só por
uma questão de conforto;
- 100% dizem que a questão de rotatividade é maléfica e que o
efetivo deveria ser aumentado em 35%, permitindo uma ETIR exclusiva; e
- 100% afirmaram que os usuários utilizam-se de mídias
removíveis na estação de trabalho ou estações móveis particulares sem qualquer
tipo de controle.
d) Em relação ao Gestor do Sistema de Segurança:
- a amostra em estudo sobre a ótica de questionário e entrevista
ao Gestor do Sistema de Segurança, corresponde a 100% de uma Subseção. No
computo da Organização equivale a aproximadamente 0,2% dos seus servidores,
mas representa uma posição chave no caso em estudo
- 100% responderam aos questionários;
- 100% possuem curso superior;
- 0% conhece o PSO da organização, embora saibam do que se
trata;
- 0% possui credencial de segurança;
- 100% utilizam a estação de trabalho para acesso à internet e
realiza trabalhos alheios ao desempenho funcional;
- 100% não adotam as medidas de segurança em relação à
estação de trabalho, quando da sua ausência, embora saiba que as mesmas são
necessárias;
- 100% relataram que não teve treinamento específico sobre
segurança orgânica;
- 0% julga o sistema de informática confiável;
- 100% dos entrevistados desconhecem as IN/IC do GSI sobre
SIC;
- 100% afirmaram que não existe controle de acesso específico à
Organização. O controle é feito pela Seção de Segurança. Órgão supra-organização
e que o tipo de medida em prática não atende às necessidades da Organização;
- 100% não participaram de qualquer atividade educativa sobre
segurança orgânica;
- 100% acreditam que a SIC está subordinada às atividades de
Segurança Orgânica; e
- 100% afirmaram que nunca fez qualquer tipo de
treinamento/auditoria sobre o assunto, e que desempenha a função
cumulativamente com outras, tendo assumido a função a pouco tempo;
5. Apresente sua análise dos fatos, evidências e suposições acerca do estudo
de caso. Ao longo das disciplinas o processo de análise será aprimorado.
a. Aspectos positivos da pesquisa de campo:
1) maior conhecimento da organização;
2) voluntariedade das pessoas;
3) disponibilidade e facilidade de acesso, dentro do tempo das
pessoas entrevistadas;
4) confirmação da percepção da interação da disciplina e de sua
matricialidade com outras já estudadas.
b. Oportunidades de melhoria para a realização da pesquisa de campo:
1) maior tempo disponível maior;
2) constituir uma equipe de apoio multidisciplinar, principalmente em
estatística e psicologia organizacional iria favorecer a tarefa;
3) mitigar o estereótipo de “homem pesquisa” atribuída por alguns
integrantes da amostra uma vez que foram entrevistados ou responderam a
questionário por mais de duas vezes.
4) buscar aumentar o universo reduzido da amostra que em uma
situação ideal deveria abranger a maioria dos integrantes da organização, em nível
macro.
c. Quanto ao objeto da pesquisa em si percebeu:
1) Aspectos positivos
a) o alinhamento da organização quanto a POSIC desde o nível
político;
b) conhecimento da alta administração das normas sobre POSIC
e sua anuência sobre as mesmas;
c) a existência de normas hierarquizadas, atribuindo
responsabilidades pela GSIC na organização, incluindo-se a alocação de recursos
financeiros;
d) a prática de itens relacionados à SIC, independentemente de
conhecimento específico da documentação;
e) a difusão da documentação ostensiva sobre a POSIC e a
GSIC;
f) a prontidão da organização em manter atualizados os
documentos pertinentes à POSIC e a GSIC.
2) Oportunidades de melhoria
a) campanhas ininterruptas de conscientização da necessidade
de cooperar com a GSIC aos servidores da organização;
b) melhorar as condições da infraestrutura da Seção de
Informática aumentando sua segurança, conforme consta da documentação
consultada;
c) instituir equipes específicas para as atividades de GSIC;
d) incrementar a atividade de auditoria, ciclo contínuo da GSIC;
e) popup na intranet sobre procedimentos de SIC;
f) qualificação de pessoal para integrar as equipes para
favorecer a GSIC (ETIR, principalmente);
g) criar a cultura de SIC. Foco no componente humano como
forma de fortalecer a SIC na organização.
