Riscos Cibernéticos

O ambiente digital é também um ambiente humano. Como tal, é um território onde essencialmente são realizadas há décadas as mesmas atividades sociais, econômicas e políticas, mas potencializadas pela interconectividade. Os efeitos devido à rede são mais amplos, mas principalmente mais velozes.

Graças à liberdade de acesso e difusão que o campo digital permite, foram criadas e consolidadas empresas de diferentes tamanhos e colocados em prática projetos de benefício social, mas também, aumentaram os riscos cibernéticos com a prática de atividades lesivas ou ilegais.

Chegou também num momento no qual o conhecimento dos sistemas de informática começou a ser usado para fins políticos, o que abriu o debate ético sobre os limites das práticas digitais. Talvez o caso mais controverso foi o que originou o site Wikileaks a partir de 2008[i], com a liberação de documentos confidenciais, ato que teve repercussões diplomáticas em vários países.

Outro caso menos conhecido, mas também com impacto internacional, foi o ciberataque de uma empresa holandesa a uma empresa suíça em março de 2013. Por mais que a origem da disputa estava concentrada nas duas companhias, os efeitos da ofensiva afetaram os servidores nos Estados Unidos, Reino Unido, Alemanha e Holanda. [ii] O principal responsável, um holandês de 35 anos, foi detido no mês seguinte na Espanha.


Convenção de Budapeste

Em 23 de novembro de 2001, em Budapeste, Hungria, foi criada o primeiro convênio sobre ciberdelinquência[iii], porém não entrou em vigor até julho de 2004. É considerado o primeiro tratado internacional que tem o objetivo de enfrentar os delitos na informática.

O tratado, também conhecido como Convênio de Budapeste, foi elaborado pelo Conselho da Europa e conforme relatado no preâmbulo, visa “ter poderes suficientes para lutar de forma efetiva contra tais delitos, facilitando sua detecção, investigação e punição, tanto nacionalmente como internacionalmente e estabelecendo disposições que permitam uma cooperação internacional rápida e confiável”. [iv]

Este convênio, assinado por apenas 46 países até abril de 2014,[v] tem sido a base para que dezenas de nações adotem medidas específicas tanto tecnológicas, educativas e penais para atacar este risco.

As ameaças prevalecem enquanto os países buscam tornar suas estratégias mais robustas. Os riscos parecem crescer mais rápido que as regulações, isso demonstra que o caminho passa por uma maior conscientização e educação para enfrentar com êxito os perigos.


O risco da imaturidade

O tema da segurança dentro das empresas se tornou um assunto de grande relevância devido às perdas econômicas que estão em jogo. Em maio de 2014, para citar um exemplo, a empresa de leilão online Ebay sofreu um ataque de piratas da informática, onde foram roubados dados de cerca de 233 milhões de usuários. [vi]

O analista Carlos Mota menciona que, segundo uma pesquisa feita pelo Pew Research Internet Project, 61% dos participantes de alto nível asseguram que para 2025 um ataque cibernético de grandes proporções “vai quebrar uma nação e a deixará indefesa diante da possibilidade de defender-se, bem como, com amplas perdas de bilhões de dólares”. [vii]

Embora o assunto mostre sinais de alerta, parece que a construção da defesa tem sido lenta ou inexistente. Conforme o “Índice[viii] de Pobreza de Segurança Cibernética” da RSA (Rivest, Shamir e Adleman)[ix], que é o algoritmo mais utilizado para criptografar informações confidenciais como senhas e assinaturas digitais, 75% dos profissionais de segurança das organizações carecem de maturidade para enfrentar estes tipos de riscos.

O perigo não é menor quando se leva em conta que o estudo foi realizado com 400 profissionais de 61 países de organizações com mais de 10.000 empregados, e essas empresas foram qualificadas como sendo “inferiores a desenvolvidas” em seu nível de maturidade sobre segurança cibernética.


Etapas de crescimento

Os desafios para a América Latina e Caribe, na questão de cibersegurança, têm motivado esforços multilaterais para entender e desenvolver estratégias que protejam a sociedade diante das ameaças cibernéticas e para aumentar a prosperidade econômica e social da região.[x]

O Banco Interamericano de Desenvolvimento, em conjunto com a Organização dos Estados Americanos, elaborou e expôs um estudo[xi] em que apresenta uma visão geral do estado atual da segurança cibernética nos países da região.

O Modelo de Maturidade de Capacidade de Segurança Cibernética (CMM, em sua sigla em inglês) é uma proposta do Centro Global de Segurança Cibernética de Universidade de Oxford[xii] e foi incorporado pela OEA e pelo BID no estudo referido para tornar mais acessível à compreensão destes riscos.

