ICICT | Fiocruz - Instituto de Comunicação e Informação Científica e Tecnológica

“A curiosidade é tão excessiva que perdeu o pudor. A vertigem da vida é tão intensa que não se pode mais separar a vida pública da vida particular”. A frase do jornalista e cronista carioca Paulo Barreto – mais conhecido pelo pseudônimo João do Rio – foi escrita, surpreendentemente, em 1911. Não se podia imaginar, numa época ainda distante do esgarçamento de limites entre o público e o privado, dos fluxos internacionais de informação e comunicação e do neoliberalismo global, que a “invasão de privacidade”, já observada pelo cronista, nos lançaria em uma era caracterizada pelo sentimento de insegurança – econômica, política, física – e, mais ainda, de desconhecimento sobre o quanto de nossas vidas e dados pessoais está (des) protegido da curiosidade e bisbilhotice alheias.

Não à toa e já percebendo esse mal-estar, o filósofo Michel Foucault problematizou, na década de 1960, a emergência do controle social por meio de dispositivos disciplinares e o nascimento de uma sociedade baseada na vigilância. Anos depois, Gilles Deleuze (1990) avaliou como uma sociedade regida por instrumentos disciplinares cria para si estratégias constantes de auto-regulação e controle da malha social. Recentemente, o historiador e ensaísta inglês Tony Judt afirmou no livro O mal ronda a Terra, como “a insegurança e o medo – da mudança, do declínio, dos desconhecidos e de um mundo estranho – está corroendo a confiança e a interdependência nas quais se apóiam as sociedades civis”. Perda de controle, novas formas de poder, insegurança. Seriam esses agora os grandes paradigmas sociais? Ou acabamos por nos tornar reféns de algo a que passamos atribuir imensa importância?

Decerto, convive-se hoje com um sem número de dispositivos de vigilância e identificação, de câmeras instaladas em ruas, residências, estabelecimentos comerciais, escolas e elevadores, a tecnologias biométricas, em que se utiliza o corpo como “senha”, por meio de digitais, íris, retina, traços faciais e voz. Nesse contexto de ameaça de uso indevido ou mesmo antiético de dados pessoais, corporais e institucionais, a informação se converte em mercadoria de grande valor, tanto para os próprios indivíduos, como para governos, empresas e instituições. Não por acaso, observa-se a ampliação do emprego de termos bélicos como “guerra”, “defesa”, “ataque”, “invasão” e muitas vezes, em nome da segurança social, biológica, econômica e tecnológica, se justifica o acesso a informações de indivíduos, empresas e instituições por entes privados e também públicos. De fato, como afirma o filósofo e coordenador do Laboratório de Inteligência Coletiva da PUC-SP, no artigo “Sociedade de controle”, nenhuma forma de poder parece ser tão sofisticada quanto aquela que regula os elementos imateriais de uma sociedade: informação, conhecimento, comunicação.

Segurança e defesa cibernética: desafio governamental

No texto “A segurança e defesa cibernética no Brasil e uma revisão das estratégias dos Estados Unidos, Rússia e Índia para o espaço virtual”, publicado em julho de 2013, o pesquisador do Instituto de Pesquisa Econômica Aplicada (Ipea) Samuel César da Cruz Júnior aponta para os riscos existentes no espaço cibernético brasileiro, e faz uma comparação entre a estrutura de segurança e defesa cibernética do Brasil e de outros países de relevância no cenário mundial. No artigo, Samuel Júnior afirma que ataque e defesa são, na prática, duas faces da mesma moeda. “Segurança é uma sensação que não pode ser medida, e defesa são as medidas tomadas para se garantir essa sensação de segurança”, analisa.

Como se observou na espionagem da Agência de Segurança Nacional dos Estados Unidos (National Security Agency, a NSA, na sigla em inglês), vazada pelo ex-analista Edward Snowden ao jornal O Globo em meados do ano passado, o atacante – o governo norte-americano – valeu-se basicamente das vulnerabilidades encontradas na defesa do sistema-alvo – no caso específico, e-mails da presidente Dilma e informações sigilosas da Petrobras. Denunciada a espionagem, exasperou-se o sentimento de insegurança e buscaram-se respostas adequadas e à altura da gravidade do fato. Contudo, uma questão permaneceu: nossos sistemas, no âmbito da administração pública federal, estão protegidos? 

