O diretor-presidente do Instituto Nacional de Tecnologia da Informação – ITI, Renato Martini, foi convocado para participar, na última quinta-feira, 03, da Comissão Parlamentar de Inquérito – CPI de Crimes Cibernéticos, realizada na Câmara dos Deputados, em Brasília. A Comissão tem por objetivo investigar a prática de crimes cibernéticos e seus malefícios para a economia e sociedade brasileira.
Em sua fala, Martini apresentou o Sistema Nacional de Certificação Digital que garante a segurança das transações realizadas com o certificado digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil. A partir de sua experiência a frente do ITI, Martini falou sobre a deficiência do sistema de identificação civil no Brasil e apontou o uso da biometria como uma opção viável para trazer mais segurança aos processos de identificação.
Além disso, o diretor-presidente do ITI alertou sobre os danos causados pelos crimes cibernéticos
[blockquote style=”2″]“Ele é extremamente danoso, porque ele pode, além de evidentemente se apropriar do bem indevido das pessoas, produzir na sociedade uma sensação de que no passado era melhor, e não era. O crime simplesmente migrou”, afirmou Martini.[/blockquote]
[toggles title=”Leia o discurso de Renato Martini na íntegra”]Bom dia a todos e a todas, quero cumprimentar a deputada Mariana Carvalho que preside aqui a nossa sessão da CPI e com isso cumprimentar a todos que estão aqui conosco. Agradecer sobre tudo a oportunidade que o Instituto Nacional de Tecnologia da Informação – ITI de poder estar aqui dando uma pequena contribuição a esse debate que eu reputo urgente e atualíssimo.
Eu vou fazer uma apresentação muito breve, são vinte minutos que nos cabem aqui fazer e eu já queria deixar o ITI, que é um órgão publico, uma autarquia federal, à disposição da CPI. Evidentemente o tema não vai se esgotar aqui nas nossas apresentações, mas deixar o ITI á disposição a qualquer momento para ajudar, para colaborar pelo acumulo de experiência que tem em alguns temas ligados aos crimes cibernéticos, aos crimes chamados eletrônicos.
Nós estamos absolutamente a disposição da CPI para qualquer ajuda, apoio e colaboração ulteriores a este debate que vamos fazer. Eu quero fazer uma, antes de entrar na minha apresentação, também fazer algumas considerações de cunho conceitual, apresentar o ITI, apresentar aos senhores e senhoras o que é o ITI, o que é essa infraestrutura de certificação digital e quero “linkar” com algumas matérias legislativas que estão aqui na casa. Então é basicamente essa a minha apresentação. Acho que um tema de cunho conceitual muito importante é a expressão “crime cibernético”.
Na verdade o atributo, o predicado “cibernético” aqui, ele não é um predicado fortuito, ele não é um simples e mero detalhe. Na verdade eu estou falando de um aspecto essencial na questão do crime, todos nós temos alguma noção como cidadão, não precisa ser nenhum especialista em segurança pública, advogado ou o que seja, pra ter noção do que é um crime, do cometimento de um crime. Nós estamos falando de um novo desafio, de uma nova fronteira, em que esse crime se torna cibernético ou eletrônico. Ou seja, ele acontece, ele é executado, ele se difunde nas redes computacionais e a mais “badalada” e conhecida das redes computacionais é exatamente a internet, que tem transformado a vida de todos e transformado os governos, os países e a economia.
Vimos na última década uma migração da vida civil para a vida civil eletrônica, ou seja, os países (não é uma experiência brasileira, não somos nós que estamos fazendo isso isoladamente) estão levando os nossos sistemas para a internet, estamos levando para o mundo eletrônico. Ai que eu começo a minha apresentação. Foi pensando nisso que a mais de uma década atrás o país, o governo brasileiro, construiu uma infraestrutura, um sistema nacional de certificação digital.
