Guilherme Goulart: “Precisamos de políticas públicas de educação digital e de políticas corporativas no mesmo sentido. Além do mais, os pais possuem um papel relevante na educação digital dos filhos. Muitos crimes cometidos por jovens têm sua raiz não no mau uso da tecnologia, mas sim em uma carência ética e moral que parece atingir parcela da nossa sociedade”.

Consultor em Direito da Tecnologia e Segurança da Informação, Guilherme Damasio Goulart é professor de Pós-Graduação em Direito Eletrônico do Verbo Jurídico e em Segurança da Informação e mestrando em Direito pela Universidade Federal do Rio Grande do Sul (UFRS). Em entrevista ao Instituto Avante Brasil, Goulart fala sobre crimes virtuais e como eles são enquadrados no Código Penal Brasileiro e explica como se dá a atuação de quadrilhas na internet. Ele versa ainda sobre segurança governamental, “Deep Web” e os avanços e desafios da investigação na rede, bem como ressalta a importância das Políticas de Segurança da Informação e das Políticas de Uso de Tecnologia.

Se você se conecta com o mundo através da Rede e quer saber mais sobre como se prevenir das artimanhas desse universo, leia abaixo a nossa entrevista da semana.

Instituto Avante Brasil (iAB) – Os avanços tecnológicos trouxeram diversos benefícios para a sociedade contemporânea. A acessível manipulação dessas tecnologias pode ser encarada como um problema? Qual a sua avaliação sobre esse contexto?

Guilherme Goulart – Há uma crença de que a tecnologias conseguem, por si só, resolver todos os problemas relacionados ao seu uso. Baseada nesta crença nasce outra que defende que existem tecnologias e sistemas absolutamente confiáveis e seguros, o que também não se sustenta. Este processo de massificação do uso das novas tecnologias é chamado, por alguns, de “Revolução Informacional”, “Sociedade em Rede” ou “Sociedade da Informação”. Teríamos entrado em uma era posterior à Revolução Industrial, que causou – e continua a causar – impactos em praticamente todas as áreas da sociedade. É inegável que há significativos avanços, principalmente, no baixo custo da comunicação, na rapidez de troca e eficiência no armazenamento de informações além do aumento da liberdade de expressão. Porém, também há o nascimento de diversos problemas. Por exemplo, somos bombardeados com tanta informação que passa a ser cada vez mais difícil filtrar e atingir o que realmente importa. O excesso de informações é tão prejudicial quanto sua falta.

Um problema que merece a reflexão de todos é o papel que as grandes empresas transnacionais têm no que diz respeito ao controle das tecnologias e informações, e a consequente criação de monopólios informacionais. A transnacionalidade destas empresas dificulta a atuação dos Estados e a aplicação de suas leis. Além do mais, a presença delas em vários países faz com que algumas de suas práticas possam ser lícitas em um Estado e em outros não. Com isso, tentativas de homogeneizar certos mecanismos e práticas podem entrar em conflito com a ordem jurídica de alguns países.

Hoje, as redes sociais e os buscadores sabem mais sobre as pessoas do que elas imaginam. Estas empresas, não apenas com os dados que possuem, mas também com o cruzamento e processamento generalizado de dados (conhecido por data mining), conseguem formar perfis digitais das pessoas indicando tendências não só comerciais, mas também íntimas (psicológicas, religiosas, políticas, sexuais, etc.).

Ao mesmo tempo, as pessoas ficam cada vez mais dependentes destes serviços, o que deixa a responsabilidade (não apenas jurídica mas também social) destas empresas transnacionais mais evidente. Ao contrário de um Estado democrático, uma empresa, em geral, pode não ter um compromisso de garantir os direitos e garantias individuais. Daí o papel do Estado e do Direito e a importância, por exemplo, de legislações como o Marco Civil que se encontra em discussão no Congresso Nacional. Há que se atentar para o perigo de uma verdadeira ditadura tecnológica por meio da determinação unilateral de práticas prejudiciais por tais empresas.

iAB – O mercado de produtos que garantem a segurança virtual é cada vez mais vasto, principalmente devido à expansão das novas tecnologias. Estatisticamente falando, quais são as melhores formas de garantir a segurança na internet e quais são as ferramentas mais eficientes?

