Em ano eleitoral e com tanta mania de perseguição acontecendo nas redes sociais existe um medo velado no uso indevido do uso do software israelense, Pegasus, que é projetado pela empresa NSO Group, vendido apenas para governos de todo o mundo com o objetivo de combater o “terrorismo e o crime”, logo como quem define o crime e os criminosos que estão sendo investigados?
Este ‘spyware’ permite que você insira os dispositivos de suas vítimas para acessar seus documentos, câmera, microfone e outras informações confidenciais.
Ou seja, um programa que é capaz de entrar em smartphones (Android e iPhone) para que as vítimas não notem em nenhum momento. Portanto, este spyware tem a capacidade de infectar sistemas inteligentes, violando sistemas de segurança e, assim, ouvir, gravar e copiar qualquer mensagem confidencial que o usuário salva. Na verdade, a Pegasus é capaz de indicar a localização da vítima.
Tente imaginar se um determinado governo, que adora homenagear ditadores entende que deve incluir seus oponentes e opositores no rol de suspeitos de eventuais crimes? E ai inclui políticos, juízes, dirigentes sindicais?
A empresa NSO garante que o software Pegasus só é vendido para governos e após a aprovação do Ministério da Defesa. Ou seja, nem empresas nem usuários têm acesso a softwares israelenses.
Nesse momento, quase todos os governos da Europa usam a ferramenta”, o que já foi noticiado pelo “The New Yorker”. A mesma publicação, relatou que na Espanha, mais de 60 políticos da independência catalã foram vítimas deste sistema de ciberespionagem. Em evidente escolha de uso político do software.
O fato é que espionar líderes mundiais definitivamente nunca saiu da moda. É o que podemos concluir com o último escândalo envolvendo o uso do software Pegasus, no ano passado e que ganha os jornais novamente.
No ano passado, descobriu-se que o número do celular do presidente francês estava na lista de potenciais alvos do software Pegasus, e que a sua inclusão foi pedida pelo serviço secreto do Marrocos, o que foi o estopim para um novo escândalo mundial que colocou holofotes na segurança digital, pois além de Macron, e outros dois chefes de Estado, dez primeiros ministros e um rei podem ter sido infectados por um software espião capaz de rastrear quase todos seus movimentos, comunicações e relacionamentos pessoais.
A denúncia foi feita pela Forbiden Stories, com sede em Paris, e a Anistia Internacional que tiveram acesso a uma lista com mais de 50 mil números de telefone que teriam sido selecionados desde 2016 por clientes da empresa israelense NSO para serem espionados, segundo a reportagem do jornal Le Monde.
A Forbidden Stories e a Anistia Internacional compartilharam o material com um consórcio formado por 17 veículos de comunicação, entre eles o jornal francês Le Monde, o britânico The Guardian, o americano The Washington Post, e os repórteres desses veículos conseguiram identificar os proprietários de mais de mil números de telefones em mais de 50 países por meio de pesquisas e entrevistas em quatro continentes. Entre eles, estão vários membros da família real árabe, pelo menos 65 executivos, 85 ativistas de direitos humanos, 189 jornalistas e mais de 600 políticos e funcionários do governo, incluindo ministros de gabinete, diplomatas e oficiais militares e de segurança.
Na época a empresa disse que os alvos deveriam ser terroristas e criminosos, como pedófilos, traficantes de drogas e traficantes de seres humanos.
As revelações sobre o programa de espionagem Pegasus mostram uma “crise mundial dos direitos humanos”, segundo a ONG Anistia Internacional (AI), que pediu uma moratória na venda e uso das tecnologias de vigilância até a criação de um marco regulatório. Logo, fica lançado o desafio de uma regulamentação por tratados, que fico pensando se os EUA, a Rússia e a China assinariam.
