O documento discute a necessidade de uma abordagem multidisciplinar para lidar com o cibercrime, que é uma ameaça grave à sociedade devido à vulnerabilidade dos sistemas digitais e à facilidade com que um único criminoso pode causar grande dano. A aplicação da lei sozinha não é suficiente, sendo necessário aumentar o custo, risco e reduzir a motivação dos ataques cibernéticos. Há também a necessidade de entender melhor o perfil dos hackers para lidar com a ameaça de forma eficaz.
Por uma abordagem multidisciplinar para o cibercrime
1. Por uma Abordagem Multidisciplinar para o Cibercrime
Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE
Ainda que o grande público não se dê conta do tamanho e da importância do problema, é cada vez mais
grave a ameaça do crime cibernético (ou cibercrime) às estruturas da sociedade contemporânea. Todos
os dias, bilhões de mensagens enganadoras denominadas “phishing emails” atingem os computadores
pessoais trazendo malware, programas exploradores de vulnerabilidades em sistemas digitais roubam
dados de clientes armazenados em websites de empresas, acusações de ciberespionagem abundam, e
diversos países se vêem perplexos diante de eventos de invasão de seus bancos de dados confidenciais
às vezes com características de atos de guerra.
No Prefácio do volume “Cybercrimes: A Multidisciplinary Analysis” (Springer, 2011) que publicaram
recentemente como organizadores, S. Ghosh & E. Turrini começam indagando o que há de tão
importante no cibercrime. Seria apenas mais um tipo de crime tais como os crimes violentos ou
financeiros? A resposta, segundo eles, seria tanto sim quanto não. Num certo sentido, o cibercrime é um
crime como outro qualquer, pois é uma violação de uma lei criminal. Mas, por outro lado, três seriam as
justificativas para não considerá-lo como um crime comum. Primeiramente, um único cibercriminoso de
posse de apenas um computador, com o conhecimento apropriado e acesso à Internet, pode causar
imenso dano social que antes era considerado imposssível. Depois, o potencial danoso do cibercrime
aumenta a cada segundo todo dia, na medida em que as tecnologias de computação se tornam mais
ubíquas. E, por último, mas não menos importante, cibercriminosos são frequentemente mais difíceis de
apreender do que criminosos tradicionais, tornando a aplicação das leis do cibercrime ainda menos
eficaz na prevenção do crime do que a aplicação das leis criminais em geral.
Três são os pilares sobre os quais se fundamentam as contribuições para o livro. O primeiro é que o
cibercrime é uma ameaça social severa. A vulnerabilidade endêmica dos sistemas computacionais, as
constantes evoluções na tecnologia da computação, a expansão continuada da computação em nossas
vidas, e nossos históricos de exagero de conveniência, tudo se reúne num risco grave para a sociedade.
Em segundo lugar, a condenação criminal é importante mas, por si só, não é nem de longe uma resposta
à altura da ameaça. E, finalmente, precisamos de uma abordagem multidisciplinar, holística para a
prevenção e a mitigação do cibercrime com o foco em três vertentes de ação: elevar o custo do ataque;
aumentar o risco do ataque; e reduzir a motivação do ataque.
Em seu livro “Principles of Cybercrime” (Cambridge University Press, 2010) J. Clough adota uma
classificação do cibercrime em três categorias: (i) crimes por computador; (2) crimes facilitados pelo
computador; e (3) crimes apoiados pelo computador. Tal forma de classificação, ou uma variante dela,
tem sido utilizada nos países da Commonwealth tais como Austrália, Canadá, e Reino Unido, assim como
em nível internacional. A classificação objetiva, no final das contas, buscar uma resposta à questão se o
cibercrime é uma forma inteiramente nova de ofensa, sem qualquer análogo no mundo offline, ou se é
simplesmente crime antigo cometido de novas maneiras. O próprio autor assume que sua resposta
seria: ambos.
2. Por outro lado, o receio de que as novas formas de crime acarretem em novas formas de policiamento e
novas formas de vigilância, e, em última instância, a novas ameaças às liberdades civis, J. Barkin et al.
em “Cybercrime: Digital Cops in a Networked World” (New York Univ Press, 2007) apresentam
contribuições em cinco categorias conforme: (i) as novas cenas de crime; (ii) as novas formas de crime;
(iii) os novos métodos de aplicação da lei; (iv) as novas formas de vigilância digital e prevenção do crime;
e (iv) os novos procedimentos que as cortes e as legislaturas terão que adotar para lidar com as ameaças
à segurança na Internet.
Em sua apresentação de um curso na New York Law School intitulado “Cybercrime, Cyberterrorism, and
Digital Law Enforcement”, K. A. Taipale chama a atenção para o fato de que a emergência de sociedades
modernas baseadas na informação nas quais o exercício do poder econômico, politico e social cada vez
mais depende das oportunidades para acessar, manipular, e usar a informação e a infraestrutura de
informações tem criado oportunidades para novos crimes e novas ameaças à sociedade civil e à
segurança global, assim como para novas respostas para as autoridades responsáveis pela aplicação das
leis e pela segurança nacional. O fato é que o mundo interconectado tem dado surgimento a novos
crimes e novas respostas, e se faz preciso entender como as tecnologias da informação e da
comunicação têm se tornado, ao mesmo tempo, uma ferramenta, um alvo, e um local de atividade
criminal e de ameaças à segurança nacional, assim como um mecanismo de resposta.