O CCM é composto por 49 indicadores chamados de subfatores. Eles são distribuídos em cinco áreas que podem estar relacionadas: políticas e estratégica nacional de segurança cibernética, cultura cibernética e sociedade, educação, formação e competências em segurança cibernética, marco jurídico e regulamentário e normas, organização e tecnologias.

Cada uma destas cinco áreas são avaliadas em cinco níveis chamados de níveis de maturidade:

Inicial: não existe nada ou se tem uma ideia, mas não há ações concretas.

Formativo: algumas características começaram a crescer, mas não foram definidas.

Establecido: neste nível os elementos ou subfatores são funcionais e estão definidos, mas a alocação de recursos não foi feita adequadamente.

Estratégico: neste nível já foram definidos os aspectos essenciais do subfator e foram estabelecidos os objetivos nacionais.

Dinâmico: aqui se tem mecanismos claros para modificar a estratégica em função das circunstâncias, por exemplo, a tecnologia em relação às ameaças como a delinquência cibernética e os ataques à privacidade.

Dos 32 países que o estudo reúne, 6 mostram uma visão do panorama regional.


Uma região com grandes desafios

Segundo Luis Alberto Moreno, presidente do Banco Interamericano de Desenvolvimento, os delitos cibernéticos representam uma perda em nível mundial de 575 bilhões de dólares ao ano, equivalente a 0,5% do PIB global. [xiii] Ele destaca ainda que na América Latina e Caribe o cibercrime custa cerca de 90 bilhões de dólares a cada ano.

A região da América Latina e Caribe enfrenta sérios desafios que podem ser agrupados nos associados às regulações e penalizações e, por outro lado, a proteção de dados. É notável que cada país da região tem avançado em ritmo diferente, mas em geral o nível de desenvolvimento diante dos riscos cibernéticos está entre médio e fraco. Com algumas exceções como o Uruguai, a maioria dos países tem esquemas iniciais.

O Uruguai é o país com maior maturidade em relação à cibersegurança. [xiv] Seu alto desenvolvimento em governança eletrônica, normas de privacidade, formação, privacidade e proteção de dados dentro do marco legal e sua capacidade de resposta a incidentes lhe garante um nível acima da média regional. Em termos gerais, em suas cinco áreas predomina o nível estratégico, que é o quarto dos cinco.

Por outro lado, o Uruguai não conta com uma estratégica nacional específica para atender a segurança cibernética, mas a Agência para o Desenvolvimento do Governo de Gestão Eletrônica incluiu em sua agenda o tema de segurança cibernética em seu plano 2015-2020.

Outro país, este com um desenvolvimento médio, é o Brasil. Contam com vários grupos de resposta a incidentes de segurança informática, todos eles sob a coordenação da Equipe Nacional de Resposta a Incidentes Informáticos. [xv]

Entre seus aspectos mais sólidos se destacam os que giram em torno do direito processual, o cumprimento da lei, aplicação de normas mínimas aceitáveis em tecnologia e na capacidade de resposta a incidentes, todos eles em nível estratégico.

O Chile, [xvi] por sua vez, tem mostrado mais desenvolvimento em normas de privacidade, direito processual da delinquência cibernética e na organização frente à proteção da infraestrutura crítica nacional.

Além disso, os três itens mais marcantes sobre segurança cibernética no México[xvii] são uma cultura das normas de privacidade, cumprimento da lei e identificação em resposta a incidentes dentro da tecnologia. A Divisão Científica da Polícia Federal do México é a responsável por investigar os delitos cibernéticos em nível nacional.

Com um desenvolvimento médio-baixo em geral, a Argentina[xviii] conta com um projeto de Estratégia Nacional de Segurança Cibernética. Sua área de marcos legais tem um nível médio e, um grau mais alto, os âmbitos de normas de privacidade e designação frente a resposta a incidentes em tecnologia são os únicos em nível estratégico, o quarto dos cinco níveis.

A Colômbia[xix] é um dos países com um nível menos maduro para enfrentar os riscos cibernéticos. Lá o Poder Judicial tem a capacidade de investigar casos de delinquência cibernética, mas carece de formação para concluir com sucesso tais casos nos tribunais. Cabe ressaltar que a consciência social sobre a importância da privacidade e segurança na internet, assim como a confiança nos sistemas digital, tem crescido em parte devido às campanhas nacionais.

Entre os subfatores destacados, a área de cultura e sociedade é onde predominam os níveis que correspondem a intermediário ou estabelecido, o mesmo para a área de marcos legais.

