A necessária maturidade em cibersegurança no cenário nacional

0

Os Estados Unidos, em 2004, declararam outubro como o "Mês de Conscientização sobre Segurança Cibernética". O movimento foi provocado para que os setores público e privado trabalhem juntos visando aumentar a conscientização sobre a importância da segurança cibernética.  E no Brasil?

No tocante ao cenário nacional, o Decreto nº 9.637 [1], de 26 de dezembro de 2018, instituiu a Política Nacional de Segurança da Informação e dispôs sobre princípios, objetivos, instrumentos, atribuições e competências de segurança da informação para os órgãos e entidades da Administração Pública federal, prevendo assim, para a sua implementação, a elaboração da Estratégia Nacional de Segurança da Informação e dos Planos Nacionais.

Deste modo, o referido decreto apontou em seu artigo 6º que a Estratégia Nacional de Segurança da Informação fosse construída em módulos, objetivando contemplar a segurança cibernética, a defesa cibernética, a segurança das infraestruturas críticas, a segurança da informação sigilosa e a proteção contra vazamento de dados.

Em janeiro de 2019, a Estratégia Nacional de Segurança Cibernética (E-Ciber) foi eleita como primeiro módulo da Estratégia Nacional de Segurança da Informação a ser elaborado, sendo instituída em 6 de fevereiro de 2020, por meio do Decreto nº 10.222 [2].

A E-Ciber, para além de preencher importante lacuna no arcabouço normativo nacional sobre segurança cibernética, estabelece ações para modificar, de forma cooperativa e em âmbito nacional, características que refletem o posicionamento de instituições e de indivíduos sobre o assunto.

Em 26 de dezembro de 2023, o Brasil instituiu a
Política Nacional de Cibersegurança (PNCiber) e o Comitê Nacional de Cibersegurança (CNCiber), por meio do Decreto nº. 11.856 [3], proposto pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR). O decreto estabelece um rol de sete princípios, dentre os quais a educação e o desenvolvimento tecnológico em segurança cibernética, e 11 objetivos, destacando-se a promoção da educação e da capacitação técnico-profissional em segurança cibernética na sociedade e fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação e, ainda, a competência e objetivos do CNCiber. Esses elementos visam preencher lacunas na cibersegurança no Brasil, bem como na Segurança da Informação no que se refere a incidentes e ataques cibernéticos.

Entretanto, antes de falarmos em segurança cibernética, há que se compreender o que é ciberespaço. E, para tal, deve-se fazer a distinção entre os conceitos legal e tecnológico deste termo. Legalmente, o ciberespaço pode ser entendido como um "ambiente complexo, de valores e interesses, materializado numa área de responsabilidade coletiva, que resulta da interação entre pessoas, redes e sistemas de informação", a partir da definição encontrada na Estratégia Nacional de Segurança do Ciberespaço 2019-2023 de Portugal, Resolução do Conselho de Ministros nº 92/2019.

No Brasil, a Estratégia Nacional de Segurança Cibernética (E-Ciber) não apresenta definições, mas aplica o termo espaço cibernético. Sob um olhar tecnológico, o ciberespaço é "constituído por comunicações eletrônicas de dados em um de três estados possíveis (ou por transmitir, ou em transmissão, ou já transmitidos) que fluem entre, e estão alicerçados em três camadas distintas (a física, a lógica e a cognitiva)", conforme Bravo [4].

De acordo com Freitas et al. (2022) [5] é esse espaço que se torna meio para conflitos, condutas lesivas e ilícitas praticadas por intermédio da hiperconexão e digitalização, permitindo a união com os demais espaços formalmente e legalmente já conhecidos e compreendidos, ou seja, Terra, Mar e Ar.

A E-Ciber considera que em nível superior aos debates sobre a segurança no espaço cibernético está a Segurança da Informação, área sistêmica e diretamente relacionada à proteção de um conjunto de informações e ao valor que estas possuem para um indivíduo ou para uma organização. Por isso, no artigo 2º do Decreto nº 9.637/2018, a Segurança da Informação abrange a segurança cibernética, a defesa cibernética, a segurança física e a proteção de dados organizacionais, e tem como princípios fundamentais a confidencialidade, a integridade, a disponibilidade e a autenticidade.

Diferentemente do Decreto nº 9.637/2018, Brookson et al. [6] mostram que a cibersegurança engloba cinco diferentes domínios, a saber: Segurança das comunicações, Operações de segurança, Segurança da informação, Segurança física e Segurança Pública/ Nacional.

A segurança cibernética engloba tudo o que protege organizações e indivíduos de ataques intencionais, falhas e incidentes, assim como de suas consequências no ciberespaço. Por isso, a aplicação de ferramentas e estratégias é fundamental para prevenir ataques oportunistas e crimes cibernéticos de uma maneira geral.

No que diz respeito aos tipos de transgressões praticados, várias são as nomenclaturas utilizadas para designar um crime cometido por meio de dispositivos informáticos conectado à Internet ou não, desde os virtuais, digitais e informáticos, até crimes ou delitos cibernéticos, cibercrimes, e-crime, dentre outros. Há que se diferenciar entre os crimes centrados no computador, crimes auxiliados por computador e crimes por computador incidentais [7].