Guilherme – Não existe sistema ou tecnologia 100% seguros. Sempre há e haverá espaço para possíveis violações e invasões. Esta é uma característica proveniente, entre outros motivos, da própria complexidade dos sistemas informáticos. Existem, é verdade, medidas para a apuração de riscos e a aplicação de controles para a sua minoração ou tentativa de eliminação. No entanto, é impossível eliminar todos os riscos relacionados ao uso das tecnologias. O criptógrafo americano Bruce Schneier diz que a segurança não é um produto, mas sim um processo. É absolutamente simplista a visão de que a mera instalação de sistemas e mecanismos de segurança é suficiente para resolver os problemas de segurança da informação. A utilização de métodos e processos repetitivos de segurança (envolvendo, por exemplo, treinamento de usuários e métodos para a identificação de riscos) é muitas vezes mais eficiente do que o mero uso de mecanismos como um antivírus ou um firewall.

Infelizmente, como o mercado é muito vasto, a maioria das pesquisas tende a favorecer o uso de uma ou outra tecnologia além de não aplicarem métodos estatísticos adequados e científicos. Uma empresa brasileira afirmou, recentemente, que houve 1.565.028 tentativas de fraude ao consumidor entre janeiro e setembro de 2012. Ao analisar, no entanto, o método estatístico para a apuração deste resultado pôde-se perceber uma fragilidade estatística nos resultados. Neste contexto, o mau uso da estatística pode favorecer determinada empresa e motivar consumidores a utilizarem seus serviços.

Existe também um “senso comum” acerca de problemas gerais de segurança, desassociado da realidade, que atinge não só os profissionais da área como também os usuários das tecnologias. Trago o seguinte exemplo: a frequência com que algo aparece nos noticiários não indica, necessariamente, a frequência com que aquilo ocorre na realidade. É evidente que um programa jornalístico de notícias policiais só tratará de notícias policias. Como no Brasil este tipo de programa tem se multiplicado, o fato apoia o aumento da sensação de insegurança em função da ampla divulgação de crimes. Ocorre que nem sempre essa ampla divulgação está relacionada ao aumento da frequência com que os crimes ocorrem. Mesmo que a frequência estatística de crimes diminua, esses programas procurarão preencher sua pauta, dando a entender que a violência está sempre aumentando. Esse problema é tratado e conhecido há décadas. O livro “How To Lie With Statistics”, de Darrel Huff, publicado em 1954, já falava sobre o assunto. Eu entendo que existe também, na área de segurança da informação, um verdadeiro jornalismo sensacionalista de métricas que pintam cenários descompassados com a realidade prejudicando a compreensão real dos riscos e afetando a decisão das empresas de como investir adequadamente os seus recursos.

iAB – Em sua opinião, o que seria das empresas de antivírus sem a existência dos crimes virtuais? Uma complementa a outra?

Guilherme – Os vírus informáticos são uma realidade que atingem praticamente todos os usuários. Atualmente é bastante comum que, por trás de um malware, haja tentativas dos criminosos de se apossar de credenciais para, de posse delas, praticarem fraudes e crimes de todo o tipo. De forma geral, o mercado de segurança da informação (incluindo as empresas de antivírus) está diretamente ligado às questões de insegurança informática, por óbvio. O aumento da insegurança informática geral favorece, evidentemente, as empresas que vendem produtos e serviços de segurança que são consumidos e contratados por empresas dos mais variados ramos. Assim como o furto e roubo de carros motiva as pessoas a assegurarem seus veículos, a insegurança informática também motiva a aquisição de produtos e serviços de segurança.

No exemplo do roubo e furto de veículos, no entanto, é possível apontar, com grande acuidade, o aumento ou diminuição destas ocorrências. As decisões são, via de regra, tomadas com base em dados concretos. O mesmo, infelizmente, não ocorre com incidentes de segurança. Há um grande ruído e uma inconsistência sobre o que são incidentes, como são reportados e, principalmente, como são apuradas as perdas provenientes de tais incidentes. Geralmente, os incidentes medidos são aqueles reportados pelas empresas e pessoas. Ocorre que há uma série de razões para que as empresas não reportem incidentes e, ainda, há situações em que elas nem sabem que foram vítimas de incidentes (principalmente envolvendo vazamento de informações). Há ainda tentativas de insuflar os números de incidentes de segurança com a contabilização de práticas que não podem nem ser consideradas como incidentes e nem ataques como, por exemplo, varreduras (scan) de portas.

