Cadernos de Seguro

Entrevista

Com: José Mariano de Araujo Filho, delegado e consultor independente sobre crimes de alta tecnologia.

Por: Vera de Souza e Verônica Couto

Cada vez mais, grandes corporações, pequenas e médias empresas decidem transferir suas bases de processamento de dados para fornecedores externos, acessando arquivos, documentos e aplicações remotamente, por meio da Internet. É o modelo da computação em nuvem, ou cloudcomputing, uma tendência global no mundo dos negócios. Esse movimento, contudo, de acordo com especialistas, aumenta os riscos e instaura questões complexas relacionadas à segurança e à governança da tecnologia de informação das companhias.
Uma boa notícia é que, no último dia 7 de novembro, após cerca de 15 anos de debates, a Câmara dos Deputados aprovou projetos que definem crimes praticados por meio eletrônico: o PL 2703/11 e o substitutivo do Senado ao PL 84/99. Por exemplo, determinam que é crime “invadir dispositivo informático alheio” para obter vantagem ilícita; ou difundir programas, como vírus, que permitam violar sistemas. É um passo importante, mas insuficiente, avalia em entrevista à Cadernos de Seguro o delegado José Mariano de Araujo Filho, consultor independente sobre crimes de alta tecnologia, que atuou durante cinco anos na delegacia dedicada a Crimes Praticados por Meios Eletrônicos da Polícia Civil de São Paulo. Segundo ele, sem formar quadros especializados nas polícias, capazes de desenvolver adequadamente as investigações, a lei corre o risco de se tornar letra morta.

ENTREVISTA

CADERNOS:A tipificação de crimes em meio eletrônico, aprovada pela Câmara no dia 7 de novembro, atende às necessidades brasileiras?
MARIANO ARAUJO: Depois de discutir a necessidade de uma legislação brasileira nessa área durante tantos anos, ver a aprovação de uma lei como essa, até certo ponto, poderia decepcionar. Isso porque as discussões sobre uma legislação de criminalidade cibernética no Brasil começaram na intenção de fazer um projeto que se transformasse numa lei efetiva, que dotasse os órgãos de segurança de todas as ferramentas para combater esse tipo de criminalidade, mas houve uma movimentação, por conta de diferentes interesses de empresas e associações, que desvirtuou totalmente o debate. Diante da necessidade de se negociar e atender os diversos segmentos da sociedade, infelizmente, foi preciso abrir mão de diversos pontos para que o projeto pudesse ser aprovado e transformado em lei no Congresso. Hoje temos uma ferramenta para combate à criminalidade cibernética no Brasil, mas num grau muito aquém do que seria a real necessidade. Mesmo assim, não estou decepcionado.Pelo menos saímos da mera discussão. Agora nós temos uma legislação.

CADERNOS: Nessa negociação, qual teria sido a alteração mais grave no projeto?
MARIANO ARAUJO: Como agente da lei que sou – um delegado de polícia – posso dizer que, quando se fala em criminalidade cibernética, o mais importante é proporcionar aos órgãos de repressão e investigação, à polícia, as ferramentas para que sejam capazes de realmente fazer as investigações necessárias. Mas esse projeto não dota as agências de investigação dessas ferramentas amplas. Até entendo que [os mecanismos aprovados] criminalizam algumas condutas que estavam em uma zona nebulosa e que geravam dúvidas: é ou não é crime? Nesses casos, a decisão cabia ao Poder Judiciário. E, de acordo com a tendência de determinado tribunal, aquilo poderia ou não vir a ser considerado crime. Agora, não há o que discutir. Invadiram um sistema? É crime. Mas não avançamos na questão de dotar os órgãos de segurança com as ferramentas de investigação.

CADERNOS: Quais seriam essas ferramentas?
MARIANO ARAUJO: Principalmente acesso à informação. Por exemplo, para que eu possa investigar e rastrear o IP de uma mensagem que uma pessoa recebeu com conteúdo criminoso, preciso ter acesso a informações de usuários nos provedores, nas empresas de telecomunicação. Mas os grandes provedores não concordavam.

CADERNOS: No ambiente de cloudcomputing, como fica esse cenário de ameaças via Internet?
MARIANO ARAUJO: Muito pior. Aí é que você realmente precisa ter acesso a todas as informações relacionadas à infraestrutura de telecomunicação, para que se possa fazer a rastreabilidade de conteúdo. Estamos falando de uma informação que está aqui no Brasil, nos Estados Unidos, na Europa [hospedada pelos provedores em diferentes lugares]. É a nuvem. A empresa precisa saber quais informações estão agregadas a esses dados, para que se possa responsabilizar quem vier a usá-los indevidamente para praticar crime. A lei tem que se preocupar com isso.

