Segurança Cibernética (Ciber Segurança ou “Cyber Security”) significa atualmente, de uma maneira simples e objetiva, a proteção da informação (de pessoas, de organizações e de governos) no ambiente digital. Uma característica deste ambiente é que ele somente pode ser acessado com a utilização de computadores (máquinas) e de programas específicos. Se você pesquisar identificará que a palavra tem origem grega significando o que governa, o que dirige. Ao longo do tempo o termo foi se associando ao relacionamento com as máquinas, com a inteligência artificial, enfim com o mundo da informação digital.
Cada vez mais as informações do mundo estão sendo armazenadas, processadas e utilizadas no ambiente digital. Nós, seres humanos, acessamos estas informações utilizando equipamentos sofisticados que se aperfeiçoam ao passar do tempo. Pessoas, organizações e países dependem cada vez mais deste ambiente digital (cibernético). Podemos afirmar que as informações que fazem o mundo funcionar estão no Ambiente Digital.
A utilização de computadores permitiu uma maior rapidez de processamento e uma maior facilidade de armazenamento da informação. Imagine quanto espaço físico sua organização precisaria caso tivesse que armazenar em papel toda a informação que utiliza no seu dia a dia. Por outro lado este uso da informação no ambiente digital gerou novas ameaças: um roubo de informação não precisa ser realizado no local físico da organização. De maneira remota, a milhares de quilômetros de distância, do outro lado do mundo, um criminoso pode acessar o ambiente computacional de uma organização e roubar suas informações. Lembrando inclusive que roubar informação tem uma característica única: a informação é roubada e continua no local original. Se a organização não tiver implantado mecanismos para identificar o roubo, nunca saberá que sua informação foi roubada. Outra nova ameaça é indisponibilização do ambiente digital, sem acontecer o roubo de informação. Quer dizer: o criminoso não acessa a informação porém a própria organização também não acessa a informação e neste caso a organização fica impossibilitada de realizar suas atividades de negócio e de atendimento aos objetivos corporativos.
Sendo assim, a Segurança Cibernética é uma questão de Estado, de Governo ou de Organização? Resposta: a Segurança Cibernética precisa acontecer para o Estado, para o Governo e para cada Organização. Este trio de entidades dará ao país uma Segurança Cibernética adequada pois em muitos casos informações comerciais são verdadeiras armas na luta entre nações.
Questão de Estado.
O Estado, Nação politicamente organizada, precisa definir qual a proteção que deseja ter do seu ambiente cibernético. Esta definição deverá se concretizar em prioridades de investimentos e de projetos. Chamamos atenção para o fato de que estamos neste ponto falando do Estado. No nosso caso do Estado brasileiro. Soluções comerciais de alta performance e de alta proteção pode ser útil para organizações que atuam no mercado. Mas, quando falamos de Estado, entendo que devemos ter a maior autonomia possível. Precisamos ter uma inteligência e conhecimento próprio e não dependente (ou menos dependente) de outros países. Precisamos ser independentes. Pelo menos no que for possível. E se não somos hoje, precisamos planejar para sermos nos próximos 10 ou 20 anos. Não podemos ser cobrados por gerações futuras de que fomos negligentes.
Recentemente o fenômeno (podemos chamar assim?) Edward Snowden (Analista da NSA/USA) confirmou o que muitos que trabalham com segurança desconfiavam (ou tinham certeza): o governo americano espiona informações de todos (pessoas comuns e chefes de Estado) que passavam pela estrutura de comunicação mundial da Internet que utiliza canais nos USA. Snowden comentou que provedores de soluções comerciais de segurança eram “obrigados” pelo governo americano a codificarem “back door” (porta de fundos) que permitiam uma abertura da proteção da informação (criptografia, por exemplo) sem ter a necessidade de quebra da solução. Como o próprio nome descreve: uma porta dos fundos para o governo americano entender as informações criptografadas. Simples, não? Em resumo: o governo americano não teve que quebrar as muralhas de um castelo: ele foi pela porta dos fundos e acessou o que quis.
Como Estado, deve-se ter uma solução própria com garantia de total domínio da solução. Evidentemente soluções próprias complicam a internacionalização da informação, mas é isto mesmo no caso de Estado que não queremos. O que não pode acontecer é uma mensagem de correio eletrônica do presidente de um país ser facilmente espionada por um outro governo.
Questão de Governo.
