O SETOR CIBERNÉTICO NO EXÉRCITO BRASILEIRO Alan Denilson Lima Costa - Coronel

Transcrição

1 O SETOR CIBERNÉTICO NO EXÉRCITO BRASILEIRO Alan Denilson Lima Costa - Coronel Há que se olhar para frente. Renovar o antigo que habita em cada soldado profissional é um necessário ato de coragem. Sem desprezar o permanente, desfazer-se do provisório; sem perder os valores que conformam e dão credibilidade à nossa Instituição, abrir as clarabóias para o arejamento e preparar-se para vencer a guerra do futuro - com tudo que ela terá de nunca visto. É este o desafio que concito todos a enfrentar. General-de-Exército ENZO MARTINS PERI Comandante do Exército Diretriz Geral para o período de GENERALIDADES A vertiginosa evolução tecnológica experimentada pela sociedade nos últimos vinte anos, permitiu a penetração das Tecnologias da Informação e Comunicações em todos os domínios da atividade humana, transformando o cotidiano das pessoas, empresas e nações. De maneira extremamente natural, sem sobressaltos, a sociedade brasileira vem modificando a forma de acesso à informação, incorporando inúmeras facilidades trazidas pela Internet. Cartas, telegramas, pesquisas em bibliotecas e longas filas em bancos, já são coisas do passado. A sociedade atual, também conhecida como sociedade da informação, utiliza novas formas de comunicação e de troca de informações, tais como mensagens instantâneas, redes sociais, videoconferência, compartilhamento de sons, textos e imagens, buscando criar um espaço plenamente democrático, onde não existam barreiras entre os povos, sejam elas físicas, sociais, culturais, políticas ou econômicas. Figura 1: Percentual sobre o total da população que acessou a Internet nos três últimos meses de Fonte: cgi.br, 2010

2 A esse ambiente de interação entre pessoas, empresas e instituições, nacionais e internacionais, baseado em redes de computadores e de comunicações para intercâmbio de informações, convencionou-se chamar de ambiente ou espaço cibernético. Se, por um lado, o advento do espaço cibernético trouxe grandes benefícios à humanidade, facilitando o trânsito de informações, a interação e a aproximação entre indivíduos, grupos sociais, políticos e econômicos e até entre nações, por outro lado possibilitou o aparecimento de ferramentas de intrusão nas redes e nos sistemas computacionais que o constituem, aproveitando as vulnerabilidades existentes. A figura abaixo ilustra o significativo aumento do número de incidentes na Internet brasileira, nos últimos treze anos, reportados ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br). Figura 2: Total de incidentes reportados ao CERT.br por ano. Fonte: CERT.br 2. A AMEAÇA CIBERNÉTICA A imprensa internacional tem noticiado, particularmente nos últimos dez anos, várias tentativas importantes de intrusão em redes estratégicas de diversos países. Esses relatos, maximizados ou não pela mídia, nos permitem antever a magnitude dos danos que podem ser causados a um país que seja alvo de um bem orquestrado ataque cibernético. A seguir serão apresentados alguns episódios, citados por Richard Clarke em seu livro Cyber War, para ilustrar o grau de ameaça que pode representar o uso da arma cibernética: 2003 a Nesse período, diversas instalações estratégicas dos Estados Unidos da América (EUA), como laboratórios de pesquisa voltados a inovações tecnológicas, foram alvos de tentativas de penetração em seus sistemas informatizados, provavelmente com o intuito de apropriar-se de conhecimento sensível. abril/maio de A Estônia, pequeno país báltico de 1,4 milhão de habitantes, membro da Organização do Tratado do Atlântico Norte (OTAN) desde 2004, um dos mais

3 informatizados do mundo, foi alvo de ataques cibernéticos em massa que paralisaram, por vários dias, os serviços eletrônicos ligados ao governo, empresas, imprensa, telecomunicações e instituições bancárias, afetando o dia a dia dos cidadãos. De acordo com o autor do livro, o governo da Estônia afirmou que os ciberataques partiram de computadores oficiais russos, o que Moscou negou veementemente. setembro de Suposta ação de apropriação do controle do sistema de defesa aérea da Síria, antecedendo ao bombardeio aéreo israelense contra instalações em construção naquele país, que seriam destinadas a apoiar o processo de produção de armas nucleares. agosto de Ocorrência de ataques massivos a redes estratégicas da Geórgia, inclusive de Defesa, antecedendo a ação de tropas russas no território da Ossétia do Sul. julho de Ataques a sítios eletrônicos importantes dos EUA e da Coreia do Sul e suposta tentativa de penetração no sistema de controle de fornecimento de energia elétrica norte-americano. No período de junho de 2009 a abril de 2010, os componentes que controlam a velocidade de rotação das centrífugas de enriquecimento de urânio do programa nuclear iraniano foram avariados pelo sofisticado software (worm) denominado Stuxnet. Além das infraestruturas nucleares do Irã, o Stuxnet também afetou sistemas estratégicos de outros países. O Stuxnet foi considerado a primeira arma cibernética de importância geopolítica, pois foi desenvolvido para atingir um alvo estratégico específico de um Estado-Nação, deixando claro para a comunidade internacional a relevância do tema para a Segurança Nacional. No Brasil, não se tem notícia oficial de ataques cibernéticos efetuados com finalidade precípua de degeneração de sistemas estratégicos. A mídia, inclusive a internacional, chegou a especular que o chamado apagão elétrico, ocorrido no final de 2009, tenha sido ocasionado, também, por ataques cibernéticos, o que, efetivamente, não foi comprovado. Entretanto, isso não significa afirmar que o País não possa ser afetado por ações dessa natureza. Eventuais ataques cibernéticos contra redes de computadores e de comunicações utilizadas em sistemas estratégicos podem impactar a segurança nacional, uma vez que podem interromper ou comprometer o funcionamento de estruturas essenciais à sociedade e ao Estado, trazendo consequencias imprevisíveis. A ameaça cibernética vem sendo considerada como uma das maiores ameaças mundiais na atualidade, podendo causar consideráveis danos econômicos, políticos, militares ou sociais a um oponente real ou potencial, sem que seja necessário disparar um só tiro ou diretamente causar a morte de uma só pessoa. Além disso, trata-se de uma ameaça assimétrica, pois nem sempre o ator que pode causar maior dano é o mais capaz tecnologicamente, ou o ator que detém melhores recursos tecnológicos seja o menos vulnerável. A percepção dessa ameaça tem provocado iniciativas de sistematização de ações para contê-la em várias partes do mundo. O Brasil, a exemplo de outros países de grande visibilidade internacional, também tem buscado implantar uma adequada estrutura de Segurança e Defesa Cibernéticas, como será abordado a seguir. 3. A SEGURANÇA CIBERNÉTICA NACIONAL O Gabinete de Segurança Institucional da Presidência da República (GSIPR) é o órgão da Presidência da República encarregado da coordenação, no âmbito da Administração Pública Federal (APF), de alguns assuntos estratégicos que afetam a segurança da sociedade e do Estado, tais como: segurança das infraestruturas críticas nacionais, Segurança da Informação e Comunicações (SIC), segurança cibernética e inteligência federal. A Agência Brasileira de Inteligência (ABIN) e o Departamento de Segurança da Informação e Comunicações (DSIC), órgãos subordinados ao GSIPR, desempenham papel