6. Cite trabalhos de outros autores. Perceba que no CEGSIC, em suas edições
anteriores, foram desenvolvidos vários trabalhos, alguns dos quais podem
estar relacionados com seu tema de pesquisa.
Omitido
APÊNDICE B - RELATÓRIO UD VII/CGSIC/UnB-GSI PR/2009-2011
1. Componha uma introdução ao seu estudo de caso, com tamanho entre 10 e
vinte linhas de texto. Faça uso de referências normativas ou acadêmicas.
Omitido
2. Introduza, de forma narrativa, sua questão de pesquisa, encadeando-a com
a introdução registrada na questão anterior.
Ao observarmos as transcrições supracitadas podemos perceber que a
Organização está sintonizada com as normas existentes e disciplinadoras da APF no
trato da Segurança das Informações e das Comunicações ( SIC ).
Conseguimos perceber que essas normas são difundidas quer em bancos
escolares e nesses entorno, valho-me das experiências pessoais vividas quando
aluno, quando docente em cursos promovidos pela organização e como oficial de
segurança orgânica, função essa desempenhada por três anos.
Nessa condição e alinhado com os objetivos da disciplina surge a questão a
ser respondida: Os Controles de Acesso Físicos e Lógicos seguem as normas da
Organização?
3. Descreva a metodologia de pesquisa, aperfeiçoando o plano de pesquisa
registrado na semana 2.
A metodologia de pesquisa centrou-se em tópicos teóricos ( Política de
Segurança e Normas de controle de Acesso ) e em objetos reais ( Controles de
Acesso Físicos e Controles de Acesso Lógicos ) e seu interrelacionamento.
Para isso a busca por dados ou informações abrangeu dados primários como
entrevista, análise dos conteúdos da documentação e a observação direta não
participativa; e dados secundários focados em pesquisa bibliográfica e pesquisa
documental.
O ambiente de pesquisa foi restrito ao ambiente organizacional e seguiu o plano
de trabalho abaixo, concebido na semana 2 e confirmado sem a necessidade de
ajustes e alterações.
Atividade Local Data Hora/período
Pesquisa
documental
Visita à Biblioteca da
Organização
05 Out 10 1300 - 1500
06 Out 10
Arquivo da Seção de
Informações
Organizacionais
07 Out 10 0800 - 1100
Observação dos
Controles de
Acesso Físicos da
Organização
Seção de Informações
Organizacionais 08 Out 10 O800 - 12:00 h
Entrevista com o
Responsável pela
Segurança
daOrganização
Organização 08 Out 10 15:00
Observação
Servidores em
atividade e dos
Controles deAcesso
Lógicos da
Organização
Seção de Informações
Organizacionais 08 Out 10 O800 - 12:00 h
Faça uma descrição dos dados coletados, sem julgá-los. Descaracterize, se
necessário for, para preservar sua organização.
As fontes de dados são as leis, decretos e normas do GSI, somados aos
arquivos da Organização e às normas internas, documentos internos estes
aprovados em Portarias do Comandante do Exército.
Adiciona-se a esses dados a percepção pessoal do Gestor do Sistema de
Segurança sobre o tema de controle de acesso.
A pesquisa documental, a pesquisa bibliográfica e a consequente validação da
bibliografia, a pesquisa às normas intraorganizacionais e a entrevista controlada
junto ao Gestor do Sistema de Segurança da organização permitiram um arcabouço
de real valor para o desfecho do trabalho.
Foram coletados os seguintes dados qualitativos:
a. documentos:
1) Decreto Nr 4553;
2) Decreto Nr 3505;
3) Instrução Normativa 01/DSIC/GSI/PR;
4) Instruções Complementares Nr02 a 08/DSIC/GSI/PR;
5) Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG
20-19)
6) Instruções Reguladoras sobre Análise de Riscos para Ambientes de
Tecnologia da Informação do Exército Brasileiro (IG 13-10);
7) Normas para Controle da Utilização dos Meios de tecnologia da Informação
(NORTI).
