Leis norte-americanas geram polêmica. (Foto: linusb4/SXC)

Depois de muita movimentação contra o Stop Online Piracy Act (SOPA) — aquele projeto de lei que todo mundo protestou contra (e derrubou) depois que tiraram o Megaupload do ar com as leis já existentes –, alguns ativistas já estão novamente em ação. O alvo agora é o Cyber Intelligence Sharing and Protection Act (CISPA) que, para alguns, é só mais um SOPA.

Mas não é.

Grandes opositores do SOPA, como o Facebook, são a favor do CISPA. Se não viu ou não lembra, o Facebook foi uma das empresas signatárias de um anúncio que ocupou uma página inteira no New York Times criticando o SOPA.

Já a Casa Branca – cujos ocupantes atuais são praticantes da arte de observar e agir conforme os ventos das redes sociais – está querendo “mais explicações” sobre o CISPA, temendo que, como o SOPA, esta lei venha a ferir garantias fundamentais.

Empresas privadas têm conhecimento de ataques e assinaturas usadas em sistemas de detecção de invasão que o governo desconhece.

Para complicar ainda mais, apoiadores do CISPA falam em defender a propriedade intelectual (além de dados pessoais e informações privadas e governamentais), o que leva alguns a dizerem que o CISPA é só um SOPA disfarçado com preocupações de segurança da informação – algo semelhante ao que disseram sobre o Projeto Azeredo (o tal do “AI-5 Digital”, segundo ativistas) aqui no Brasil.

Esta é uma interpretação míope e muito equivocada do que se trata o CISPA, feita principalmente por pessoas que não compreendem como os profissionais da área de segurança atuam.

O CISPA busca facilitar a cooperação entre as empresas e o governo, aumentar os incentivos e diminuir a insegurança jurídica do processo de compartilhamento de informações que uma empresa acredita serem importantes para a proteção das redes.

Em depoimento a uma comissão do senado norte-americano, o general Keith Alexander, chefe da Agência de Segurança Nacional (NSA) e do Cibercomando do exército dos EUA, admitiu que empresas privadas têm conhecimento de ataques e assinaturas usadas em sistemas de detecção de invasão que o governo desconhece. Com isso, o governo não consegue prestar auxílio a outras empresas, especialmente mantenedores de serviços essenciais (água, luz, telecomunicações) que precisam de orientação especial.

E onde entra o direito autoral? Bem, é verdade que os filmes mais recentes das sagas Crepúsculo e Harry Potter sejam propriedade intelectual. Mas as especificações e projetos de um caça de última geração também são, bem como o código-fonte de softwares, sensíveis ou não, e outros materiais do gênero. É esse tipo de informação que tem sido roubada de empresas e qualquer empresa que já foi vítima de ataques (como o Facebook) tem interesse em informações que possam ajudá-la a se proteger melhor.

O CISPA não obriga nenhuma empresa a fornecer informações – ela apenas dá meios para quem quer fazer isso voluntariamente.

Código-fonte pertencente ao Google já foi roubado, e a Symantec já confirmou que um código publicado na web é o do Norton Antivírus. Teve também o roubo de milhões de cadastros da Playstation Network (PSN). Esses casos não são exagerados ou hipotéticos – é o que está acontecendo hoje.

Eis o fato que não deveria ser novidade: baixar um filme sem a autorização do detentor do direito autoral já é ilegal. Essas novas leis não vão mudar isso. E, ao contrário do SOPA, o CISPA não tem nenhum artigo a respeito de sites serem bloqueados ou censurados. Ela apenas libera empresas e governo para entrarem um diálogo mais constante sobre as ameaças para conseguirem se manter no mesmo nível dos invasores.

Infelizmente, essa briga sempre terá os atacantes em vantagem – são eles que conhecem as vulnerabilidades que serão usadas no dia seguinte, não os defensores. O que acontece hoje é que um mesmo ataque pode ser usado várias vezes contra organizações diferentes, porque não existe um mecanismo efetivo para que as informações cheguem às pessoas responsáveis por defender os sistemas.

Um mesmo ataque pode ser usado várias vezes contra organizações diferentes, porque não existe um mecanismo efetivo para que as informações cheguem às pessoas responsáveis por defender os sistemas.

É isso que o CISPA busca facilitar.

O projeto de lei não obriga nenhuma empresa a fornecer informações – ela apenas dá meios para quem quer fazer isso voluntariamente. De fato, ela proíbe que o governo exija informações na forma dos procedimentos estabelecidos pela lei e obriga a produção de um relatório periódico que detalhe “impactos nas liberdades civis” devido às informações compartilhadas.

O CISPA realmente quer regulamentar uma prática que acontece timidamente há anos – o compartilhamento de informações entre os responsáveis pela proteção das redes. Isso precisa acontecer. Um movimento meramente negativo (ao invés de construtivo) pode minar um projeto que tem chances de melhorar consideravelmente a segurança da internet.

Para quem tem problemas com o direito autoral e quer liberdade para baixar filmes e músicas, tem outras leis que precisam ser alteradas.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

2 Comments

  1. Leandro Vianna 19/04/2012 às 16:24

    Ótimo artigo, muito esclarecedor.

    Curtir

    Responder

  2. Realmente tinha uma idéia diferente acerca do assunto, entretanto com um texto claro e conciso desses minha opinião tende a ser refeita… 

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s