Um ataque cibernético noturno levou a Caixa Econômica Federal a tirar do ar, em agosto, os cadastros de FGTS, seguro-desemprego, Bolsa Família e aposentadoria que contêm informações pessoais de milhões de brasileiros. No Banco do Brasil, um hacker furtou, em dezembro, R$ 524 mil da conta da prefeitura de Iguape, no litoral paulista. Às pressas, a instituição financeira estornou o valor e montou ofensiva para dobrar a vigilância nas mais de 5 mil contas de cidades que recebem o dinheiro do Fundo de Participação dos Municípios (FPM).

Nos últimos meses, invasores ainda tentaram entrar nos dados de mais de 30 milhões de contribuintes guardados pela Receita Federal. Se tivessem sucesso, conseguiriam informações guardadas por sigilo fiscal, como dados bancários. Nem mesmo o Exército escapou. Após vazar a informação de que, em um seminário de segurança cibernética, foi dito que a instituição era pouco atacada, houve um bombardeio de hackers tentando entrar no sistema. Oficiais dizem que o objetivo não era roubar informações, mas demonstrar que nenhum sistema é inviolável.

Tentativas de invasões puseram o Operador Nacional do Sistema Elétrico (ONS) em alerta constante. Em novembro, o site do órgão sofreu um ataque. O ONS se adiantou para informar que o sistema de operação não havia sido atingido, descartando a possibilidade de apagão nas cidades. Um ataque coordenado aos sistemas internos do ONS poderia até mesmo deixar o País às escuras.

Somente neste ano, os ataques cibernéticos à administração federal chegaram a quase mil. Em 2019, segundo o Gabinete de Segurança Institucional (GSI), órgão vinculado à Presidência da República, o número de tentativas de invasão foi de 10.913. Os criminosos buscam roubar dados, danificar sistemas de operação ou, até mesmo, desmoralizar governos. O GSI não divulga quantos ataques cada órgão sofreu para não estimular os hackers a invadir sistemas menos atingidos, como ocorreu com o Exército.

No último dia 28 de fevereiro, hackers invadiram a prefeitura de Foz do Iguaçu e divulgaram dados pessoais do prefeito Chico Brasileiro. No dia seguinte, atacaram a página da assessoria de imprensa da cidade. Ao acessar a página do governo municipal na internet, os internautas encontravam uma mensagem dos invasores. "Seus técnicos de TI são muito ruins, acho melhor os senhores nos contratarem para poder identificar as falhas. Não adianta nada fechar uma falha e deixar outras abertas", dizia o texto, assinado por Chaos Computer Club.

Planejamento

Diante da ofensiva cada vez mais ousada de hackers aos sistemas operacionais e de informações de empresas de energia, ministérios, bancos federais e polícias, o Palácio do Planalto lançou diretrizes para uma Estratégia Nacional de Segurança Cibernética (E-Ciber). O objetivo é resguardar suas redes e ativar planos de contingência em caso de invasão. Até agora, o combate aos invasores é feito de forma isolada por órgãos públicos e pela iniciativa privada.

Sob análise do GSI, um documento da Europol - a Agência Europeia para a Cooperação Policial - sugere que a falta de uma legislação nacional sobre segurança cibernética expôs o Brasil como alvo principal dos hackers na América Latina. O documento indica, ainda, que 54% dos ataques no Brasil têm origem no próprio País. O Estado apurou que os ataques que vem de fora do País são provenientes da China e, em segundo lugar, dos EUA. Interlocutores do governo dizem que o fato não significa que esses países estejam por trás desses ataques. Podem ser grupos de hackers que realizam ataques a partir desses locais.

Documento

A origem dos ataques é variada e não há uma repressão coordenada nacionalmente contra os criminosos. A Polícia Federal montou, ainda em 2003, um setor para cuidar da repressão a crimes virtuais, mas, na avaliação de especialistas, a corporação só trata de problemas no "varejo".