São muitas as questões que surgem desse cenário: Como as nações regularão a conduta criminal além
das fronteiras geográficas e políticas tradicionais? Quais são as expectativas razoáveis de privacidade no
ciberespaço? Como o controle está se deslocando dos mecanismos tradicionais da aplicação da lei para
novos regimes regulatórios, incluindo tecnologia?
Em seu relatório “Mobilizing For International Action” do “Second Worldwide Cybersecurity Summit”,
realizado em 1 e 2 de Junho de 2011 em Londres, o EastWest Institute (EWI) assim descreve sua visão do
desafio da cibersegurança: “À medida em que a inovação tecnológica se popularizou, a economia
globalizada tem se tornado cada vez mais digitalizada. A cada dia dependemos mais da web e de sua
infraestrutura, desde os cabos submarinos que carregam 99% do tráfego intercontinental da Internet
até nossos dispositivos móveis. O cibercrime explorando essas tecnologias está em alta, mas os acordos,
padrões, políticas e regulações de que precisamos para prover segurança ao ciberespaço vão ficando
cada vez mais para trás. De modo a rastrear cibercriminosos, proteger usuários da Internet e garantir a
segurança da infraestrutura crítica, temos que lidar com a crescente lacuna entre a tecnologia e nossos
controles sobre ela. Prover segurança ao ciberespaço é um desafio global – desses que não podem ser
resolvidos por uma única empresa ou país sozinho.” Foi justamente motivado por esse cenário que o
EWI formou o Cyber40, uma coalizão de representantes dos países mais bem servidos em termos de
tecnologia digital para trabalhar no sentido de formatar as “regras da estrada” para o tratamento de
ciberconflitos e cibercrimes através da cooperação internacional.
Além da participação de representantes de 43 países, entre eles líderes da indústria de tecnologia da
informação e da comunicação, embaixadores e autoridades da área de defesa de vários países tanto do
Ocidente quanto do Oriente, o encontro de Londres contou com a participação do jornalista inglês
Misha Glenny, mais conhecido por seu livro sobre o crime organizado internacional “McMafia: A Journey
3. Through the Global Criminal Underworld” (Vintage, 2008), autor também de um livro a ser publicado
sobre o submundo do cibercrime: “DarkMarket: Cyberthieves, Cybercops and You” (Knopf , Outubro
2011). Em sua palestra “The Nexus of Cyber Crime, Espionage and Cyber Warfare”, Glenny argumenta
que, apesar dos investimentos multibilionários em cibersegurança, um de seus principais problemas tem
sido amplamente ignorado: quem são aquelas pessoas que escrevem os códigos maliciosos? O fato é
que, apesar da ampla disponibilidade de kits de “faça você mesmo ataques cibernéticos”, a participação
dos especialistas no assunto, isto é, os hackers, é fundamental para o sucesso das operações. Segundo
Glenny, o que ocorre, no entanto, é que, apesar do hacker ser elemento absolutamente essencial, eles
são apenas um elemento numa empreitada cibercriminosa, e, além de, em grande parte, não terem
motivação financeira, não raro se constituem na parte mais vulnerável. Apesar disso, pouco ou nada se
faz no sentido de buscar um melhor entendimento sobre o perfil do hacker. Exceção notável, conta
Glenny, é o “Hackers Profiling Project” do Institute of Security and Open Methologies (ISECOM) de
Torino (Itália) iniciado em Setembro de 2004, com apoio da ONU.
Uma das conclusões até certo ponto surpreendentes a que chega Glenny após um contato direto com
diversos personagens marcantes do mundo do cibercrime é a de que há uma alta incidência de hackers
com características de autistas ou, em alguns casos, consistentes com a síndrome de Asperger. Segundo
Simon Baron-Cohen, professor de psicopatologia do desenvolvimento na Cambridge University, certas
disfunções dos autistas podem se manifestar no universo do hacking e da informática como habilidades
espetaculares, tais como ocorre com alguns célebres autistas com excepcionais habilidades matemáticas
a exemplo do savant inglês Daniel Tammet. Daí, é preciso encontrar maneiras de oferecer apoio a esses
“fuçadores” (significado original de “hackers”) de tanto talento. Como diz Glenny, se confiarmos apenas
no sistema jurídico criminal e na ameaça de sentenças punitivas, tal como parece ser a norma no
momento, estaremos criando um monstro que não conseguiremos domar.
Ao que tudo indica, a mera aplicação de sanções não vai ser suficiente para minimizar ou mitigar essa
ameaça severa que é o cibercrime. É preciso buscar uma melhor fundamentação de uma abordagem
multidisciplinar ao problema, e, ao mesmo tempo, desenvolver ferramentas para avaliar a eficácia dos
métodos sugeridos no volume organizado por Ghosh & Terrini para cada uma das três vertentes de
ação.