Leia o texto abaixo e depois responda o questionário (somente para alunos da disciplina informática jurídica)
prof Aires J Rover
SEGURANÇA DA INFORMAÇÃO
LIMITES E PERSPECTIVAS DAS TECNOLOGIAS EXISTENTES
"Guerras do passado foram vencidas ou perdidas porque os governos mais poderosos da terra não tinham a potência criptológica que qualquer estudante secundário pode dominar, hoje, com um microcomputador". (GATES, Bill)
Nosso objetivo aqui é apresentar os principais problemas relativos à segurança da informação e refletir sobre as alternativas contrapostas a estes problemas. Verificar a responsabilidade da tecnologia e das pessoas que utilizam os sistemas, face ao problema. Apresentar o modelo de certificação e assinatura digital que viabilizam o uso de documentos jurídicos digitais.
FALTA DE SEGURANÇA NOS SISTEMAS DE INFORMAÇÃO
A falta de segurança na infraestrutura de tecnologia tem patrocinado o aumento das ameaças e prejuízos nos sistemas de informação. São comuns invasões aos sites de comércio eletrônico, o que revela a fragilidade dos sistemas, colocando em risco operações críticas e, principalmente, a credibilidade das instituições.
Você sabia que a falta de consciência dos envolvidos é o principal obstáculo na implementação de proteção para as informações, mais do que a dificuldade orçamentária? Muitos nem sabem sequer se foram invadidos.
A falta de controle do ambiente tecnológico e o medo da perda de credibilidade são duas frequentes vulnerabilidades. Na maioria das vezes não é possível quantificar o prejuízo com os problemas de segurança. Em função dessa ausência de controle, somada ao fato de que a maioria dos casos de ataques é tratada com sigilo, não existem estatísticas oficiais mais apuradas, principalmente no Brasil.
Quem são os principais responsáveis pelos problemas?
Segundo as estatísticas existentes, os funcionários assumem o papel do principal inimigo. Muitos administradores de rede ainda utilizam ultrapassadas estratégias de segurança, restringindo apenas o acesso externo e negligenciando o risco de sabotagem por empregados insatisfeitos ou mal-intencionados.
Por outro lado, está havendo o aumento progressivo de invasões por hackers. Além do mais, os dados não são confiáveis, pois o índice de empresas que reportam os incidentes aos agentes da lei é muito pequeno. Em muitos dos casos nada foi feito contra o responsável.
OS RISCOS E OPORTUNIDADES DA INTERNET
Você deve estar lembrado da discussão referente à Internet. Um dos dados de realidade que podemos concluir é que a Internet tende a se tornar a interface, a forma de relacionamento entre usuário e máquina, predominantemente difundida, por sua facilidade e universalidade. É por isso que hoje o grande desafio é viabilizar o acesso à Internet e à conexão de aplicações críticas, sem exposição da rede corporativa aos riscos de paralisações, invasões ou fraudes, especialmente, do acesso aos funcionários das empresas em geral.
Está mais que demonstrado a fragilidade do protocolo da Internet (tcp/ip) e apesar disso poucas empresas possuem um plano de ação formalizado para caso de ataques. É ainda mais restrito o número de empresas que implementam ferramentas de prevenção, como a análise de ataques em tempo real.
Passou um tempo em que se proibia o uso da Internet internamente, mas ainda há restrições. Isso tudo para evitar, principalmente, a queda de produtividade. A questão da segurança também é levada em conta. É evidente que o próprio correio eletrônico ainda é um meio inseguro para troca de informações sigilosas.
Como superar esses limites? É fundamental que se invista no uso crescente da web, mas sem perder de vista a manutenção de um nível razoável de segurança.
INTRANETS, EXTRANETS E COMÉRCIO ELETRÔNICO
Você sabe o que é intranet? Nada mais é do que o uso da Internet no ambiente restrito da empresa, por meio do uso de senhas ou outro tipo de controle. Nesse ambiente são desenvolvidas aplicações internas, como por exemplo, a consulta a cadastros ou bases de dados diversas.
Não é difícil concluir que o risco é crítico nesse ambiente. Fica ainda maior quando se trata das extranets, outra importante tecnologia em expansão que estendem à rede interna para interligação com clientes, fornecedores e parceiros. É por onde o comércio eletrônico tem se desenvolvido e hoje já é uma realidade no Brasil. Note que sua principal aplicação é o Internet Banking, um serviço de extremo risco tendo em vista que manipula um dos bens mais valorizados pela sociedade atual: o dinheiro. Mesmo assim, a coisa funciona.