4 relevante no contexto da Segurança Cibernética nacional. A ABIN é o órgão central do Sistema Brasileiro de Inteligência (SISBIN) e tem como objetivo estratégico, desenvolver atividades de inteligência voltadas para a defesa do Estado Democrático de Direito, da sociedade, da eficácia do poder público e da soberania nacional. Dentre suas atribuições, no que interessa especificamente ao setor cibernético, destaca-se a de avaliar as ameaças internas e externas à ordem constitucional. A ABIN conta, em sua estrutura organizacional, com o Centro de Pesquisa e Desenvolvimento de Segurança das Comunicações (CPESC), que busca promover a pesquisa científica e tecnológica aplicada a projetos de segurança das comunicações. O DSIC, por sua vez, tem como missão operacionalizar as atividades de SIC na APF, regulamentando-as; capacitando os servidores públicos federais, bem como os terceirizados, sobre o tema; realizando acordos internacionais de troca de informações sigilosas; representando o País junto à Organização dos Estados Americanos (OEA) para assuntos de terrorismo cibernético; e mantendo o Centro de Tratamento e Resposta a Incidentes de Redes da APF (CTIR.Gov). O DSIC/GSIPR coordena o Grupo Técnico de Segurança Cibernética (GT SEG CIBER), instituído no âmbito da Câmara de Relações Exteriores e Defesa Nacional (CREDEN), do Conselho de Governo. O GT SEG CIBER tem por objetivo propor diretrizes e estratégias de Segurança Cibernética para os órgãos e entidades da Administração Pública Federal (APF) e conta com representantes do GSIPR, DSIC, Agência Brasileira de Inteligência, Ministério da Justiça, Ministério das Relações Exteriores, Ministério da Defesa, Marinha do Brasil, Exército Brasileiro, Aeronáutica e Polícia Federal. Fruto do trabalho realizado pelos integrantes do GT SEC CIBER, o DSIC/GSIPR publicou, no ano de 2010, o chamado Livro Verde: Segurança Cibernética no Brasil, onde são lançadas as bases para o planejamento estratégico da Segurança Cibernética nacional, visando a proteção da sociedade e do Estado Brasileiro. O Livro Verde encontra-se aberto para análise e contribuições sobre os pontos de vista e diretrizes lá apresentados. O presente artigo insere-se nesse contexto, buscando colaborar com o esforço empreendido pelo DSIC/GSIPR, e enfoca os temas Segurança e Defesa Cibernéticas do País a luz do que preconiza a doutrina básica da Escola Superior de Guerra (ESG), uma vez que os arcabouços normativos e doutrinários sobre esses importantes temas ainda estão em ampla discussão no âmbito do Ministério da Defesa. Entendida pelo Estado como necessidade básica, aspiração permanente e direito invulnerável do ser humano, a segurança incorpora a noção de garantia, proteção ou tranquilidade, em face de eventuais obstáculos e ameaças. Além disso, por ser abstrata, não pode ser medida, somente sentida. Assim, em sentido amplo, a segurança refere-se ao sentimento de garantia necessária e indispensável a uma sociedade e a cada um de seus integrantes, contra todas as formas de ameaça. A Segurança Nacional é encargo fundamental do Estado e os objetos da segurança são os valores e os bens da Nação. Entre os valores, destacam-se a soberania, a independência, a liberdade e a integridade territorial, e, entre os bens, o povo e as infraestruturas dos sistemas públicos e privados responsáveis pela promoção do bem comum, do desenvolvimento e do progresso do País. Embora o Estado concentre o poder coercitivo por excelência e represente, por delegação, os interesses da sociedade, a Segurança Nacional não é incumbência exclusiva do Estado, mas de toda a Nação, cuja sobrevivência reclama a cooperação da comunidade nacional e de cada indivíduo. No contexto das ameaças cibernéticas à Segurança Nacional, o Estado deve estar em