Samuel Júnior, do Instituto de Pesquisa Econômica Aplicada - Ipea. (Foto: Arquivo Ipea)

Segundo o estudo do Ipea, “o Brasil ainda não possui um documento que estabeleça as diretrizes próprias de uma estratégia nacional para a defesa cibernética” e “não há um plano integrado de metas, objetivos e responsáveis para a melhoria da segurança da informação e defesa cibernética a médio e longo prazos”. Tal fragilidade se dá, de acordo com a pesquisa de Samuel Júnior, porque segurança e defesa cibernética são tratados no país por diversos organismos. Incluem-se aí instituições públicas, de governo, além de entidades não governamentais representando o setor privado.

Atualmente, conforme aponta o documento, cabe ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR) a gerência dos assuntos afetos à segurança, e ao Centro de Defesa Cibernética, que compõe a estrutura do Exército Brasileiro, vinculado ao Ministério da Defesa (CDCiber/EB/MD), as ações de defesa cibernética. Essa configuração, analisa o pesquisador do Ipea, tenderia a fragilizar tanto a defesa como a segurança, pois ambas respondem a dirigentes distintos. Faltaria, por esse viés, um organismo multilateral – uma instância superior – para se definir estratégias de segurança nacional.

Com base em estudos recentes, o artigo indica que o Brasil tem uma das infraestruturas de rede mais vulneráveis e desprotegidas, ocupando, na América Latina e no mundo, as primeiras colocações em diversos critérios de vulnerabilidade, como número de endereços de IP comprometidos e envio de spam. Além da vulnerabilidade, dados da GSI/PR citados no estudo afirmam que a administração pública federal registra cerca de três mil incidentes virtuais de segurança por mês.

Para o pesquisador, é essencial o investimento em capacitação, pois há expressiva carência de profissionais especializados em segurança da informação em todos os níveis da administração pública federal. E somente através de parcerias entre sociedade civil, governo, meio acadêmico e setor empresarial é possível aumentar as possibilidades de identificação de falhas ou brechas que podem ser exploradas (ataque) ou sanadas (defesa/segurança). “Segurança cibernética vai além da internet, se refere a segurança de sistemas, envolve equipamentos de TI, internet, procedimentos, ferramental utilizado. Por isso garantir a segurança cibernética é muito complicado”, completa Samuel Júnior.

Novos desafios, novos conceitos

Considerando que se vive em um contexto altamente dependente das tecnologias de informação e comunicação (TICs) e sob o risco de ataques cibernéticos, não há dúvida que é essencial problematizar como se configuram os conceitos de vigilância, controle e privacidade. Na opinião de Marta Mourão Kanashiro, professora do Programa de Pós-graduação em Divulgação Científica e Cultural e pesquisadora do Laboratório de Estudos Avançados em Jornalismo (Labjor) da Universidade de Campinas (Unicamp), testemunha-se um momento no qual os conceitos de intimidade e privacidade vêm adquirindo outra configuração. “Intimidade é uma questão subjetiva do mundo privado, algo que vem sendo escancarado repetidamente, e a noção de privacidade atual, diferentemente da conceituação moderna, está atrelada à noção de propriedade intelectual e ao acesso a dados”, avalia.

(Foto: Amanda Simões)

No artigo “Big data: reconstrução e disputa por novos significados de privacidade”, escrito em conjunto com os pesquisadores Fernanda Bruno, Rafael Evangelista e Rodrigo Firmino e apresentado no 37º Encontro Anual da ANPOCS, Marta Kanashiro argumenta que não se trata mais de indagar se o conceito de privacidade como conhecíamos há bem pouco tempo – relativo mais à intimidade, ao resguardo do lar – perdura ou não, mas de compreendê-lo no âmbito das disputas econômicas, sociais, cognitivas e estéticas travadas no campo das redes de comunicação como a internet. “Privacidade é um conceito hoje tratado de formas distintas por diferentes grupos. A defesa da privacidade de um usuário no Facebook é diferente do que está no contrato de privacidade do próprio Facebook ou de outras empresas”.

Em outras palavras, o que a pesquisadora está afirmando é que as informações pessoais publicizadas nas redes sociais on-line dizem respeito à vida privada de quem as “posta” voluntariamente e assume os riscos desta ação. Mas o gesto vai além do questionamento sobre a pertinência dessa autoexposição individual. “Essas informações originam uma segunda camada de dados que, submetidos a técnicas de mineração e produção de perfis computacionais (tradução do inglês profiling), podem gerar mapas e perfis de consumo, interesse, comportamento, preferência política, e ser usados para os mais diversos fins, do marketing à administração pública ou privada, da indústria do entretenimento à indústria da segurança”.

