você está aqui: Home → Colunistas → Legaltech
Por José Antonio Milagre
Data de Publicação: 25 de Fevereiro de 2010
Não é de hoje que sabemos sobre certos episódios envolvendo espionagem, vazamento de informações e crime organizado dentro do setor público brasileiro. Com a tecnologia da informação, as formas de coleta indevida e difusão das informações facilitaram os crimes digitais, associado ao fato da ignorância de muitos servidores públicos na proteção das informações.
Longe dos pomposos e não tão eficientes órgãos de segurança e inteligência do Governo Federal e dos Estados ricos da Federação, encontramos Estados, Prefeituras e orgãos manipulando informações sensíveis, diga-se, matéria prima para fraudes e golpes, sem qualquer proteção. São dados de concursos, de segurança, arrecadação, licitações, contratos, convênios, imóveis a serem leiloados e outras informações aptas a serem exploradas para a fraude ou exploração ilícita. O resultado é previsível.
No Brasil, o gabinete de segurança institucional apresenta relatos de falhas, como no caso das câmeras do Palácio do Planalto, que não registraram as placas dos veículos que estiveram por lá no início de 2009[1]. Na previdência, a fraude chega a 1,6 bilhões de reais[2], e conta com uso indevido de informações do sistema de óbito de segurados, o SISOB, bem como outras técnicas de uso indevido de dados, o que faz do país um dos que mais possuem "mortos-vivos" do mundo em termos previdenciários. Estamos também entre os campeões de "empresas-fantasma", aptas a abocanhar licitações do norte a sul do país.
A prórpia Polícia Federal tem sua conduta questionada, no que cerne ao vazamento de informações de inquéritos e outros procedimentos, para a imprensa, televisões e outros privilegiados, o que gerou a indignação do ministro do Supremo Tribunal Federal, Gilmar Mendes, também em 2009 [2], e que também motivou o pacotão da segurança pública que pretende suspender e até demitir o agente que se manifestar sobre investigação que participe ou tenha conhecimento[3]
No centro de São Paulo, é possível comprar senhas para o maior banco de dados da segurança pública do Brasil, o InfoSeg [4], a custo irrisório de 2 mil reais, como já noticiado na mídia brasileira.
Outros entes públicos de nível federal, estadual e municipal já experimentaram a fraude resultado da associação entre maus servidores e particulares bandidos. A epidemia não é só pública, já que estima-se que no Brasil boa parte dos negócios fechados no mercado financeiro tenham como suporte o vazamento de informações[5].
O que o vazamento de informações causa" Dano e desfalque ao erário. Tomemos o exemplo do vazamento de informações que prejudicou uma operação policial no Rio de Janeiro, em 2007, nas favelas do Complexo São Carlos, no Estácio, onde a Polícia pretendia prender 100 pessoas. Um homem foi preso.
Outro exemplo, o vazamento das provas do ENEM em 2009[7]. 500 mil reais era o que o funcionário da gráfica contratada pelo Ministério da Educação queria para fornecer as informações ao Jornal "O Estado de São Paulo". Resultado? O sabido cancelamento da prova, ato que custou nada menos que 30 milhões ao Governo.
Mais um exemplo, a venda dos caças ao Governo Brasileiro, fato amplamente noticiado em 2009, onde a despeito do termo de confidencialidade estabelecido pela Força Aérea Brasileira (FAB), ficou claro o vazamento de informações sobre o preço ofertado pela francesa Dassault[8]. No Brasil, a Lei 9883/99 institui o Sistema Brasileiro de Inteligência, no âmbito federal, e cria a ABIN. Este sistema é responsável pela coleta e custódia de informações para servir ao Presidente da República em suas decisões. Todos os entes públicos que manipulam informações de interesse nacional compõem o SBI e estão sujeitos ao controle da ABIN. Ora, se existe permissivo legal para o monitoramento e auditoria, porque tantos escândalos?