5 condições de garantir o adequado funcionamento das Infraestruturas Críticas do País e assegurar a continuidade da prestação dos serviços essenciais à população, mesmo durante um ataque cibernético, além de zelar pelas informações consideradas estratégicas para a Nação. O GSI/PR, percebendo a necessidade de introduzir tal reflexão no País e de elaborar diretrizes, planos e ações concretas visando a promoção da segurança das Infraestruturas Críticas contra ameaças cibernéticas, instituiu, no âmbito do Comitê Gestor de Segurança da Informação (CGSI), o Grupo de Trabalho de Segurança das Infraestruturas Críticas da Informação (GT SICI). O resultado dos trabalhos já realizados pelo GT SICI foi consolidado pelo DSIC/GSIPR, em 2010, no livro Guia de Referência para a Segurança das Infraestruturas Críticas da Informação. Entende-se por Infraestrutura Crítica, as instalações, serviços, bens e sistemas, que exercem significativa influência na vida de qualquer pessoa e na operação de setores importantes para o desenvolvimento e manutenção do País e que, se interrompidos, provocariam sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade. As áreas prioritárias das Infraestruturas Críticas, por serem consideradas de vital importância para os cidadãos são: energia, transporte, água, telecomunicações e finanças. Cada Infraestrutura Crítica possui a sua própria Infraestrutura Crítica da Informação associada, materializada pelos seus ativos de informação (meios de armazenamento, transmissão e processamento, sistemas de informação, bem como os locais onde se encontram esses meios a as pessoas que a eles têm acesso). A gestão de riscos dos ativos de informação considerados essenciais para o funcionamento de uma Infraestrutura Crítica, é uma ferramenta de caráter preventivo imprescindível para manter os riscos em níveis aceitáveis, minimizando o impacto e/ou a probabilidade de ocorrência do risco. Uma vez identificados e avaliados os riscos, a organização responsável pelo funcionamento da Infraestrutura Crítica deve elaborar planos de respostas, para o caso de uma ameaça potencial, interna ou externa, conseguir explorar alguma vulnerabilidade previamente identificada em um ativo de informação, causando uma interrupção significativa em suas atividades essenciais. A esse processo dá-se o nome de Gestão de Continuidade de Negócio. As grandes potências mundiais estão priorizando a Segurança Cibernética em suas políticas de Estado e já se observa a tendência de criação de órgão específico para centralizar e coordenar os esforços nos níveis nacional e internacional, já que o combate às ameaças cibernéticas, por vezes, transcende as fronteiras físicas entre os países, exigindo o estabelecimento de parcerias com outras Nações, a fim de assegurar um sentimento coletivo de segurança cibernética, buscando minimizar ou eliminar áreas de atrito e uma maior possibilidade de alcançar e preservar objetivos de interesse comum. Embora o Brasil ainda não tenha lançado a sua Política Nacional de Segurança Cibernética, esse trabalho de coordenação vem sendo realizado pelo DSIC/GSIPR, que possui uma boa rede de contatos estratégicos com órgãos ligados à questão da Segurança Cibernética, no país e no exterior. O DSIC/GSIPR dispõe, ainda, de ação orçamentária específica (Ação 6232) para desenvolver, no âmbito da APF, ações de Segurança da Informação e Comunicações com vistas a fortalecer e implementar mecanismos capazes de prover a segurança do espaço cibernético brasileiro, em prol do bem estar da sociedade e da soberania do Estado. O papel do DSIC/GSIPR está restrito ao âmbito da APF, mas é desejável que as diretrizes emanadas pelo órgão centralizador dos esforços de Segurança Cibernética no nível nacional, alcance todos os órgãos públicos e privados envolvidos no funcionamento das infraestruturas críticas nacionais, pois existem infraestruturas críticas que são suportadas por serviços essenciais que estão nas mãos da iniciativa privada.