Muitas pesquisas de segurança da informação, por exemplo, são realizadas com a entrevista de gestores de TI e de segurança da informação das empresas. Estes profissionais, ao opinarem sobre a área de segurança da informação que estão sob sua responsabilidade, podem não ter isenção necessária e esperada para qualificar os resultados de uma pesquisa. Se é este profissional que gerencia a segurança, há muitas razões para ele não desqualificar o próprio trabalho. Esse é um aspecto psicológico que envolve qualquer pesquisa estatística e que deve ser considerado. Além do mais, ao se realizar uma pesquisa apenas com gestores destas áreas, utiliza-se uma amostra bastante incompleta de pesquisados que, sem dúvida, compromete negativamente o resultado.

Há, portanto, um mau uso da estatística para a composição e formação de cenários de risco no mundo. Um ótimo artigo que ilustra esta situação é “Does Cybercrime Really Cost $1 Trillion?” https://www.propublica.org/article/does-cybercrime-really-cost-1-trillion. Neste artigo são comentadas algumas questões envolvendo a formação do número de 1 Trilhão de Dólares em perdas envolvendo o cybercrime nos EUA. Entre outros dados utilizados para se chegar a este número estão projeções envolvendo o mau uso de propriedade intelectual (leia-se downloads ilegais de filmes e vídeos). Neste campo, é grande a discussão dos métodos estatísticos para o cálculo das perdas envolvendo o consumo de filmes e músicas obtidos com violação de direitos autorais, inclusive, com a discussão sobre se cada pessoa que faz um download compraria (ou não) o que foi baixado. Não se considera também que a demanda por estes bens, filmes e músicas, é elástica, ou seja, a alteração do valor do bem também altera a sua demanda (ou seja, se o preço fosse mais baixo, mais pessoas consumiriam tais produtos). De qualquer forma, o número de 1 Trilhão é utilizado por empresas americanas para compor um cenário de risco que incentiva a compra de produtos e serviços de segurança. O próprio presidente Barack Obama citou esta cifra em um de seus discursos para justificar o aumento da rigidez de leis para o combate do cybercrime (que, via de regra, naquele país, diminuem os direitos fundamentais dos cidadãos).

Em síntese, faz-se um mau uso de estatísticas para a criação de um cenário diferente da realidade, superestimando ou subestimando os riscos e também permitindo o enrijecimento de leis para o combate do cyber crime. Ao mesmo tempo, os governos também podem utilizar estes dados para reforçar a adoção de leis que, em última análise, podem favorecer empresas que vendem e desenvolvem tecnologias específicas ou ainda favorecer interesses escusos. Na verdade, em muitas situações, tais estatísticas são infladas para pintar um cenário de risco irreal e fazer, assim, que as empresas passem a consumir produtos e serviços de segurança da informação. É o que Bruce Schneier chama de “teatro de segurança”. Este teatro consiste não apenas na criação de cenários em que o risco é alto, mas também na criação de contextos onde determinadas tecnologias são vistas como seguras quando, na realidade, não são.

Não discordo que a insegurança informática seja um problema grave, de ordem mundial, que ocorre com grande frequência e causa muitas perdas para empresas e Estados. O que aponto, no entanto, é a fragilidade nos métodos estatísticos para a apuração do número de incidentes e suas repercussões financeiras. A luta por conquistar mercados entre as empresas de segurança também motiva uma série de preocupações de ordem econômica destas empresas como, por exemplo, a tentativa de monopolizar mercados. Uma empresa deste meio, ao tentar construir monopólios, segue a tendência de tentar “trancar” o usuário em suas tecnologias, dificultando eventuais tentativas de troca pelo usuário (situação conhecida pelos economistas como vendor lock-in).

O uso de números incorretos, portanto, também serve para promover monopólios o que, em última análise, é danoso para todos. Posso apontar, por exemplo, entre alguns estudos que evidenciam isso, um trabalho de dois pesquisadores da Universidade George Washington chamado “The use, misuse, and abuse of statistics in information security research”. Isto significa que a comunidade científica já está atenta ao problema. O ponto principal aqui é manter um posicionamento altamente crítico acerca de pesquisas estatísticas nesta área. É primordial que os profissionais que atuam na segurança da informação e também no direito da tecnologia possuam conhecimentos básicos de estatística para poderem analisar criticamente certas pesquisas. Estes conhecimentos básicos, em muitos casos, são suficientes para demonstrar a mais absoluta imprestabilidade de algumas pesquisas estatísticas mal realizadas. Além da frequente falta da observância do método científico para a composição dos resultados (em grande parte das situações) deve também ser observado se há uma isenção por parte da entidade que promove a pesquisa. Será que nos casos de falta de cuidado na composição estatística dos resultados a empresa envolvida tem algum interesse naqueles números? As predisposições do pesquisador não devem influenciar o resultado da pesquisa.

iAB – O que são crimes virtuais, quais são os delitos mais praticados através da internet e como eles são enquadrados no Código Penal Brasileiro?