Ora, se foi possível dar o mínimo de segurança para uma aplicação de tamanho risco, por que não será possível garantir maior segurança para a troca de documentos que exigem um maior cuidado?
PRAGAS QUE AMEAÇAM A REDE INTERNA
A propagação dos vírus é a principal ameaça à segurança da infraestrutura de informática. Pragas espalhadas via e-mail, como o I love you, Melissa e o Klez, atingiram milhões no mundo inteiro em tempo recorde. Apesar da grande utilização de sistemas antivírus, boa parte das empresas ainda é contaminada, por falta de uma política mais abrangente. Veja o grau de complexidade que esse tipo de ação já tomou: é o exemplo dos trojan horses, programas maliciosos que se disfarçam como partes de sistemas habituais para roubar senhas e outras informações. Você já ouviu falar? Além dos vírus, outras ameaças se destacam de forma crítica: divulgação indevida de senhas, erros e acidentes, acessos remotos indevidos, falhas na segurança física e o lixo informático ou spam.
POLÍTICA DE SEGURANÇA
Parece claro que, diante do contexto acima citado, é fundamental afirmar a importância da elaboração de uma Política de Segurança corporativa, formalizando procedimentos para o manuseio adequado das informações estratégicas. No entanto, isto não é uma realidade entre os órgãos de empresas nacionais.
Qualquer política de segurança deve levar em conta as ferramentas / problemas abaixo:
sistemas de backup - cópia reserva das informações que garanta a sua reposição caso os dados sejam perdidos
antivírus - sistemas que protejam a ação de vírus
firewalls - proteção dos sistemas por meio de uma barreira de filtros e controles
controle de acesso e autenticação de usuários - uso das senhas, dos smartcards e da biometria
Proteção dos documentos - uso da criptografia integrada às aplicações e assinatura digital
monitoramento dos logs para auditoria - acompanhamento constante de todos os procedimentos efetuados no sistema e registrados automaticamente
proteção da sala dos servidores - acesso restrito apenas aos administradores ou pessoas autorizadas
conscientização e treinamento dos usuários – peopleware
capacitação da equipe técnica – peopleware
À medida em que a tecnologia da informação se torna mais extensa e complexa, aumenta o desafio de integrá-la, com segurança, à vida das empresas e órgãos em geral. Multiplicam-se os pontos vulneráveis na rede e as ameaças chegam por toda parte. Funcionários mal-intencionados e hackers são um risco permanente. Mesmo assim, as ações são geralmente corretivas, o que permite à exposição a acidentes a qualquer momento.
A partir disso, é possível afirmar prioritariamente a necessidade de uma mudança na forma de trabalho e não de mais tecnologia. Importantes são as pessoas que conhecem as soluções adequadas e sabem aplicá-las e aperfeiçoá-las. A internet não é perfeita.
Mas, mesmo assim o comércio eletrônico é uma realidade. É evidente que os consumidores irão fornecer suas informações pessoais, como números de cartão de crédito, apenas se estiverem seguros que as informações permanecerão seguras. Há muito boa vontade em participar, mas os perigos são diversos.
PERIGOS QUE RONDAM O MUNDO DIGITAL
Acesso não-autorizado: alguém fazer uso indevidamente de um sistema de computadores para interceptar transmissões e se apropriar de informações de terceiros.
Alteração de dados: o conteúdo de uma transação virtual - nome do usuário, número de cartão de crédito, e quantias monetárias - pode ser alterado localmente ou durante a própria transferência de dados.
Monitoramento: Um hacker infiltrado no sistema acessar e acompanhar informações confidenciais.
Spoofing: um vândalo virtual cria um site falso, fazendo-se passar pelo verdadeiro site, podendo furtar informações do consumidor inocente, ou apenas atrapalhar o negócio.
Serviço negado (deny of service): um sabotador pode tirar do ar o site ou não permitir acesso aos visitantes.
Repúdio: o participante de uma página on-line nega que a transação ocorreu ou que foi autorizada.
Essas atitudes prejudicam os negócios e serviços na Internet, mas o mais importante de tudo: há a perda da confiança e credibilidade no sistema.
Por isso, a segurança tornou-se uma preocupação importante, pois os benefícios que traz são evidentes reduzindo os riscos e aumentando a produtividade dos usuários por meio de um ambiente mais organizado, maior controle sobre os recursos de informática e finalmente, viabilizando aplicações críticas.
Você tem idéia de como viabilizar este projeto?