6 O problema é complexo nas sociedades democráticas, uma vez que a intervenção do Estado na vida nacional deve ser, em princípio, apenas orientadora e indutora do setor privado. Com base no que foi apresentado anteriormente e sabendo que a segurança é abstrata, propõe-se que a Segurança Cibernética seja entendida como o sentimento coletivo dos integrantes da sociedade de que os ativos de informação estratégicos da Nação, principalmente aqueles ligados às infraestruturas críticas, estão garantidos e protegidos contra ações cibernéticas hostis. (grifo nosso) Para gerar esse sentimento coletivo de Segurança Cibernética, é necessário que o Estado Brasileiro estimule a adoção, o fortalecimento e a constante atualização de mecanismos, tais como: estratégias, instruções normativas, procedimentos, estruturas organizacionais, capacitação de pessoas e infraestruturas de hardware e software (grifo nosso), destinados a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações consideradas estratégicas para o País. Além dessas medidas estruturantes, é de fundamental importância que o Estado Brasileiro disponha da capacidade de mobilizar outros meios do seu Poder Nacional, com ênfase na expressão militar, para contrapor-se, no espaço cibenético, a possíveis ameaças cibernéticas aos serviços e sistemas relacionados às infraestruturas críticas nacionais, desencadeando ações preventivas ou repressivas, dependendo da situação que se apresente. Tais ações estão no campo da Defesa Cibernética e serão apresentadas a seguir. 4. A DEFESA CIBERNÉTICA NACIONAL A sensação de se sentir seguro é função direta da capacidade de avaliar e tratar os fatores perturbadores que tenham a capacidade de alterar o estado original de segurança, chamados de ameaças. Para obter ou resguardar as condições que proporcionam a necessária sensação de segurança, são conduzidas ações de defesa para neutralizar, reduzir ou anular determinado tipo de ameaça. O Glossário das Forças Armadas acrescenta, ainda, a ideia de que as ações de defesa incluem a reação contra qualquer ataque ou agressão real ou iminente. A ESG nos ensina que a Defesa Nacional caracteriza-se pela aplicação efetiva do Poder Nacional, com ênfase na expressão militar, por meio de medidas, atitudes e ações voltadas à defesa do território, da soberania e dos interesses nacionais, contra ameaças preponderantemente externas, potenciais e manifestas. A aplicação do Poder Nacional dar-seá em diferentes graus e níveis, podendo ser coercitivas ou preventivas, dependendo dos óbices que se apresentem. As Forças Armadas materializam a expressão militar do Poder Nacional e destinam-se à defesa da Pátria, à garantia dos poderes constitucionais e, por iniciativa de qualquer destes, da lei e da ordem. Para que estejam em condições de cumprir a sua destinação constitucional, as Forças Armadas devem conduzir, permanentemente, as ações de preparo dos seus órgãos operativos e de apoio, de forma a atingir e manter a desejada eficiência operacional. As ações de preparo incluem, entre outras, atividades permanentes de planejamento, organização e articulação, instrução e adestramento, desenvolvimento de doutrina e pesquisas específicas, inteligência e estruturação das Forças Armadas, de sua logística e mobilização. Embora as Forças Armadas sejam vocacionadas, prioritariamente, para emprego em situação de guerra, também podem ser empregadas em situação de não-guerra, entendidas como aquelas que, embora empregando o Poder Militar, no âmbito interno e externo, não envolvem o combate propriamente dito. São exemplos de situações de não-guerra a garantia dos poderes constitucionais, as atribuições subsidiárias, a prevenção e combate ao terrorismo, as ações sob a égide de

7 organismos internacionais, o emprego em apoio à política externa em tempo de paz ou crise e a garantia da lei e da ordem. O conceito de Defesa Cibernética ainda não está consolidado no âmbito do Ministério da Defesa e a expressão vem sendo frequentemente utilizada para caracterizar a defesa, pura e simples, contra ataques cibernéticos. Entretanto, no seu sentido mais amplo, deve envolver medidas de resposta ativa e, até mesmo, atitudes ofensivas de caráter preventivo, empregadas tanto na defesa do Sistema Militar de Comando e Controle (SISMC2), em situação de paz, crise ou conflito armado, quanto no contexto de não-guerra, em prol da Defesa Nacional. Seguindo um raciocínio lógico e buscando guardar a devida coerência com a doutrina difundida pela ESG, poder-se-ia caracterizar a Defesa Cibernética como sendo o conjunto de ações cibernéticas de caráter preventivo ou repressivo, conduzidas pelas Forças Armadas, em situação de guerra ou não-guerra, obedecidas as suas competências constitucionais ou legais, contra ameaças cibernéticas ao Sistema Militar de Comando e Controle (SISMC2) e aos ativos de informação estratégicos da Nação, sejam elas internas ou externas, visando obter, resguardar ou recompor a condição de Segurança Cibernética. (grifo nosso) Conceitualmente, as ações cibernéticas estão subdivididas em três tipos, exploração cibernética, proteção cibernética e ataque cibernético. Vale dizer que esses conceitos ainda estão sendo discutidos no âmbito do Ministério da Defesa (MD) e estão sujeitos a aperfeiçoamentos. A exploração cibernética consiste em ações de busca, nos sistemas de tecnologia da informação de interesse, a fim de obter dados para a produção de conhecimento e/ou identificar as vulnerabilidades desses sistemas. O ataque cibernético compreende ações para interromper, negar, degradar, corromper ou destruir informações armazenadas em dispositivos e redes computacionais e de comunicações do oponente. A proteção cibernética abrange as ações para neutralizar ataques e exploração cibernética contra os nossos dispositivos computacionais e redes de computadores e de comunicações, incrementando as medidas de segurança cibernética. Para que as Forças Armadas estejam em condições de desempenhar esses e outros papéis ligados à Defesa Cibernética, uma vez que ainda não existe organização legalmente instituída para tal, o MD vem conduzindo uma série de ações com vistas a implantar o Setor Cibernético no âmbito da Defesa, e esse é o tema que será abordado na continuação deste artigo. 5. O SETOR CIBERNÉTICO DE DEFESA A Estratégia Nacional de Defesa (END), aprovada pelo Decreto nº 6.703, de 18 de dezembro de 2008, formula diretrizes para o preparo e o emprego das Forças Armadas em atendimento às suas Hipóteses de Emprego (HE), estabelecendo ações que devem ser observadas desde o tempo de paz. A END estabelece três setores estratégicos essenciais para a Defesa Nacional o espacial, o cibernético e o nuclear. No que se refere ao setor cibernético, a END atribui às Forças Armadas duas grandes vertentes de atuação: a configuração de uma estrutura de Tecnologia da Informação e Comunicações (TIC) que assegure a capacidade das três Forças atuarem em rede; e a configuração de uma estrutura de atuação no ambiente cibernético, quer seja nas situações de paz ou normalidade institucional, nas situações de crise ou na evolução para situações que caracterizam o estado de beligerância ou conflito armado. Na primeira vertente, as Forças Armadas, utilizando-se de recursos de TIC, devem