Guilherme – Costuma-se dizer que os crimes eletrônicos podem ser divididos em próprios e impróprios: os primeiros são aqueles em que o bem jurídico é a incolumidade de sistemas, serviços e informações digitais. Já os impróprios são crimes comuns que são cometidos com o uso da informática. No último caso, nosso direito penal consegue, de forma bastante eficiente, tipificar os delitos. Como exemplos temos os crimes contra honra, incluindo-se a injúria qualificada pelo racismo, cometidos em redes sociais. Da mesma forma a ação de hackers que cometem crimes contra bancos pela Internet já é pacificamente entendida como furto qualificado ou, em alguns casos, como estelionato. Da mesma forma, os crimes relacionados com publicação de pornografia infantil na Internet já foi objeto da lei nº 11.829, de 2008, que alterou o Estatuto da Criança e do Adolescente. Estes dois exemplos, juntamente com os crimes contra a honra, representam grande parcela dos crimes cometidos por meios eletrônicos.

A lei 9.983/2000 também tipificou alguns delitos informáticos próprios cometidos, via de regra, por funcionários públicos contra sistemas da administração pública. Um exemplo é a inserção ou facilitação de dados falsos ou a exclusão de dados verdadeiros em sistemas a administração pública por funcionário público. A pena para tais delitos é reclusão de 2 a 12 anos, pena esta bastante alta, diga-se de passagem. A novidade em nosso sistema penal veio com a recentíssima lei 12.737/2012 que tipifica novos delitos informáticos. O congresso já discutia a aprovação de leis dessa natureza desde 1999. Porém, o assunto ganhou força após uma atriz famosa ter sido vítima de crimes informáticos. Inclusive, a lei foi apelidada com o nome da atriz: Lei Carolina Dieckmann.

Essa nova lei cria o crime de invasão de dispositivo informático. Ela também tipifica certas práticas como obtenção e divulgações não autorizadas de informações além da instalação de vulnerabilidades em dispositivos informáticos entre outras questões. Em que pese algumas imprecisões técnicas e jurídicas do dispositivo citado, e o contexto em que a lei foi aprovada no congresso, entendo que o maior problema da lei foi a estipulação de penas muito baixas para as condutas, muitas vezes, altamente danosas. O crime de invasão de dispositivo informático tem a mesma pena da lesão corporal leve. Isso significa que o legislador decidiu punir a invasão de dispositivos informáticos com a mesma pena aplicável a uma briga de vizinhos.

Outra discrepância: o crime de violação de direito autoral com intuito de lucro possui pena de reclusão de 2 a 4 anos. Ou seja, o camelô que vende DVDs piratas na rua está sujeito a uma pena maior do que o hacker que invade os sistemas de uma empresa. É verdade que se da invasão resultar prejuízo econômico a pena é aumentada de um sexto a um terço. Mesmo assim, a pena parece-me muito baixa. Praticamente incentiva o criminoso a praticar crimes eletrônicos. Outro problema é que, com esta pena, o crime passa a ser uma infração de menor potencial ofensivo estando sujeita a ser julgada nos Juizados Especiais Criminais. Como se sabe, nestas situações, de regra, não há pena de prisão, resultando apenas em prestação de serviços à comunidade, pagamento de cestas básicas ou a mera composição dos danos. Claro que há crimes eletrônicos bastante graves e outros nem tanto; não se defende a prisão de todos estes criminosos. De qualquer forma, a lei parece ter sido aprovada num afã de atender a um caso específico já citado, não atendendo à realidade dos crimes eletrônicos.

iAB – Atualmente, muitas quadrilhas atuam pela internet. Quais são as principais dificuldades para investigar esse tipo de crime e quais as ferramentas mais eficientes no sentido de localizar os criminosos que atuam na rede?