O Instituto Nacional de Tecnologia da Informação é uma autarquia da casa civil da presidência da república, que tem o papel precipuo de credenciar, auditar e fiscalizar um conjunto de entes, de entidades, de prestadores de serviço que entregam à empresa e ao cidadão brasileiro o chamado certificado digital. Ele executa a identificação presencial do cidadão, feita essa identificação ele tem um certificado digital, que nada mais é (de forma muito resumida) do que uma forma de identificação do cidadão e da empresa no novo mundo eletrônico. Já que eu estou levando os meus sistemas para a internet, se eu pensar, por exemplo, em uma nota fiscal eletrônica que o Mazoni citou agora há pouco, estou falando de um documento eletrônico, que tem vida eletrônica, nasce como um documento eletrônico e cumpre todo seu ciclo de vida no mundo eletrônico.
Eu preciso assinar esse documento, obviamente que não eu faço mais isso de forma manuscrita, eu tenho que assinar digitalmente essa nota fiscal. Assino um contrato de câmbio em formato eletrônico, assino o prontuário eletrônico de um paciente, para falar na telemedicina, assino peticionamento eletrônico. Eu tenho que assinar este documento eletrônico, para isso eu uso um certificado digital. Este conjunto de entes que nós podemos ver na tela, públicos e privados, são credenciados pelo ITI, auditados e fiscalizados. Eles são os emissores do chamado certificado digital, que vai possibilitar a empresa brasileira e ao cidadão brasileiro a interagir nesses novos sistemas, nessa nova fronteira que é a internet. Obviamente para a consecução dessa missão nós temos um conjunto de padrões de segurança física e lógica que são organizados no país para dar conta de características de segurança destes novos equipamentos que o cidadão usa para, por exemplo, declarar o seu imposto de renda. As empresas de lucro real ou lucro presumido que declaram o seu imposto de renda na internet, elas fazem isso com o certificado digital. Toda essa padronização de segurança física e lógica é feita para ter todo o cuidado nesse processo.
Há segurança jurídica desse processo. Não estou falando só de validade tecnológica, mas da validade jurídica dessa assinatura. A lei brasileira, o ordenamento jurídico brasileiro dá o mesmo valor probante a assinatura digital o mesmo valor que tem a assinatura manuscrita. Se eu assino digitalmente um contrato de câmbio no formato eletrônico, ele tem o mesmo valor probante da assinatura manuscrita. Este conjunto de ferramentas, de práticas, das chamadas autoridades certificadoras, entes que podem ser públicos ou privados, Serpro é uma dessa ACs, Serasa e Certisging são da área privada, a Caixa Econômica (que é um banco publico), a Imprensa Oficial (que é uma empresa do estado de São Paulo), todas essas entidades entregam o certificado para garantir na interface com o sistema essas cinco características elencadas: autenticidade da informação; que a informação está integra; a confidencialidade (que só receberá quem eu quero que receba essa informação); o não repúdio dessa informação e por fim a validade jurídica de toda essa transação.
Já salta aos olhos, acho que já fica claro a todos nós que o fraudador, o estelionatário, ele tem que também sofrer um “upgrade”, ele não vai ficar para trás, tem que se adaptar a essa nova fronteira eletrônica, esses novos desafios, essas novas ferramentas e ele o faz com enorme velocidade, com muito mais velocidade que o poder publico, até porque o fraudador, o estelionatário, o criminoso, ele leva uma vantagem enorme em relação a nós do poder publico, eles são ágeis e sobretudo não cumprem a lei, então ele é ágil, é veloz, ele está assistindo aqui essa CPI, ele acompanhará todos estes debates , trocará informações, está trocando informações neste momento em todo o Brasil, usará os seus canais de informação, (que hoje nós vivemos em uma sociedade de informação, não é só pra quem é do bem que a sociedade de informação vale, também para este submundo a sociedade de informação vale) e ele está acompanhando detalhadamente o passo a passo de todas estas discussões aqui ou em qualquer lugar do Brasil, seja lá aonde se discuta a questão tecnológica.
Evidentemente que eu me refiro ao crime da posse material de coisas, ou seja, a economia migrando para essa nova fronteira eletrônica, se transformando no “cyber” (crime eletrônico), ele se adapta porque ele quer, evidentemente, usufruir do ganho e se apropriar do bem indevidamente. Essa luta contra a fraude, contra o estelionatário, ela é uma luta “corpo a corpo”, como a gente chama. Você tampa um buraco, ele vai explorar outro, você tampa outro buraco.