8 buscar o aperfeiçoamento de sua capacidade de comando e controle, para atenderem ao imperativo de atuação em rede. Isso implica o estabelecimento de uma estrutura intra e interforças, que permita o compartilhamento de informações, em tempo quase real, para o apoio à decisão e ao emprego dos atuadores operacionais, desde o tempo de paz ou de normalidade institucional. Na segunda vertente, as Forças Armadas devem buscar o aperfeiçoamento de suas estruturas, de modo a participarem efetivamente do esforço nacional de proteção contra as potenciais ameaças cibernéticas, bem como para adquirirem capacidade de atuação eficaz no ambiente cibernético, visando ao cumprimento de suas atribuições constitucionais. No primeiro caso, as ações se enquadram no campo da Segurança Cibernética, envolvendo a proteção das redes de comunicações e de computação da própria estrutura militar de defesa, bem como a interação permanente com os órgãos públicos e privados, visando colaborar efetivamente com o esforço de proteção das infraestruturas críticas nacionais. No segundo caso, as ações se inserem no campo da Defesa Cibernética, envolvendo ações defensivas e de resposta ativa, principalmente nas situações de crise, estendendo-se ao uso mais abrangente de ações ofensivas nas situações de conflito armado, o que caracteriza, no ambiente militar, o emprego de ações de Guerra Cibernética, associadas às de Guerra Eletrônica. Cabe ressaltar que a expressão Guerra Cibernética vem sendo frequentemente utilizada por diversos autores como sinônimo de conflito cibernético (ataque x defesa), entretanto, seu significado mais adequado, no contexto do preparo e emprego militar, refere-se ao emprego de frações operacionais com a missão de desencadear ações cibernéticas no campo de batalha, de maneira semelhante ao realizado pela Guerra Eletrônica. A END enfatiza, também, que todas as instâncias do Estado deverão contribuir para o incremento do nível de Segurança Nacional, com particular ênfase nos seguintes aspectos relacionados ao setor cibernético: as medidas para a segurança das infraestruturas críticas; e o aperfeiçoamento dos dispositivos e procedimentos de segurança que reduzam a vulnerabilidade dos sistemas relacionados à Defesa Nacional contra ataques cibernéticos e, se for o caso, que permitam seu pronto restabelecimento. Visando dar provimento ao estabelecido na END para os três setores estratégicos, o Ministério da Defesa emitiu, em 9 de novembro de 2009, a Diretriz Ministerial nº 014, definindo responsabilidades sobre a coordenação e a liderança na condução das ações referentes aos setores nuclear, cibernético e espacial, respectivamente, à Marinha, ao Exército e à Aeronáutica. Da análise do seu conteúdo, pode-se extrair as seguintes premissas básicas, que servem de orientação para a consolidação do setor cibernético no âmbito da Defesa: atender às prioridades estabelecidas pela END; capacitar pessoal para as ações de médio e longo prazos; interagir e cooperar com outras áreas governamentais e de pesquisa; realizar os trabalhos conjuntamente com representantes do MD e das Forças Armadas; considerar trabalhos e projetos em andamento e sistemas existentes no âmbito do MD; realizar intercâmbio de pesquisadores em projetos das Forças Armadas; criar ambientes laboratoriais específicos; considerar que não existem tratados e controles internacionais sobre o tema cibernético; estudar a criação de um centro de coordenação e supervisão das atividades do setor em questão; e

9 concentrar militares das três Forças em um mesmo ambiente de atuação. A Figura abaixo sintetiza uma visão inicial e geral de como se pretende organizar os diversos projetos fundamentais que possuem áreas e requisitos indispensáveis à consolidação do Setor Cibernético na Defesa, enfatizando-se a sua integração e o trabalho conjunto. Figura 3: Visualização do setor cibernético na Defesa Fonte: EME, 2010 Da análise da figura, verifica-se que a capacitação de recursos humanos constitui a atividade prioritária na consolidação do setor em tela, uma vez que ela proporciona as capacitações cibernéticas, no dizer da própria END, indispensáveis para mobiliar os quatro vetores que o integram: a inteligência; a doutrina; a ciência, tecnologia e inovação; e as operações. A mobilização da capacidade cibernética em nível nacional, atrelada ao amparo legal para a atuação do setor, proporciona os necessários recursos materiais e humanos, com respaldo para a realização das ações no espaço cibernético que caracterizam a Defesa Cibernética. Quanto à Segurança Cibernética, esta faz parte dessa visualização porque o MD dela participa, como órgão da APF. Na referida Diretriz Ministerial, ficou estabelecido que os trabalhos deveriam ser desenvolvidos em duas fases: na primeira, entendida como política, foram definidos os objetivos setoriais e a abrangência do tema; e na segunda, foram definidas as ações estratégicas e elaboradas as propostas de estruturas, com o máximo aproveitamento e adequação das já existentes. Os objetivos estratégicos, já aprovados pelo MD, incluem ações voltadas especialmente para atividades de Segurança da Informação e Comunicações, Segurança