Existem mecanismos tecnológicos que poderão proteger essas informações, e as empresas comerciais, principalmente, estão ansiosas para colocar tais mecanismos em funcionamento. Em conseqüência, haverá um aumento da qualidade e da quantidade das informações disponíveis na Internet. Veja os exemplos da proteção do direito autoral e da privacidade, duas questões jurídicas altamente discutidas nos últimos tempos.
Na tentativa de contornar o obstáculo da insegurança na rede, os pesquisadores e programadores desenvolvem sistemas confiáveis em seu interior, garantindo que certos serviços sejam mais confiáveis, controlando os dados disponíveis ou controlando o acesso das pessoas.
CERTIFICAÇÃO DIGITAL
Dentre várias técnicas de implementação visando à segurança está a chamada assinatura digital, isto é, um mecanismo de codificação de informações que, da mesma forma que uma assinatura tradicional, garante a integridade e a autenticidade das mesmas. Estamos falando de uma metodologia que garantiria segurança e consequente validade jurídica aos documentos digitais, sejam eles quais forem.
O elemento fundamental desta metodologia é a chamada criptografia. Esta é a arte de escrever em cifra ou em código. Já estava presente no sistema de escrita hieroglífica dos egípcios. Desde então vem sendo muito utilizada, principalmente para fins militares e diplomáticos.
No âmbito da computação a criptologia é importante para que se possa garantir a segurança em todo o ambiente computacional que necessite de sigilo em relação às informações que manipula. Pode ser usada para se codificar dados e mensagens antes que esses sejam enviados por vias de comunicação, para que mesmo que sejam interceptados, dificilmente poderão ser decodificados.
A criptografia computacional é usada para garantir:
Sigilo: somente os usuários autorizados têm acesso à informação.
Integridade da informação: garantia oferecida ao usuário de que a informação correta, original, não foi alterada, nem intencionalmente, nem acidentalmente.
Autenticação do usuário: é o processo que permite ao sistema verificar se a pessoa com quem está se comunicando é de fato a pessoa que alega ser.
Autenticação de remetente: é o processo que permite a um usuário certificar-se de que a mensagem recebida foi de fato enviada pelo remetente, podendo-se inclusive provar perante um juiz, que o remetente enviou aquela mensagem.
Autenticação do destinatário: consiste em se ter uma prova de que a mensagem enviada foi como tal, recebida pelo destinatário.
Autenticação de atualidade: consiste em provar que a mensagem é atual, não se tratando de mensagens antigas reenviadas.
O formato eletrônico de mensagens e o uso de criptografia adequada à potência do sistema permitem que computadores possam processá-las e analisá-las rapidamente. A eficácia do sistema está em compatibilizar segurança e velocidade de processamento. Esse equilíbrio é fundamental para o sucesso de qualquer sistema, e isso depende da tecnologia adotada.
Nesse sentido, a legislação promulgada pelo mundo afora não especifica que tecnologia deve ser usada, mas apenas indica os critérios e exigências que garantam a segurança dos documentos digitais.
Veja alguns requisitos para a garantia de segurança no uso de documentos digitais:
Confidencialidade - um método criptográfico de codificação que impeça o acesso direto à informação sem a chave de descodificação, de forma que os invasores não possam acessar o conteúdo dos dados. Alguns chamam isso de privacidade, mas a maioria dos profissionais exerce essa palavra para referir-se à proteção de informações pessoais.
Autenticação - assinaturas digitais são usadas para identificar o autor de uma mensagem; a pessoa que recebe a mensagem pode verificar a identidade da pessoa que a assinou. Podem ser usadas em conjunto ou como alternativa às senhas.
Integridade - existem alguns métodos para verificar se uma mensagem não foi modificada em trânsito. Eles são feitos por meio de códigos de mensagem assinados digitalmente.
Não-repúdio - recibos criptográficos são criados, de forma que o autor de uma mensagem não pode negar falsamente que a tenha enviado.
O segundo elemento tecnológico necessário para construir um sistema de documentação digital seguro (o uso de criptografia forte foi o primeiro), é a necessidade de uma ou várias autoridades competentes para emitir o certificado e assinatura digital.
Você já deve ter ouvido falar na CertiSign e na Verisign, órgãos de registro e identificação, de caráter informal. Em outras palavras, autoridades certificadoras, como é o caso da Universidade Federal de Santa Catarina.
Voltemos ao assunto.
A Certificação Digital, como visto acima, é um método que possibilita a realização das mais diversas formas de transações de forma segura através da Internet.