O estudo da Europol, que apontou a falta de uma legislação nacional sobre o tema, foi incluído em um relatório de 55 páginas, anexado ao decreto do GSI que criou a Estratégia Nacional de Segurança Cibernética. O texto recomenda a elaboração de uma lei específica, com o objetivo de sustentar as diretrizes para o setor.

O relatório propõe a realização de parcerias entre União, Estados, Distrito Federal, municípios, Ministério Público, universidades e empresas privadas. Tudo para adotar programas e projetos de segurança cibernética.

Invasão de sistemas

Os primeiros dois meses de 2020 foram de tensão no governo. O Gabinete de Segurança Institucional registrou uma onda de e-mails de phishing (tentativa de obter senhas), que levavam a páginas falsas de sites dos mais importantes ministérios. Hoje, o governo estima que 57% das tentativas de invasão cibernética no País começam com os e-mails de phishing.

O problema ganhou destaque nos balanços das empresas. Na Itaipu Binacional, por exemplo, a previsão é de um desembolso de US$ 950 milhões para atualização tecnológica das unidades geradoras e segurança operacional, nos próximos 14 anos. O investimento global tende a tornar a empresa mais protegida de ataques e invasões. O pacote prevê um gasto específico para segurança cibernética, que focará na proteção de futuros sistemas digitais responsáveis pelo controle da usina.

Neste ano, Itaipu gastará US$ 3 milhões na compra de aplicativos e softwares de segurança cibernética. A assessoria da empresa observa que esse gasto aumenta à medida que se adotam novas tecnologias.

A empresa também firmou parcerias com o Exército e centros de pesquisas, organizou seminários técnicos e escalou equipes de vigilância permanente. Houve até celebração de contrato, em setembro de 2017, na sede do QG do Exército, em Brasília. O acordo previa R$ 1,5 milhão em atividades do Laboratório de Segurança Cibernética mantido nas dependências do Complexo de Itaipu. Dois anos depois de receber pedido de socorro, o próprio Exército foi alvo de ataques.

Diretrizes

A implantação gradual da política de segurança cibernética é acompanhada com lupa por especialistas. Em um momento de discursos de tom autoritário, o GSI fez questão de garantir que o E-Ciber só estabelece diretrizes e formas de cooperação no combate a invasões, descartando qualquer controle de conteúdo dos sistemas. De acordo com o GSI, cada órgão integrante da rede continuará responsável pela segurança dos dados, sem interferências.

"O governo não vai estabelecer uma central para controlar dados", disse ao Estado o diretor do Departamento de Segurança da Informação do GSI, general Antonio Carlos de Oliveira Freitas. "Tudo será baseado na coordenação e cooperação, jamais controle ou comportamento invasivo." / T.M.

Marco importante

Especialistas avaliam que a Estratégia Nacional de Segurança Cibernética (E-Ciber) é um marco importante por se antecipar a riscos, traçando diretrizes de prevenção. Ao mesmo tempo, porém, observam que o decreto, de 5 de fevereiro, não especifica metas. Diante desse diagnóstico, o argumento mais usado é o de que as etapas seguintes à edição do texto precisam ser acompanhadas para que eventuais ameaças a direitos fundamentais não entrem no radar.

Na prática, como determinada por decreto de 2018, ainda no governo de Michel Temer, a Política Nacional de Segurança da Informação deve estabelecer, além da E-Ciber, planos complementares. É para esses planos que os estudiosos chamam a atenção. Professor de Regulação da Internet na FGV Direito Rio Luca Belli considera que a E-Ciber é vaga. "Ainda não é possível dizer que há risco às liberdades individuais. A estratégia identifica problemas e ações e cria um sistema nacional, mas não detalha as soluções." A E-Ciber aponta preocupações para garantia da segurança cibernética do País por meio do desenvolvimento de áreas como pesquisa, educação e conscientização da sociedade. Na avaliação de Belli, porém, faltam definições sobre orçamentos, metas, prazos e responsáveis pelas ações.