10 Cibernética e Segurança das Infraestruturas Críticas, tanto no âmbito do Ministério da Defesa e das Forças Armadas quanto na participação colaborativa, no nível nacional, com as demais instituições envolvidas. Dentre as ações estratégicas que estão sendo analisadas pelo Ministério da Defesa, destacam-se a inserção do tema nos planejamentos militares conjuntos e a criação do Comando de Defesa Cibernética das Forças Armadas, para dar execução aos objetivos estratégicos estabelecidos para o setor e suas ações estratégicas correspondentes. O Ministério da Defesa e as Forças Armadas, como membros da APF, já participam ativamente do esforço nacional nas áreas de Segurança da Informação e Comunicações, Segurança Cibernética e Segurança das Infraestruturas Críticas. Entretanto, é muito importante a ampliação dessas atividades e das estruturas a elas dedicadas, para atender ao amplo espectro das operações características da Defesa Cibernética, as quais devem abranger: no nível estratégico: as ações cibernéticas necessárias à atuação das Forças Armadas em situações de crise ou conflito armado e, até mesmo, em caráter episódico, em situação de paz ou normalidade institucional, ao receber mandado para isso; e no nível operacional: as ações cibernéticas relativas ao preparo e ao emprego em operações militares, de qualquer natureza e intensidade, que caracterizam o ambiente de Guerra Cibernética. Em outras palavras, é necessário que as Forças Armadas disponham de equipamentos e sistemas militares que utilizem modernos recursos de TIC, possibilitando o seu emprego eficaz no cumprimento de suas atribuições previstas no artigo 142 da Constituição Federal e regulamentadas, quanto à sua organização, preparo e emprego, pela Lei Complementar no 97, de 9 de junho de 1999, e suas atualizações. Ao mesmo tempo, é necessário que as Forças Armadas disponham de recursos tecnológicos adequados para a proteção de seus sistemas de comando e controle, de armas e de vigilância, além de uma sólida estrutura de capacitação e adestramento operacionais, bem como de capacitação técnica para que seus recursos humanos possam atuar, com eficiência, em todo o espectro de ações cibernéticas características do emprego de efetivos militares em situações diversas, quer seja na paz, na crise ou nos ambientes de conflito armado ou guerra. Do exposto, verifica-se que, na área da Defesa Cibernética, os parâmetros básicos para a expansão, o aprimoramento e a consolidação do setor no âmbito do MD já foram estabelecidos. O Exército Brasileiro, como Força líder na condução desse processo, caminha a passos largos na estruturação do seu setor cibernético, como será apresentado a seguir. 6. O SETOR CIBERNÉTICO DO EXÉRCITO BRASILEIRO O Exército Brasileiro, como órgão integrante da APF, tem discutido e implementado ações efetivas para desenvolver sua capacidade de enfrentamento às ameaças cibernéticas e considera a SIC como um recurso capaz de minimizar despesas e aumentar a produtividade, conferindo disponibilidade, integridade, confidencialidade e autenticidade aos dados que trafegam em suas redes e que são processados e armazenados em seus ativos de informação. Devido ao elevado número de organizações militares (OM) do Exército e às múltiplas realidades regionais onde estão sediadas, é indispensável que se disponha da necessária capilaridade na implantação das medidas estruturantes que assegurem o estado de segurança cibernética adequado à operação da Rede Privativa Corporativa do Exército (EBNet) e dos sistemas informacionais sobre os quais se sustentam os processos gerenciais, operacionais e administrativos da Força, no nível estratégico. Nesse sentido, o Centro Integrado de Telemática do Exército (CITEx), localizado em Brasília/DF, e suas OM diretamente subordinadas, os Centros de Telemática de Área (CTA) e os Centros de Telemática (CT), constituem um sistema naturalmente vocacionado a instalar,

11 operar e gerenciar a estrutura de segurança cibernética do Exército, em face de sua competência orgânica de gestão das redes estratégicas de comunicações, de hospedagem de sistemas de informação e de bases de dados corporativos, bem como em função da presença em todas as Regiões Militares e do apoio em serviços de TIC que presta às OM da Força. O CITEx opera o Centro de Coordenação para Tratamento de Incidentes de Rede do Exército Brasileiro (CCTIR/EB), coordenando as Seções de Tratamento de Incidentes de Rede (STIR) de todas as suas OM subordinadas e atuando junto às demais Equipes de Tratamento de Incidentes de Rede (ETIR) existentes na Força, sendo responsável por diagnosticar falhas de segurança na rede, identificar tráfego malicioso e responder a ataques ou incidentes de segurança que possam ocorrer no âmbito da EBNet, no domínio eb.mil.br, preservando dessa forma a qualidade dos serviços oferecidos aos usuários internos. Já no nível tático, verifica-se que a convergência tecnológica entre computadores e redes de telecomunicações e a proliferação do uso das TIC provocaram uma grande mudança na arquitetura dos sistemas de comando e controle, permitindo que as forças militares presentes no campo de batalha atuem em redes, aumentando a consciência situacional do comandante e a velocidade do ciclo de tomada de decisão. O Sistema de Comando e Controle da Força Terrestre (SC2FTer) é um ambiente de informação que integra computadores e redes de computadores que atendem aos Postos de Comando de diferentes escalões, empregando, para a transmissão de dados, circuitos físicos, equipamentos-rádio e terminais satelitais. Utiliza, também, outras porções do espaço cibernético representadas, principalmente, pela EBnet e pela infraestrutura de TIC dos segmentos comerciais que operam os serviços de telecomunicações civis. Os recentes conflitos armados mostram que a iniciativa está nas mãos do comandante que consegue obter, manter e explorar a superioridade nas dimensões eletromagnética e cibernética do campo de batalha, conquistando a liberdade de ação necessária para escolher o momento e o lugar ideais para atuar sobre os sistemas de comando e controle, de armas e de vigilância do oponente, desorganizando-os e criando as condições adequadas para desencadear as demais ações táticas que conduzirão à conquista dos objetivos estabelecidos. O cenário atual exige que sejam tomadas ações para resguardar a capacidade de operação da Força Terrestre frente a possíveis ações cibernéticas hostis, bem como para reduzir os seus efeitos, dando respostas, nos níveis estratégico, operacional e tático, a essas novas demandas, elevando os níveis de operacionalidade da Força Terrestre nessa nova vertente do combate contemporâneo. Essa importante tarefa vem sendo conduzida pelo Centro de Comunicações e Guerra Eletrônica do Exército (CCOMGEX) e suas OM diretamente subordinadas. O Comandante do Exército Brasileiro, antecipando-se às ações que seriam tomadas pelo MD decorrentes do lançamento da END, instituiu, por intermédio da portaria nº 03-RES, de 29 de junho do 2009, o Setor Cibernético no âmbito de Exército Brasileiro, determinando que o Departamento de Ciência e Tecnologia (DCT) apresentasse ao Estado-Maior do Exército (EME), no prazo de sessenta dias, um escopo inicial para o projeto de implantação. Após a conclusão do estudo de viabilidade do escopo inicial do projeto pelo EME, o Comandante do Exército, em portaria nº 004-RES, de 22 de julho de 2010, aprovou a Diretriz de Implantação do Setor Cibernético no Exército, determinando que fossem conduzidos oito projetos estruturantes, num prazo de quatro anos. No mês de agosto do mesmo ano, foram emitidas novas portarias criando o Centro de Defesa Cibernética do Exército (CDCiber) e ativando o seu Núcleo (Nu CDCiber), inicialmente para dar provimento aos oito projetos previstos naquela Diretriz, sintetizados na figura abaixo.