É uma luta incessante. Tecnologia é muito desafiadora porque ela é uma capacidade de transformação enorme, de barateamento dos seus recursos, dos seus ativos computacionais e isso vale para o fraudador e para o estelionatário. Então é uma luta incessante, em nenhum momento ninguém que faz gestão de segurança da informação, gestão de segurança tecnológica, se acha contentado. Até porque há um princípio da gente que opera e que atua na área de segurança, que a segurança da informação é medida exatamente pelo elo mais fraco da corrente. Se você tiver uma corrente toda feita de titânio e você tiver um elo só que é feito de ferro comum a força da sua corrente é exatamente esse ferro vagabundo, não é o titânio dos outros quinze elos da sua corrente. Então é sempre a vulnerabilidade, é sempre o elo mais fraco que conta na segurança da informação e na gestão de segurança da informação.
O Instituto Nacional de Tecnologia da Informação, essa infraestrutura de certificação digital, eu acho que é importante ressaltar isso aqui nessa importantíssima CPI, é um criptossistema civil, nós não operamos a criptografia do ponto de vista militar ou de Estado, ela é um criptossistema para atender a aplicações do governo eletrônico do sistema financeiro, sistema bancário, por exemplo eu citei aqui os hospitais, e para entregar aqui a ferramenta para desmaterialização do processo, para troca do velho e tradicional documento em papel para um documento eletrônico.
O grande efeito colateral negativo do crime cibernético é exatamente a sociedade querer fraquejar nessa migração. É bom que os nossos sistemas migrem para a internet, migrem para as redes computacionais. Ela é uma tecnologia mais sustentável, melhor para o cidadão e tem o acesso a qualquer momento a esses sistemas. Então este efeito colateral talvez seja, e ai eu me adianto e destaco na janela seguinte todas essas características que essas aplicações trazem para a sociedade brasileira.
Quando eu falo que o Brasil hoje tem bilhões de notas fiscais eletrônicas emitidas, ou seja, documentos que tem vida eletrônica, estou dizendo o seguinte, que se pensar em uma nota fiscal no formato de papel com três vias, vamos fazer a conta, são três bilhões de notas fiscais, multiplica irro por três, isso era a quantidade de papel que circulava na sociedade brasileira. E como papel não anda sozinho, alguém o transporta, além de tudo o impacto do carbono nesta nossa sociedade cada vez mais enlouquecida. Então crime cibernético, ele é extremamente danoso, porque ele pode, além de evidentemente se apropriar do bem indevido das pessoas, ele é extremamente danoso porque pode produzir na sociedade uma sensação de que no passado era melhor e não era. Ele simplesmente migrou. Ele lavava dinheiro em uma empresa e produzia a nota fiscal em papel e agora ele vai fazer de forma eletrônica. O que ele precisa fazer para produzir uma nota fiscal em formato eletrônico? Essa migração não está acontecendo para eles, ela já aconteceu, eles já estão neste novo desafio, já assumiram estes novos desafios e a nós resta agora a contra-reação. A contra-reação está dentro de uma expressão que o Mazoni usou muito interessante, na minha tela seguinte, que é a questão da vulnerabilidade. Aonde está a vulnerabilidade do sistema?
O Brasil hoje tem um gravíssimo problema, que é o seu sistema de identificação civil, não há direitos e obrigação que não se inicie com uma forma inequívoca de identificação. Se nós entramos nos sistemas aeroportuários eu me identifico, se entro em um sistema hospitalar eu me identifico, se caso me identifico, se entro pra universidade me identifico, se viro servidor publico me identifico e a nossa identificação civil ela não está doente, ela já está morta. Ela é uma identificação civil do século passado e já não dá provas de atender aos novos desafios. Por isso nós da infraestrutura de chave publica brasileira, do sistema nacional de certificação digital, estamos incrementando e fazendo adesão aos chamados sistemas biométricos, ao uso intensivo da biometria no nosso sistema de emissão de certificado digital. Essa frase que coloco na tela, eu acho muito interessante de um especialista chamado Bruce Schneier (um especialista americano na área de segurança da informação) ele diz assim:
“O roubo da identidade é um crime sério e no mundo do crime é a industria que mais cresce.” é o chamado roubo de identidade.
