Sem o controle dos meios de produção, a guerra cibernética estará perdida

Ontem publiquei aqui a decisão do governo, de colocar como prioridade no PPA 2012/2015 a criação do Centro de Defesa Cibernética, que terá os seguintes objetivos: “Desenvolver tecnologias da informação e comunicação, visando a assegurar a capacidade de defesa cibernética nos campos civil, industrial e militar’.

Que ficará sobre responsabilidade do Ministério da Defesa e terá um Comitê Gestor para debater todos temas relevantes e traçar uma estratégia nacional de segurança nessa área.

Não descreio dos militares e da sua competência para isso.

Com exceção do Exército, que ainda permanece “dependente tecnológico” de multinacionais na área de software, a Marinha e a Aeronáutica já buscam alternativas próprias no desenvolvimento de sistemas, de forma a terem o total controle das suas operações.

Portanto, esse Centro de Defesa Cibernética somente terá relevância e efetividade, se nele estiver realmente abrigada uma política voltada para o controle dos meios de produção em Tecnologia da Informação e Comunicações.

Só que isso não caberá aos militares decidirem, pois não são eles que fazem política industrial no Brasil.

Já existem, pelo menos no discurso, iniciativas vindas de outros ministérios voltadas para essa direção. Mas são tímidas ou levam em conta apenas os aspectos de crescimento industrial do país. Falta clareza no discurso desses ministérios, sobre investimentos para o desenvolvimento da indústria nacional de software, sobretudo, para as empresas que desenvolvem em código aberto. Da mesma forma, já se discute a preferência nas compras para os sistemas e equipamentos nacionais ou aqueles que forem produzidos ou desenvolvidos no Brasil.

Por um lado isso é bom,  estimula o crescimento. Mas faltam medidas que levem em conta, também, a questão da segurança da informação. Uma delas, por exemplo, seria a exigência de abertura todos os códigos fontes desses sistemas. Como saber o que vem dentro de determinado sistema a ser vendido ao governo, ou embarcado em algum equipamento, que não necessariamente deveria estar ali – sem acesso à fonte dele?

Ao instituir o PNBL, por exemplo, o governo acordou para a necessidade de ter uma rede própria de fibras ópticas para o tráfego de suas informações. Até aí tudo bem, o governo está se resguardando de enfrentar um novo susto como o que ocorreu lá atrás com o escândalo da espionagem de ministros pelo Banco Opportunity, na época controlador da Brasil Telecom.

A Telebras, naquilo que pode, por exemplo, ao fazer licitações para equipamentos de rede, procurou incentivar a produção nacional. Mas o que fazer se o Brasil não produz e nem desenvolve sistemas para o ‘core’ dessa rede? O que está sendo instalado pela Telebras, por exemplo, é de origem chinesa. Pegunta-se: Onde fica a segurança da rede do governo neste caso?

Para complementar o problema e, quem sabe, estar contribuindo para levantar essa discussão:

Além de eu não ter visto isso sendo discutido às claras pelo governo, já existem visões distorcidas dentro do Tribunal de Contas da União sobre a possibilidade de estar em curso uma nova “reserva de mercado” no setor de TI e Telecom brasileiros.

Volto a afirmar: Esse Centro de Defesa Cibernética somente dará certo, se o governo agir em bloco numa política industrial combinada com segurança da informação. E principalmente ouvindo aqueles que lidam com o problema diariamente. E não estou me referindo aos CIOs ou CSOs, que só pensam em vender ferramentas. Falo do pessoal no “chão de fábrica”.

* Se não entenderam nada daquilo que escrevi acima, assistam esse vídeo de Raphael Mandarino que fez palestra no Seginfo 2011. Ele mostra claramente os riscos que um país enfrenta quando não passa de um “dependente tecnológico”.