Migalhas de Peso

Estruturas críticas: o próximo alvo

Em um mundo globalizado dependente da manutenção de uma infraestrutura digital, ataques cibernéticos que podem ser lançados contra infraestruturas críticas por qualquer pessoa em qualquer lugar do mundo tornam-se ameaças que podem trazer resultados catastróficos . Além disso, a Internet passou a ser uma terra de oportunidades para criminosos e terroristas, que já há um bom tempo se aproveitam de suas benesses e falhas. Entretanto, nossos governos, polícias e órgãos de repressão não estão preparados para combater essa guerra.

15/12/2009


Estruturas críticas: o próximo alvo

Renato Leite Monteiro*

Coriolano Aurélio de Almeida Camargo Santos**

Em um mundo globalizado dependente da manutenção de uma infraestrutura digital, ataques cibernéticos que podem ser lançados contra infraestruturas críticas por qualquer pessoa em qualquer lugar do mundo tornam-se ameaças que podem trazer resultados catastróficos1. Além disso, a Internet passou a ser uma terra de oportunidades para criminosos e terroristas, que já há um bom tempo se aproveitam de suas benesses e falhas. Entretanto, nossos governos, polícias e órgãos de repressão não estão preparados para combater essa guerra.

Na Teoria do Direito, o método e o meio utilizado para evitar com que indivíduos cometam crimes e delitos é normalmente baseado em ameaças de punições judiciais severas o suficiente para desencorajar o criminoso, como pode ser inferido de Becker e Beccaria.

Todavia, devido às características particulares do ciberespaço, principalmente a sua natureza sem fronteiras, existe uma dificuldade para identificar ataques e agressores; o curto intervalo entre os ataques e suas detecções é imprescindível para sua apuração; a natureza das conseqüências dos ataques é imprevisível e pode vir a ser calamitosa; existe uma multiplicidade de potencias ataques, com as mais diversas motivações; a contestabilidade de eventuais respostas pode ter embasamento dúbio. Devido a isso, uma política geral baseada na retaliação e dissuasão que demonstre punições severas em resposta a um tipo particular de ataque pode não ser suficiente para deter ataques cibernéticos e, em algumas circunstâncias, poderá vir a ser contra-produtivo, pois podem reverberar para além dos limites geográficos de um país.

Vulnerabilidades

As sociedades modernas se tornam cada vez mais eficientes através da adoção de sistemas complexos de controle e informação. Todavia, a segurança global está se tornando mais vulnerável e mais exposta. Essa inexorável tendência para a eficiência reduz a robustez dos sistemas, através da eliminação de redundâncias (métodos de backup) e degradando resistências (longevidade dos instrumentos), resultando numa fragilidade destes, inclusive em suas engenharias, o que significa que eles estão sujeitos a desastrosas falhas sistêmicas devido a ataques em pontos críticos.

Falhas em cascata podem ocorrer quando vulnerabilidades individuais, que podem ser inócuas ou manejáveis isoladamente, mas com o potencial para iniciar efeitos dominó através de complexos sistemas interdependentes entre si, são atingidas. Por exemplo, um bem sucedido ataque ao aparato computacional de um porto doméstico pode ter um impacto global no comércio internacional, no fornecimento de energia e produção, devido à interdependência do sistema global de navegação. Da mesma maneira, um ataque cibernético ao sistema de controle de tráfego aéreo colocaria não só vidas em risco, mas ameaçaria debilitar uma miríade de atividades econômicas dependentes do funcionamento do transporte aéreo.

Esses complexos sistemas sociais, econômicos e políticos interdependentes estão cada vez mais em risco de ataque em sua infraestrutura crítica; ofensivas podem ser conduzidas contra vulnerabilidades no ciberespaço. O Governo Obama, em uma Diretiva Presidencial em abril de 2009 informou: "A rede interdependente de infraestrutura de tecnologia da informação, incluindo a Internet, redes de telecomunicação, sistemas de computadores, processadores e controladores em indústrias críticas permitem, mantém e controlam as sociedades modernas". Ou seja, o próprio conceito atual de sociedade depende diretamente das infraestruturas interconectadas, na sua maioria, pela Internet.

A crescente conectividade entre sistemas de informação, a Internet e outras infraestruturas criam oportunidade para agressores desestabilizar telecomunicações, redes elétricas, linhas de transmissão, refinarias, sistemas financeiro e bancário e outras estruturas críticas. Nos últimos anos, muitas dessas situações ocorreram em diversos países do mundo, e o Brasil é suspeito de também ter sido um dos alvos. Um ataque bem sucedido a um ator importante do sistema financeiro poderia impactar severamente a economia nacional e mundial, enquanto ataques cibernéticos contra computadores de infraestruturas físicas, como as que controlam sistemas de distribuição de energia e refinarias de óleo, têm o potencial de tornar inoperantes esses serviços por horas ou semanas.