8) Regulamento do EME (R-173);
9) Regimento Interno do EME (RI/R-173).
b. entrevista:
Em relação ao Gestor do Sistema de Segurança:
1) a amostra em estudo corresponde a 100% de uma Subseção. No computo
da Organização equivale a aproximadamente 0,2% dos seus servidores, mas
representa uma posição chave no caso em estudo.
2) possui curso superior;
3) conhece o PSO da organização;
4) não possui credencial de segurança;
5) adota as medidas de segurança em relação à estação de trabalho, quando
da sua ausência e tem conhecimento de que as mesmas são necessárias;
6) relatou que não teve treinamento específico sobre segurança orgânica;
7) julga o sistema de informática confiável;
8) desconhece as IN/IC do GSI sobre SIC;
9) afirmou que não existe controle de acesso específico à Organização. O
controle é feito pela Seção de Segurança. Órgão supraorganização e que o tipo de
medida em prática não atende às necessidades da Organização;
10) frequentemente participa de atividades educativas sobre segurança
orgânica;
11) acredita que a SIC está subordinada às atividades de Segurança Orgânica;
12) afirmou que são poucos os treinamento/auditoria sobre o assunto, e que
desempenha a função cumulativamente com outras, tendo assumido a função a
pouco tempo;
13) poços recursos financeiros destinados à evolução do Sistema de
segurança;
14) entende que o controle de acesso é um item de proteção das instalações e
do material e integra a segurança orgânica.
c. observação direta
A observação direta permitiu verificar comportamento acerca dos controles de
acesso lógico e físico em uso na Organização.
Assim pode-se inferir:
1) sobre a observação dos controles de acessos físicos:
a) existem barreiras humanas regidas por normas e diretrizes específicas;
b) todos os servidores adentram a organização somente pelas entradas
estabelecidas para isso.
c) todos os servidores portam crachá de identificação.
d) em caso de perda desse crachá existem procedimentos a serem
realizados tanto para o usuário quanto para a equipe de segurança;
e) todas as entradas são monitoradas por câmaras e integradas a um
circuito interno de TV;
f) todas as entradas só permitem o acesso por intermédio de catracas
eletrônicas;
g) as barreiras físicas são interligadas por meio de ramais telefônicos
próprios;
h) o serviço de segurança opera 24h e o acesso fora do horário de
expediente tem de ser autorizado previamente;
i) existe equipe de apoio reserva para o caso de emergências;
j) existem linhas elétricas em número compatível e geradores para
suprirem eventuais falhas no fornecimento de energia;
2) sobre os controles de acesso lógico
a) existe uma conta para cada usuário dos meios de TI;
b) existem normas quanto à concessão de perfil e configuração de nível
de acesso às informações;
c) as informações classificadas trafegam em rede dedicada e controlada;
d) existem programas que monitoram as atividades do usuário;
e) existe campanha educativa sobre a questão privado e organizacional;
f) existem controles de acesso e banco de dados que armazenam essas
informações;
g) existe protocolo único para entrada e saída das informações. Esse
protocolo é totalmente digital e restrito às informações ostensivas;
h) poucos usuários precisam praticar mais as ações de SIC que lhe são
afetas, principalmente no trato com as estações de trabalho e sua permissão de
acesso aos sistemas da Organização;
5. Apresente sua análise dos dados com base nas hipóteses elaboradas na
semana 2.
As hipóteses elaboradas para suporte ao trabalho de campo foram as
seguintes:
a. A Organização possui POSIC?
b. Esta documentação, na hipótese de sua existência, está alinhada com
Decreto que regulamenta a POSIC?
c. Esta documentação, na hipótese de sua existência, está alinhada com as
orientações do GSI, mais especificamente com a NC 07, 2010?
d. As normas internas tratam do controle de acesso?
e. Os controles de acesso estão alinhados com as normas internas da
organização?
f. O responsável pela segurança da organização está ciente das normas
que tratam de controle de acesso, intraorganização e supraorganização?
