Em todo mundo, a proteção contra ameaças cibernéticas às infraestruturas críticas - os ativos essenciais para a sociedade e para a economia - está se tornando alta prioridade. A causa são incidentes de grandes consequências já registrados em países como Irã (usina de enriquecimento de urânio, em 2010), Arábia Saudita (operações da Aramco, em 2012), Ucrânia (blackout de Kiev, em janeiro de 2017) e mesmo no Brasil (ataque do WannaCry, em maio de 2017).
Com a elevação desse tipo de risco, o Brasil já colocou a segurança das infraestruturas críticas como um dos módulos no desenvolvimento da Estratégia Nacional de Segurança Cibernética, cujo texto está em consulta pública até 1o de outubro. Apesar disso, na pesquisa Global Cybersecurity Index, da União Internacional de Telecomunicações, o Brasil vem caindo de posição desde que o indicador começou a ser medido, em 2014 - ano em que o país tinha uma nota que o colocava em sétimo lugar, logo atrás da Noruega. No relatório de 2018, publicado há 60 dias, o Brasil figura em 70o lugar. O Paraguai, em 66o.
Embora o cenário seja preocupante, existem no Brasil infraestruturas críticas já muito bem protegidas e uma delas é a internet, explica Frederico Neves, diretor de serviços e de tecnologia do NIC.br - o órgão que administra a infraestrutura da internet no país. Se a internet foi projetada como uma rede que opera mesmo quando uma de suas partes está desativada, a internet brasileira já tem sete mil dessas partes - ou sistemas autônomos - interligadas. “O Brasil é um dos países que tem uma internet extremamente bem distribuída”, explica Neves.
Todos os números da internet brasileira são grandes, diz o diretor do NIC. Existem segundo ele, pontos de troca de tráfego em 32 cidades do país. Esses são os locais onde os provedores de acesso da internet (como operadoras de telecomunicações) e as redes de distribuição de conteúdo (como Google, Netflix, Facebook e outras) se conectam fisicamente para receber e enviar dados. “São Paulo tem o maior ponto de troca de tráfego do mundo e o terceiro em tráfego”, informa Neves.
O investimento nessas estruturas, explica o diretor, favorece a resiliência da internet brasileira - a capacidade de restauração do seu funcionamento após um incidente. O NIC tem planos de segurança e de continuidade de negócio baseados em normas ISO e permanentemente atualizados. Outro investimento são cursos de melhores práticas e tratamento de incidentes ministrados aos técnicos e ao público.
O Serpro, parte da infraestrutura crítica do governo federal, tem investido também na segurança cibernética desde 1998, conta Ismael Tedesco, gerente de soluções de segurança da empresa. Como as ameaças mudam constantemente, ele diz que a tarefa de proteger a empresa e seus clientes não é fácil. “E se não é para nós, imagine para uma pequena prefeitura”. Tiago Iahn, gestor de produção em segurança da informação no Serpro, observa que os incidentes cibernéticos têm sido frequentes, tanto entre os clientes quanto em estatais que não são clientes.
Marcos Lopes, gerente de governança em segurança da informação da empresa, acrescenta que a experiência do Serpro foi requisitada para a proteção cibernética de infraestrutura durante a Copa do Mundo de 2014 e as Olimpíadas de 2016. As medidas de proteção adotadas para as operações internas são também adotadas para os clientes, entre os quais estão ministérios e órgãos como a Receita Federal.
Com a proximidade da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), acrescenta, foram revistas as medidas de segurança para os clientes e providenciados novos recursos, como plataformas de consentimento de uso dos dados pessoais. A segurança da informação e segurança cibernética são consideradas pelo Serpro fundamentais para o sucesso do seu negócio. A interrupção de serviços provoca impacto significativo e pode afetar a sociedade, a economia e os serviços de governo.
Mas para o matemático Roberto Gallo, coordenador do comitê de segurança e riscos cibernéticos da Associação Brasileira de Empresas de Software (Abes), é possível dizer que no Brasil boa parte das infraestruturas não está totalmente segura, especialmente “se considerarmos que a infraestrutura crítica vai do hospital à usina nuclear”. Uma das causas desse problema é o fato de a cultura de cibersegurança ainda ser recente. “Os problemas acontecem nos modelos acidental e adversarial. No primeiro, a análise de risco se baseia em acidentes; no segundo, em inimigos ou terroristas. E hoje, um dos principais receios é com atos terroristas”, explica.
Analisando desse modo, a impressão dele é de que nem todas as infraestruturas estejam preparadas para problemas do modelo adversarial. “Nosso parque nuclear, por exemplo, é muito bem cuidado pela Marinha, mas em outras áreas a cibersegurança deixa a desejar. Considerando um hospital como infraestrutura crítica, temos problemas que vão desde a proteção dos prontuários médicos até o uso de sistemas operacionais obsoletos e vulneráveis nos computadores da instituição”. Ao mesmo tempo, Gallo observa que as cidades brasileiras estão adotando sistemas inteligentes tardiamente, mas em compensação mais maduros e mais seguros.
No Grupo CCR, que opera aeroportos, rodovias, linhas de metrô e as barcas Rio-Niterói, a cibersegurança é uma preocupação constante, afirma André Costa, diretor da CCR EngelogTec, o núcleo de tecnologia do Grupo. “Numa empresa privada como a nossa há riscos de vários tipos, incluindo hackers tentando obter informações de colaboradores para cometer fraude financeira. Ou ataques para sequestrar informações como foram os do ransomware Wannacry”, alerta.
Costa acha que num intervalo que vai de dez a 15 anos no futuro, o uso da tecnologia vai crescer, para favorecer o conforto e a qualidade dos serviços, “mas em contrapartida todos os riscos também crescem”. A resposta da empresa no que diz respeito à infraestrutura crítica é testar essas tecnologias até o ponto em que estejam suficientemente maduras e seguras. Além de planos e políticas de segurança da informação para os funcionários, todas as empresas do grupo têm um plano de reação contra incidentes cibernéticos, afirma.
Longinus Timochenco, diretor de cyber defense da Stefanini Rafael na América Latina, considera a cibersegurança das infraestruturas críticas do Brasil ainda pouco amadurecida. “Nós achamos que existe uma carência de informações em relação a esse tema e por causa disso há uma fragilidade nesses ambientes”, diz. Para ele, mesmo o sistema financeiro do país tem fragilidades em segurança cibernética, porque “em geral eles atuam em função das regulamentações do setor, mas continuam tendo vulnerabilidades na sua infraestrutura física”. Timochenco afirma que a solução para trazer cibersegurança a qualquer infraestrutura crítica inclui um desenvolvimento da cultura de segurança em primeiro lugar, “mas é preciso também investimento em ciência e pesquisa, e mais atualização da infraestrutura e da automação”.