Raphael Mandarino: Brasil pode se defender de guerra virtual
Responsável pela segurança de informação do governo afirma que o país está preparado para se defender em uma ciberguerra e há quem acredite que o Brasil poderia atacar
Renan Dissenha Fagundes
A guerra foi ganhando novos domínios ao longo da história: primeiro da terra para a água, depois o ar, o espaço completou as quatro dimensões da guerra moderna. Mas agora há um quinto domínio: a internet. Ataques cibernéticos são um tema cada vez mais discutido. Tanto que chegou até o cinema no filme Duro de Matar 4. A ideia por trás desse tipo de combate é o uso de armas virtuais para roubar informação vital ou desestabilizar e destruir a infraestrutura crítica (eletrecidade, telecomunicações, o sistema financeiro) de um inimigo.
Ataques cibernéticos não são ficção científica. Em 2008, a Rússia foi acusada pela Geórgia de usar esse tipo de ataques enquanto o exército russo invadia o país. Infraestruturas tecnológicas da Geórgia paravam de funcionar pouco antes da chegada dos russos. O Kremlin não assumiu nada e afirmou que o ataque foi realizado por um grupo hackers. A China também não assume nenhuma acusação de que usa a internet para atacar outros governos. (Leia mais: Ciberterrorismo e guerras virtuais preocupam governos)
Uma dos principais características da guerra virtual é que nenhum governo assume que está realizando ataques desse tipo, mas todos estão se preparando: Estados Unidos, China, Rússia, Israel, até o Irã afirma ter um “exército de hackers”. E o Brasil não está parado. Raphael Mandarino, diretor-geral Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional (GSI) da Presidência da República, afirma que o que o Exército está investindo tudo o que pode para preparar o país para eventuais ataques.
Mandarino comanda o órgão responsável pela segurança de informação do governo federal e também acompanha o que está sendo feito sobre o tema por outros países. Segundo Mandarino, as redes do governo sofrem 2.100 ataques sérios por hora, a maioria para roubo de informações, e a possibilidade de um ataque que cause mais estragos é real. O país, entretanto, estaria bem preparando.
Leia a entrevista completa:
ÉPOCA – O Brasil tem sido atacado?
Raphael Mandarino – Sim. As redes do governo recebem 2.100 ataques por hora. Eu sempre dou o número do ano anterior para não gerar muita especulação. E 2.100 na verdade é 1% dos ataques que a gente recebe, mas esse 1% são os ataques que eu consigo identificar que são mais sérios. São tentativas de roubo de informação, tanto de pessoas do governo, como de projetos governamentais. Imagina uma empresa de pesquisa que tem um projeto ainda não patenteado e essa empresa recebe um ataque de invasão para roubar esse projeto. Esses 2.100 ataques por hora estão nesse nível.
ÉPOCA – Nós não temos ataques que tentam derrubar alguma coisa - um serviço, um site do governo, por exemplo?
Mandarino – Não, tentando derrubar, não. Tivemos, mas até agora não conseguiram.
ÉPOCA – Mas já teve?
Mandarino – Já, claro, isso tem direto. Isso aí é cotidiano.
ÉPOCA – Esses ataques são identificáveis?
Mandarino – Eu mando em torno de 3.500 notificações todos os dias. Não estou falando só desse tipo de ataque, estou falando de tudo. Por exemplo, um phishing [fraude para roubar dados], quando começa o prazo para declaração do imposto de renda, perguntando se você tem o programa da receita. Chegam milhares desses na administração pública e vindos provavelmente do mesmo lugar. Eu junto tudo isso, por um sistema inteligente que temos - tenho robôs nas redes dentro do governo que ficam olhando isso, e vejo de onde veio. Aí eu mando uma notificação clara dizendo na hora tal, segundo tal, minuto tal, do ip tal, da sua rede, saiu um ataque para redes brasileiras. Não indico qual o órgão, mas indico quais ataques saíram, e peço para tomar providência. Digo: ´´o tipo de ataque é esse, o tipo de vírus é esse´´. Cada notificação dessas 3.500 que mando por dia tem por trás milhares de ataques. Tenho em torno de 30% de sucesso de reposta disso pessoas que respondem e tomam providências.
ÉPOCA – E os outros 70%?
Mandarino – Não respondem, podem ser botnets [softwares autônomos]. Um grande perigo quando você identifica de onde veio o ataque é que não é necessariamente daquele lugar que veio o ataque. Pode ser de qualquer outro lugar. Então sempre tomamos muito cuidado para fazer uma afirmação. Claro que temos algumas metodologias e não vamos no primeiro lugar do ataque. Vou atrás, um pouco mais atrás. Mas de qualquer forma tem que ter cuidado.
ÉPOCA – Nunca houve um ataque governamental?
Mandarino – Maciço, não. O que tem muito no governo brasileiro é defacement (ataque que muda a aparência de um site). Muito, muito. E isso é porque temos milhares de sites, nem todos muito bem configurados.
ÉPOCA – Qual a possibilidade no Brasil de um ataque real, que derrube alguma infraestrutura e cause transtorno?
Mandarino – A possibilidade é real. É uma coisa que não podemos prever. Por exemplo, a Casa Branca foi atacada. E eles têm uma política extremamente dura de proteção da Casa Branca. Mas foi. Eu costumo dizer que isso é mais ou menos como ataque suicida: se o cara quiser, ele faz, mas tem consequências.