É importante ressaltar que todas as hipóteses foram respondidas de forma
positiva, exceto a que se relaciona quanto ao conhecimento pelo Gestor do Sistema
de Segurança da Organização que não conhece as normas do DSIC/GSI sobre
controle de acesso.
Ainda como consequência do trabalho realizado posso afirmar que:
a. incidentes anteriores orientaram as normas atuais sobre controle de
acesso físico à organização;
b. todos os usuários entendem a necessidade das normas e dos controles
ora em vigor;
c. alguns usuários por questões próprias, as vezes, se esquecem de
procedimentos de controle de acesso lógico de sua estação de trabalho;
d. as normas da organização estão atuais e disponíveis;
e. a rotatividade dos servidores destinados ao Sistema de Segurança da
Organização representa uma deficiência que pode e deve ser sanada;
f. existe um banco de dados e cópias de segurança do mesmo que
armazena todos os acessos físicos e lógicos da Organização;
g. somente as documentações e as informações ostensivas trafegam na
rede interna livre. As informações classificadas têm ambiente segregado e
tratamento diferenciado em acordo com o Decreto 4553;
6. Registre o seu referencial bibliográfico: normas, artigos, livros etc.
Omitido
7. Componha um resumo do seu relatório de pesquisa – com tamanho entre
150 a 500 palavras, no qual informa ao leitor os objetivos, a metodologia, os
resultados e as conclusões da pesquisa.
O controle de acesso quer físico quer lógico deve ser uma atividade rotineira e
que além de grupo específico a ele dedicado (controles físicos) deve envolver todos
os servidores da Organização, principalmente a alta organização na aprovação
dessas medidas e na execução do controle lógico.
O trabalho em lide buscou avaliar se “Os Controles de Acesso Físicos e Lógicos
seguem as normas da Organização”.
Partindo-se do plano de trabalho elaborado na 2ª semana forma delineadas a
pesquisa documental, a pesquisa bibliográfica e sua validação, a pesquisa aos
arquivos da organização e a entrevista ao Gestor de Segurança da Organização,
buscando-se dados essencialmente qualitativos. Esse trabalho muito ajudou no
esclarecimento de alguns pontos comprovadores da maioria das hipóteses
levantadas.
Conclusivamente, posso afiançar que as normas intraorganizacionais estão
orientadas e coerentes com as normas supraorganização; que as barreiras físicas
humanas complementam as barreiras eletrônicas; que o circuito interno de TV
colabora com essas medidas; que todos os acessos são monitorados dessa forma
complementar; que visitantes não transitam sem acompanhantes e tem o acesso
franqueado apenas ao local de destino. Quanto ao acesso lógico existem perfis
definidos e limitadores de acesso às informações e aos meios de TI, as contas são
vinculadas a um único usuário, na existe duplicidade de funções.
Durante o trabalho realizado pode-se constatar as seguintes oportunidades de
melhoria:
a. melhorar a difusão das normas internas;
b. implementar do sistema de auditorias;
c. realização de campanhas perenes de educação e de conscientização
dos servidores sobre controle de acesso;
d. trabalhar a maior permanência das equipes do sistema de segurança
da Organização
e. incrementar a capacitação do pessoal; e
f. melhorar o aporte de recursos financeiros para aplicar nessa ação da
SIC.
Por fim, pode-se concluir que o trabalho realizado levantou ações a realizar que
permitirão, caso sejam implementadas, uma melhoria na atividade de controle de
acesso, embora essa atividade seja exercida por outra organização. É lídimo afirmar,
também, que existem harmonia e aderência entre as normas supraorganização e
intraorganização no trato do assunto.
Pode-se concluir que a Organização está coerente e executa em bom nível as
medidas de controle de acesso e as integra às das outras Organizações desse
condomínio, convergindo para um caráter complementar dos sistemas e
favorecendo uma economia de meios e que as normas estão alinhadas com as
normas da APF descritas em Leis, Decretos e Instruções Normativas e
Complementares.