Guilherme – Há muitas dificuldades na investigação destes crimes. Talvez o maior problema, infelizmente, seja o déficit de pessoal e de material para nossas polícias. Temos profissionais muito bem preparados na investigação de crimes virtuais. E não me refiro apenas à polícia técnica, mas também a investigadores e delegados especialistas neste tipo de crime. Em muitas cidades do Brasil já existem delegacias especializadas em crimes virtuais, o que permite um aprimoramento na investigação.

Outro problema que posso apontar é a falta de normas técnicas específicas para recolhimento e armazenamento de evidências técnicas. A prova eletrônica é perene e frágil. Dependendo da forma que ela for recolhida, ela pode tornar-se imprestável. Mesmo que existam normas técnicas internacionais que, em geral, são seguidas pelas polícias, seria útil uma norma regulamentadora oficial que pudesse consolidar as práticas a serem seguidas. Mas é importante que se diga que a investigação de crimes eletrônicos não se baseia apenas em provas eletrônicas. Ao contrário, há um extenso trabalho de investigação e de inteligência policial que permite a busca de outras evidências que, em conjunto com as provas digitais, garante o trabalho policial.

Mesmo com os problemas citados, a perícia técnica policial consegue ótimos resultados na investigação de crimes virtuais. É frequente, nestas investigações, o uso da interceptação telemática autorizada pela justiça (procedimento semelhante a interceptação telefônica). Como nesses crimes é comum que as quadrilhas utilizem a própria Internet como meio de comunicação, a interceptação telemática possui um papel importante. Além disso, a análise de logs (os logs são registros de atividade que estão presentes em sistemas e provedores de serviços) é outra ferramenta importante. De posse de IPs é possível, com ordens judiciais específicas, relacionar estes IPs com os titulares da conexão de Internet utilizada ou com uma empresa, caso o crime tenha partido de uma. Mesmo em situações em que o crime foi realizado a partir de uma lan house, a polícia também possui meios, através de outras técnicas de investigação, na identificação dos criminosos. Mesmo assim, é importante que se diga: o criminoso virtual especializa-se a cada dia. Essa especialização, se não acompanhada pelas polícias, pode dificultar a apuração de tais crimes.

iAB – A internet, assim como os outros meios de comunicação, tem um grande poder de atingir às massas. Esse poder, por sua vez, pode ser usado de maneira positiva ou negativa. Até que ponto se pode confiar nos dados e informações veiculadas no meio virtual?

Guilherme – Qualquer tecnologia, mesmo as não informáticas, possuem esta característica. É comum a afirmação de que as tecnologias são neutras e que elas são direcionadas (para o bem ou para o mal) pelo seu usuário. No entanto, é necessário apontar que a arquitetura das tecnologias pode condicionar – e até mesmo determinar – práticas e comportamentos. A arquitetura de uma rede social (que é baseada no compartilhamento de informações), de uma forma geral, condiciona uma cultura do compartilhamento e, em última instância, a uma certa banalização da privacidade. Há redes sociais de geolocalização, por exemplo, em que as pessoas compartilham os locais que frequentam. Tal situação era impensável há poucos anos e hoje já é realidade.

Acerca da confiança nas informações nos meios virtuais, este é um assunto que merece a reflexão de toda a sociedade, não apenas dos advogados e profissionais da segurança da informação. Em minha experiência como professor, vejo que cada vez mais os alunos têm dificuldade em se posicionar e avaliar de maneira crítica o que encontram na Internet. De outra forma, é comum, nas universidades, os alunos enxergarem o plágio como algo natural; não se sentem nem ao menos constrangidos, em muitas situações, quando são confrontados com a fonte original (omitida) de onde a informação foi copiada. Esta cultura do copy/paste compromete o aporte crítico e a própria inventividade dos estudantes. Neste passo, há situações em que o conteúdo que encontramos na Internet é apenas a cópia da cópia da cópia de um resumo. Mesmo assim há ótimas fontes de estudos. Revistas de universidades famosas, como Harvard, já passam a disponibilizar seus materiais de forma aberta na Internet. E são fontes desta natureza que as pessoas devem priorizar.

É bem verdade que esta é uma dificuldade de toda a sociedade. Como realmente separar as informações relevantes das irrelevantes em um contexto de consumo de informações generalizado? Eu vejo que este é um papel que deve ser preenchido não apenas pela educação formal como pela educação familiar. De nada adianta, por exemplo, distribuir tablets ou notebooks para alunos e professores se estes últimos não forem preparados para ensinar usando as novas tecnologias. Por sua vez, muitas áreas de estudo (e isto acontece com o Direito também) esquecem-se dos clássicos de sua área, refundando seus estudos apenas no que está disponível na Internet, o que me parece um erro.

iAB – Quanto ao controle da chamada “Deep Web”, qual a sua visão sobre o tema?