O Dr. Masaki Ishiguro, do Instituto de pesquisa da Mitsubishi do Japão, afirmou que "Se adversários quisessem atacar países na internet, eles escolheriam alvos com os quais pudessem infligir os maiores impactos e perdas ao seus oponentes com o mínimo de esforço. Portanto, é razoável que os adversários atacariam sistemas de infraestrutura crítica através da internet".

O Dr. Kim Kwang Choo, especialista em segurança da informação do Instituto Australiano de Criminologia, complementa "O uso disseminado de tecnologias da informação e infraestrutura de comunicação cria várias interdependências entre setores-chave, com muito dos mesmos riscos relacionados à tecnologia afetando um ou mais desses setores. Portanto, as conseqüências de um ataque cibernético poderiam continuar a repercutir após o dano imediato ocorrer.

A dependência dessas infraestruturas vulneráveis foi ressaltada recentemente pelo Presidente Obama no lançamento da sua política de revisão para o ciberespaço (Cyberspace Policy Review): "A infraestrutura digital, de comunicações, global e interconectada, conhecida como ciberespaço, encontra-se hoje em quase todos os aspectos da sociedade moderna e provê suporte crítico para a economia americana, infraestrutura cível, segurança pública e nacional. Ameaças ao ciberespaço podem ser encaradas hoje como um dos mais sérios desafios econômicos e de segurança nacional do século 21".2

Novas ameaças

Ao mesmo tempo em que as sociedades têm se tornado mais frágeis, as potenciais ameaças estão se expandindo, se diversificando e ficamos mais opacas, mais difíceis de detectar. A capacidade para lançar ataques cibernéticos que podem corromper essas vulnerabilidades estratégicas está chegando ao limite, isto é, os avanços tecnológicos estão fortalecendo grupos e indivíduos para diretamente ameaçar a segurança nacional e a estabilidade global, quando colocam em risco infraestruturas críticas.

As motivações para os ataques podem variar e vão desde intenções estratégicas até políticas, financeiras, vingativas ou simplesmente a procura de aventuras. Em termos simples, a ameaça para a segurança nacional e a estabilidade global não está mais confinada a outras nações e seus exércitos, podendo ser incluídos nesse rol grupos ou indivíduos poderosos, como terroristas, insurgentes, organizações criminosas e gangues, corporações desonestas, crackers e outros. "Representantes" ou ameaças híbridas, que são grupos ou indivíduos que representam ou são encorajados por outras nações, mesmo que essa informação não seja divulgada de forma explícita, também já fazem parte do cenário mundial. Essas mesmas forças também fortalecem nações mais fracas a desafiarem diretamente Estados mais avançados militarmente, principalmente aqueles muito dependentes do ciberespaço3. O uso de "representantes" para conduzir operações cibernéticas para promover objetivos políticos, econômicos e financeiros provavelmente será expandido, devido ao fato que o subsídio necessário para conduzir ataques virtuais é mínimo e as circunstâncias para uma possível negação dos Estados patrocinadores são mais plausíveis4. A ameaça através de grupos não-estatais com motivos ideológicos, perseguindo seus próprios objetivos estratégicos também deve crescer.

William Crowell, ex-diretor assistente da Agência de Segurança Nacional dos EUA afirma, no relatório de criminologia da McAfee, que "Para evitar ou burlar completamente normas jurídicas internacionais sobre guerra, os países podem patrocinar, incentivar ou simplesmente tolerar ataques cibernéticos ou espionagem realizados por grupos privados contra seus inimigos".

Juntos, esses desenvolvimentos criam o potencial para novas ameaças para a segurança e a estabilidade global, pois elas (ameaças), de um lado, desafiam estruturas de segurança que foram desenvolvidas para manejar conflitos mais tradicionais entre estados – aqueles que se baseiam no uso externo de instrumentos de imposição de força e leis internacionais -, e do outro lado, crimes com natureza econômica – que se baseiam no ordenamento jurídico interno e leis nacionais. Esses grupos e indivíduos que se utilizam do ciberespaço, e Estados que utilizam "representantes", não estão facilmente sujeitos a estabelecer diálogos diplomáticos, políticos ou legais, particularmente dentro dos atuais modelos de segurança baseados em rígidas fronteiras geográficas e controle da soberania nacional, especialmente quando a motivação e as atribuições são ambíguas.

