Nam et ipsa scientia potestas est
Pela defesa do espaço cibernético brasileiro:
panorama mundial e nacional
Fernanda Corrêa
Historiadora, estrategista e pesquisadora do
Instituto de Estudos Estratégicos da Universidade Federal Fluminense.
fernanda.das.gracas@hotmail.com
Apesar de não possuir um conceito universalmente aceito, pode-se entender por sociedade da informação a universalização do acesso ao conhecimento e o uso crescente dos meios eletrônicos de informação. As sociedades, em geral, não fazem ideia do quanto somos dependentes da tecnologia de informação e o quanto depositamos nossas vidas no espaço cibernético, o qual se supõe ser seguro.
A terceira onda e a segurança das infraestruturas críticas
Acredita-se que, para cada período de evolução da humanidade, vivenciamos uma “onda”. A primeira onda foi quando o homem nômade passou a ser sedentário, há aproximadamente dez mil anos atrás. A segunda onda foi quando abandonamos uma economia agrícola para a era industrial, há cerca de 300 anos. E a terceira onda, caracteriza-se pela era do conhecimento, segunda a qual as relações políticas, econômicas, sociais, tecnológicas e militares foram profundamente alteradas.
Neste novo contexto que nos encontramos, dialogamos, acessamos nossas contas bancárias, nos relacionamos, trabalhamos pelo espaço virtual, também conhecido como espaço cibernético. Atualmente, não é possível dimensionar o quanto as sociedades são dependentes da informação e o quanto suas informações estão seguras no espaço cibernético. Assim como na vida real, existem pessoas dispostas a provocar danos na vida das outras, no mundo cibernético, também existem pessoas, organizações, empresas, países, resguardadas pelo anonimato e pela distância, a burlar a segurança dos equipamentos e dos sistemas de informação e se beneficiar destas ações. O fato é que muitas redes e seus protocolos não foram criadas para ser protegidas, mas sim, acessíveis.
No Brasil, a segurança e a defesa do espaço cibernético é um assunto muito recente. Assim, não se tem como dimensionar o grau de conectividade e interdependência dos nossos equipamentos e sistemas de informação e muito menos da conectividade e interdependência das infraestruturas críticas, tais como redes de esgoto, rede de distribuição de água, redes de telefonia e redes de operação e distribuição de energia. Caso estas redes e sistemas forem interrompidos ou destruídos, provocarão um impacto político, econômico e social na sociedade de tal ordem que podem pôr em risco a segurança nacional. Por isto, é imperativo estudos sobre a defesa do espaço cibernético.
Casos de ataques cibernéticos no mundo
Embora a internet tenha nascido no contexto da 2ª Guerra Mundial, derivada da rede Arpanet, somente agora, se expandiu vertiginosamente a velocidades inimagináveis. No entanto, há casos comprovados e não comprovados que, no contexto da Guerra Fria, países tenham promovido ataques cibernéticos contra outros países, empresas, infraestruturas críticas em benefício de natureza estatal ou internacional. Assim, serão exemplificados alguns casos históricos e atuais.
O sistema de gasoduto da Sibéria
Em 1982, o gasoduto da Sibéria, adquirido ilegalmente do Canadá, explodiu. Autoridades locais afirmaram haver um mal funcionamento do sistema de controle do gasoduto, o qual era controlado por computador. Há indícios de que, a CIA tenha alterado o sistema computacional do gasoduto, de forma que o sistema de controle recebessem instruções para operar além dos limites. Embora seja um caso não comprovado, se verídico, este foi o primeiro caso de ataque cibernético a infraestruturas críticas na História.
A companhia de esgoto da Austrália
No ano de 2000, um funcionário insatisfeito com a companhia de esgoto, invadiu o sistema de controle de bombas e provocou o derramamento de milhões de litros de esgoto nas ruas da cidade de Maroochy, na Austrália. Este foi um dos poucos ataques cibernéticos a infraestruturas críticas já confirmados.
A central nuclear da Síria
Em 2007, objetivando destruir uma suposta instalação nuclear na Síria, Israel promoveu um ataque aéreo, conhecido como Operação Orchard. No entanto, a Síria dispunha de um sofisticado sistema de defesa antiaérea adquirido da Rússia. Israel, então, teria alterado o sistema sírio para que este não visualizasse os aviões israelenses invadindo seu espaço aéreo. Acredita-se que, Israel tenha se utilizado de neutralização remota, mísseis antirradiação ou mesmo que os radares sírios não estivessem em operação. Embora a Síria acuse Israel de ter promovido o ataque, Israel alega inocência tanto no ataque aéreo quanto no ataque cibernético.
A usina nuclear do Irã
Em 2010, o Irã sofreu um poderoso ataque cibernético que afetou os computadores da central nuclear de Bushehr. O Stuxnet é um vírus sofisticado com alto valor tecnológico agregado, produzido em laboratório. Este vírus foi produzido, especialmente, para atacar as instalações nucleares iranianas, a fim de frear o programa de enriquecimento de urânio. Além de ser acionado à distância, é um vírus instável e migra com rapidez. A medida que se começa a contra-atacá-lo, o vírus muda de versão. Autoridades políticas internacionais acreditam que as reais intenções do Irã, ao enriquecer urânio em seu próprio território, sejam construir uma bomba atômica. O Governo iraniano acusa Israel e EUA por terem produzido este vírus e promovido o ataque cibernético às suas instalações nucleares. Por o Stuxnet ser uma arma cibernética, este vírus se tornou um paradigma nos estudos sobre Segurança e Defesa, a medida que provocou a reformulação de conceitos como soberania, criou novos conceitos como nação virtual e espaço cibernético e provocou uma nova corrida armamentista, sem precedentes na História, cujos danos podem ser equiparados aos provocados por armas de destruição em massa.