Guilherme – Um dos grandes desafios que a Internet apresenta é a chamada “governança de conteúdo”. Este termo é representado pelas práticas (tecnológicas e jurídicas) utilizadas para realizar o controle de conteúdo na Internet. A pergunta que se faz é a seguinte: depois que um conteúdo é amplamente divulgado e pulverizado na Internet, as medidas tecnológicas e jurídicas possuem eficácia?

O debate do controle de conteúdo esbarra em questões como liberdade de expressão, impossibilidade de censura prévia, proibição do anonimato entre outros direitos constitucionais. O referido controle esbarra, também, em uma série de problemas. Por exemplo, hoje, quando alguém tenta retirar um conteúdo da Internet a primeira coisa que geralmente é feita é ajuizar uma ação contra o Google. É bem verdade que o Google é o maior buscador da atualidade, no entanto o Google não é a Internet. Existem outros sites de busca e também outras formas de buscar conteúdo (como em redes sociais, redes P2P, etc). E neste cenário aparece também a Deep Web, que é aquela camada da Internet que não é atingida pelos buscadores comuns e pelas conexões normais. Uma ferramenta utilizada para acessar a DeepWeb é o Tor (The Onion Router). Enquanto o Tor é utilizado para fins legítimos, por pessoas que desejam navegar de forma anônima e evitar certos tipos de controles técnicos, há aqueles que o utilizam para o cometimento de crimes. Além disso, os mecanismos de acesso à Deep Web permitem um grau elevado de anonimização e dificultam muito a investigação de eventuais crimes cometidos com o seu uso.

O maior problema da Deep Web, ao meu sentir, é seu uso para acesso e troca de material contendo pornografia infantil. É bem verdade que o Tor dificulta a investigação destes crimes, mas não a impossibilita. Mesmo que nossas polícias possuam um déficit técnico e de pessoal, se comparada com polícias de outros países, ela consegue fazer um ótimo trabalho na persecução de tais crimes. Tanto a Polícia Federal quando as polícias estaduais (e ressalto a Polícia Civil do RS, a qual tenho mais conhecimento) atingem bons resultados na investigação de tais crimes mesmo quando praticados por meio da DeepWeb.

iAB – Como você avalia o surgimento do WikiLeaks e a prisão do seu fundador? Que impacto esses acontecimentos geraram no setor de segurança governamental?

Guilherme – O caso WikiLeaks representa, ao meu ver, uma mudança paradigmática de como a Internet pode ser utilizada e também permite uma reflexão geral do próprio papel da imprensa. É bom que se diga que o WikiLeaks é um site que já funciona há vários anos (desde 2006) e só recentemente, com o vazamento de vídeos de operações do exército americano cometendo atrocidades contra civis, que ganhou projeção internacional.

Aqui também há alguns conflitos de direitos e princípios. Primeiro, não é lícita a atuação de um funcionário público, principalmente do exército, que permite o acesso de material secreto de um governo. No entanto, mesmo que os fins não justifiquem os meios, acerca dos vídeos do exército americano, foram reveladas verdadeiras atrocidades cometidas contra civis. De outra forma, podemos argumentar sobre a eticidade da publicação de material sabidamente obtido por fins ilegais e também a reflexão de qual é o limite para a publicação de tais materiais. A violação de sigilo de informações secretas não pode ser banalizada.

Passa-se a discutir, por outro lado, o problema dos governos esconderem informações que revelam o cometimento de ilícitos ou o mau uso de recursos públicos. Com isso, podemos fazer um link com a situação brasileira atual e com a lei de acesso à informação (lei 12.527/2011). Esta lei modifica a cultura do segredo e passa a tratar a publicidade como regra nos ambientes públicos. É bem verdade que há situações em que o sigilo deve ser mantido. Qualquer sociedade precisa de sigilo de informações, mas isso deve ser dosado com uma cultura de transparência. Um caso recente diz respeito às publicações nominais de salários de funcionários públicos. Na minha opinião, neste caso, deve ser mantido o sigilo dos nomes apresentando-se apenas os cargos e os salários eis que os funcionários públicos também tem direito à privacidade e intimidade.

