Alerta Digital por Stenio Santos Sousa - 03/08/2023
Invasão de Dispositivo Informático e Cibersegurança Governamental: uma breve reflexão
No dia 2 de agosto de 2023, a Polícia Federal (PF) realizou uma operação que resultou na prisão do hacker Walter Delgatti e na execução de mandados de busca e apreensão em endereços associados à deputada federal Carla Zambelli. Segundo noticiado (Schroeder, L., Rodrigues, L., & Maia, E., 2023), a operação investiga a possível invasão do sistema computacional do Conselho Nacional de Justiça (CNJ), órgão do Poder Judiciário, entre os dias 4 e 6 de janeiro de 2023, com posterior inserção de informações falsas referentes a 11 alvarás de soltura, além de 1 mandado de prisão falso contra o ministro Alexandre de Moraes, do Supremo Tribunal Federal.
Como devemos saber, apesar de ser cada vez mais recorrente, a invasão de um dispositivo informático (rectius: acesso ilícito), seja ele um simples smartphone de um cidadão ou uma complexa infraestrutura de rede computacional do governo, é uma conduta proibida pelo ordenamento jurídico pátrio, porquanto prevista no artigo 154-A do Código Penal Brasileiro.
Apesar de estar tipificada desde 2012, a Lei 14.155, em 2021, trouxe alterações importantes ao tipo penal, ao definir ser crime “invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita”.
Com a nova disposição legal, passou a ser dispensável a violação indevida de mecanismo de segurança para a configuração da conduta ilícito-típica – alguns indivíduos alegavam que o acesso teria ocorrido simplesmente porque o dispositivo informático estava aberto, sem senha e, portanto, disponível, de modo que não poderia ser considerada uma “invasão”.
Além disso, a Lei 14.155/2021 também trouxe alteração importante no preceito secundário do art. 154-A do Código Penal, uma vez que a pena passou de detenção de 3 (três) meses a um 1 (ano), além de multa, então visto como crime de menor potencial ofensivo, para uma pena de reclusão de 1 (um) a 4 (quatro) anos e multa, o que implica, dentre outras consequências jurídicas, a possibilidade de que infrator seja preso em flagrante delito.
Estudos criminológicos poderiam explicar por que hackers continuam a invadir sistemas computacionais? A teoria da atividade rotineira, por exemplo, sugere que a probabilidade de um crime ocorrer está relacionada a uma convergência espaço-temporal de três elementos: um alvo adequado, a ausência de um guardião capaz e a presença de um infrator motivado (Cohen & Felson, 1979).
No contexto do crime cibernético, os sistemas computacionais servem como alvos adequados, a inexistência de medidas de segurança cibernética eficazes pode ser vista como a ausência de um guardião capaz, ao passo que os infratores motivados são os criminosos cibernéticos.
No que concerne a medidas de segurança cibernética eficazes, é importante lembrar que a Estratégia Nacional de Cibersegurança (E-Ciber), instituída pelo Decreto nº 10.222/2020, estabelece importantes diretrizes para o tema em nosso país, ao buscar garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações no ciberespaço, além de promover o desenvolvimento econômico e tecnológico do país.
Para tanto, a E-Ciber estabelece três objetivos estratégicos: 1) tornar o Brasil mais próspero e confiável no ambiente digital; 2) aumentar a resiliência brasileira às ameaças cibernéticas; e 3) fortalecer a atuação brasileira em segurança cibernética no cenário internacional. Além disso, propõe 10 (dez) ações estratégicas, dentre as quais são incluídas a elevação do nível de proteção do Governo e das Infraestruturas Críticas Nacionais.
Essa recente invasão de sistema computacional do Poder Judiciário, que se soma a outros casos noticiados na grande mídia ao longo dos anos, destaca a importância de serem adotadas medidas robustas de cibersegurança nas instituições governamentais em sentido amplo, propostas na E-Ciber. As informações sensíveis armazenadas pelos órgãos governamentais, Poder Judiciário e Poder Legislativo, são alvos suficientemente atraentes para motivar os cibercriminosos, mesmo diante de penas cada vez mais rigorosas.