Anonymous
Em 2004, um grupo internacional de hackers chamado Anonymous foi criado com o objetivo de desestabilizar as redes e os sistemas políticos, econômicos e sociais. Alegam não ter identidade, partidarismo, orientações religiosas, interesses econômicos ou mesmo ideologias de quaisquer espécies. A fim de combater as injustiças sociais, promovem ataques cibernéticos no mundo. A ideia do grupo, ao realizar seus ataques, é impor à sociedade uma reflexão sobre os problemas sociais. Alegam planejar apenas ataques aos sites governamentais, promovendo um impacto direto na vida das pessoas e obrigando-as a buscar maiores conhecimentos sobre as razões destes ataques. O grupo tem pretensão de se expandir fora dos limites virtuais, planejando ações nas ruas a fim de que seus ideais de mudança de pensamento e de comportamento nas sociedades consiga sensibilizar mais pessoas.
Espionagem na imprensa dos EUA
Respectivamente, em janeiro e fevereiro deste ano, os jornais estadunidenses The New York Times e The Wall Street Journal acusaram o Exército da China por ataques cibernéticos. A fim de espionar o trabalho investigativo dos jornais sobre as riquezas dos familiares do primeiro-ministro chinês, Wen Jiabao, supostamente, “piratas cibernéticos” teriam se infiltrado no sistema operacional dos jornais e utilizado as senhas de seus repórteres. Em 25 de fevereiro, a empresa de segurança estadunidense, Mandiant, apresentou um relatório detalhando a rede de espionagem de uma unidade do Exército de Libertação Popular da China. De acordo com o relatório desta empresa, mais de 140 entidades em todo o mundo, sofreram ataques de um grupo de hackers, denominado RPT-1, o qual estaria desenvolvendo suas ações de um edifício, em Xangai. Há indícios de que ali, funcione a sede de operações da tal unidade do Exército chinês. A priori, o relatório afirma que o objetivo desta unidade é espionar e roubar informações políticas, econômicas, tecnológicas e militares. Embora a China tenha alegado inocência diante destas acusações e também sofrer inúmeros ataques cibernéticos, o Departamento de Defesa dos EUA tem dado total prioridade a defesa do espaço cibernético, acabou de aprovar um plano para quintuplicar pessoal qualificado e acredita que a tendência da guerra no futuro se expanda cada vez mais para o espaço cibernético.
A segurança e a defesa do espaço cibernético brasileiro
Detectou-se que, no Brasil, o sistema de segurança do espaço cibernético é falho e está muito atrás dos sistemas de segurança desenvolvidos no mundo. Problemas como a ausência de ações de coordenação conjuntas, não haver legislação apropriada para repreender crimes e ataques cibernéticos, não haver uma cultura de segurança da informação e nas comunicações no Governo etc são apontados como deficiências do sistema de segurança do espaço cibernético brasileiro.
Desde 2008, a Estratégia Nacional de Defesa direcionou as áreas críticas de atuação das Forças Armadas brasileiras: à FAB, coube, a defesa aeroespacial, à Marinha do Brasil, coube desenvolver o programa nuclear, e ao Exército, coube a defesa do espaço cibernético. Desde então, iniciou-se planos no Exército Brasileiro para desenvolver sistemas de defesa no espaço cibernético. Defesa e ataque cibernéticos passaram a dispor de conceitos. Resumidamente, o primeiro se refere às ações que são tomadas proteger, monitorar, analisar, detectar e responder a atividades que não são autorizadas no âmbito das redes e sistemas. Ataque cibernético se refere às ações que são tomadas utilizando redes de computadores para interromper, negar, corromper ou destruir informações dispostas em computadores e em suas redes.
Em agosto de 2010, o Exército Brasileiro ativou a criação do Núcleo do Centro de Defesa Cibernética. Por meio deste Núcleo, o Exército busca sugerir medidas, propor ações e elaborar projetos para a Defesa Nacional dispor, no futuro próximo, de um setor cibernético integrado. Além de buscar conhecer as infraestruturas críticas do País, busca-se conscientizar gerentes de tecnologia de informação, empresas, agências a tomarem medidas de segurança de seus sistemas e redes, adquirir expertise na literatura internacional disponível, propôs a criação do Centro de Defesa Cibernética e consulta acadêmicos brasileiros especialistas no assunto. Interessante ressaltar que dentre as referências na área, o Exército privilegia os estudos de um civil, Raphael Mandarino Júnior, atualmente, alocado no Gabinete de Segurança Institucional da Presidência da República.
O Centro de Defesa Cibernética é responsável pela coordenação de ações de defesa do espaço cibernético brasileiro e sua responsabilidade, atualmente, está sob o comando do General-de-divisão José Carlos dos Santos, o qual se responsabilizará por cerca de 40 militares, que formam o efetivo deste Centro. Além de aprofundar os estudos sobre ameaças e vulnerabilidades na área cibernética, o Centro de Defesa Cibernética é responsável pelo estabelecimento de uma doutrina nacional e de uma política de defesa cibernética, pela maximização dos investimentos em hardware e software e na conscientização do usuário sobre o assunto.
A primeira missão deste Centro foi o monitoramento de rede do evento internacional Rio+20, realizado em 2012, na cidade do Rio de Janeiro.
É de suma importância que estes estudos e projetos se materializem em todo o Estado brasileiro. A título de exemplificação, infraestruturas críticas brasileiras também fazem uso do sistema Escada, da Siemens, o qual se tornou alvo do vírus laboratorial Stuxnet, que atingiu o sistema da usina nuclear iraniana.