O caso WikiLeaks contribuiu sim para o aumento da preocupação dos gestores públicos acerca da segurança da informação. A experiência já mostrou que muitas pessoas (e empresas) passam a se preocupar realmente com segurança da informação apenas após a ocorrência de um incidente ou ataque. Há, claro, a importância de mecanismos técnicos de segurança da informação, mas isso, apenas, não é suficiente. É necessário o treinamento dos funcionários públicos para fazê-los entender quais práticas são (ou não) permitidas e também a ampla investigação em caso de vazamentos com a efetiva punição dos envolvidos. E temos leis para isso: aquele que divulgar informações sigilosas da Administração Pública, em geral, fica sujeito à pena de detenção de 1 a 4 anos.

iAB – Em termos de segurança na rede, você considera que o governo brasileiro, bem como as forças armadas, dispõem de uma infraestrutura adequada para o cyber terrorismo, por exemplo?

Guilherme – A guerra cibernética é uma guerra assimétrica, conforme ressalta o professor Pedro Rezende da UNB. Esta assimetria é entendida, nas palavras deste professor, “no sentido em que basta a quem ataca encontrar uma brecha, e, a quem defende, proteger todas”. Portanto a proteção contra ameaças virtuais em um contexto de guerra cibernética, é um desafio para qualquer governo. O governo brasileiro, ciente deste desafio, possui um órgão específico o “Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal” o CTIR Gov. Este órgão está subordinado ao Departamento de Segurança de Informação e Comunicações – DSIC – do Gabinete de Segurança Institucional da Presidência da República. Órgãos sérios efetuam seu trabalho, seja por meio de ações preventivas como reativas, além de contarem com profissionais de alto gabarito técnico. Há, até onde se sabe, o incentivo e o uso de pesquisas acadêmicas para o apoio na tomada de decisões. Porém, o órgão padece das dificuldades que qualquer governo possui: a questão da assimetria da guerra informática, como já se disse, e a dificuldade em medir e identificar realmente a ocorrência dos incidentes e também apontar as reais perdas financeiras.

iAB – Os crimes cibernéticos podem ser considerados um grande desafio na era da informação? Como se dá a atuação do Direito nessa área?

Guilherme – Os crimes cibernéticos não são os únicos desafios impostos ao Direito pelo uso das novas tecnologias. Considero um erro tratar, por exemplo, a segurança da informação vista apenas como contramedidas utilizadas para evitar crimes cibernéticos. Há uma série de outras preocupações do Direito nesta realidade, tais como: a proteção da privacidade e dos dados pessoais (matéria muito discutida no âmbito da união europeia); a governança de conteúdo; a proteção do consumidor no e-commerce; a proteção geral de direitos e garantias individuais perante grandes empresas transnacionais e também os próprios governos; a correta classificação de informações em um contexto de leis que habilitam o acesso às informações governamentais; a mudança de paradigma relativa à proteção da propriedade intelectual; a responsabilidade dos provedores por conteúdos publicados por terceiros, etc.

Como o tempo da tecnologia é diferente do tempo do Direito, podem existir situações futuras, de ocorrência de novas ações que não encontrem tipificação na lei penal, mas que atinjam bens jurídicos relevantes. Esta é uma dificuldade geral na criação de tipos penais que pretendam tipificar crimes cibernéticos. Outro problema que merece destaque é a inércia do poder legislativo em tratar a questão. Foi apenas em 2012 que o Brasil conseguiu aprovar uma lei específica sobre invasão de dispositivos informáticos, sendo que o assunto era discutido desde 1999. Como se disse, há algumas lacunas nesta lei que podem impedir a tipificação de algumas condutas, como por exemplo, os ataques de negação de serviço que retiram sites do ar. Além do mais, as baixas penas estipuladas para os novos crimes informáticos ao contrário de dissuadir a prática dos crimes podem até incentivá-los.

iAB – Fale um pouco sobre as Políticas de Segurança da Informação e Políticas de Uso de Tecnologia.

Guilherme – As políticas de segurança da informação são fundamentais no apoio da criação de uma cultura de segurança e também no processo geral de segurança da informação. A estipulação de diretrizes de segurança nestas políticas, em consonância com os valores e a missão das empresas, representa uma demonstração clara da preocupação com segurança da informação. A política de segurança é um documento que contém diretrizes macro que são complementadas por outras políticas, tais como, políticas de uso de tecnologias, políticas de acesso a dados, política de classificação da informação, e mais recentemente inclusive, até, políticas de uso de redes sociais, entre outras.