Realidade

Para sairmos do campo teórico, podemos dar como exemplo alguns ataques e intentivas virtuais. Relatórios de vários governos e instituições privadas dão como certo que países como EUA, Geórgia, Brasil, Coréia do Sul e Estônia já tiverem estruturas críticas como o setor de energia elétrica e de telecomunicações atingidos. Muitos desses atos aconteceram por motivações políticas ou econômicas, mas em alguns as intenções por trás ainda continuam dúbias.

Modus Operandi

Na maioria dos ataques, a estratégia utilizada pelos perpetradores foi o chamado "ataque distribuído de negação de serviço" (Distributed Denial of Service - DDos). Esse método consiste em fazer com que um determinado endereço na internet, ou um servidor de serviços, informações ou telecomunicações, receba ao mesmo tempo, milhares, milhões de acessos, superando a sua capacidade, levando a uma interrupção dos serviços. Isso é possível através das chamadas "redes zumbis", ou "botnets", que são formadas por milhares de computadores capturados que trabalham em conjunto quando acionados, executando o mesmo comando, direcionados a um mesmo alvo.

Outra estratégia de ataque consiste em invadir os sistemas computacionais diretamente, através de vulnerabilidades nas redes, passando a ter controle dos comandos destes. Apesar de ser a forma mais alardeada pelos romancistas das ingerências cibernéticas, ela é a mais complexa e menos utilizada, visto que o mesmo resultado pode, por muitas vezes, ser atingido utilizando-se de métodos mais simples.

Engenharia social, pishing, USB sticks jogados em um canto, infiltração de vírus espiões, trojan horses, malwares, spywares, são todos métodos de ataque utilizados para perfectibilizar as mais diversas modalidades delitivas na internet, mas que também podem servir de instrumento para acometer o funcionamento de estruturas críticas, por isso que inúmeros especialistas afirmam que a maneira mais eficiente de combater a chamada "guerra virtual" é combater a criminalidade informática interna dos países.

EUA, Coréia do Sul e Coréia do Norte

Os Estados Unidos da América comemoram no 4 de julho o seu feriado da independência. Em 2009, todavia, apesar das comemorações por todo o país, algo de diferente aconteceu. Enquanto os americanos celebravam o seu feriado mais importante, os sistemas da Casa Branca, Departamento de Defesa, do Serviço Secreto e da Agência de Segurança Nacional, além da Bolsa de Valores de Nova York e a Nasdaq, sofreram ataques continuados de negação de serviço, que os tiraram do ar. Relatórios indicam que 50.000 computadores, provavelmente originários da Coréia do Norte, foram responsáveis pelos ataques. Ao tentarem acessar simultaneamente os sites dos referidos serviços, eles os interromperam, impossibilitando o acesso por parte do público externo.

Poucos dias depois, a mesma rede de computadores zumbis tirou do ar cerca de 11 sites do governo sul-coreano. Questiona-se se houve alguma motivação política por trás dos ataques. Relatório da McAfee afirma que um possível motivo seria tentar diminuir a capacidade de comunicação entre o exército da Coréia do Sul e as tropas americanas que se encontram no Pacifico Sul. Numa manobra teste, caso restasse verificado que seria possível atrapalhar as comunicações, um eventual ataque surpresa teria mais chances de lograr vitória.

Estônia

Em um dos mais célebres casos de ataque virtual, a Estônia, em 2007, sofreu uma série de ataques de negação de serviço. Online banking e operações de comércio eletrônico ficaram inacessíveis por semanas. O sistema financeiro ficou paralisado por dias, causando prejuízos de bilhões de dólares. Investigações da Organização do Tratado do Atlântico Norte averiguaram que os ataques partiram da Rússia, sendo possível, inclusive, encontrar quem os executou. Todavia, as instituições russas não cooperaram com as investigações, restando impossível punir os criminosos.

A Estônia tem características únicas. Foi a primeira nação a declarar que um dos seus objetivos seria se tornar a primeira real "Sociedade da Informação". Essa política, em vigor no começo do século, levou o país uma quase total dependência da Internet. No último pleito eleitoral para o executivo nacional, foi possível a votação on-line. Em face desse atrelamento ao virtual, o país do leste europeu, que antes pertencia ao bloco soviético, foi um alvo fácil dos terroristas cibernéticos, que não concordaram com a retirada de um símbolo do bloco socialista que ainda estava erigido no centro da capital estoniana. A conotação ideológica dos ataques é clara, por isso ainda suspeita-se de ingerências do governo russos, e não somente ações por parte de civis.