O procedimento de emissão de um certificado digital reveste-se de uma série de formalidades que visam à correta identificação de cada pessoa, para que o certificado emitido possa identificar o seu proprietário, com base em presunções legais, em face de terceiros. A certificação digital, portanto, é essa atividade de reconhecimento que se caracteriza pelo estabelecimento de uma relação única, exclusiva e intransferível entre uma chave de criptografia, inserida em um certificado digital e o seu detentor.
O solicitante, quando do pedido de emissão de um certificado digital por meio de um comando realizado em seu computador, gera duas "chaves" de criptografia. Uma delas, denominada "chave privada", é mantida em poder do usuário de forma sigilosa, e a outra, denominada "chave pública", como o próprio nome esclarece, é amplamente divulgada.
Assim, quando uma terceira pessoa pretender enviar, por exemplo, uma mensagem para outra que seja detentora de um certificado digital, esta deverá, inicialmente, buscar no repositório de certificados digitais a chave pública do destinatário (o navegador realiza essa função automaticamente). Uma vez encontrada a chave pública, o remetente deverá criptografar a mensagem a ser enviada, com a chave pública do destinatário e somente o portador da chave privativa correspondente à chave pública utilizada (destinatário da mensagem) poderá decriptar a mensagem, possibilitando a sua leitura.
Esse processo de proteção do documento se chama assinatura digital.
Quando se fala em "assinatura" digital, o que se pretende, na verdade, é facilitar o entendimento, utilizando-se de uma linguagem figurada, no intuito de explicitar que os documentos assinados digitalmente ficam "marcados", mediante o emprego de sofisticadas técnicas de criptografia, de forma personalíssima, pelo autor do documento enviado. Em síntese, a assinatura digital é o conjunto de procedimentos matemáticos realizados com a utilização de técnicas de criptografia que permite, de forma única e exclusiva, a comprovação de autoria e a integridade de um determinado conjunto de dados de computador.
ASPECTOS JURÍDICOS DA CERTIFICAÇÃO DIGITAL
A realidade jurídica tem mudado rapidamente pelo mundo afora. Os Estados Unidos foram pioneiros em adotar uma legislação federal sobre o assunto. A Europa e a América Latina também aprovaram dispositivos legais sobre o assunto. O Brasil não podia ser diferente, aprovando a partir de junho de 2002 (medida provisória 2200, versão 2) a chamada Infraestrutura de Chaves Públicas-Brasil. No entanto, no que se refere aos atos particulares e regulados em contratos privados, é plenamente possível usar a tecnologia, independentemente das definições da ICP-Brasil.
Veja o exemplo do correio eletrônico. Quanta informação sigilosa não circula através do frágil correio eletrônico! Bastaria escolher uma chave, aplicá-la ao texto a ser enviado e só então permitir que ela seja transportada através da Internet. O destinatário da mensagem, com a chave utilizada, teria condições de abri-la. Naturalmente, ainda permanece o risco da chave cair em mãos impróprias. Você tem uma idéia de como resolver esse problema?
Voltemos à questão jurídica. Como você sabe, boa parte dos atos jurídicos exige o papel e a assinatura tradicional. Isto era até a MP 2200. Naturalmente, ainda há documentos que exigem outras formalidades, como os documentos públicos e que exigem mudanças constitucionais e legislativas.
Já os documentos particulares, constituindo-se em documentos eletrônicos assinados digitalmente, valem como se fossem documentos comuns (em papel) chancelados com uma assinatura de punho. Naturalmente, isso garantirá a médio prazo uma maior segurança no uso da Internet, transformando-a em um dos mais legítimos instrumentos de globalização da economia, incrementando a dinâmica comercial (cheque, nota promissória etc.) e concretizando inúmeros negócios.
Hoje, a assinatura digital já está sendo empregada, mesmo que timidamente, para o intercâmbio de documentos com o Poder Público, para a apresentação de documentos a serem inseridos em processos administrativos em geral (ex: envio de documento para habilitação em licitações públicas), para a juntada de documentos em processos judiciais também digitais, para o estabelecimento de contratos entre grandes empresas localizadas em diferentes localidades do globo.
E na realidade da sua repartição, quais as possíveis utilidades desta tecnologia? Há circulação de documentos em papel ou em formato digital e que possuem uma natureza sigilosa? Saiba que os limites tecnológicos já foram superados. Restam os limites de interesse político e ético.