E a Polícia Federal tem um papel crucial na implementação desta estratégia, uma vez que é responsável por investigar crimes cibernéticos, é parte importante no processo de cooperação internacional penal e trabalha em conjunto com outras agências governamentais para proteger as infraestruturas críticas do país contra ameaças cibernéticas,
Não há dúvidas que a criminalidade cibernética tem um impacto significativo na confiança que a população tem nas instituições públicas e em sua capacidade de fornecer segurança. Embora as consequências criminais possam atuar como um agente dissuasor, é importante questionar se elas são suficientes.
Talvez seja necessário considerar outras medidas, como a prevenção e a educação em segurança digital, para combater eficazmente o crime cibernético, a exemplo de iniciativas de sucesso destacadas, por exemplo, em países europeus como Holanda (COPS), Reino Unido (Cyber Choices Programme e Digital Access Program) e Finlândia (Cybercrime Exit Project).
O cenário também parece apontar para a necessidade de que os órgãos governamentais possam contar com a expertise da Polícia Federal em matéria de investigação e gestão de segurança cibernética para atuação na retaguarda preventiva, em prol da melhoria da cibersegurança dessas instituições, talvez em papel similar ao desempenhado pela consultoria jurídica da Advocacia-Geral da União.
O crime cibernético é uma ameaça crescente que requer uma resposta robusta e multifacetada. A legislação, a aplicação da lei e as medidas de cibersegurança são todas partes importantes da solução, mas também é necessário um maior entendimento do comportamento do criminoso cibernético.
Nesse sentido, a pesquisa e apresentação de teorias, com o fazem a Criminologia e as Ciências Policias, podem fornecer insights valiosos para identificação de estratégias eficazes de prevenção e resposta ao crime cibernético.
Além disso, imprescindível a adoção de uma política criminal cibernética que inclua medidas de governança em segurança cibernética, com melhoria do nível de proteção atual, aperfeiçoamento de legislações, cooperação interinstitucional e internacional, parcerias público-privadas e investimentos em programas permanentes de prevenção e em educação digital.
Referências
Cohen, L. E., & Felson, M. (1979). Social Change and Crime Rate Trends: A Routine Activity Approach. American Sociological Review, 44(4), 588–608. https://doi.org/10.2307/2094589
Holt, T. J., Bossler, A. M., & May, D. C. (2012). Low self-control, deviant peers, and juvenile cyber-deviance. American Journal of Criminal Justice, 37(3), 378-395. Disponível em: < http://news.msu.edu/media/documents/2011/06/963e40c7-08ff-411d-af16-fe7563496f89.pdf>. Acesso em 14 jul. 2023.
Huriel, L. M. (2021). Cibersegurança no Brasil: uma análise da estratégia nacional. Instituto Igarapé. Disponível em: <https://igarape.org.br/ciberseguranca-no-brasil-uma-analise-da-estrategia-nacional/>. Acesso em: 28.jul.2023
National Crime Agency. (2021). The Cyber Choices Programme. Disponível em: < https://www.nationalcrimeagency.gov.uk/cyber-choices>. Acesso em 14 jul. 2023.
POLIISI - National Police Board of Finland. Cybercrime Exit: prevention of cybercrime committed by young people. Disponível em: < https://poliisi.fi/en/cybercrime-exit-en >. Acesso em 14 jul. 2023.
Schroeder, L., Rodrigues, L., & Maia, E. (2023). Zambelli e hacker são alvos de operação da PF contra invasão em sistemas informatizados do Judiciário, dizem fontes. CNN Brasil. 2. ago. 2023. Disponível em: <https://www.cnnbrasil.com.br/politica/zambelli-e-hacker-sao-alvos-de-operacao-da-pf-contra-invasao-em-sistemas-informatizados-do-judiciario-dizem-fontes/>.Acesso em: 02.ago.2023.
UK - Foreign, Commonwealth Development Office (FCDO), Digital Access Program (DAP) (2022). Disponível em: <https://devtracker.fcdo.gov.uk/projects/GB-1-204963/summary>. Acesso em 17 jul. 2023.
Comments