A gravidade dos ataques as infraestruturas da Estônia foi tamanha que uma nova organização internacional foi criada com o objetivo maior de combater esse tipo de criminalidade. Ligada a OTAN, O Centro de Excelência de Defesa Cibernética Cooperativa (Cooperative Cyber Defense Centre of Excellence - CCDCOE) aceita como membros o países do Tratado do Atlântico Norte e já conta com 07 adesões. Algumas nações, como o Reino Unido e os EUA, criaram ou estão em processo de criação de seus próprios centros de combate especializado.

Geórgia

Em agosto de 2008, a Rússia lançou uma operação militar contra a Geórgia, lançando-se na disputa sobre a província da Ossétia do Sul, região fronteiriça de ambos os países. Ao mesmo tempo em que o exército russo adentrava em terreno georgiano, uma opressão cibernética foi iniciada de forma coordenada, quase que cronometrada, dando a impressão que informações sobre os movimentos militares físicos haviam sido fornecidas aos executores das agressões virtuais. Tal fato não passou despercebido, como restou evidenciado pela Unidade de Consequências Cibernéticas dos EUA (Cyber Consequence Unit – US - CCU). Essa constatação levou a uma forte suspeita que o Governo Russo pudesse estar por trás dos ataques virtuais, se não diretamente, patrocinando civis ou organizações que compartilhavam das mesmas aspirações ideológicas.

Também alvo de ataques de negação de serviço, que por sua vez atingiram os serviços de comunicação oficial do Governo da Geórgia, impossibilitando que, mesmo durante um conflito armado, informações oficiais fossem veiculadas pelos veículos governamentais. Portanto, para a comunidade internacional, houve apenas uma visão do conflito, a do lado russo, que transmitia o seu ponto de vista, formando a opinião de quem tinha interesse em conhecer os desenvolvimentos do conflito. Alguns especialistas que divergem sobre o conceitos de "guerra cibernética" concordam que o desvio de informações por parte de um governo sobre o outro pode ser sim considerado um ato de guerra inclusive nos moldes tradicionais.

Por mais complexo que possa parecer um ataque desses, o conflito georgiano utilizou-se de uma simples estratégia. Um site foi criado chamado "StopGeorgia". Nele, o usuário poderia fazer o download de um software e seguir determinadas instruções que levariam a uma torrente de acessos simultâneos aos veículos de comunicação oficial do Governo da Geórgia. Ou seja, qualquer pessoa, por mais leiga que fosse com computadores, poderia contribuir para a corruptela da infraestrutura comunicacional do país sob ataque.

Todavia, o que levou a suspeita que o executivo russo estivesse contribuindo com os ataques virtuais, e não somente civis, foi o fato da coordenação de movimentos terrestres e cibernéticos, que, como já ditos, só seria possível com o fornecimento de informações privilegiadas sobre as ações militares oficiais.

Guerra do Iraque

Em 2003, antes da invasão norte-americana do Iraque, um ataque cibernético as instituições financeiras desse país foi planejado e estava pronto para ser colocado em ação. Tal ação congelaria bilhões de dólares pessoais do líder Saddam Hussein e suspenderia o pagamento dos militares iraquianos e frustraria as provisões necessárias para iniciar qualquer operação de defesa. A ordem de ataque não foi dada pelo Presidente Bush, todavia, pois havia o medo que houvesse repercussões além das fronteiras iraquianas, vindo a atingir instituições e sistemas financeiros do mundo inteiro.

Brasil

Afora especulações, suspeita-se que 03 blecautes ocorridos no Brasil nos anos de 2006, 2007 e 2009 possam ter sido obra de ingerências cibernéticas aos sistemas de controle computacional das redes de geração e transmissão de energia. No último evento, 18 estados ficaram sem energia por horas, atingindo mais de 70 milhões de pessoas. O fato ocorreu dois dias após a veiculação de um documentário em uma rede de televisão americana, quando foi afirmando que os apagões ocorridos no Rio de Janeiro e Espírito Santo, respectivamente em 2006 e 2007, teriam sido ocasionados por invasões cibernéticos. Tal informação já havia sido mencionado pelo Presidente Obama quando do lançamento da CyberSpace Policy Review, em abril de 2009.

O governo brasileiro se prontificou a negar a possibilidade de que os apagões tenham sido causados por ataques cibernéticos, mas em face dessa negativa, o site do Operador Nacional do Sistema Elétrico do Brasil – ONS foi invadido e tal ato publicado para toda a mídia, evidenciando a fragilidade do sistema. Especialistas da própria ONS negam que o ataque tenha atingido os sistemas de controle de distribuição, mas não descartam por completo essa possibilidade, visto que o argumento para tentar inviabilizar uma possível intrusão seria o fato dos sistemas brasileiros serem antigos e ainda utilizarem softwares que não estão complemente interligados a Internet.