Não bastasse, sabemos que fora do executivo federal, órgãos públicos municipais e estaduais ainda não atentaram para o risco da negligencia, imprudência ou imperícia na manipulação de informações confidenciais. O Código Penal brasileiro prevê em seu artigo 325 o crime de violação de sigilo funcional também para quem permite ou facilita o acesso de terceiros a sistemas de informações da administração pública, estabelecendo ainda uma pena de reclusão que pode chegar de 2 a 6 anos e multa. Ou seja, ser negligente com sistemas informáticos, na administração pública, é crime!
Já se o funcionário público é quem insere ou altera os dados nos sistemas da administração, pode responder pelo peculato informático, dependendo das circustâncias, será enquadrado nos arts. 313-A e 313-B do Código Penal, com pena que pode chegar a 12 anos de reclusão. Mas só punição adianta? Efetivamente que não, eis que como verificamos, o peculato informático foi criado em 2000 e nem por isto desestimulou o vazamento de informações públicas e pelo contrário, hoje são os particulares que praticam o crime de exploração de prestígio, ao se valerem das relações com funcionários públicos maléficos, na obtenção de vantagens.
A resposta é a efetiva gestão de segurança da informação, com a implementação de um sistema eficaz e que considere pessoas acima de ferramentas e softwares e leve em consideração que influências internas são as principais responsáveis pelo vazamento de dados na área pública e também privada. Uma pesquisa mais refinada no Google e descobrimos quantos servidores utilizam e-mails do governo para usos privados. Mais, sabemos de casos em que o servidor foi desligado e anos depois ainda detinha privilégios de acesso í rede VPN governamental, agenciando tais informações í seu critério. Documentos privados circulam na internet com timbres oficiais, e que podem ser utilizados por estelionatários para confecção de falsos documentos e aplicação de golpes.
Dados não são validados quanto ingressam nas bases da adminsitração, acordos de confidencialidade não são cumpridos, funcionários não são conscientizados dos riscos, não existem perímetros físicos de proteção de ativos, funções não são segregadas e o pior, em alguns órgãos os gestores públicos sequer sabem quais os ativos informacionais são importantes para a empresa pública, e o quanto devem se esforçar para protegê-los.
Estas, são apenas algumas posturas inerentes í ausência de um sistema de gestão que preze pelos fundamentos da segurança: integridade, disponibilidade e confidencialidade de dados, e principalmente, que seja testado e avaliado periodicamente, por meio de testes de intrusão, engenharia social e outras técnicas homologadas e válidas em segurança da informação.
Se você questionar a um gestor de segurança de um órgão público se ele tem uma ferramenta firewall licitada funcionando em sua área o mesmo afirmará que sim. Agora experimente questionar se ele tem uma política de gestão de continuidade do negócio, ou se adota gestão da segurança no desenvolvimento e suporte de seus sistemas, ou ainda se desenvolveu uma célula de forense digital vinculada a seu time de resposta a incidentes...
As proteções contra vazamentos devem ser objeto de avaliação periódica e a inteligência é fundamental neste ponto. Não acabaremos com o vazamento de informações públicas licitando firewalls, software de segurança e detectores de intrusão, mas aliando a rigorosa legislação brasileira já existente, com técnicas de monitoramento e screening dos funcionários públicos que lidam com informações críticas. A inteligência não deve estar só no âmbito federal, e principalmente, deve sair do papel e ser aplicada. Aquele que manipula informações públicas sensíveis deve estar ciente de que dada a responsabilidade que detém, pode ser auditado, sem que possa evocar a proteção conferida a um cidadão comum, no que tange í privacidade.
Tomemos o exemplo de Portugal onde o Serviço de Informações da República (SIS) e o Serviço de Informações Estratégias, em 2009, assinaram protocolos para a inserção de espiões nos serviços públicos. Mas qual a finalidade desta medida" Simples, combater a criminalidade organizada dentro do Governo, esta, que se vale de informações confidenciais e privilegiadas para movimentar um mercado negro de milhões de euros. Aqui não é diferente.
