O Brasil ainda não desenvolveu “o menor controle” das chamadas âncoras de confiança no mundo cibernético, o que torna cidadãos, agentes e órgãos públicos mais vulneráveis quanto à segurança de dados. O alerta foi feito pelo supervisor do Laboratório de Segurança da Computação da Universidade Federal de Santa Catarina (UFSC), Ricardo Custódio, para quem o Brasil está atrasado e precisa priorizar o controle dessas ferramentas de proteção. Foi o que fez a União Europeia, depois que o ex-agente da Agência Nacional de Segurança dos Estados Unidos (NSA), Edward Snowden, provou a existência de um esquema internacional de espionagem conduzido pelo governo norte-americano.
— Nós não cuidamos de nossas âncoras de confiança no mundo cibernético. Não temos controle sobre o que o povo brasileiro deve confiar. Hoje este controle é feito por outros países e empresas estrangeiras, não temos controle algum. Hoje, se uma empresa americana quiser, ela desativa o sistema bancário brasileiro, só pra citar um exemplo. Basta revogar o certificado-raiz das ACs [autoridades certificadoras] que emitem os certificados digitais dos bancos brasileiros. A Europa desenvolveu a lista de serviços eletrônicos confiáveis, atualizada constantemente, indicando em quais serviços o povo deve confiar. Isso falta no Brasil — disse Custódio, durante a audiência da Comissão de Relações Exteriores (CRE) que discutiu o assunto nesta quinta-feira (26).
Espionagem quântica
O professor da UFSC alerta ainda que o Brasil não vem se preparando para o advento do computador quântico, que vai revolucionar a tecnologia da informação. Atitude oposta à do governo dos Estados Unidos e de outros países, que já antecipam normas e processos para se adaptarem à nova era e aos desafios que trazem à segurança de dados.
— O mundo todo já está preocupado com o computador quântico. Esta tecnologia vai quebrar toda a criptografia que temos hoje no Brasil. O mínimo de segurança que ainda temos não vai existir mais. E o que o Brasil tem feito para se preparar? Praticamente nada. Os Estados Unidos já estabeleceram novos padrões de assinaturas digitais, de protocolos de chaves [para criptografia] e de comunicações já quânticos, tanto usando técnicas de criptografia pós-quântica quanto algoritmos quânticos. O Brasil precisa estar atento para este novo mundo e priorizar isso também.
Custódio detalhou que a guerra cibernética, envolvendo ataques mútuos entre países e empresas, é algo que ficou explicitado em 2010 “e permanece até hoje”. O ataque mais grave foi sofrido pelo Irã naquele ano e quase paralisou as atividades de suas instalações nucleares. Mas o grande marco que alertou o mundo para a importância da segurança cibernética foram mesmo as revelações de Snowden em 2013.
— Foi ele quem de fato provou, com farta documentação, a existência da guerra cibernética. Provou que a presidente do Brasil [Dilma Roussef] era espionada, que nossas redes eram todas espionadas. Nossas e de outros países. Nossos padrões de criptografia eram baseados em normas controladas pela NSA, éramos espionados pelos padrões que nós mesmos adotávamos — informou.
Capacidade de responder
Outros debatedores deixaram claro que ficou impossível ter 100% de segurança cibernética. O importante é que o país desenvolva formas de identificar e responder rapidamente aos ataques que sofre. Um dos que abordaram o tema foi o diretor de Segurança Digital da Telefónica Brasil, Ilton Duccini.
— É preciso identificar claramente os riscos para o governo, para as Forças Armadas [FAs] e também para a iniciativa privada. E a partir daí estruturar a capacidade de resposta a incidentes e a própria resiliência. É impossível ter 100% de segurança, porque é impossível investir para evitar as milhares de possibilidades de ataques. É preciso assumir os riscos e estarmos prontos para identificar e responder rapidamente aos ataques. A abertura da Escola Nacional de Defesa Cibernética foi uma iniciativa excelente, pois precisamos ampliar as parcerias entre as FAs, as universidades e a sociedade civil. Precisamos de mais profissionais para atuarem neste setor — destacou Duccini.
O diretor da Telefónica Brasil também falou sobre a prioridade com que o governo dos Estados Unidos trata a proteção dos seus dados, como um indicativo de medidas que o Brasil também pode adotar.
Segurança bancária
O diretor de Segurança Cibernética da Federação Brasileira dos Bancos (Febraban), Eduardo Bergo, disse que as instituições financeiras sabem da importância que têm para a segurança nacional. Por isso, pediu a inclusão do setor na Política de Defesa Cibernética, em linha com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709, de 2018). A Febraban também avalia que o Brasil precisa investir mais em academias voltadas à formação especializada em segurança digital.
Marcelo Buz, diretor do Instituto Nacional de Tecnologia da Informação (ITI), disse que a prioridade do órgão governamental é a certificação digital.
— Temos os prestadores de serviços de confiança que endereçam toda esta solução para a nuvem. Passamos a ter o certificado digital na palma da mão, no celular. Já temos quase 8 milhões de certificados digitais ativos. Precisamos desentravar o processo para que cada cidadão economicamente ativo tenha acesso ao direito da legítima defesa cibernética. Este certificado permite isso, é algo extremamente importante — afirmou Buz.
Agência Senado (Reprodução autorizada mediante citação da Agência Senado)