Por outro lado, conforme argumenta a pesquisadora da Unicamp, as políticas de privacidade de corporações como o Google, por exemplo, indicam que os limites e o controle de privacidade podem ser alterados segundo os interesses da empresa, e diferem da privacidade que a própria empresa reivindica para si mesma quando o assunto é o uso que faz da massa de dados capturada de seus usuários. “Nesses contratos de privacidade eles estão falando de propriedade sobre a informação. Já o usuário reclama uma privacidade que diz respeito às informações do cotidiano dele, é bem diferente”, complementa Kanashiro. O que se observa então, nesse universo de portas escancaradas, é que diante da sofisticação dos mecanismos de rastreamento de informações, é preciso estar de olhos bem abertos para o risco constante de insegurança digital, uma vez que a velocidade da circulação de dados cresce exponencialmente, em contraposição a uma infraestrutura de proteção nem sempre suficiente.

Dados recentes, inclusive, atestam que 65% dos ataques digitais a ambientes corporativos acontecem em horas, mas só são descobertos meses depois. Estima-se também que, em 2023, 32.500 gigabytes de informação estarão disponíveis para cada habitante da Terra. E nesse ambiente de big data há cruzamento de bancos de dados públicos e privados. “Por exemplo, o governo, para obter informações sobre a população, construiu grandes bancos de dados, mas o que era uma prerrogativa do estado, está também nas mãos das empresas. Hoje, há transferência de informações entre bancos públicos e privados, o que só se tornou possível porque a informação é valor, serve como moeda de troca”, avalia Marta Kanashiro.

Nessa conjuntura, a proposta da presidência da República, após o escândalo da espionagem da NSA, de criar um e-mail governamental para a administração pública federal, a ser administrado pelo Serpro, pode assentar o governo na arena de uma nova e sofisticada configuração de controle social. Na opinião da pesquisadora, a proposta resolve, em parte, problemas como o uso do Gmail ou do Outllook para o envio de mensagens institucionais. Mas cria-se outro. “Se pensarmos que as informações a serem trocadas nesses e-mails poderão gerar perfis de pessoas que podem vir a ser taxadas como terroristas, ou como criminosas, dependendo do que o robô de busca achar nesses e-mails, a estratégia passa a ser perigosa em mãos de qualquer governo. Isso também coloca o Brasil em posição internacional bem complicada. Além disso, nenhum sistema é cem por cento seguro”, alerta Kanashiro.

Rastros digitais

Se no início do século XIX o método criado pelo francês Alphonse Bertillon lançou as bases da antropometria judicial, tornando as medidas corporais indicadores da propensão de certos indivíduos ao crime, hoje essas pistas seriam insignificantes para os detetives cibernéticos. Isso porque quando ligamos o computador e checamos nossos e-mails, ou, ainda a caminho do escritório, com tablet ou smartphone em mãos, conferimos o saldo bancário, as condições de trânsito e lemos o jornal, deixamos – sem nos dar conta disso – o rastro de nossa movimentação no ambiente informacional, fácil de ser criptografado por hackers de plantão. Atualmente, em vista da insegurança digital que nos ronda e da sofisticação dos dispositivos de rastreamento, essas pistas, ao contrário do que apregoava o método de Bertillon, falam mais sobre os indivíduos do que qualquer medida antropométrica.

Em debate realizado em setembro de 2013 na Escola Nacional de Saúde Pública (Ensp/Fiocruz), com o tema “Privacidade, dados pessoais e dados corporais na sociedade da tecnologia da informação”, a pesquisadora Ilara Hammerli Moraes, da Fiocruz, apontou algumas inquietações sobre a questão, lançando várias perguntas à plateia: Qual o papel do Estado nessa relação público x privado? Qual o significado da democracia nesse estado panóptico e de grandes bancos de dados, big data? Qual o papel do indivíduo na sociedade panóptica e do big data? Quais os limites dos interesses da esfera pública e da esfera privada?