CADERNOS: Quais os principais incidentes de segurança na Internet, especialmente no que diz respeito às corporações?
MARIANO ARAUJO: O principal crime se relaciona à subtração de valores. O criminoso digital brasileiro é aquele que busca, no final das contas, acessar de maneira indevida a conta-corrente de uma empresa, de uma pessoa física. Ou se utilizar de maneira indevida de cartão de crédito. O núcleo do crime cibernético no Brasil é financeiro.

CADERNOS: Por isso o volume de fraudes bancárias divulgado pela Federação Brasileira de Bancos (Febraban), da ordem de R$ 1,5 bilhão no ano passado, tem sido tão alto?
MARIANO ARAUJO: Esse tipo de crime só faz aumentar, ano a ano. Não é uma questão exclusiva do Brasil. Todos os grandes países estão tentando resolver esse problema, e estão fazendo isso de duas maneiras: com legislação adequada e, principalmente, com a especialização das suas forças de segurança. Só assim você consegue combater essa modalidade criminosa. Para se ter uma ideia, enquanto o Brasil só hoje tem uma lei – por sinal, tímida–, Portugal já fez a segunda grande revisão da sua lei relacionada a crimes de alta tecnologia. Hoje, Portugal é uma referência no que diz respeito à legislação de cibercriminalidade.

CADERNOS: As leis aprovadas em novembro vão promover queda no número de fraudes, por exemplo, naquelas estimadas atualmente pela Febraban?
MARIANO ARAUJO: Quando você estabelece alguma conduta como sendo criminosa, num primeiro momento, as pessoas podem se sentir desmotivadas a praticá-la: “Deixa eu ficar esperto, porque isso agora é crime”. Mas isso acontece num primeiro momento. Se não houver uma resposta à altura para os crimes, por parte dos órgãos governamentais, para fazer com que a lei tenha realmente a coercitividade, pode acontecer de termos uma lei que não pegue e seja letra morta.
Por exemplo: baixar filme e música da Internet é crime? É crime, mas já viu alguém punido por essa prática criminosa? Não. Pois é. Essa legislação penal, especificamente, acabou caindo no desuso. Então, ao aplicar a lei para repressão de crimes eletrônicos, se não houver atuação repressiva efetiva do Estado e por parte da sociedade, no sentido de que a lei seja válida, vai acontecer a mesma coisa.

CADERNOS: O Brasil está fisicamente equipado para combater o crime eletrônico?
MARIANO ARAUJO: Eu atuei na Delegacia de Crimes Eletrônicos de São Paulo durante cinco anos. Posso dizer com toda a consciência que, infelizmente, o Brasil não dispõe de profissionais com formação adequada para lidar com esse tipo de criminalidade. Não é simplesmente pegar um policial qualquer. Hoje o policial está investigando um furto, amanhã um homicídio, depois de amanhã, uma carga. Agora, está investigando crime eletrônico. Isso não existe. Em nenhum lugar do mundo a coisa é assim. O policial precisa ser especializado nessa área. Tem que conhecer tecnologia, a área jurídica, e contar com uma boa noção de técnicas policiais. Portanto, ele requer uma tripla formação. Infelizmente, as nossas Polícias Civis, responsáveis por esse tipo de investigação na maior parte dos casos, não têm especialistas nos seus quadros. Mesmo os Estados que já dispõem de delegacias para crimes por meios eletrônicos não têm especialistas. Porque um especialista dessa área não é formado apenas frequentando um curso de fim de semana; é um profissional forjado no decorrer do tempo, com longa duração, e atuando especificamente nessa área para que possa adquirir experiência. Sob esse aspecto, não estamos preparados. Talvez leve algum tempo até que isso aconteça.
CADERNOS: Os riscos digitais são um tema emergente e algumas seguradoras já começam a oferecer produtos de seguros para ameaças cibernéticas. Para o profissional de seguro também seria necessária uma formação específica?
MARIANO ARAUJO: O profissional de seguro terá que se adaptar a essa realidade, em que se lida com valores intangíveis. Uma coisa é uma empresa, dessa área securitária, oferecer um produto com custo para proteção de um bem tangível. Quando você trata da “ciber-ameaça”, passa a lidar com valores que são intangíveis. Consequentemente, precisa ter uma noção muito ampla, para saber a que tipo de ameaça aquele bem, aquele valor, está suscetível – fazer toda uma avaliação do risco. É importante para que, nesse processo de criação de um produto específico, ele não fique fora da expectativa do mercado, oferecendo uma proteção que afinal não pode ser caríssima e impraticável para as empresas. A realidade das companhias que vão atuar nessa área é tormentosa. Elas também vão precisar se cercar de profissionais que tenham conhecimento adequado, para que adquiram noções dos riscos aos quais vão estar sujeitas, de modo a oferecer produtos que consigam ir ao encontro das necessidades de proteção desses riscos.