Setor Privado

Quando falamos de infraestruturas críticas, não podemos nos limitar as controladas pelo poder público. Pelo contrário, os maiores impactos poderiam ser infligidos exatamente ao o setor privado, principalmente os sistemas financeiros e bancários, facilmente ocasionando flutuação por todo o globo, causando uma potencial crise financeira.

Nos últimos anos, milhares de informações contidas nos bancos de dados de instituições financeiras foram copiados dos servidores. Muitos desses assaltos não foram divulgados e não chegaram ao conhecimento público, justamente para não diminuir a confiança dos consumidores nessas instituições. Milhares de pessoas hoje têm seus dados comercializados sem o seu conhecimento, devido a essas operações.

Entretanto, o furto de bancos de dados, apesar de estarem entre as mais graves violações, raramente pode ter repercussões que superem a própria instituição. Mais grave seria o cenário em que a Bolsa de Valores de Nova York ou de São Paulo seja paralisada ou tenha todos os seus dados apagados. As repercussões de tais ataques poderiam ser catastróficas. Como já mencionado, em 4 de julho de 2009, o site do Dow Jones e da Nasdaq foi alvo de um ataque de negação de serviço. Por sorte, a única conseqüência foi a interrupção dos acessos aos sites dessas instituições.

A maior problemática recai no fato das instituições privadas, para preservarem suas imagens, na maioria das vezes, não divulgam a ocorrência de agressões cibernéticas, nem para mídia, nem para os órgãos investigativos. Sem uma cooperação entre o setor público e privado, e a comunidade internacional, não será possível vencer as batalhas contra essas ingerências em face de infraestruturas críticas.

Conclusão

O impacto de um ataque cibernético a infraestruturas críticas de um Estado pode desestabilizar vários sistemas cruciais para o devido funcionamento da sociedade como nós a conhecemos. É importante frisar que esse cenário não é fruto da imaginação popular, mas algo que já está acontecendo, inclusive dentro do nosso próprio país. Entretanto, ainda não estamos habilitados a tomar as devidas medidas repressivas e de contra-ataque. É necessária uma cooperação entre as esferas públicas e privadas para uma efetiva política de proteção contra essa novel modalidade criminosa. Nas palavras do Relatório de Criminologia Virtual de 2009, da empresa Mcafee: "O conflito cibernético internacional chegou ao ponto de não ser mais apenas uma teoria, mas uma ameaça significativa com a qual os países já estão lutando a portas fechadas".

___________________

1 Ver casos da rede elétrica americana; interrupção de eletricidade no Brasil e na Flórida; sistema de comunicação oficial do Governo da Geórgia; sistema financeiro da Estônia; telecomunicação na Coréia do Sul; ataque ao sistema bancário iraquiano; entre outros.

2 Tradução literal

3 Ver casos dos EUA, Estônia e Georgia.

4 Caso Georgia x Rússia – Guerra da Ossétia do Sul

__________________

*Advogado. Membro do Comitê de Crimes Eletrônicos da OAB/SP. Estagiário do Setor de Desarmamento e Manutenção da Paz e do Departamento de Assuntos Políticos da Organização das Nações Unidas - ONU em Nova York; Estagiário do Departamento de Direito Internacional da Organização dos Estados Americanos - OEA, em Washington; Professor de Direito do Consumidor e de Informática Jurídica do Curso de Direito da Universidade Federal do Ceará - UFC; Professor da Pós-Graduação em Processo Civil da Escola Superior de Magistratura do Ceará - ESMEC; Membro da Comissão de Informática Jurídica da OAB/CE; Bolsista de Pesquisa Conselho Nacional de Desenvolvimento e Pesquisa - CNPq

**Advogado. Juiz do Egrégio Tribunal de Impostos e Taxas de São Paulo. Presidente do Comitê sobre Crimes Eletrônicos da OAB/SP (PR nº 295/09). Mestre em Direito pela FMU.Professor do MBA em Direito Eletrônico da EPD, Pós-Graduação da Universidade Presbiteriana Mackenzie. Sócio Diretor do escritório Almeida Camargo Advogados












______________

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Tema 1348 do STF: Imunidade do ITBI nas holdings e seus impactos

4/11/2024

Direito ao distrato em casos de atraso na obra: O que diz a lei

4/11/2024

Seria o vínculo trabalhista a única forma de proteção social?

4/11/2024

Os contratos de distribuição e seus aspectos jurídicos em mercados regulados: O setor farmacêutico

4/11/2024

Por um jogo mais responsável

4/11/2024