O acesso em massa à tecnologia acelerou a demanda e a troca de informação e transformou as relações sociais entre os cidadãos, seus representantes e o setor privado no Brasil. Por outro lado, abriu espaço a crimes difíceis de contornar: roubo e divulgação de dados, espionagem, pedofilia, desvio de dinheiro e tantos outros passíveis de versão digital. Grupos de Segurança e Resposta a Incidentes (CSIRTs) indicam que, desde o início dos anos 2000, 75% dos usuários brasileiros foram vítimas de ao menos uma forma de cibercrime (a média global é de 67%).

Como o Brasil, expoente da conectividade entre os países da América Latina, pode evoluir na luta contra crimes praticados na rede sem infringir liberdades ou promover a censura? Empoderamento aberto: do protesto à guerra digital, editado pelos pesquisadores Robert Muggah e Rafal Rohozinski, reúne ensaios sobre a segurança (ou a falta dela) cibernética e explica por que o Brasil está despreparado em relação aos crimes digitais. Para Muggah, diretor de pesquisas do Instituto Igarapé e conselheiro sobre segurança pública nas Nações Unidas e no Banco Mundial, há um equívoco no foco do governo em relação à segurança digital no país: em vez de se preocupar com ciberterrorismo, as agências deveriam coordenar forças para desenvolver uma inteligência capaz de evitar crimes menos complexos e mais frequentes, como o roubo de dados e os ataques DDoS (sigla para Denial of Service, negação de serviço, que tiram do ar páginas de empresas e serviços importantes). Uma das sugestões do especialista é que o governo recrute mais hackers para esse trabalho.

Em entrevista a ÉPOCA, Muggah ainda lança uma questão: o Brasil não é apenas vítima de espionagem – como o notável caso em que Snowden, ex-funcionário da CIA, vazou informações de que a Agência de Segurança Nacional dos Estados Unidos (NSA) monitorava o governo brasileiro e a Petrobras. No mesmo ano, 2013, as atividades de seus cidadãos durante os protestos eram vigiadas nas redes sociais.

Doutor Robert Muggah é especialista em segurança e desenvolvimento e diretor de pesquisas do Instituto Igarapé (Foto: Instituto Igarapé)

ÉPOCA – Quais são os crimes virtuais mais comuns no Brasil?

Robert Muggah – A maioria dos ataques é composta de cibercrimes chamados convencionais, que incluem acesso ilegal a contas pessoais, discurso de ódio, pornografia infantil, fraude bancária e pirataria. Em alguns casos, são registrados crimes complexos (terrorismo, espionagem, hackativismo, entre outros). A espionagem envolvendo governo, com a busca de informações ou a tentativa de danificar a infraestrutura do Estado, é mais rara. O Brasil tem sido atacado por grupos nacionais e estrangeiros, incluindo hackers, só que é difícil determinar a intensidade desses ataques. O Departamento de Segurança da Informação e Comunicações (DSIC), do Gabinete de Segurança Institucional (GSI) é o responsável por garantir a “disponibilidade, integridade, confidencialidade e autenticidade das informações” nessa esfera. Embora a origem desses crimes seja raramente divulgada, ao menos 70% envolve esforços para captar informações bancárias de instituições financeiras e públicas. O hackativismo era mais comum no Brasil entre 2011 e 2012, com mais de 1.250 casos reportados. Em 2012 e 2013, no entanto, o número caiu drasticamente. O hackativismo costuma crescer em situações específicas, como quando uma lei controversa é votada no Congresso.

>> Pornografia de vingança: como remover imagens íntimas da internet

ÉPOCA – Por que há dificuldade em detectar e reportar crimes virtuais?

Muggah – O Brasil é um dos países mais afetados pelo cibercrime no mundo. Em 2014, o Kaspersky Lab detectou que o país foi o número um em ataques de malware (software que se infiltra em um sistema de computador alheio de forma ilícita) na frente de Rússia, Alemanha, Índia e Estados Unidos. Também foi o primeiro em ataques de phishing (vem do termo “pesca”, é o roubo de dados através de mensagens falsas) naquele ano. Parte das razões para isso é que o país também foi um dos pioneiros no desenvolvimento de sistemas bancários eletrônicos. Especialistas internacionais concordam que o Brasil está na linha de frente na luta contra o cibercrime. A questão é que não se sabe a real extensão do problema. Os bancos detestam ter de revelar o quanto perdem ao cibercrime por medo de perder a confiança, os negócios e os clientes.

ÉPOCA – Como é possível melhorar essa estratégia?

Muggah – Um dos problemas é a quantidade de ataques existentes. Baseado no número de incidentes reportados pelo CERT.br, o cibercrime aumentou nos últimos dez anos, chegando a um pico de 1 milhão de registros em 2014, antes de cair no ano seguinte. O problema é que há um mal-entendido (e, às vezes, até uma ignorância) de parte do público bem como de membros do Congresso e de funcionários que lidam com cibercrime – de como as tecnologias on-line funcionam e quais ferramentas legislativas devem ser utilizadas. É preciso esforço para educar e fortalecer a capacidade nessas áreas, tanto para os cidadãos e empresas, como também para membros do Congresso e da polícia.

ÉPOCA – É possível evitar crimes virtuais?