ÉPOCA – O quanto a nossa infraestrutura é vulnerável?
Mandarino – É menos que os Estados Unidos, com certeza. Por exemplo, o programa 60 minutos pouco tempo atrás fez uma declaração que o apagão [o programa falava sobre os probelmas de 2005 e 2007, mas também houve suspeitas sobre o de 2009] teria sido causado por hackers. Eu rebati essa colocação dizendo o seguinte: boa parte dos nossos sistemas não estão interligados. O comando central da agência reguladora é feito para comandar alguém manualmente (o computador distribui ordens que são executadas por pessoas. Ou seja, nos elos do sistema, há gente, não máquinas). Claro que temos parte da infraestrutura automatizada, e parte não. Causar um apagão daquela proporção por meio de um ataque de internet eu diria que é improvável.
ÉPOCA – Nos EUA seria mais possível.
Mandarino – E na Europa. Há casos comprovados nos EUA e na Itália.
ÉPOCA – Aqui no Brasil seria mais díficil então?
Mandarino – Eu pesquisei, fui atrás de todas as informações, e não consegui nenhuma comprovação disso de que seria possível derrubar o sistema elétrico brasileiro. E eu acho muito difícil. A rede não é tão conectada e tem muita proteção. Uma das vantagens de ser menos desenvolvido que os outros é que quando você chega no processo já teve algumas correções para aplicar. Acaba sendo já um passo à frente.
ÉPOCA – Quanto as nossas Forças Armadas estão investindo em tecnologia de guerra virtual?
Mandarino – No final do ano passado foi criada a estratégia nacional de defesa. Neste ano, já foi criado o comando cibernético brasileiro, e já tem recursos alocados. O Exército, das três Forças, é quem está à frente desse processo. Eu conheço todos, trabalhamos todos juntos, e eu diria que o Exército está colocando aquilo que ele pode em termos de investimento.
ÉPOCA – Estamos indo pelo mesmo que caminho que Israel,
Mandarino – EUA, China, Rússia e outros países que já estão se preparando para a guerra cibernética? Eu acho que sim. Eu acho que a gente tem um modelo bastante interessante de defesa cibernética.
ÉPOCA – O Brasil já atacou alguém?
Mandarino – Não. O Brasil é um país pacífico. Tanto que a gente não usa guerra cibernética. Nosso modelo é defesa cibernética. É uma tradição brasileira, 140 anos sem guerra. Agora, se temos condição de atacar ou não, eu não te diria. Eu diria que outro países enxergam o Brasil com capacidade de ataque.
ÉPOCA – Estamos treinando pessoas?
Mandarino – Estamos aprendendo bastante. Conversamos bastante sobre o que está acontecendo na rede, conhecemos bastante o nosso espaço cibernético, se é que posso chamar de nosso, e temos pessoas muito bem treinadas, sim, para um dia se for necessário responder um ataque.
ÉPOCA – Essas pessoas são treinadas dentro das Forças Armadas?
Mandarino – Dentro dos órgão de Estado que são responsáveis pela segurança.
ÉPOCA – E como é o treinamento? Quantas pessoas são?
Mandarino – Já mandamos pessoas para treinar fora do país. Já fizemos cursos no Brasil. E temos cursos nossos, que nós mesmos desenvolvemos a tecnologia de treinar as pessoas. Como eu disse, é mais de dez, menos de mil. Tô brincando. A frase que eu gosto mais: é menos do que eu gostaria e mais do que você pode imaginar.
ÉPOCA – O Brasil assinou um acordo de segurança cibernética com a Rússia. A ideia russa de ciberguerra não é diferente da do Brasil? Eles não têm uma ideia mais de ataque?
Mandarino – Do ponto de vista do governo formal é defesa.
ÉPOCA – E informal?
Mandarino – Eles não assumem. Eles dizem que é um grupo de hackers. [Há suspeitas de que a Rússia usou ataques virtuais contra a Geórgia.
ÉPOCA – Esse aspecto informal da ciberguerra... China, EUA, ninguém assume que ataca. Por quanto tempo isso vai continuar?
Mandarino – Eu acho que pra sempre. Um ataque cibernético hoje é muito mais nocivo do que as pessoas imaginam. Imagina o que é tirar do ar um hospital, por exemplo. Ou um controle de tráfego aéreo. Isso mata gente. Então acho que ele é muito mais sério. As pessoas e os países estão se guardando para usar isso quando realmente for necessário.
ÉPOCA – Será que vai existir uma guerra cibernética declarada entre dois países?
Mandarino – Tudo indica que isso é uma guerra assimétrica. Nunca um país assumiu. E se um dia houver um conflito entre dois países, o ataque cibernético vai ser usado como uma das ferramentas, assim como a guerra da informação, assim como a guerra psicológica.
ÉPOCA – E um apagão total com uso de armas virtuais, é possível?
Mandarino – Eu acho que não. Mas tudo é possível. Só ver o que está na moda, o ataque ao sistema nuclear iraniano. Tudo é possível. Mas hoje está todo mundo tão interconectado que um ataque não é mais localizado, ele tem reflexos em todo o mundo. Vários organismos se movimentam para que isso não tenha repercussão.
ÉPOCA – O Brasil está bem preparado contra isso?
Mandarino – Sim. Mas isso é um caminho, não um ponto. Você tem sempre que se atualizar.
Fonte: REVISTA ÉPOCA, via NOTIMP