Os dispositivos mais comuns presentes nas residências (e nos bolsos) da maioria esmagadora dos brasileiros podem se tornar uma arma cibernética perigosa – principalmente com a chegada do 5G ao País. Este é um dos alertas do departamento de segurança da informação do GSI da Presidência da República, que lembra o quanto é importante termos em mente que telefones celulares e smartphones não são equipamentos seguros. “Nenhum equipamento é 100% seguro. Os smartphones podem ser utilizados para comunicação, mas depende do tipo de comunicação que se quer utilizar”, afirmou o Coronel Marcelo Paiva Fontenele, diretor do departamento de segurança da informação, em entrevista exclusiva ao Mobile Time.
Fontenele assumiu a direção do GSI em novembro de 2020. Possui uma ampla formação e experiência em segurança digital: doutorado em Cibernética pela Universidade de Reading, Reino Unido, mestrado em Operações Militares, especialização em Estudos de Política e Estratégia pela UnB (Universidade de Brasília), em Criptografia e Segurança em Redes pela UFF (Universidade Federal Fluminense) e especialização em Gestão da Segurança da Informação e Comunicações pela UnB. Participou ainda da elaboração de relatório sobre Segurança Cibernética apresentado à Câmara de Relações Exteriores e Defesa Nacional em outubro de 2008.
Na entrevista abaixo, Fontenele explica os mecanismos de segurança dos dispositivos móveis, fala sobre as questões do 5G, requisitos elaborados pelo GSI, e sobre a polêmica das restrições do governo a fornecedores.
Mobile Time – Coronel, como o GSI enxerga a segurança hoje dos smartphones e telefones celulares?
Coronel Marcelo Paiva Fontenele – A não ser que seja uma solução de comunicação segura, devidamente testada, sempre se deve ter em mente que o dispositivo não é seguro.
Poderia explicar com mais detalhes por que considera que os celulares e smartphones não são dispositivos seguros?
Os celulares e smartphones funcionam a partir de sistemas operacionais (SOs). Esses sistemas, como todos os outros, possuem suas vulnerabilidades. Não há sistema que garanta 100% de segurança. Os sistemas operacionais são amplamente testados pela comunidade, que reporta tais vulnerabilidades, a fim de serem corrigidas. Com isso, o SO se torna cada vez mais seguro e menos propenso a apresentar falhas de segurança. O que pode, e é comum ocorrer, são novas aberturas/acessos ao SO, partindo da instalação de aplicativos no dispositivo. Alguns aplicativos permitem acesso não só ao SO, mas também aos dados que ali se encontram, bem como aos dados localizados em outros aplicativos do dispositivo. Ou seja, quanto mais aplicativos instalados no dispositivo, mais chances de serem encontradas vulnerabilidades.
O que seria necessário fazer para que eles viessem a ter mais segurança?
Se for um dispositivo para uso seguro, exclusivamente, o ideal é que o Sistema Operacional seja configurado previamente e que não seja permitida a instalação de aplicativos, nem a modificação do SO pelo usuário. Já para dispositivos de uso comum, a orientação é de que o usuário faça sempre o uso de boas práticas de segurança, como criação de senha forte e verificação em duas etapas, por exemplo, bem como verificar as permissões de acesso exigidas pelos aplicativos.
Com a chegada do 5G esses dispositivos podem se tornar ainda mais inseguros?
De antemão, a velocidade de acesso do 5G será muito maior. Toda a facilidade que essa velocidade traz, na mesma medida pode trazer vulnerabilidades. Explico: é provável realizar ataques massivos, por exemplo, como DoS (DoS é a abreviação de Denial of Service, em inglês, ou ataque de negação de serviço, em português) e DDoS (que, em inglês, é a abreviação de Distributed Denial of Service ou ataque distribuído de negação de serviço, em português), utilizando um smartphone como dispositivo IoT, com maior velocidade e maior efetividade, caso o dispositivo tenha sido infectado previamente.
Em um ambiente corporativo ou de governo, onde a segurança deve prevalecer, o senhor sugere que não sejam usados smartphones para a comunicação?
Os smartphones podem ser utilizados para comunicação, mas depende do tipo de comunicação que se quer utilizar. No ambiente corporativo governamental não se deve utilizar smartphones para transitar documento classificado, por exemplo. Existem dispositivos mais robustos, com uso de criptografias, desenvolvidos exclusivamente para esse fim, que podem viabilizar um trânsito mais seguro da informação. Mas volto a dizer, não há sistema que seja 100% seguro. Sobretudo, é sempre importante que seja feita uma análise/gestão de risco, caso pretenda-se que a segurança prevaleça. Outra questão é que há pessoas que são mais visadas por hackers. Mas se a pessoa cumpre as medidas de segurança, diminui bastante a possibilidade de um ataque.
Qual (ou quais) os diferenciais do 5G no que diz respeito a segurança da informação? O que esta tecnologia traz de novo em termos de falta de segurança?
O 5G apresenta baixíssima latência em relação às redes de gerações anteriores. Isso representa uma quebra de paradigma em termos de novos serviços oferecidos e tecnologias que dependem dessa velocidade, tais como carros autônomos e telecirurgia. Por esse motivo, é necessária maior atenção no que diz respeito aos requisitos de segurança, uma vez que a nova tecnologia proporcionará a execução de atividades mais sensíveis do que atualmente desenvolvidas com base na Internet existente.
Quais as restrições de empresas para participarem do leilão 5G que o GSI recomenda? E por que?
O Departamento de Segurança da Informação do GSI tratou dos requisitos mínimos de segurança cibernética de forma técnica e agnóstica, ou seja, sem referência a empresas específicas. A construção dos requisitos foi de forma multilateral e o resultado é a IN 04 (Instrução Normativa 04/2020)
Sobre a rede privativa do governo: o senhor considera mais seguro, do ponto de vista de segurança da informação, que esta rede seja feita por uma estatal, como a Telebras?
Não existe algo como segurança 100% e a IN 04 procura mitigar eventuais problemas de segurança cibernética. Mas acredito que algumas redes privativas podem adotar medidas adicionais de segurança, particularmente aquelas que lidam com serviços essenciais ou sistemas críticos.