Entre a mostra de seis países e levando em conta apenas os três níveis mais altos dos 49 indicadores, apenas o Uruguai está em cinco deles no ponto mais desenvolvido, o restante dos países registram um nível de maturidade não superior a intermediário, ou seja, estabelecido. (Fig. 1)

Figura 1


Seguros cibernéticos

Devido às perdas econômicas que um ataque informático representa, muitas empresas têm optado por proteger-se mediante uma cobertura. O seguro cibernético de riscos tem dois tipos de proteção: uma delas protege contra riscos diretos, como danos por perda de dados e utilidade que não conseguiu receber pela interrupção do negócio; a outra cobre a responsabilidade frente a “terceiros” - ou seja, prestação de contas à comunidade, clientes ou entidades regulatórias. [xx]

Com uma apólice de riscos diretos, por exemplo, no caso de uma violação de dados a apólice ajudaria com os custos de notificação aos titulares da informação, os custos associados a serviços de monitoração de créditos e de restauração da identidade segundo seja o caso. Mesmo assim apoiaria ao segurado frente à perda na utilidade líquida que sofra a consequência da interrupção do negócio e custos associados à recuperação do mesmo.

Por sua parte, mediante uma apólice com cobertura de terceiros, uma empresa encontra suporte frente às despesas de defesa incorridos por alegações relacionadas com os danos infligidos por uma falha na gestão de dados pessoais ou corporativos, ou por não gerir adequadamente a seguridade da sua rede. Também teria suportado frente à compensação que deve pagar legalmente.


Para uma maior segurança

A tendência atual frente à gestão de riscos cibernéticos não compreende somente o trabalho em controles e prevenção, mas na preparação de empresas e governos na hora de gerir o incidente cibernético, uma resposta apropriada e preparada atenua o valor das perdas econômicas e de reputação.


[i] Navarro, Fernando. “Wikileaks: cómo destapar escándalos en internet”, El País, España, 26 de julho de 2010. Consultado en http://bit.ly/2nwn0YU
[ii] Sánchez, J. M. “Sven Olaf Kamphuis, el holandés errante que provocó el mayor ataque de internet”. ABC Tecnología, España, 27 de maio de 2013. Consultado en http://bit.ly/2oc780Y
[iii] Consejo de Europa. Convenio sobre la ciberdelincuencia. Consultado en http://bit.ly/2fgtbPS
[iv] Ibid, p. 2.
[v] Migliorisi, “Qué países firmaron y ratificaron la convención mundial contra el cibercrimen (Budapest 2001). Estudio jurídico. Consultado en http://bit.ly/2nyFDv3
[vi] Mota, Carlos. “2015: año de ciberataques globales”. Revista Forbes México, 29 de março de 2017. Consultado en http://bit.ly/2ozl9Sc
[vii] Ibid.
[viii] Revista Forbes. “Las organizaciones no saben enfrentar riesgos cibernéticos”, 29 de março de 2017. Consultado en http://bit.ly/2obBbpj
[ix] El sistema criptográfico con clave pública RSA es un algoritmo asimétrico cifrador de bloques, que utiliza una clave pública, la cual se distribuye (en forma autenticada preferentemente), y otra privada, la cual es guardada en secreto por su propietario. Los mensajes enviados usando el algoritmo RSA se representan mediante números y el funcionamiento se basa en el producto de dos números primos de más de 10 dígitos elegidos al azar para conformar la clave de descifrado. Blog Seguridad Informática. Consultado em http://bit.ly/2nNeref
[x] Maciel, Marilia; Foditsch, Nathalia, et. al. “Seguridad cibernética, privacidad y confianza: tendencias en América Latina y el Caribe. El camino a seguir”. Banco Interamericano de Desarrollo. Ciberseguridad ¿Estamos preparados en América Latina y el Caribe. Informe Ciberseguridad 2016 (PDF). Consultado em http://bit.ly/2mQHcHR
[xi] Banco Interamericano de Desarrollo (BID). Ciberseguridad ¿Estamos preparados en América Latina y el Caribe. Informe Ciberseguridad 2016 (PDF). Consultado en http://bit.ly/2mQHcHR
[xii] El Centro Global de Capacidad sobre Seguridad Cibernética de la Universidad de Oxford fue establecido en 2013, para construir una comprensión global de prácticas eficientes y eficaces de creación de capacidad de seguridad cibernética mediante la investigación académica.
[xiii] BID. Op cit. p. IX.
[xiv] BID. Op cit. p. 108.
[xv] BID. Op cit. p. 60.
[xvi] BID. Op cit. p. 62
[xvii] BID. Op cit. p. 86.
[xviii] BID. Op cit. p. 50.
[xix] BID. Op cit. p. 64.
[xx] Myers, Lysa. “Qué es el seguro cibernético”. We live securityen español. 8 de junho de 2015 http://bit.ly/2o7PCIk