CADERNOS: Quais as melhores estratégias para as empresas que queiram se proteger?
MARIANO ARAUJO: A maior parte das empresas acaba negligenciando a possibilidade de se tornar vítima de crimes praticados por meio eletrônico. Nós, brasileiros, dentro das pequenas, médias e grandes empresas, precisamos de estratégias proativas. É fundamental conhecer seu negócio, como são os processos de circulação das informações e de proteção aos seus ativos, se estão funcionando. Se não conhecer a que ameaças o seu negócio está sujeito ou quais as formas e técnicas que os criminosos podem utilizar, você continua exposto ao risco.
O grande problema é que não existe aqui no país uma cultura de ações preventivas. São poucas as empresas que buscam especialistas em análise de riscos para uma consultoria que antecipe as ameaças ao negócio. Não há uma cultura de inteligência e contrainteligência corporativa no Brasil. Muito menos de análise de risco. Isso é triste, mas é a realidade. Como não existe essa demanda, as pessoas a encaram nas grandes corporações como um investimento muito caro. Nem sempre é proibitivo. Quais empresas, pequenas ou de médio porte, têm um plano efetivo de continuidade de negócios numa situação em que possam ser vítima de um cibercrime? Conhece alguma?

CADERNOS: O fato de os dados ficarem hospedados em diferentes locais, até em diferentes países, no ambiente da nuvem, não vai exigir um abordagem global dessas questões?
MARIANO ARAUJO: Existe um foro quase permanente relacionado às questões de informações e criminalização de condutas, há muito tempo. Na Comissão de Budapeste surgiram os principais temas relacionados à cibercriminalidade e as propostas atuais de legislação nessa área.

CADERNOS: Se tenho um problema no contrato com um fornecedor de serviço de nuvem e descubro que os meus dados estão hospedados fora do Brasil, em que foro isso será enfrentado?
MARIANO ARAUJO: Infelizmente, o Brasil precisava, primeiro,ter uma legislação de crimes eletrônicos, até para fazer valer os acordos internacionais relacionados à troca de informação. Ainda não existe algo acertado nesse sentido e ainda vamos sofrer bastante com essas questões. A maior parte das empresas que se vir nessa situação vai ter muitos problemas. O que é aconselhável? Que as pessoas avaliem muito bem com quem e de que forma estão mantendo seus negócios, de quem estão contratando, sempre pensando que pode dar alguma coisa errada. É preciso se antecipar às situações. É muito mais interessante, antes de você se encontrar numa situação como essa, buscar o aconselhamento especializado, que aponte o que pode dar errado e impactar sua operação, melhor do que correr atrás, quando o problema acontece.

Especialista recomenda padrões tecnológicos
Em um ambiente de computação em nuvem, o uso de tecnologias que obedeçam a padrões, especialmente na comunicação entre os equipamentos, permitirá aos clientes examinar as providências tomadas por seus fornecedores para a segurança dos dados corporativos. Quem afirma é Vagner Diniz, gerente do escritório do consórcio W3C no Brasil, organização global integrada por cerca de 400 corporações, que responde pelo desenvolvimento de padrões tecnológicos para assegurar interoperabilidade e acessibilidade na camada Web da Internet, onde está a interface gráfica de uso mais conhecido da rede. “Tendo um padrão de comunicação estabelecido via interface Web, você consegue entrar na parte de segurança da aplicação, ter mais informação sobre como é feita essa segurança e auditar esse ambiente. Em um ambiente fechado, você não sabe como o provedor de informações na nuvem está lidando com a segurança.”
Segundo Diniz, a adoção de padrões também é estratégica para a governança e independência da estrutura de tecnologia da informação na computação em nuvem. “Ao tentarem trocar de fornecedor, as empresas já começam a perceber grande dificuldade, porque estão presas ao provedor de nuvem, por conta da dependência das aplicações fechadas e proprietárias do provedor, sendo que a ideia da nuvem era exatamente a de promover a independência, de modo que a empresa pudesse ter seus dados em qualquer lugar do mundo, com flexibilidade. E o que está se mostrando hoje é que não é bem assim”. O gerente do W3C diz que, quanto mais o acesso aos dados estiver baseado em padrões Web, maior domínio do usuário, que poderá desenvolver aplicações para fazer o controle da comunicação com os servidores em cloud.
Outro aspecto em debate no mundo jurídico, afirma Diniz, envolve o acesso a dados pessoais. Segundo ele, o Ministério da Justiça prepara uma proposta para o Executivo enviar no ano que vem ao Congresso, na forma de Projeto de Lei sobre proteção de dados. Na União Europeia não é permitido que os dados pessoais sejam transferidos na forma de outsourcing para empresas de fora da Comunidade Europeia e de países que não tenham uma legislação de segurança a respeito de proteção de dados considerada confiável. “E isso afeta não só o cloud, mas coisas mais singelas, como call centers – área em que se faz cada vez mais outsourcing e lida com dados pessoais.”

21/12/2012

Cadernos de Seguro - Uma Publicação da Escola Nacional de Seguros © 2004 - 2017. Todos os direitos reservados.