12 Figura 4: Projetos estruturantes Fonte: Nu CDCiber Os referidos projetos destinam-se a atender às necessidades prioritárias para o Exército, já com foco na sua atuação como Força coordenadora e integradora no âmbito da Defesa, e os seus produtos abrem novas perspectivas para o setor. 7. PERSPECTIVAS PARA O SETOR O Comandante do Exército, em sua Diretriz Geral para o período de , confere elevada prioridade ao prosseguimento das ações no setor cibernético, com ênfase para a conclusão do Centro de Defesa Cibernética do Exército. A prioridade se justifica pelo papel de destaque que o Exército desempenha no âmbito do MD, na condução dos temas relacionados ao setor cibernético de Defesa, além da importância do tema para a Segurança Nacional, principalmente no que se refere a estar em condições de contribuir para a garantia da Segurança Cibernética nacional. O EME, cumprindo a diretriz do comandante, incluiu na Política Militar Terrestre (SIPLEx-3/2011) o Objetivo Estratégico do Exército (OEEx) nº 16 Desenvolver uma adequada capacidade de atuação no espaço cibernético, caracterizando o irrestrito apoio e comprometimento institucional com os oito projetos estruturantes de implantação do setor cibernético no Exército, cujos produtos estão previstos para serem entregues até o final de Dentre as perspectivas que se abrem para o setor, destacam-se: a criação de ação orçamentária específica para atender às demandas do setor cibernético, a partir do exercício financeiro de 2012; a construção das futuras instalações do Centro de Defesa Cibernética do Exército; a expansão e o aprimoramento da infraestrutura de segurança cibernética já existente; o aprimoramento da infraestrutura física e lógica para a integração segura do Sistema Estratégico de Comunicações com o Sistema Tático de Comunicações; a criação de novos cursos de especialização no Centro de Instrução de Guerra

13 Eletrônica (CIGE) e na Escola de Comunicações (EsCom), para atender às necessidades do Setor Cibernético, destinados a oficiais e sargentos das armas, quadros e serviço de intendência; a instalação de simulador de Guerra Cibernética no CIGE para apoio às atividades de ensino e para a realização de exercícios de simulação de combate de Guerra Cibernética; a instalação de laboratório para o desenvolvimento e treinamento da proteção cibernética do SC2FTer, no CIGE; a aquisição e distribuição de novos equipamentos que permitam a atuação em rede e a ampla utilização do programa C2 em Combate no nível tático, até o escalão subunidade; a reestruturação das OM de comunicações de forma a adaptá-las à dimensão cibernética do campo de batalha, incorporando novas capacidades e ferramentas para realizar o gerenciamento das TIC que dão suporte ao Sistema de Comando e Controle do escalão apoiado, bem como para a sua proteção cibernética; a implantação do Núcleo de Experimentação Operacional de Guerra Cibernética no CIGE, para contribuir com a formulação de doutrina de Guerra Cibernética a partir das lições aprendidas nos diferentes exercícios operacionais em que for empregado; a instalação de laboratório de telemática na EsCom para o ensino de redes de computadores; a inclusão de disciplinas ligadas à ciência da computação na Escola Preparatória de Cadetes do Exército (EsPCEx) e na Academia Militar das Agulhas Negras (AMAN), com ênfase nas TIC empregadas no Sistema de Comando e Controle do Exército e na gestão de Segurança da Informação e Comunicações; a instalação de laboratórios de telemática nas escolas de formação; a adequação dos programas de mestrado e doutorado e a criação de cursos de extensão universitária vinculados ao Instituto Militar de Engenharia (IME), para atender às necessidades do setor cibernético; o estabelecimento de uma estrutura de apoio tecnológico e de pesquisa cibernética; e o estabelecimento de uma estrutura de gestão de pessoal e de arcabouço documental visando a atualização e elaboração de doutrina e normas para o setor. 8. CONCLUSÃO O Brasil, a exemplo dos países mais adiantados tecnologicamente, percebeu a magnitude dos danos que podem ser causados por ações cibernéticas hostis contra as infraestruturas críticas do País, e está imerso em um processo extremamente dinâmico, sem caminho de volta, buscando implementar medidas estruturantes que assegurem a disponibilidade, a integridade, a confidencialidade e a autenticidade dos ativos de informação considerados estratégicos para o País, a fim de garantir a necessária Segurança Cibernética Nacional. As Forças Armadas, por sua vez, obedecidas as suas competências constitucionais ou legais, devem estar em condições de se contraporem às eventuais ameaças cibernéticas, conduzindo a Defesa Cibernética em situação de paz, crise ou conflito armado, seja para defender o seu Sistema Militar de Comando e Controle (SISMC2), seja para defender os ativos de informação estratégicos da Nação. Nesse contexto, o Exército Brasileiro assumiu um papel de extrema relevância perante a Nação brasileira, ao receber do MD a responsabilidade de coordenar e integrar o desenvolvimento dos programas e das ações relacionadas à implantação do setor cibernético na Defesa, definido como estratégico pela END. Internamente, como órgão da APF, o Exército está envidando todos os esforços para ampliar e aprimorar a sua infraestrutura de Segurança Cibernética. Além disso, mantendo o foco permanente na sua missão constitucional e no seu

