O presidente do Serviço Federal de Processamento de Dados (Serpro), Marcos Vinícius Mazoni, afirmou que o corte no orçamento deste ano do órgão não comprometeu a segurança das redes do governo federal.
Ele participou de audiência pública, nesta quinta-feira (3), na Comissão Parlamentar de Inquérito (CPI) dos Crimes Cibernéticos. Mazoni informou que o orçamento anual do Serpro girava em torno de R$ 300 milhões, e caiu neste ano para R$ 180 milhões.
A declaração foi feita em resposta a questionamento do deputado Sandro Alex (PPS-PR), sub-relator da CPI. “Com a redução de orçamento, é claro que existem deficiências e que se compromete a proteção dos dados do País”, disse o parlamentar. “O corte nos tira da área de conforto e cria algum nível de dificuldade, mas não comprometeu a ponto de termos alguma instabilidade. Escolhemos investir na área de segurança”, declarou Mazoni. Segundo ele, o débito com fornecedores gira hoje em torno de R$ 60 milhões.
O deputado João Arruda (PMDB-PR), que pediu a audiência, considera o Serpro confiável e acredita que seu escopo de atuação tem de ser ampliado. Vinculada ao Ministério da Fazenda, a empresa pública é responsável hoje pela segurança das redes do governo federal, com exceção do Dataprev (dados da Previdência Social) e do DataSUS (dados do Sistema Único de Saúde). “O Executivo tem de investir mais no Serpro, em novas estruturas. Quem sabe inserir outros sistemas do governo envolver até estados e municípios”, opinou Arruda.
Vulnerabilidades
De acordo com o presidente do Serpro, algumas das vulnerabilidades atuais das redes brasileiras são a predominância de armazenamento de dados em outros países, sob a legislação estrangeira, e concentração da governança mundial da internet nos Estados Unidos. Porém, conforme Mazoni, o Brasil tem sido protagonista na discussão sobre a mudança na governança da internet, por meio do Comitê Gestor da Internet (CGI.br). Ele informou ainda que o governo criou uma “nuvem” própria, em território nacional, para armazenar dados do Estado nacional.
Já o presidente do Instituto Nacional de Tecnologia da Informação (ITI), Renato Martini, acredita que o sistema de identificação civil do Brasil traz uma série de vulnerabilidades. “A nossa identificação civil é do século passado e não dá conta dos novos desafios”, apontou. Ele destacou que o País só começa agora a adotar a identificação biométrica, “que é a forma mais segura de identificação civil”.
Além disso, Martini salientou a importância da aprovação do Projeto de Lei 7316/02, do Poder Executivo, que disciplina o uso de assinaturas digitais e a prestação de serviços de certificação digital. O texto está em análise na Comissão de Constituição e Justiça e de Cidadania (CCJ) da Câmara dos Deputados.
Incidentes
A gerente-geral do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br), Cristine Hoepers, informou que o número de notificações de incidentes de segurança no País aumentou entre 1999 e 2014. O Cert.br recebe, responde e trata as notificações voluntárias de incidentes de segurança, feitas por administradores de redes e usuários, sejam eles do Brasil ou do exterior. “A internet no Brasil cresce e a tendência é que os incidentes cresçam mesmo, porque têm mais gente usando”, explicou.
Dos incidentes relatados, 44% são tentativas de fraudes; 29% varreduras em redes de computadores; e 21% são ataques de negação de serviço (tentativas de tirar sites do ar, por exemplo). Segundo Cristine, a cooperação nacional e internacional é essencial para tratar os incidentes. Ela ressaltou que, no caso de crimes de pedofilia, a orientação é que sejam denunciados diretamente à Polícia Federal, e não ao Cert.br.
Solicitações judiciais
Respondendo a questionamento do deputado Sandro Alex, o presidente do Sindicato Nacional das Empresas de Telefonia e de Serviços Móvel Celular e Pessoal (SindiTelebrasil), Eduardo Levy, declarou que as operadoras recebem mais de 10 mil solicitações da Justiça por mês, incluindo solicitações de fornecimento de dados dos usuários, de bloqueio de endereços IP e URLs, e de interceptação telemática (desvio do pacote de dados para a autoridade policial). De acordo com ele, as empresas respondem às solicitações imediatamente.
Conforme Levy, as operadoras têm data centers, onde guardam os dados de acesso do usuário (como endereço IP e hora do acesso, mas não o conteúdo da navegação) e garantem a disponibilidade dessas informações, caso sejam solicitadas pela Justiça. O Marco Civil da Internet (Lei 12.965/14) exige a guarda dos registros de conexão à internet por um período de um ano.
Levy observou que as empresas de telecomunicações apenas transportam dados, não sendo provedores de aplicação – logo, não acessam o conteúdo que é transportado. “Nenhuma operadora de telecomunicações fornece ou facilita informações que podem quebrar o sigilo dos usuários”, reiterou.