O nascimento do Pegasus é no mínimo curioso, segundo seus fundadores em entrevista para o The Washington Post: Os dois empreendedores israelenses de 20 e poucos anos que administravam uma pequena empresa iniciante de atendimento ao cliente para telefones celulares estavam em uma reunião com clientes na Europa em 2009, quando receberam a visita de agentes secretos. O primeiro instinto foi o medo. Talvez tinham feito algo errado que não sabiam, disseram Shalev Hulio e Omri Lavie os fundadores. Em vez disso, os agentes fizeram um pedido inesperado. Eles disseram que a tecnologia israelense, que ajudou as operadoras a solucionar os problemas dos smartphones de seus clientes, enviando-lhes um link de SMS que permitia à operadora acessar o telefone remotamente, poderia ser útil para salvar a vida das pessoas, pois os métodos tradicionais de escuta telefônica estavam se tornando obsoletos na era do smartphone, explicaram os agentes, pois os primeiros softwares de criptografia bloqueavam sua capacidade de ler e ouvir as conversas de terroristas, pedófilos e outros criminosos. Hulio e Lavie seriam capazes de ajudá-los, construindo uma versão de sua tecnologia que o serviço secreto pudesse usar? Bem, mais de uma década depois, a empresa de segurança cibernética que surgiu dessa conversa, o Grupo NSO, entrou no centro de um debate global sobre a transformação de uma tecnologia em arma de vigilância poderosa e ampla e com pouca ou quase nenhuma regulamentação. A história da NSO, foi por muito reverenciada como uma versão israelense de uma história de sucesso do Vale do Silício. Uma empresa que começou em um galinheiro reformado em um kibutz e 11 anos depois a NSO tem 750 funcionários e é avaliada em mais de US$ 1,5 bilhão.
Ainda que seus sócios insistam que o software construído seja para o bem maior, fica difícil escapar de uma necessária regulamentação quando os usos de um software são desvirtuados, levantando uma questão jurídica interessante sobre aquisição e propósito na utilização de softwares.
A NSO começou a pedir aos clientes que assinassem um compromisso de direitos humanos em 2020 e, no mês passado, publicou seu primeiro relatório de transparência, medidas de compliance mais do que necessárias.
O fato é que a indústria de segurança cibernética precisa ser regulamentada, e esse mais tantos outros escândalos só provam isso.
Dando dimensão ao assunto, no mês de julho o governo brasileiro publicou o decreto 10.748 de 2021, que institui a Rede Federal de Gestão de Incidentes Cibernéticos, que será composta com a participação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional de forma obrigatória. Já para as empresas públicas e das sociedades de economia mista federais e das suas subsidiárias a participação será voluntária e ocorrerá por meio de adesão.
A finalidade da Rede é aprimorar e manter a coordenação entre órgãos e entidades da administração pública federal direta, autárquica e fundacional para prevenção, tratamento e resposta a incidentes cibernéticos, de modo a elevar o nível de resiliência em segurança cibernética de seus ativos de informação. Ficando por conta da Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia a condição de órgão central do Sistema de Administração dos Recursos de Tecnologia da Informação.
Nos termos do Art. 3º do decreto são objetivos da REDE:
I – divulgar medidas de prevenção, tratamento e resposta a incidentes cibernéticos;
II – compartilhar alertas sobre ameaças e vulnerabilidades cibernéticas;
III – divulgar informações sobre ataques cibernéticos;
IV – promover a cooperação entre os participantes da Rede; e
V – promover a celeridade na resposta a incidentes cibernéticos.
É um passo inicial, e mais do que uma regulamentação de partida é necessário uma sequência de testes para se saber como na prática a estrutura vai funcionar, porém ainda que atrasado, visto o tempo que já foi promulgada a Lei Geral de Proteção dos Dados das Pessoas.
Estabelecer uma estrutura de contingenciamento faz parte das previsões e medidas de governança previstas na LGPD, mas é preciso muitos exercícios, pois de nada vai adiantar a norma se as pessoas e as entidades não estiverem falando a mesma língua.