14 compromisso com os legítimos interesses do Estado, está voltado para a geração de novas competências operacionais ligadas à Guerra Cibernética, visando inserir-se, no mais curto prazo, no rol dos exércitos que detêm a capacidade de atuar no espaço cibernético, com os decorrentes benefícios para a atividade de comando e controle nos níveis estratégico, operacional e tático. Esses são os desafios que impulsionam a todos os integrantes do Centro de Defesa Cibernética do Exército e dos demais órgãos e OM envolvidas na implantação do setor cibernético no Exército. O caminho é longo e há espaço para todos. O setor cibernético abre novas oportunidades de realização para profissionais talentosos, criativos, competentes e, acima de tudo, dispostos a combater nessa nova dimensão do campo de batalha o espaço cibernético. Por não saber que era impossível, ele foi lá e fez Jean Cocteau 9. REFERÊNCIAS BRASIL. Constituição da República Federativa do Brasil de Lei Complementar nº 97, de 9 de junho de Lei Complementar nº 117, de 2 de setembro de Lei Complementar nº 136, de 25 de agosto de Decreto nº 6.703, de 18 de dezembro de Aprova a Estratégia Nacional de Defesa, e dá outras providências.. Ministério da Defesa. Diretriz Ministerial no 014/2009. Brasília, Ministério da Defesa. Exército Brasileiro. Portaria nº 004-RES, de 22 de julho de Diretriz de Implantação do Setor Cibernético no Exército Brasileiro. Brasília, Ministério da Defesa. Exército Brasileiro. Portaria nº 03-RES, de 29 de junho de Institui o setor cibernético no âmbito do Exército Brasileiro.. Ministério da Defesa. Exército Brasileiro. Diretriz Geral do Comandante do Exército Brasília, Ministério da Defesa. Exército Brasileiro. Estado-Maior do Exército. Minuta de Nota de Coordenação Doutrinária relativa ao I Seminário de Defesa Cibernética do Ministério da Defesa. Brasília, Ministério da Defesa. Estratégia Nacional de Defesa. Brasília, Ministério da Defesa. Exército Brasileiro. Estado-Maior do Exército. Sistema de Planejamento do Exército. SIPLEx -3. Política Militar Terrestre. Brasília, Ministério da Defesa. MD 35-G-01. Glossário das Forças Armadas. Brasília, Núcleo de Informação e Coordenação do Ponto BR. Pesquisa sobre o uso das tecnologias da informação e da comunicação no Brasil, TIC Governo Eletrônico 2010, cgi.br, São Paulo, Presidência da República. Gabinete de Segurança Institucional da Presidência da República. DSIC. Guia de referência para a segurança das infraestruturas críticas da informação. Brasília, Presidência da República. Gabinete de Segurança Institucional da Presidência da República. DSIC. Livro verde: Segurança cibernética no Brasil. Brasília, Presidência da República. Gabinete de Segurança Institucional da Presidência da República. Instrução Normativa GSI/PR no 1, de 13 de junho de Brasília, CARVALHO, P. S. O Setor Cibernético nas Forças Armadas. In: REUNIÃO TÉCNICA DE

15 SEGURANÇA E DEFESA CIBERNÉTICA. Brasília, CETIC. Centro de Estudos sobre as Tecnologias da Informação e da Comunicação. Disponível em: Acesso em: 7 set CLARKE, Richard; KNAKE, Robert. Cyber War. New York, USA: CCCO, JÚNIOR, R. M. Um estudo sobre a segurança e a defesa do espaço cibernético brasileiro. In: REUNIÃO TÉCNICA DE SEGURANÇA E DEFESA CIBERNÉTICA. Brasília, MANDARINO JUNIOR, Raphael. Segurança e defesa do espaço cibernético brasileiro. Recife: CUBZAC, OLIVEIRA, J. R. Sistema de Segurança e Defesa Nacional: abordagem com foco nas atividades relacionadas à Defesa Nacional. In: REUNIÃO TÉCNICA SOBRE SEGURANÇA E DEFESA CIBERNÉTICA. Brasília, VIEIRA, Tatiana Malta. Compilação da legislação vigente sobre Segurança da Informação e Comunicações. GSI/PR. Brasília, Autor: Alan Denilson Lima Costa - Coronel de Comunicações QEMA Graduação em Ciências Militares AMAN (1987) Mestre em ciências militares pela Escola de Comando e Estado-Maior do Exército (2004) Curso de Comando e Estado-Maior na Escola Superior de Guerra do Peru (2007) Instrutor da Escola Superior de Guerra do Peru (2008) Comandante do Centro de Instrução de Guerra Eletrônica (CIGE) (2009 e 2010) Função atual: Subchefe do Núcleo do Centro de Defesa Cibernética do Exército