O governo é o implementador das políticas de Estado. É o governo que considerando as questões momentâneas dará mais rapidez ou menos prioridade à implementação dos controles de Estado. Mas nunca poderá decidir contrariamente às políticas de Estado.
O Governo deve disponibilizar recursos para que a Segurança Cibernética seja implementada e que esteja adequada ao país. Estes recursos para investimento em segurança deve fazer parte de um conjunto estruturado e planejado de investimento em conhecimento. É lamentável que governos (conscientemente) distribuam computares para milhares de estudantes e professores e em propaganda político partidária digam que a tecnologia está nas mãos dos alunos e professores. A tecnologia não é a prioridade. O conhecimento é a prioridade. A transmissão do conhecimento acontece com professores capacitados e treinados. Depois disto se eles tiverem computadores (e infraestrutura como links de alta velocidade), ótimo.
A dificuldade que acontece em governos, é que qualquer que seja o partido, os governantes sentem uma grande atração por soluções de curto prazo e de grande oba oba. Porém, com pouca sustentabilidade de objetivos.
O Governo precisa implementar medidas de proteção para os órgãos de Estado e e para serviços essenciais que podem estar privatizados mas são essenciais. São alvos primários em uma Ciber Guerra (declarada ou não declarada).
Questão da Organização
As organizações também precisam proteger as suas informações. Quando falamos de uma pequena organização comercial, esta proteção diz respeito exclusivamente ao seu proprietário. Mas, quando falamos de organizações que se confundem com país, tipo a Petrobras no caso brasileiro? Ou quando falamos do sistema financeiro de um país? Trata-se de organizações privadas, de órgãos públicos que juntos são fundamentais para o funcionamento e ordenamento do país.
Sendo assim a Segurança Cibernética de um país deve ser tratada nos três segmentos: Estado, Governo e Organização. Quanto mais o país tiver uma ação coordenada com estes três segmentos, mais protegido as informações do país estará. Mas, porque esta proteção precisa acontecer?
A Ciber Guerra existe, com suas graduações.
Em vários encontros, a discussão se estamos vivendo uma Ciber Guerra ou não acontece e as opiniões são divergentes. Eu entendo que estamos em Ciber Guerra, porém existem vários níveis de confronto.
Existe o confronto com país amigo. O exemplo mais claro foi a explicitação da espionagem americana às mensagens de pessoas do governo brasileiro e às mensagens de empresas estratégicas do Brasil. Não estamos em Guerra Militar com os USA. Nossa Presidente reclamou, cancelou uma visita oficial aos USA, exigiu desculpas (que nunca foram dadas) e continuamos comprando dos USA e vendendo para os USA. Continuamos amigos e provavelmente continuamos sendo espionados. Países amigos não admitem mas, espionam uns aos outros.
Países em Guerra Física farão a Guerra Cibernética
Infelizmente existe a guerra física militar com armas, morte de pessoas e outras ações de luta armada. Países que chegam a este tipo de confronto, com certeza também travarão uma Guerra Cibernética. Com uma característica: esta Guerra Cibernética pode ser gerada de vários pontos do mundo, não necessariamente de dentro das fronteiras físicas destes países.
Pensamos em Guerra (Física ou Cibernética) com grandes destruições.
Na Guerra Física a destruição é uma característica. Na Guerra Cibernética nem sempre. O roubo e vazamento de informação não causam uma destruição: tudo continua funcionando como antes. Porém, tempos depois os impactos serão grandes.
Os responsáveis pelo Estado, Governo e Organizações precisam planejar a segurança da informação. Evidentemente com graduação de rigidez dos controles para cada um destes ambientes. Organizações precisarão utilizar criptografia. Estados também. Porém uma organização pode utilizar uma boa solução comercial fornecida por outro país. Para a criptografia de Estado devemos ter independência: não se aplica uso de soluções comerciais.
Ciber Guerra é um nome forte. Mas, todas as Organizações, Governos e Estados precisam ter uma adequada proteção de segurança para a sua informação.
Edison Fontes é Consultor, Gestor e Professor de MBAs em Segurança da Informação. É autor de cinco livros sobre o assunto, Certificado CISM, CISA e CRISC pela ISACA/USA e Mestre em Tecnologia. É colunista da Information Week Brasil e palestrante em diversos eventos. Participa da Núcleo Consultoria em Segurança, São Paulo