Essas três categorias efetivamente diferenciam o meio, a forma e a conduta, podendo-se resumir-se em: a) crimes centrados no computador: a atividade criminosa objetiva atingir os dispositivos e sistemas computacionais, por exemplo, ataques de negação de serviço; b) crimes auxiliados por computador: dispositivos e sistemas computacionais são utilizados como meio para auxiliar na prática da atividade criminosa, sendo que a conduta já é conhecida e tipificada, por exemplo, calúnia, difamação ou injúria por meio de redes sociais; c) crimes por computador incidentais: atividade criminosa que faz uso eventual de dispositivos informáticos e/ou sistemas computacionais, por exemplo, a troca de mensagens eletrônicas sobre propinas ou venda ilícita de produtos.

A categorização para crimes cibernéticos mais comumente utilizada considera tais crimes como próprio (exclusivamente) e impróprio (aberto) [8]. Assim, crimes cibernéticos próprios ou exclusivamente cibernéticos são aqueles que "exigem ou dependem necessariamente da utilização de recursos tecnológicos como meio e objeto da prática delituosa, sendo o ambiente computacional o objeto jurídico a ser tutelado". Já os crimes cibernéticos impróprios ou abertos são aqueles em que "o ambiente computacional é utilizado como meio para execução da conduta ilícita", podendo o resultado ser obtido de forma comum, sem o uso da tecnologia informática.

Ao se considerar nos debates que a segurança no espaço cibernético parte da Segurança da Informação, há que se ter em mente a Norma ABNT NBR ISO/IEC 17799 [9], por meio da qual se conhece o conceito de:

"A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida. A segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio."

Sendo a informação um ativo (asset), é necessário compreender que, do ponto de vista tecnológico, matemático e computacional, dado e informação possuem definições distintas, não sendo sinônimos apesar de estarem intrinsecamente conectados.

Desta discussão, compreende-se que cibercrimes, ciberespaço e segurança cibernética envolvem condutas, meios e mecanismos que precisam ser estrategicamente analisados para que a proposição efetiva de prevenção, detecção e mitigação de riscos possa gerar os resultados esperados.

Entra em cena a conscientização, visto que depende de cada indivíduo compreender e agir de maneira preventiva, protetiva e segura. E, para que a sociedade como um todo atinja maior maturidade nesta seara, são importantes algumas recomendações, tais como:

  1. a) tenha senhas seguras – que devem conter letras, números e caracteres especiais; b) não clique em links estranhos ou desconhecidos – reporte ao prestador do serviço o ocorrido; c) navegue com segurança na Internet – observe se o site tem https na barra de pesquisa; d) não propague informações que "pareçam" ser verdadeiras – verifique a fonte original, visto que podem ser fake news; e) se possível, use identificação por dois fatores – isso amplia a sua segurança e de seus dispositivos; f) não mantenha aplicativos abertos por longos períodos de tempo – isso fragiliza sua segurança e aumenta o gasto de bateria; g) atualize seus aplicativos – novas versões buscam resolver falhas e vulnerabilidades existentes.

É preciso, por fim, destacar a relevância dos fatores então apresentados para a compreensão e sensibilidade do tema em prol de ações de conscientização em Segurança Cibernética, cada vez mais necessárias para o amadurecimento do cenário nacional.

Cinthia Obladen de Almendra Freitas, Doutora em Informática pela Pontifícia Universidade Católica do Paraná, Mestre em Engenharia Elétrica e Informática Industrial, Engenheira Civil, Professora Titular da PUCPR, Professora Permanente do Programa de Pós-Graduação (Mestrado e Doutorado – stricto sensu) em Direito (PPGD) da PUCPR, Coordenadora do Curso de Especialização (lato sensu) em Direito Digital e Proteção de Dados Pessoais da PUCPR.

Martha Leal, Advogada, especialista em Direito Digital e Proteção de Dados, mestre em Direito e Negócios Internacionais, certificada como CDPO pela Maastricht University e vice-presidente do Instituto Nacional de Proteção de Dados – INPD.

Notas:

[1] Disponível em https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/d9637.htm

[2] Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/d10222.htm

[3] Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2023/decreto/D11856.htm

[4] BRAVO, Rogerio. Segurança da Informação, CiberSegurança e CiberCrime: contributos para um alinhamento de conceitos. v.12. Lisboa, 2021. p. 19. Disponível em: https://www.academia.edu/40494857/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o_e_ciberseguran%C3%A7a_aspetos_pr%C3%A1ticos_e_legisla%C3%A7%C3%A3o Acesso em: 26 set. 2024.

[5] FREITAS, Cinthia Obladen de Almendra; BULZICO, Bianca; SOUSA, Devilson. A Utilização da Ferramenta de Cenarização e Ciber Security Framework do NIST na Redução de Vulnerabilidades e Mitigação de Crimes Cibernéticos: uma Análise Jurídica e Tecnológica. REVISTA MAGISTER DE DIREITO PENAL E PROCESSUAL PENAL, v. 107, p. 130-150, 2022.

[6] BROOKSOON, Charles; CADZOW, Scott; ECKMAIER, Ralph; ESCHWEILER, Jorg; GERBER, Berthold; GUARINO, Alessandro; RANNENBERG, Kai; SHAMAH, Jon; GÓRNIAK, Stawomir. Definition of Cybersecurity: gaps and overlaps in standardisation. European Union Agency for Network and Information Security – ENISA, v 1.0, december, 2015. p. 11. Disponível em: https://www.enisa.europa.eu/publications/definition-of-cybersecurity Acesso em: 26 set. 2024.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.