Ameaças
Ameaça é o conjunto de fatores ou a causa potencial de um incidente indesejado que pode resultar em dano ou prejuízo para um sistema, uma organização ou o Estado. As ameaças aos conhecimentos sensíveis são frequentes.
| * Inclusive aqueles que se declaram aliados. | ||
| ** Termo em inglês que designa integrantes da organização alvo com acesso legítimo a informações ou estruturas sensíveis e que, de forma acidental ou proposital, causam prejuízos à instituição. |
Esses atores podem explorar vulnerabilidades do sistema de proteção da instituição, como falhas de segurança, levando à concretização da ameaça e ao prejuízo. Por isso, são necessárias medidas de proteção que busquem garantir a salvaguarda dos conhecimentos sensíveis.
No Brasil, ainda existe baixa percepção de risco dessas ameaças. De forma recorrente, entidades estrangeiras, ou até nacionais, se valem da cultura nacional de abertura e cooperação para tentar acesso a informações de áreas como pesquisa e desenvolvimento tecnológico e política externa.
Essas ações podem reduzir vantagens competitivas do país e prejudicar interesses da sociedade brasileira. Para enfrentar a competição internacional, informações estratégicas do Estado brasileiro precisam de medidas especiais de proteção.
O PNPC tem como foco três ameaças: espionagem, sabotagem e vazamento de informações
Ações para obtenção de dados protegidos são fato usual e consolidado nas relações internacionais. Os alvos preferenciais da espionagem estrangeira são segredos industriais (inovação e tecnologia), militares e de política externa.
O PNPC atua na prevenção de ações de espionagem ao sensibilizar instituições nacionais sobre essa ameaça e incentivar a adoção de medidas de proteção.
Espionagem: ação que visa à obtenção de conhecimentos ou dados sensíveis para beneficiar Estados, grupos de países, organizações, facções, grupos de interesse, empresas ou indivíduos.
Diversos métodos podem ser usados em ações de espionagem, tais como:
| Engenharia social | método para enganar, manipular ou explorar a confiança de uma pessoa, a fim de obter informações privilegiadas ou de levá-la a realizar uma ação. |
| Comprometimento | situação ou informação sobre determinada pessoa ou instituição que pode ser considerada embaraçosa ou ilegal e servir como base de chantagem ou pressão por agente adverso. |
| Recrutamento | conjunto de ações especializadas desenvolvidas para convencer uma pessoa a trabalhar, de forma consciente ou inconsciente, em benefício da Inteligência adversa. |
| Oferecimento de vantagens | benefício direto ou indireto concedido a título gratuito com o objetivo de criar a sensação de dívida de gratidão, mesmo que inconsciente. |
| Ação encoberta | ato cujo autor ou patrocinador é escondido por meio da criação de perfis fictícios ou pelo emprego dissimulado de atividade paralela, com a finalidade de assegurar seu caráter oculto. |
| Estória-cobertura | situação fictícia arquitetada com o intuito de manter velada a verdadeira identidade de uma pessoa ou instituição ou o motivo de uma ação. |
| Desinformação | manipulação planejada da informação com o objetivo de influenciar, iludir, persuadir ou confundir indivíduos, grupos sociais ou centros decisores, para obter comportamentos predeterminados, que resultem em benefício de seu patrocinador. |
| Vigilância | ação especializada que visa manter um alvo ou objeto de interesse sob observação. |
| Honey trap | termo em inglês que designa armadilha de cunho sexual usada para comprometer o alvo a fim de chantageá-lo. |
| Ataques cibernéticos | ações deliberadas com o emprego de recursos da tecnologia da informação e comunicações que visem a interromper, penetrar, adulterar ou destruir redes utilizadas por setores públicos e privados essenciais à sociedade e ao Estado, a exemplo daquelas pertencentes à infraestrutura crítica nacional. |
O PNPC atua na detecção de vulnerabilidades a fim de prevenir atos de sabotagem, que podem levar à suspensão temporária e até à paralisação total de atividades e serviços essenciais à população e ao Estado.
Sabotagem: ação deliberada, com efeitos físicos, materiais ou psicológicos, que visa a destruir, danificar, comprometer ou inutilizar, total ou parcialmente, definitiva ou temporariamente, dados ou conhecimentos; ferramentas; materiais; matérias-primas; equipamentos; cadeias produtivas; instalações ou sistemas logísticos, sobretudo aqueles necessários ao funcionamento da infraestrutura crítica do país, com o objetivo de suspender ou paralisar o trabalho ou a capacidade de satisfação das necessidades gerais, essenciais e impreteríveis do Estado ou da população.
Como acontece com a espionagem, quando uma ação direta é arriscada ou complexa, é possível que se recorra a alguém com acesso legítimo aos equipamentos. Um funcionário pode ser enganado para instalar um malware que permita ao invasor acesso a um sistema de controle industrial com o objetivo de, por exemplo, alterar parâmetros e parar a produção.
O vazamento ocorre quando alguém divulga indevidamente informações de forma intencional ou acidental. O PNPC objetiva conscientizar funcionários para proteção de documentos, materiais e sistemas a fim de evitar a disseminação indevida de conhecimentos sensíveis.
Vazamento: divulgação não autorizada, acidental ou intencional, de conteúdos classificados, sigilosos ou sensíveis.
Funcionários podem involuntariamente perder informações sensíveis. Quanto menos eficientes os controles, maior a probabilidade de um incidente acontecer. É comum que laptops com informações sensíveis sejam furtados ou perdidos, expondo as informações não protegidas. Arquivos anexados podem ser enviados para as pessoas erradas por engano. Equipamentos podem ser vendidos sem terem seu conteúdo checado e apagado.
As chances de vazamento são maiores quanto mais as informações forem copiadas sem controle para dispositivos móveis. Isso ocorre também com documentos impressos que circulam sem cuidado e arquivos enviados por plataformas não protegidas (aplicativos de mensagens, por exemplo).