RISCOS E PERIGOS DAS NOVAS TECNOLOGIAS, UMA QUESTÃO ÉTICA
As fraudes fazem parte da história humana desde seus primórdios e não haverá tecnologia que possa eliminá-las por completo, pois não existe segurança 100 por cento. O melhor sistema de nada vale sem um bom administrador, vigilante e honesto. Isto exigirá de alguma forma uma reengenharia dos processos atuais e em consequência, uma adaptação do pessoal envolvido. Deve-se ter consciência, também, que a segurança de uma corrente está no seu elo mais fraco. Isso quer dizer que o ser humano, se não estiver preparado ou treinado, continuará sendo o elemento frágil do processo. Diante disso, pouco importa a complexidade do sistema implantado. Não podemos nunca nos esquecer do peopleware.
Por outro lado, não é correto afirmar que as novas tecnologias facilitaram a realização das fraudes. Isto porque a responsabilidade não recai sobre os sistemas, mas sobre as pessoas que o utilizam e administram.
A tecnologia avança levando em conta, primeiro, a boa-fé das pessoas e segundo, a sua incapacidade de prever todos os lances e problemas. É o famoso método da tentativa e erro, a partir do qual a tecnologia evolui sendo posta à prova e obrigando-se à constante adaptação aos perigos ao seu redor. A partir dos métodos de controle sobre os riscos que corre, a sociedade progride, fazendo escolhas significativas baseadas em fatores preponderantemente econômicos.
Enfim a segurança/fraude é uma questão de educação e cultura, impregnadas nos valores de um povo.
INOVAÇÕES LEGISLATIVAS
É importante destacar que desde o início do século XXI foram implementadas algumas alterações nas legislações vigentes, bem como, foram editadas normas para regulamentação do acesso e divulgação de informações. Tais inovações legislativas foram incentivadas pelo crescente acesso por intermédio de tecnologias a bancos de dados que antes pareciam mais seguros.
A Constituição Federal brasileira, reconhecida como Constituição Cidadã, trouxe maior proteção as informações, sejam elas de pessoas físicas ou jurídicas. No artigo 5º (incisos X, XII, XIV e XXXIII) trata do direito à privacidade, sigilo profissional de informações, direito à informação e acesso aos registros públicos. Tais registros constitucionais são utilizados como forma basilar de garantir dos direitos à proteção de dados.
Ainda em 2000, foi publicado o Decreto Nº 3.505, de 13 de junho de 2000, que instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal, o que facilitou, novamente, a ampliação à proteção dos dados.
Em 03 de setembro de 2003 foi aprovado Decreto n. 4.829, que dispõe sobre a criação do Comitê Gestor da Internet no Brasil (CGIBr), que determina diretrizes para o desenvolvimento da internet no país e qual será sua estrutura. Compreende-se que por meio da atuação do Comitê há aumento na adesão das políticas de segurança da informação que já estavam estabelecidas.
A lei do acesso à informação (Lei n. 12.527, de 18 de novembro de 2011), trouxe maior facilidade na compreensão do tema, pois em seus art. 3º e 4 º determina diretrizes para acesso à informação e também conceitua termos como: informação, documento, autenticidade, disponibilidade, integridade, entre outros.
Finalmente, no âmbito penal também foram realizadas diversas iniciativas para criar tipos penais vinculados à violação das informações, com uso da tecnologia. São diversos artigos do Código Penal que sofreram nova redação, foram criados ou ainda apenas passaram a ser interpretados de forma mais abrangente. São alguns deles: (art. 151, art. 152, art. 153, art. 154, art. 154-A, art. 184, art. 266, art. 297, art. 298, art. 305, art. 307, art. 311-A, art. 313-A, art. 313-B, art. 314 e art. 325).
Assim, é possível verificar que além de ferramentas de tecnologia que são desenvolvidas com a finalidade de tornar as comunicações mais seguras, há uma movimentação estatal envolvendo o Poder Legislativo e também o Poder Judiciário. Sem esquecer que há também iniciativas do Poder Executivo na emissão de instruções normativas, portarias e outros instrumentos para também proteger informações que merecem guarida e que possam estar vulneráveis.
REFERÊNCIAS BIBLIOGRÁFICAS
BRASIL. Constituição da República Federativa do Brasil de 1988.
BRASIL. Decreto n. 3.505, de 13 de junho de 2000
BRASIL. Decreto-Lei n. 2.848 de 07 de dezembro de 1940.
BRASIL. Lei n. 12.527, de 18 de novembro de 2011.
GARFINKEL, Simson e SPAFFORD, Gene. Comércio e segurança na web. São Paulo: Market Press, 1999.