As empresas precisam atentar para a necessidade de criação destas políticas e também para a orientação adequada na sua produção. Uma política mal construída ou desalinhada com sua realidade pode ser mais prejudicial para a empresa do que não ter politica alguma. Um exemplo aleatório de controle que pode ser atingido por estas políticas diz respeito ao teletrabalho. O fato de funcionários permanecerem conectados de forma remota aos sistemas da empresa por longos períodos de tempo enseja, de regra, o pagamento de horas extras. Porém, alguns funcionários, de forma maliciosa, deixam suas conexões ativas sem realizar qualquer atividade, apenas para forjar uma rotina de trabalho que não aconteceu. Ademais, o trabalho remoto pode ser um risco para empresa quando permite a ligação descontrolada de computadores pessoais dos funcionários à rede das empresas. As políticas, neste caso, podem fazer a previsão de rotinas e procedimentos específicos de segurança para minimizar os riscos (não só tecnológicos como jurídicos) do teletrabalho. Mas esse é, como se disse, apenas um entre muitos exemplos práticos do uso das políticas gerais de tecnologia.

iAB – Quais são os principais avanços e desafios em relação à segurança na internet e o que o internauta pode fazer para se prevenir dos perigos oferecidos pelo ambiente virtual?

Guilherme – Eu acredito que o principal problema não é técnico, mas comportamental; o maior problema é a crença de algumas pessoas e empresas (e governos) de que as tecnologias são 100% seguras e confiáveis. Isto não é verdade! Há sempre um grau de insegurança e de falibilidade em qualquer tecnologia digital. O fator humano ainda é um dos grandes desafios. O famoso hacker americano Kevin Mitnick dizia que até um computador desligado pode ser invadido: bastaria ele convencer alguém a ligá-lo. Eu acredito ser pobre a abordagem apenas tecnológica dos problemas de segurança da informação. É preciso tratar o assunto de maneira interdisciplinar, abordando questões jurídicas, psicológicas, econômicas, políticas, sociais e até mesmo históricas do problema. O profissional que estiver ligado apenas à questão tecnológica da segurança da informação terá uma visão bastante limitada da realidade.

Há, na verdade, cuidados clássicos recomendados por muitos especialistas: utilizar um antivírus atualizado (dever este, inclusive, já reconhecido pela jurisprudência); manter o sistema operacional sempre atualizado; evitar a instalação de programas de fontes não confiáveis; não abrir anexos de pessoas estranhas ou que estejam em um contexto duvidoso; não acessar sites de bancos e nem digitar senhas em computadores públicos ou redes wi-fi públicas; utilizar, quando disponibilizado pelo serviço, um duplo nível de autenticação para acessar os serviços; criptografar discos rígidos e pendrives; nunca enviar materiais sensíveis (como fotos sensuais, por exemplo) para e-mails, mantendo-os gravados em discos criptografados e guardados em locais seguros são alguns dos cuidados. No entanto, tudo isto é paliativo e não assegura um nível total de segurança. O lançamento de um novo vírus ou a descoberta de uma nova vulnerabilidade pode anular todos estes controles. O próprio uso de certificados digitais para determinadas ações não garante a segurança das transações. Podemos ter segurança relativa no processo de transferência das informações mas nada impede, por exemplo, que um funcionário da empresa a qual estamos nos relacionando possa, de forma não autorizada ou violando mecanismos internos, acessar os dados que foram transmitidos de forma segura. Transmissão segura não significa, necessariamente, armazenamento seguro. A crença cega no cadeado de segurança parece ser um dos mitos que os técnicos de segurança da informação criaram. São muitos os casos de fraudes internas em que nenhum cuidado adicional do usuário poderia ter evitado.

Por fim, trata-se também de um problema de educação. Precisamos de políticas públicas de educação digital e de políticas corporativas no mesmo sentido. Além do mais, os pais possuem um papel relevante na educação digital dos filhos. Muitos crimes cometidos por jovens tem sua raiz não no mau uso da tecnologia, mas sim em uma carência ética e moral que parece atingir parcela da nossa sociedade.

Guilherme Goulart na Rede:
http://direitodatecnologia.blogspot.com
http://www.direitodatecnologia.com
twitter.com/direitodaTI

Comentários