A constante e forte evolução tecnológica que leva à exploração crescente, por pessoas e sistemas, do espaço cibernético, com frequência leva o tema às mídias especializadas e, dependendo do evento ocorrido, até às primeiras manchetes, como no caso da verdadeira epidemia causada pela disseminação do malware tipo ransomware, denominado “wannacry”, em maio de 2017.
As diferentes ameaças cibernéticas, que atingem numerosos alvos e são perpetradas por um grande leque de categorias de atacantes, com formação e propósitos variados, há muito fizeram especialistas em espaço cibernético transcenderem suas análises dos estruturados mecanismos de defesa de sistemas de uso particular ou organizacionais, para imensos e complexos sistemas de defesa de governo e de infraestruturas críticas, em nível de Estado-Nação.
Entretanto, com o tempo surgiram questionamentos sobre os limites de atuação dos Estados no setor cibernético nacional. Até onde iriam as iniciativas governamentais e até onde se iniciariam as ações próprias de defesa nesse espaço ainda tão inexplorado? Qual seria, então, nesse ambiente, a distinção entre segurança e defesa?
As inúmeras dúvidas que surgem sobre a distinção entre a Defesa Cibernética e a Segurança Cibernética são legítimas, e resultam da presente situação de indefinição doutrinária nesse quesito, como consequência da ausência temporária de instrumentos normativos – já em elaboração – que venham a colocar essas áreas em seus devidos e prementes lugares.
Para começar a discutir o tema, recuaremos um pouco e recorreremos ao conceito de Segurança da Informação, estabelecido na minuta de Decreto que atualizará e revogará os Decretos 3505, de 13 de junho de 2000, e 8135, de 4 de novembro de 2013.
Por esse instrumento, em fase final processual, Segurança da Informação, em modo resumido, “abrange a Segurança Cibernética, a Defesa Cibernética, a Segurança Física e a Proteção de Dados Organizacionais e as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação”.
Cabe observar que o conceito separa e distingue, de forma proposital, a Defesa Cibernética da Segurança Cibernética, no intuito de não confundir suas ações e amplitudes perante o Estado brasileiro, em caso de evento hostil real no espaço cibernético.
Abordemos primeiramente a Defesa Cibernética.
Do benchmarking com outras nações que labutam na área de segurança e defesa cibernéticas há mais tempo que nós, como Estados Unidos, França, Canadá, Alemanha, Portugal e Israel, constata-se que a Defesa Cibernética, em nível de Estado, é um conceito essencialmente bélico, com forte abordagem de cunho militar.
Nesse ponto é óbvio que, ao se falar em Defesa do ponto de vista de um país, faz-se imperioso complementar o verbete, passando a adotar “Defesa Nacional”. Nesse contexto, vale apreciar esse conceito.
A Estratégia Nacional de Defesa (END), aprovada em 2008 e revisada em 2012, define “Defesa Nacional”, na página 12, como sendo “o conjunto de medidas e ações do Estado, com ênfase no campo militar, para a defesa do território, da soberania e dos interesses nacionais contra ameaças preponderantemente externas, potenciais ou manifestas”.
Portanto, a defesa possui raízes essencialmente militares, o que é reforçado pelo Manual de Campanha C 100-5 “Operações”, 3ª Edição, 1997, no Capítulo 6, Artigo I, item 6-1, letra d., ao afirmar que “a defesa é uma atitude temporária adotada por uma força, até que possa adotar ou retomar a ofensiva”.
Logo, a defesa não se constitui de uma atividade, mas de uma ação tática, adotada em virtude de uma ação agressora de um inimigo ou oponente, não um sentimento ou estado e não possuindo, ainda, características de continuidade, de manutenção de “status quo”, ou de perenidade.
Ao trazermos o foco para o conceito acima aplicado ao espaço cibernético, podemos retirar, da minuta em análise do Projeto de Lei que traz a Política Nacional de Segurança da Informação, a seguinte definição para Defesa Cibernética: “ações realizadas no espaço cibernético, no contexto de um planejamento nacional de nível estratégico, coordenado e integrado pelo Ministério da Defesa, com as finalidades de proteger os ativos de informação de interesse da Defesa Nacional, obter dados para a produção de conhecimento de Inteligência e buscar superioridade sobre os sistemas de informação do oponente”.
Pelo exposto, ressalta-se a nítida associação do conceito de Defesa Cibernética com os postulados militares vigentes. Nesse contexto faz-se interessante complementar a definição, recorrendo ainda ao estabelecido pelo Grupo de Peritos Governamentais das Nações Unidas (GGE, no acrônimo em Inglês) sobre Desenvolvimentos no campo da Informação e Telecomunicações no contexto da Segurança Internacional, em seu relatório de 22 de julho de 2015.
Nesse documento, o citado Grupo reconhece a necessidade dos países de não conduzirem ou admitirem atividades realizadas com uso de meios de TICs que danifiquem, tanto suas próprias ou de outro país: o funcionamento das infraestruturas críticas, a operação de equipes de resposta a emergências e o funcionamento de sistemas de governo.