Muggah – O Estado tem desenvolvido uma gama de leis e instituições para resolver o crime cibernético. Comissões Parlamentares de Inquérito (CPIs) anteriores abordaram questões de pirataria e pedofilia (incluindo a lei Carolina Dieckmann), que define crimes de invasão de computador, interrupção dos serviços e a falsificação de documentos. Da mesma forma, a Polícia Federal estabeleceu uma unidade de crimes cibernéticos. O desafio é que muitas dessas leis são ainda insuficientemente aplicadas. O país precisa de um sistema nacional de segurança que defina prioridades de curto e médio prazo. Uma agência poderia ser criada com coordenação global em nível estratégico, tático e operacional. Não há nenhum órgão desse nível, o que resulta em uma abordagem reativa e que não incentiva a partilha de informação e a cooperação entre as agências já existentes. Em vez de introduzir ainda mais leis e mais atuação da polícia – como recomenda a CPI dos Crimes Cibernéticos –, é preciso adequar a legislação em vigor.

>> No submundo das gangues virtuais do Facebook

>> Erro de ortografia de hackers frustra roubo a banco de R$ 3 bilhões

ÉPOCA – Você afirmou que autoridades adotam uma postura “rígida” quanto a segurança cibernética. Poderia falar mais sobre isso?

Muggah – O Brasil ainda precisa desenvolver um modelo próprio de segurança nesse sentido. A discussão da questão se encontra fragmentada entre a Polícia Federal, a Polícia Estadual, o Exército, o setor privado e o meio acadêmico. Houve grandes conquistas na legislação de crimes cibernéticos (como a lei Carolina Dieckmann) e na questão da liberdade digital (com o Marco Civil da Internet), porém a agenda foi, até certo ponto, sequestrada pelas forças armadas. Há uma preocupação em evitar crimes mais graves enquanto os mais frequentes são ignorados. Governos e suas forças militares ao redor do mundo regularmente justificam a ameaça de terrorismo para securitizar o espaço virtual.

ÉPOCA – A investigação do Brasil pela NSA foi polêmica e gerou até uma breve crise diplomática...

Muggah – Existem razões que levam governos à espionagem, e isso não é diferente no Brasil. Elas incluem a tentativa de entender como cada governo se posiciona em questões geopolíticas, interesses corporativos e industriais, defesa e inteligência. O governo brasileiro espiona, é claro. Há evidências de que a Agência Brasileira de Inteligência (Abin) monitorou ativistas e políticos durante os protestos populares de 2013. O WikiLeaks publicou e-mails que mostram que a Polícia Federal discutiu com a italiana Hacking Team sobre a possibilidade de compra de um software de vigilância, embora não se saiba se o programa está em uso. O governo brasileiro não é completamente inocente quando o assunto é espionagem. Ao mesmo tempo que autoridades expressavam ultraje quanto à espionagem americana, eles autorizavam a Abin e o Centro de Defesa Cibernética (CDCiber) – duas entidades responsáveis por proteger o país desse tipo de interferência – a monitorar as atividades relacionadas aos protestos nas mídias sociais. A Abin chegou a lançar uma plataforma de monitoramento de mídias sociais chamada Mosaico para observar usuários e prever novos eventos. Ativistas acreditam que esse sistema é prejudicial pois pode levar à autocensura e pressionar movimentos sociais legítimos.

ÉPOCA – Você afirmou no livro que as empresas de comunicação tentam obstruir e sabotar o princípio de neutralidade no Brasil. Como elas fazem isso?

Muggah – As empresas de telecomunicação fazem lobby em Brasília para evitar a implementação completa da neutralidade da rede, como está prevista no Marco Civil da Internet. A Vivo e outras companhias têm chamado empresas como o WhatsApp de “piratas”. Elas alegam que esse modelo de negócios se baseia em parasitar os investimentos das telecoms tradicionais, e exigem que a Anatel regule tais serviços da mesma forma que regula a telefonia tradicional. Porém, tal prática conflitaria com a neutralidade e com outras diretrizes do Marco Civil. Um dos atos finais da presidente Dilma antes de ser afastada foi a regulamentação da neutralidade da rede. É provável que a Anatel apoie isso, mas as operadoras provavelmente não vão gostar.

>> Anatel impõe regras, mas segue favorável às franquias na banda larga fixa

>> A internet sob ameaça e o impacto dos planos limitados de banda larga

ÉPOCA – O Brasil pode se espelhar em alguma outra legislação internacional para combater o cibercrime?

Muggah – Se o assunto for preservação dos direitos e da liberdade no meio digital, o Marco Civil é considerado “padrão ouro”. Muitos países invejam a abrangência dessa lei, assim como o processo participativo sob o qual ela foi concebida. Há outros poucos exemplos internacionais, mas existe o German IT Security Act of 2015, na Alemanha, que exige que empresas – incluindo instituições financeiras – reportem quando forem vítimas de ataques cibernéticos ou da quebra de dados. Essas informações, agregadas e sem a divulgação de dados pessoais, ajudam a desenvolver inteligência para prevenir e processar o cibercrime. A França adotou legislação semelhante. No momento, o Brasil não tem política, nem mesmo as empresas são incentivadas a divulgar informações sobre os ataques que sofrem. O Brasil deveria trabalhar para produzir o mais próximo que conseguir do seu Livro verde, criado em 2010, criando uma entidade explicitamente responsável pela cordenação da política e estratégia brasileira. A legislação brasileira de cibercrime poderia ser reforçada, o que não necessariamente implica em uma nova legislação, como tem se tentado fazer com a CPI dos Crimes Cibernéticos. Ela poderia incluir a adoção de instrumentos internacionais, como a convenção de Budapeste – um acordo que facilita o compartilhamento e a cooperação entre países na luta contra o cibercrime.

>> “CPI dos Crimes Cibernéticos agiu sob clima emocional e pouco técnico”, diz conselheira do CGI

>> “Estamos rasgando o Marco Civil e a Constituição”, diz Ronaldo Lemos sobre o WhatsApp

>> CPI dos Crimes Cibernéticos na Câmara recomenda não bloquear WhatsApp