ANEXO A - AMEAÇAS CIBERNÉTICAS - DEFINIÇÃO DE TERMOS
ANEXO B - NÍVEIS DE AMEAÇAS CIBERNÉTICAS
ANEXO C - EVOLUÇÃO DOS VÍRUS EM 40 ANOS
1. CREEPER (1971)- Mesmo sem termos muitas informações sobre ele, foi um das
primeiras a serem documentados em computadores na ARPANet (rede fechada
de uso militar dos EUA que serviu de base para a internet). Buscava as estações
de uma rede, sem data precisa de entrada do vírus na ARPANet e foi
desenvolvido para o Sistema Operacional Tenex. Foi desativado por outro vírus
(REAPER) Virulist.
2. ELK CLONER(1982)- Criado por Rick Skneter, na época com 15 anos, e infectava
os computadores da Apple. Foi considerado o 1º vírus de larga escala e que
chegou a atingir ambientes fora do laboratório de pesquisa.
3. JERUSALÉM ( 1987) – Detectado pela primeira vez na Universidade Hebraica
tratava-se de um programa mal intencionado que apagava tudo o que estivesse
rodando no computador. Foi o primeiro vírus a causar malefícios e a ter
repercussão global.
4. MICHELÂNGELO (1992) – Considerado primeiro vírus em hibernação era uma
praga programada para agir em todos os dias 6 março - apagava arquivos críticos
do HD do computador.
5. MELISSA (1999) – Criado por David l. Smith que foi preso em 1999 nos EUA e
condenado a 20 anos e a uma elevada fiança. O Viruá infectava os arquivos do
Word e os remetia a todos os nomes constantes da lista e contatos do Outlook do
usuário. Sua autorreplicação chegou até a paralisar redes corporativas.O sueco
Jonathan James ajudou a Polícia a achar o desenvolvedor do vírus MELISSA.
6. I LOVE YOU (2000) – Era um script malicioso para um trabalho na faculdade que
foi rejeitado que foi rejeitado, tendo seu criador, Guzmam , resolvido liberar o
vírus no dia 4 de maio.
7. CODE RED ( 2001) – Tinha por alvos a rede Web. Explorava uma falha nos
sistemas operacionais da Microsoft utilizados em servidores Windows 2000 e NT.
Em ma semana infectou 400 mil servidores no mundo. Ao infectar uma máquina,
direcionava ataques de negação de serviço (DDOS) para o site da Asa Branca.
Segundo a Fortnet foi um dos primeiros casos de hackerativismo (quando
usuários utilizam ataques via Web para atingirem governos ou pessoas por uma
causa ideológica) em larga escala.
8. SASSER (2004) - Também explorava uma falha em computadores com o sistema
operacional Windows. Fazia com que a máquina infectada desligasse durante um
intervalo de tempo, ininterruptamente. O alemão Sven I assumiu a autoria de sua
criação. Mai de um milhão de computadores foram infectados, ocasionando
também um prejuízo de R$ 18 bilhões. O sistema de satélites de agência da AFP
e a Cia aérea Delta foram uma das empresas afetadas.
9. MY TOB (2005) - Tornava os computadores membros de uma botnet ( rede de
computadores zumbis que podem ser controlados por criminosos para comandar
ataques). Iniciou um processo de monetização de botnets – os hackers
conseguiam ganhar dinheiro com as redes de computadores Zumbis conseguiam
enviar Spams, instalar Spywares e até interceptar e até interceptar dados de
transações bancárias.
10. STORM (2007) – O vírus foi um aperfeiçoamento do MY TOB e criou uma
rede de computadores chamado STORM botnet que usava uma estrutura de
ponto a ponto (semelhante ao programa de compartilhamento de arquivo como o
KAZAA e o LIMEWIRE). A rede zumbi foi responsável por 8% dos malwares e
infectou mais de 50 milhões de sistemas.
11. KOOBFACE (2008) – Esse vírus recrutava os computadores por meio das
redes sociais, valendo-se de uma versão de plugin flash para ver um vídeo.