Ao mesmo tempo, reconhece ser difícil, por razões técnicas, a atribuição da fonte de ataques e, portanto, de responsabilidade, a um país como originário intencional de um ataque cibernético.
O Grupo ainda estabelece como sendo de inteiro direito de um país de se defender no campo cibernético quando atacado, porém dita como obrigatória a atribuição clara de responsabilidade para a realização de contra ataques.
O GGE considera tão sensível a atribuição de responsabilidades com relação a incidentes cibernéticos, que recomenda, que, “no caso de incidentes de TIC, os Estados devem considerar todas as informações relevantes, incluindo o contexto mais amplo do evento, os desafios de atribuição no ambiente de TIC e a natureza e extensão das consequências”.
Portanto, das recomendações do GGE das Nações Unidas e dos instrumentos normativos supramencionados, podemos elencar as seguintes características da Defesa Cibernética:
– visa a defender;
– posta em execução em casos específicos de ataques contra infraestruturas críticas e sistemas de governo;
– ação essencialmente bélica, portanto, realizada por órgãos das forças armadas;
– visam a proteger o cidadão contra a interrupção de serviços essenciais em face de situações de emergência;
– adotada a partir da identificação clara do atacante, sejam Estados-Nação ou agentes não estatais patrocinados por Estados-Nação.
– visa a conter dano já ocorrido aos sistemas e instituições;
– ação limitada no tempo e no espaço, baseada em medidas necessárias à sua efetividade;
– ação planejada no nível estratégico e realizada nos níveis tático e operacional;
– não realiza tratamento de incidentes, mas atua para deter o ataque e forjar o contra ataque;
– pode realizar ataques cibernéticos;
– seu quadro é composto essencialmente de militares; e
– no caso brasileiro, é uma ação a cargo do Comando de Defesa Cibernético (ComDCiber), subordinado ao Ministério da Defesa.
Falemos agora da Segurança Cibernética.
De modo semelhante ao que fizemos ao abordarmos a Defesa Cibernética, podemos começar definindo a própria “segurança”. Segundo o dicionário digital “Dicio”, é a “situação do que está seguro”, ou “afastamento de todo perigo”.
Segundo a END, edição de 2012, Segurança é “a condição que permite ao País preservar sua soberania e integridade territorial, promover seus interesses nacionais, livre de pressões e ameaças, e garantir aos cidadãos o
exercício de seus direitos e deveres constitucionais”.
Ao trazer o conceito para o espaço cibernético, podemos nos referir ao estabelecido na minuta já mencionada da Política Nacional de Segurança da Informação (PNSI), segundo a qual Segurança Cibernética consiste em “ações voltadas para a segurança da informação no espaço cibernético”.
Já segundo a CISCO, Segurança Cibernética é a prática de proteger sistemas, redes e programas de ataques digitais. E desse modo seguem diferentes conceitos, amplamente encontrados na Internet e em publicações diversas, que definem adequadamente essa área.
Dos conceitos abordados acima, podemos depreender as seguintes características da Segurança Cibernética:
– visa à proteção;
– atividade contínua, adotada como procedimento rotineiro;
– associada a níveis de maturidade e de condição de uma organização ou sistema;
– visa à proteção da sociedade em geral;
– compõe-se de ações procedimentais adotadas de forma padronizada, capazes de serem utilizadas em diferentes organizações e sistemas;
– não é uma ação, mas uma atividade que compreende várias ações e procedimentos;
– é um sentimento, uma condição, ilimitada no tempo e no espaço, com características de perenidade;
– ação planejada no nível político, conduzida no nível estratégico e realizada no nível tático;
– estabelece procedimentos sobre tratamento de incidentes;
– estabelece procedimentos de reestabelecimento de sistemas, mas não enseja ataques;
– visa elevar o nível de resiliência de sistemas e instituições; e
– seu quadro é composto por analistas;
– no caso brasileiro, é planejada no maior nível governamental pelo Departamento de Segurança da Informação e Comunicações (DSIC), do Gabinete de Segurança Institucional da Presidência da República (GSI/PR), com apoio de aproximadamente 300 órgãos públicos, que atuam de forma sistêmica.
Entretanto, entre a Defesa e a Segurança Cibernética não há somente divergências, mas também pontos comuns, que se agrupam em uma área de intersecção. Podemos assim elucida-los:
– treinamento e capacitação similares, em razão dos recursos de hardware e software;
– perfil dos soldados e dos analistas cibernéticos é semelhante, em termos dos necessários atributos técnicos e dos relacionados à área afetiva;
– ambas as áreas têm interesse no estudo das tendências e das ameaças cibernéticas; e
– ambas devem acompanhar a evolução tecnológica de todos os recursos que se utilizam do espaço cibernético.
Diante do exposto, acredito ter auxiliado no sentido de dirimir as dúvidas que ainda persistem sobre a diferença entre os dois conceitos. A intenção, além de explicitá-los, era definir papéis e ressaltar que, não obstante haja alguma intersecção entre os temas, de modo algum são justapostos, antes, representam alinhamento estratégico com eficientes iniciativas adotadas por vários países, com estruturas já concretas e muito bem estabelecidas pelo tempo e pela prática.
Arthur Sabbat é Assessor Militar no DSI/GSIPR