No Brasil, algumas iniciativas ainda engatinham, mas servem de exemplo para todos os órgãos públicos da Federação, como o projeto de Lei que dispõe sobre o regime disciplinar do Departamento da Polícia Federal e da Polícia Civil do Distrito Federal, que institui a chamada "sindicância patrimonial", destinada a averiguar e identificar servidores que ostentam patrimônio imensamente maior do que o compatível com a função. São medidas que podem auxiliar a redução dos crimes envolvendo vazamento de informações eis que quem tem acesso a informações sigilosas governamentais, com certeza não as cede gratuitamente.
Enfim, demonstramos que o vazamento de informações na administração pública em todas as suas esferas é realidade, motivada e impulsionada pelo vantajoso e lucrativo tráfico de informações e principalmente pela ausência de monitoramento dos ativos de tecnologia da informação e seus respectivos suportes. Igualmente, concluímos que não existe uma solução pacífica e incontroversa para amenização desta patologia, porém sabemos que esta solução passa longe da compra e mais compra de softwares e dispositivos de segurança, e que um caminho pode ser a aplicação da lei, em cotejo com a fiscalização e testes de intrusão para avaliar condutas dolosas e culposas, perícia digital para identificar a autoria de incidentes, além do monitoramento de ex-agentes e a chamada sindicância patrimonial.
Resta pacífico que serviços de inteligência em sua gênese são concebidos no escopo de apoiar a tomada de decisões governamentais, e mais que isso, de proteger ativos das ameaças, sobretudo digitais, antecipando problemas e identificando causadores. Porém, mais claro ainda, fica demonstrado que sem governança, análise de risco, conformidade e monitoramento constante, tais serviços podem se voltar contra o Estado e seus cidadãos, servindo, por ação ou omissão, interesses escusos e criminosos, de sabida alta lucratividade.
José Antonio Milagre possui MBA em Gestão de Tecnologia da Informação pela Universidade Anhanguera. É Analista de Segurança e Programador PHP e C, Perito Computacional em São Paulo e Ribeirão Preto, Advogado Especializado em Direito da Tecnologia da Informação pelo IPEC-SP, graduado pela ITE-Bauru, Pós-Graduado em Direito Penal e Processual Penal pela Faculdade Fênix-SP, com defesa de tese e área de concentração Crimes Eletrônicos, Valor Probatório e o Papel da Computer Forensics, Extensão em Processo Eletrônico pela Universidade Católica de Petrópolis-RJ, Treinamento Oficial Microsoft MCP, Certificação Mobile-Forensics UCLAN-USA/2005, Professor Universitário nos cursos de TI e Direito da Anhanguera Educacional e de Direito e Perícia Eletrônica na Legal Tech em Ribeirão Preto-SP , Professor da Pós-Graduação em Direito Eletrônico pela UNIGRAN, Dourados/MS (Perícia Computacional), Professor da Pós-Graduação em Segurança da Informação do Senac-Sorocaba, Professor da Pós-Graduação em Computação Forense da Universidade Presbiteriana Mackenzie. Vice-Presidente da Associação Brasileira de Forense Computacional e Presidente da Comissão de Propriedade Intelectual e Segurança da Informação da OAB/SP 21 a . Subsecção, membro do Comitê de Comércio Eletrônico da FECOMERCIO-SP, membro do GU LegislaNet e TI Verde da SUCESU-SP e palestrante convidado SUCESU-ES. Professor Convidado LegalTech, UENP-Jacarezinho, UNESP, FACOL, ITE, FGP, nas áreas de Segurança da Informação, Direito Digital e Repressão a crimes eletrônicos. Co-Autor do Livro "Internet: O Encontro de dois mundos, pela Editora Brasport, ISBN 9788574523705, 2008.