Consultora nas áreas de segurança cibernética e de privacidade, Barbara Marchiori trabalhou no programa de segurança cibernética da Organização dos Estados Americanos (OEA). Ela elogiou a organização do processo de formulação e o conteúdo da estratégia brasileira. Para ela, o texto não abre brecha para preocupações com violações de direitos. "O Brasil não está mal, se comparado a outros países. Não ter os planos não me preocupa. Mas é preciso acompanhar."

Doutor em Direito pela USP e diretor do InternetLab, Francisco Brito Cruz também observou lacunas na estratégia, mas disse que não seria possível resolvê-las por decreto. A entidade representada por ele pesquisa e promove o debate acadêmico e a produção de conhecimento nas áreas de Direito e Tecnologia. Para Cruz, o texto editado foi "técnico e eficaz" no diagnóstico.

Uma das propostas da estratégia é criar um sistema nacional de segurança pelo qual empresas poderão fazer a adesão. O setor privado está preocupado com o tema. Ataques podem comprometer informações gerenciais ou violar propriedades. 

Basicamente quando se fala em copa do mundo se escuta duas coisas: que os aeroportos serão um grande problema, que os governadores (qualquer que seja ele) estão com as obras dos estádios atrasadas e o trânsito e o transporte público precisam ser resolvidos.

O que não se escuta falar é que na cartilha da Fifa, para a copa do mundo, estes são apenas alguns dos problemas. Como esta coluna fala de Tecnologia, é necessário se analisar os aspectos tecnológicos associados a cartilha e que são fundamentais para que a copa aconteça. Antes de mais nada, é importante colocar que os prazos para boa parte estar operacional não é 2014 mas sim 2013, pois esta é a data da Copa das Confederações.

Falando de tecnologia, se engana, quem acha que o principal problema será a banda larga 3G, esse problema é tão obvio que se as operadoras não fizerem nada será uma prova de incompetência de quem está a frente deste processo.

O problema que ainda não ganhou fama na mídia são os inúmeros sistemas de suporte ao turista, torcedor e cidadão, que irá ver os jogos nos estádios e que precisam estar funcionando a qualquer custo, ou seja, ter um plano de continuidade.

Ao redor das arenas da copa os sistemas da Polícia Civil, Polícia Militar, Bombeiros, Ministério Público, Secretaria de Saúde e tantos outros precisam estar operacionais. Ai vem à pergunta, quem esta cuidando deste problema? Não podemos deixar isso na conta do governador, ele deve atuar nas grandes questões, como as descritas acima. O que os departamentos de TI estão fazendo? Nos bastidores se houve de tudo, desde que Romário está certo e a mão divina irá atuar fazendo com que todos os sistemas de TIC necessários fiquem operacionais, até que será construído um CPD enorme em Brasília que terá uma cópia de todos os sistemas. Enfim, qualquer um dos dois cenários é hipotético e difícil concretização ate 2013.

Porém esta é apenas a visão governamental da coisa. Claro que ela é importante, mas o que esquecemos é que com uma copa do mundo acontecendo no Brasil nós teremos todas as mídias do mundo apontadas para nós. Isso significa que boa parte dos hackers, sejam eles pertencentes a governos ou a grupos isolados, também estarão olhando para nós. Ai vem à pergunta capital: o que sua empresa esta fazendo, HOJE, para se proteger dos ataques que virão, NO FUTURO?  Estados que terão jogos de países em conflitos políticos provavelmente serão alvos, terão seus órgãos, empresas, etc, como alvos de grupos de ideologias contrárias. Portais, jornais, empresas que estão envolvidas também devem ser alvos, porque simplesmente isso dá fama e certa notoriedade para quem conseguir.

Em resumo, a Copa do Mundo, não é um problema do governador do seu estado, mas um problema dos seus secretários, departamentos de TI destas secretarias, de qualquer um que tenha uma página na Internet e que potencialmente seja um alvo.  Definitivamente não é um problema de um “homem só”, mas um problema nosso, para ser um sucesso, todos nós devemos fazer a nossa parte.