Como proteger sites de governo de atentados de cyberterrorismo, crimes eletrônicos e guerra cibernética
Patricia Peck Pinheiro*
Apesar de estar em vigor o decreto 3505/2000 (clique aqui), uma pesquisa feita pelo TCU em 2010 mostrou que a grande maioria das instituições públicas ainda não possuem política de segurança da informação implementada com campanha de conscientização realizada. Há nítida impressão de que isso ainda não ocorreu, passados mais de 10 anos, visto que aumentar o nível de monitoramento nos ambientes da administração pública pode vir a revelar condutas indevidas do próprio gestor público, e que ficariam então mais expostas, além da dificuldade de dar continuidade neste tipo de tema que exige um trabalho permanente e não se encerra com um mandato.
Muitos países já têm discutido sobre qual o limite que distingue a prática de um Crime Eletrônico comum e quando o mesmo se torna um ato de cyberterrorismo ou mesmo de guerra cibernética, visto que o ataque intencional a site de governo com objetivo de retirar do ar e furtar dados é considerado de altíssima gravidade. No Brasil, foi criado um Núcleo de Defesa Cibernética, a cargo do Exército e do Ministério da Defesa, conforme portarias 666 e 667 de 2010, mas o trabalho ainda está no início, deveria ser acelerado. Vivemos o 5º Poder, que está nas mãos de quem domina tecnologia e internet. O governo brasileiro tem que ter política para tratar risco digital especificamente, hoje cada Órgão trata do seu jeito.
No tocante ao aspecto de direito internacional digital, a lei 10.744/2003 (clique aqui), trata em seu art. 2º. de que é responsabilidade da União tratar sobre atentados terroristas e atos de guerra, e pela leitura seria possível enquadrar a conduta tanto no § 3o "entende-se por atos de guerra qualquer guerra, invasão, atos inimigos estrangeiros, hostilidades com ou sem guerra declarada, guerra civil, rebelião, revolução, insurreição, lei marcial, poder militar ou usurpado ou tentativas para usurpação do poder" como no no § 4o "entende-se por ato terrorista qualquer ato de uma ou mais pessoas, sendo ou não agentes de um poder soberano, com fins políticos ou terroristas, seja a perda ou dano dele resultante acidental ou intencional". O próprio Pentágono declarou que ataque cibernético será considerado ato de guerra.
O que pode ser feito, em caráter emergencial, para melhorar o nível de proteção do ente público e também dos dados dos cidadãos brasileiros, que devem ser cuidados pelo mesmo:
-
Revisar nível de segurança da informação dos sites de governo, melhorando programação dos códigos fontes, criptografando bases de dados;
-
Implementar plano de contingência e continuidade e demais medidas para evitar interrupção;R
-
Realizar monitoramento permanente do ambiente, podendo usar estratégia "honey pot" para pegar um ataque logo no início e identificar seu autor;
-
Criar policiamento online (não apenas a delegacia de crimes eletrônicos);
-
Aprovar leis que melhorem tipificação e guarda de provas, devem trazer os novos tipos de crime eletrônico, cyberterrorismo e guerra cibernética, definir modelo de identidade digital obrigatório e prazo mínimo de guarda de dados de conexão e tráfego por provedores de internet, email, páginas de conteúdo, redes sociais;
-
Implementar campanha de conscientização de segurança da informação pública, voltada aos servidores e ao cidadão, orientando sobre proteção de senha, bloqueio de estação de trabalho, necessidade de desligar o equipamento quando não estiver sendo usado e de manter atualizados os softwares de antivírus. Inclusão digital com educação digital é fundamental para prevenção.
_________
*Advogada especialista em Direito Digital. Sócia fundadora do escritório Patricia Peck Pinheiro Advogados.
_______________