Atingiu outras redes sociais como My Space, Friendster, Twiter, Hi5, etc. Tinha a
capacidade de bloquear o acesso a sites que o mestre da botnet escolhia, roubar
licenças de SW, abrir propagandas em computadores, etc. Estima-se que
conseguiu reunir mais d e500 mil estações zumbi online.
12. CONFICKER (2009) – Esse vírus aproveitava brechas de segurança do
Sistema Windows (zero day). Enviava uma série de pacotes para todas as
estações fazendo com que ficassem congestionados. Atingiu 7 milhões de
usuários da internet, incluindo-se a Força Aérea Francesa, hospitais, bases
militares. Credita-se a Ucrânia sua origem haja vista que computadores que
operavam com caracteres na língua daquele país não eram infectados.
13. STUXNET (2010) – A primeira aparição do vírus STUXNET - vírus que infecta
o Sistema Operacional Windows se aproveitando de uma vulnerabilidade que nunca
foi detectada anteriormente. (Isso o qualifica como vírus do tipo “dia zero”, atuando
sobre o Controlador Lógico Programável – CLP- que é a alma dos processos
produtivos, Junior, 2011) - foi em 2010, quando o governo iraniano relatou que sua
principal usina nuclear (Bushehr) teve suas atividades interrompidas quando o
sistema de informações foi paralisado. Segundo fontes daquele país o ataque teria
partido do Estado de Israel.
ANEXO D - ENTREVISTAS AOS ESPECIALISTAS DA ÁREA JURÍDICA
Questões
Quantidade de
afirmações
concordantes
com a hipótese.
Quantidade de
afirmações
discordantes
da hipótese.
1.Como especialista V Exa/ V Sa crê ser
necessário a elaboração de leis específicas
para atender a lacuna existente para os
crimes cibernéticos?
17 0
2.V Exa/V Sa crê que atividade de inteligência
deva ser primordial na prevenção desses
crimes?
17 0
3.V Exa/V Sa crê que hackers Possam ser
contratados por Agência de Inteligência das
FA e dos OSP, sem a prestação de concurso
público, aperfeiçoando a CF 1988, para ajudar
a elucidação de ilícitos?
16 1
4.V Exa/ V Sa crê que devamos ter leis quer
protejam os agentes da atividade de
inteligência dedicados à fonte de inteligência
cibernética, bem como os recursos destinados
a essa atividade devam ser protegidos de
exposição pública no sentido holístico?
15 2
ANEXO E - SUMÁRIO DO QUESTIONÁRIO AO CSIE-2011/ESG
Questões
Não sabe
ou não
respondeu
Quantidade de
afirmações
concordantes
com a hipótese.
Quantidade
de afirmações
discordantes
da hipótese.
1.O Sr exerce ou exerceu em
sua organização atividades
ligadas a área de Inteligência.
0 22 5
2.O Sr conhece a estrutura do
SISBIN? 0 27 0
3.O Sr tem conhecimento do
que seja espaço cibernético? 0 27 0
4.A sua organização vale-se da
CI centrada em meios
computacionais para cumprir
sua missão?
1 20 6
5.Sua organização tem
especialistas do setor
cibernético dedicados à área de
inteligência
2 14 11
6. O Sr entende que deve ser
explorado o espaço cibernético
sob a ótica de uma nova fonte
de inteligência: a cibernética?
9 13 1
Observação
4 entrevistados consideraram-se indiferentes
a questão “fonte cibernética” relativa ao item
6.
7. Ainda hoje não existe marco
legal que regule o setor. O Sr
crê ser isto necessário?
1 25 1
Questões
Não sabe
ou não
respondeu
Quantidade de
afirmações
concordantes
com a hipótese.
Quantidade
de afirmações
discordantes
da hipótese.
8. O Sr crê que devemos ter leis
que possibilitem que essas
competências exponenciais que
vasculham o ciberespaço
possam ser aproveitadas em
benefício de sua organização
independentemente de concurso
público?