Que acontece no mundo analógico, no mundo do dia a dia, no mundo concreto, no mundo da vida e já acontece intensamente nas redes computacionais e no mundo da internet. O Brasil precisa encarar esse desafio e há duas matérias, e ai eu já preparo o fecho da minha apresentação, há duas matéias de enorme importância aqui na casa legislativa. Uma que discute o registro civil nacional, é um projeto de iniciativa do executivo que quer repensar novos fundamentos a nossa identidade civil, um projeto de iniciativa do Superior Tribunal Eleitoral junto com o Executivo Federal, é um projeto de enorme importância. Acho que no momento atual ele está numa comissão especial, acho que há uma sinergia, há uma energia positiva dessa discussão aqui da CPI com esse novo desafio que o Brasil tem que se haver, tem que encarar, ele tem que repensar a questão da identificação civil em termos mais modernos, mais atuais, para dar segurança a este cidadão que adquire uma nova ferramenta para interagir em um sistema eletrônico e que hoje está fragilizado porque nós usamos o mesmo sistema de identificação do século passado. E há um outro tema, ai tratando da questão da biometria, que eu acho extremamente importante, que ele regulamenta e disciplina esse uso indiscriminado do dado biométrico no nosso país.
Hoje qualquer tipo de academia, qualquer tipo de negócio, se apropria da nossa biometria, colhe a nossa biometria, nós não sabemos em que termos isso é feito, não há disciplina para este compartilhamento. E se eu quero colocar a nova identificação civil em termos de biometria e todos nós sabemos que o Tribunal Superior Eleitoral está exatamente pensando em usar a biometria como uma chave de acesso a urna eletrônica e possivelmente usaremos a biometria para compor tantos outros sistemas de segurança, não é possível que qualquer um possa colher essa biometria e não se comprometa ao não compartilhamento, ao compartilhamento indevido dessa biometria. Reputo esta matéria também, peço excusas até a CPI por estar me imiscuindo na matéria legislativa (não é a minha “praia”), mas eu acho que são temas de enorme sinergia aqui com essa discussão que ocorre nesta CPI. Destaco ali o projeto de lei 7316, que é exatamente a nova lei brasileira para cuidar da certificação digital, atualizando ela se encontra na CCJ nesta CPI se pudemos ajudar, digamos assim, impulsionar também um projeto de lei de iniciativa do executivo, que para nós também é um projeto de lei de grande importância. Eu encerro mais uma vez, senhora presidente, agradecendo o convite e a oportunidade do ITI de poder fazer essas brevíssimas considerações. Quero ressaltar mais uma vez a urgência e a importância desse comitê e nos colocar a disposição. Nós só combatemos o cibercrime, a fraude eletrônica com a troca de informações. Nós temos que ser tão ágeis quanto eles.
Nós temos que trocar informações, compartilhar informações e recursos o mais rápido possível e da forma mais acessível possível. Muito obrigado. [/toggles]
Participaram ainda da CPI o diretor-presidente do Serviço Federal de Processamento de Dados – SERPRO, Marcos Mazoni, a gerente-geral do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil – CERT.br, Cristine Hoepers e o presidente do Sindicato Nacional das Empresas de Telefonia e de Serviços Móvel Celular e Pessoal – SindiTelebrasil, Eduardo Levy Cardoso Moreira.
A íntegra da reunião está disponível na página da Câmara dos Deputados.
Sobre a CPI
As CPIs destinam-se a investigar fato de relevante interesse para a vida pública e para a ordem constitucional, legal, econômica ou social do País. Têm poderes de investigação equiparados aos das autoridades judiciais, tais como determinar diligências, ouvir indiciados, inquirir testemunhas, requisitar de órgãos e entidades da administração pública informações e documentos, requerer a audiência de Deputados e Ministros de Estado, tomar depoimentos de autoridades federais, estaduais e municipais, bem como requisitar os serviços de quaisquer autoridades, inclusive policiais. Além disso, essas comissões podem deslocar-se a qualquer ponto do território nacional para a realização de investigações e audiências públicas e estipular prazo para o atendimento de qualquer providência ou realização de diligência sob as penas da lei, exceto quando da alçada de autoridade judiciária.
Fonte: ITI