Na opinião de Ilara Hammerli, o debate central perpassa duas questões: até onde vai o direito do Estado e da ciência de conhecer aspectos íntimos do indivíduo em nome da coletividade e da defesa da segurança pública, e do cidadão em preservar a sua privacidade. “Ou seja, na dimensão pública, em tese devem prevalecer os interesses da coletividade e o dever do Estado em garantir saúde universal, o que demanda mecanismos de gestão e de ciência e tecnologia em saúde. Mas, por outro lado, na dimensão privada deve prevalecer o direito do indivíduo de ter preservada a sua privacidade e a confidencialidade dos dados sobre a sua saúde. E o estado tem a obrigação de garantir essa segurança através de políticas competentes de segurança da informação”.

Ilara Hammerli, da Ensp/Fiocruz. (Foto: Virgínia Damas)

Fazendo referência a algumas iniciativas do Sistema Único de Saúde (SUS), como o Cartão Nacional de Saúde, o e-Saúde da Organização Mundial da Saúde (OMS) e o prontuário eletrônico do paciente, dentre outras, Hammerli aponta que esses produtos, fundamentais para a melhoria da qualidade da atenção à saúde, trazem novas ameaças, pois permitem o rastreamento do percurso do usuário pelo serviço de saúde, potencializando o risco de invasão de privacidade. O que a pesquisadora pretende alertar é que sem um conjunto de iniciativas políticas, éticas e tecnológicas que garantam o respeito à privacidade do cidadão, ampliam-se as condições para um ambiente de risco a um projeto de país que preserve o valor da vida. “O desafio é inscrever o respeito à dignidade humana à práxis da atenção à saúde como conquista da sociedade, como expressão de um amplo pacto ético e político orientado pela responsabilidade com o próximo e a coletividade”, argumenta Ilara Hammerli.

No âmbito da administração pública federal, conciliar o acesso à informação – como salvaguarda da democracia e da cidadania – e a proteção de dados sigilosos de pesquisas científicas, caras a instituições como a Fiocruz, por exemplo, requer investimento em capacitação e equipamentos. De acordo com Misael Araújo, gerente de Segurança da Informação e Comunicações da Coordenação de Gestão da Tecnologia da Informação da Fiocruz (CGTI), a área de segurança da informação da Fundação começou a se estruturar em 2010. Publicada no Diário Oficial da União em 2012, a Política de Segurança da Informação e Comunicações contém seis diretrizes e normas, três sobre o dia-a-dia do usuário (responsabilidade, uso da internet, uso do e-mail) e três sobre TI (backup, ambiente operacional da TI, desenvolvimento, aquisição e manutenção de sistemas de informação).

“Temos trabalhado em diversas frentes de atuação. Do ponto de vista da regulação, criamos a política e um conjunto de normas. Em termos de estrutura, temos uma área central de segurança que trabalha gestão de risco de segurança, uma equipe de tratamento e resposta a incidentes de segurança na rede, e uma área que garante a operacionalização de um serviço mesmo diante de um incidente de segurança”, detalha Misael Araújo.

Misael Araújo, gerente de Segurança da Informação e Comunicações, na sala de operações da Coordenação de Gestão da Tecnologia da Informação da Fiocruz (CGTI). (Foto: Peter Ilicciev)

O cuidado com a segurança da informação em uma instituição de pesquisa e ensino com mais de dez mil trabalhadores e centenas de alunos e parceiros nacionais e internacionais é, de fato, um desafio. “Além de um comitê de segurança composto por 11 participantes (CGTI, Auditoria Interna, Coordenação de Comunicação Social, Diretoria de Recursos Humanos e sete representantes de unidades da Fiocruz), temos investido na conscientização, sensibilização e capacitação de pessoas”, explica o gerente. Contudo, todo cuidado e investimento não impedem que as ferramentas de anti-spam da Fundação detectem como spam’s 85% das mensagens recebidas pelos usuários de e-mail da instituição. Em uma realidade em que a insegurança digital coloca governos empresas diante de novos e constantes desafios, esse é um debate que ainda está por começar. 

ENTREVISTA

Sergio Amadeu

Professor da UFABC (Universidade Federal do ABC) e membro do Comitê Gestor da Internet no Brasil

(Foto: Vinícius Marinho)

A aprovação do Marco Civil da Internet é um bom caminho para se garantir segurança cibernética?