5 15 7
9. O Sr crê que campanhas na
mídia seriam bem-vindas para o
esclarecimento do público em
geral acerca dos perigos do
espaço cibernético?
2 23 2
ANEXO F - SUMÁRIO DO QUESTIONÁRIO AO CAEPE-2011/ESG
Questões
Quantidade dos
que se julgaram
inabilitados para
responder
Quantidade de
afirmações
concordantes
com a
hipótese.
Quantidade de
afirmações
discordantes da
hipótese.
1.Necessidade de marco
legal para o setor
cibernético.
5 69 6
2.Necessidade de
adequação dos fluxos de
carreira e de promoções
em razão da
especificidade do setor.
14 57 9
3.Os Estados devem
trabalhar de forma
cooperativa para combater
as ameaças cibernéticas.
4 72 4
ANEXO G - SUMÁRIO DA ENTREVISTA DE RAOUL CHIESA
Q: Can international law really keep pace with the dynamic nature of the threats? A: In my humble and personal opinion the answer to this question is no,
laws are not enough. This realization also emerged from our HPP surveys, questioning more than 1200 hackers from all around the world. The specific question in this case was "do you have the perception of the illegality of your actions?", to which the answer was YES. But pay attention, this is just the beginning. When the question was "Is there a deterrence effect driven-by the laws (against hacking and cybercrime), convictions suffered by other hackers (friends of yours) or convictions suffered by themselves", the answer was NO. The reply was "I don't care" rather than "they will never bust me" or "I'm smarter than you" (...) Also relevant is the effect was from "technical difficulties" (Firewalls, IDS/IPS, "cool" Operating Systems, etc.) which would stop just a few categories of attackers, such as the youngest and inexperienced (Wannabes, Script Kiddies, Crackers sometimes), while not posing an obstacle to many other profiles.
Q: Does a sovereign nation's right to defend the integrity of its borders extend to cyber space? A: My answer to this question is a personal one, which does not
necessarily reflect those of UNICRI. This is an essential debate that only jurisdictions and policy makers will be able to define correctly. You know, whenever we are talking about sovereign nation's right to defend a State, somewhere another State will feel threatened. Let's take as an example the so-called "extraordinary retention" from the US Government. Is this right to defend the USA - and the entire world, allies and not - from a global threat? In my personal opinion the answer is yes, it is correct to try everything in order to defend a State and its' Citizens. But, at the same time, when these actions are done in order to defend a State they may impact another State which would define them as "illegal actions. So, who's got the answer, which is on the "right" side? I really don't have a final answer. Also, we should pay a lot of attention when talking about defending from attacks in the "cyberspace". Let's take as an example the famous incidents from Estonia and Georgia, or obviously the latest Chinese cases: How can a Government be 100% sure that "the people" sitting in front of those monitors and keyboards where from Russia or China? How can an Emergency Response Team - or a Governmental, or Military Red Team - exclude the scenario that somebody hacked into a box in - let's say State ABC - then jumped back on State XYZ? What I mean is that these kinds of scenarios may reflect and impact on diplomatic incidents among Governments, and we can't simply rely on log files. We should instead analyze the tools used, the attack MO (Modus Operandi), and we should definitely run deep forensic analysis...
Q: What about counterattacks against non-aggressing third party nations, whose systems are involved in attacks, should they be fair targets? A: As I commented above, in my personal opinion this would represent a huge mistake. Counter-attacking let's say Italy, just because some Italian companies are a part of a botnet, to me isn't the correct answer... and it's illegal, at least under Italian legislation. Surely, botnets must be eradicated, there's no doubt about this, and international co-operation (LEAs, CERTs/PSIRTs, ISPs, Associations, private and
public companies) is the real answer. As far as I know, there's something similar going-on in these days, and we will be able to see if that may well represent a real, final answer, by a few months. No doubts, these actions must be authorized by the law and Governments, otherwise the "counter-attack" would just make me feel like one of the bad guys by doing something illegal, unjustified, that breaks the law somewhere, in State A and/or in State B, and along all those States (meaning, different laws) across those two entities.