Não. Segurança da informação não pode ser garantida por nenhuma lei. Trata-se de um processo permanente que se utiliza da inteligência tecnológica para manter nossas informações seguras. O Marco Civil é uma lei de cidadania digital. Ele visa assegurar direitos dos cidadãos no uso da Internet. É certo que navegar com segurança é um direito, mas isso não se faz apenas escrevendo este princípio na lei. Por exemplo, ao escrevermos no Marco Civil que as operadoras de telefonia não podem se intrometer e filtrar nossa comunicação estamos concretamente defendendo o direito das pessoas a uma comunicação sem intrusão e vigilância.

É possível criar mecanismos reguladores de sistemas de espionagem com leis nacionais?

Regular a espionagem não me parece possível, pois ela é uma atividade clandestina cometida por Estados nacionais e corporações interessadas em obter segredos de seus concorrentes. Entretanto, o mundo carece de um tratado internacional contra a espionagem massiva, contra o uso de corporações para fazer mineração de dados dos cidadãos indefesos, contra o vigilantismo da rede.

É legítimo os governos colherem informações sobre indivíduos por motivo de segurança?

Pode ser defensável em situações de guerra, mas é inaceitável que o combate ao terrorismo, ao crime organizado e aos pedófilos instale uma situação de exceção generalizada. Acho extremamente pertinente a argumentação de Giorgio Agamben de que após o 11 de setembro, os Estados Unidos se tornaram um estado de exceção. Lá o cidadão não é inocente até que se prove o contrário, agora todos são possíveis ameaças terroristas. Por isso, o Estado age acima da lei se o inimigo a ser combatido é o suposto terrorista. Infelizmente, vivemos um momento hobbesiano. Querem que abandonemos nossos direitos e nossa liberdade em função da nossa segurança. Ocorre que quando trocamos direitos fundamentais por algo que seria maior, matamos completamente a cidadania, a liberdade e instalamos um estado totalitário.

Satélites e mecanismos de busca como Google e Yahoo, baseados nos EUA, podem saber, a cada momento, o que os indivíduos, em qualquer parte do mundo, estão fazendo. Como podemos controlar isso?

Somos cada vez mais ciberviventes, pessoas que vivem utilizando tecnologias cibernéticas. Essas tecnologias são de comunicação e, ao mesmo tempo, de controle. Usamos essas tecnologias porque elas são muito úteis, muito ágeis e muito agradáveis. Elas nos afetam e criam afetos. Ao mesmo tempo, elas permitem interações que criam rastros digitais e geram informações sobre nossas vidas para bancos de dados gigantescos. A base da espionagem massiva são as corporações de tecnologia que usamos para nos comunicar, nos divertir e para nos organizar. O governo dos Estados Unidos usa essas corporações para fazer mineração de dados de nossos dados. Para controlar isso precisamos conscientizar as pessoas, usar criptografia e aprovar leis que gerem grande prejuízo econômico para as corporações que entregarem nossos dados para fins de espionagem.

É possível se falar em democracia quando a informação é filtrada?

As democracias dependem de uma série de garantias individuais e coletivas. Uma das principais é o direito à privacidade e à intimidade. Nada justifica o vigilantismo generalizado e as tentativas de transformar o controle técnico em controle político e cultural das sociedades.

Soluções como o uso de cabos submarinos para o Brasil se conectar com outros países, a instalação de roteadores que possam se auditados e a adoção de software livre por órgãos públicos são alternativas viáveis para se garantir segurança cibernética?

Sem dúvida, precisamos utilizar tecnologias abertas e passíveis de serem auditadas. O uso do software livre ajudaria muito o Estado a proteger suas informações. Softwares fechados são, por definição, inseguros, pois como bem nos demonstrou Snowden, eles podem trazer diversas formas de intrusão e resgate de informações.

O uso de e-mail criptografado patrocinado pelo Estado é uma solução viável?

O Estado deveria usar uma solução de e-mail robusta, baseada em software livre, que permitisse aos servidores públicos encriptar suas mensagens quando a situação assim exigir. A sociedade deveria ser estimulada a usar criptografia que existem em diversos clientes de e-mail. Eu utilizo um computador encriptado e uso criptografia em minhas mensagens. Não dependo do governo para usar criptografia. Há um movimento mundial de incentivo para as pessoas comuns a protegerem sua comunicação a partir do uso de criptografia. Estão começando a pipocar em todo o país as chamadas cryptoparties. Nesses eventos as pessoas aprendem a usar clientes de e-mail e chats encriptados, bem como, realizam a troca de suas chaves criptográficas. Se milhares de pessoas usarem criptografia a NSA irá a falência.