Por Leonardo Arquimimo, Delegado de Polícia do Estado de São Paulo
O investimento na segurança de infraestruturas críticas corresponde hoje a parte importante e indispensável do plano de negócios de diversas organizações. Como se sabe, a interrupção do fornecimento de serviços essenciais corresponde a uma situação que resulta em prejuízos consideráveis para toda a sociedade e, igualmente, para usuários específicos. Outro aspecto, igualmente, preocupante corresponde ao dano a imagem das organizações – públicas e privadas – que se deparam com a necessidade de enfrentar uma crise decorrente da quebra de confiança na qualidade dos serviços ofertados e, como consequência, prejuízos econômicos com o rompimento de contratos e acordos.
Infraestruturas críticas compreendem atividades e serviços que tem a capacidade de impactar diretamente na própria organização da vida em sociedade. Cada país, a partir da sua realidade local, define atividades que estruturam a sua sociedade de forma relevante. De qualquer maneira, é possível afirmar que a maioria dos países consideram as infraestruturas críticas aquelas que envolvem: água, alimentos, segurança pública e defesa, saúde, energia, transporte, comunicações, finanças, indústria química, de defesa e nuclear. No caso brasileiro, a Política Nacional define infraestruturas críticas como as instalações, serviços, bens e sistemas cuja interrupção ou destruição, total ou parcial, provoque sério impacto social, ambiental, econômico, político, internacional ou à segurança do Estado e da sociedade. Como consequência um conjunto importante de documentos e estratégias foram edificadas para a proteção de infraestruturas críticas – Política Nacional (PNSIC), Estratégia Nacional (ENSIC), Plano Nacional (PLANSIC), Comitê Nacional (CNSIC).
No caso dos Estado Unidos, desde o começo dos anos 2000, por exemplo, houve o reconhecimento, por intermédio de alguns documentos, de que havia desafios importantes para assegurar que infraestruturas vitais fossem confiáveis e seguras. Ainda que física, logicamente e operacionalmente separadas, muitas infraestruturas estão conectadas por inúmeros aspectos como redes de computadores e redes de energia. Sistemas computacionais são usados, por exemplo, para operar redes de produção e distribuição de energia, gasodutos e oleodutos, para estações de tratamento de água e esgoto e para ordenar o transporte sobre trilhos, e a conexão e a interdependência de sistemas somente se amplia. Ações criminosas físicas ou lógicas, combinadas ou não, produzem danos importantes na usabilidade e utilidade de diversas infraestruturas. Neste particular, as vulnerabilidades que envolvem infraestruturas sempre resultam em desafios mais extensos e que compromissam diversas instituições e empresas. No caso do EUA houve a aceitação, de que o Estado, como ente público, seria incapaz de fornecer segurança para todas as infraestruturas críticas e então a responsabilidade deveria ser compartilhada. Como resultado desse reconhecimento surgiram conselhos para aprimorar a parceria entre os setores público e privado na proteção das infraestruturas críticas do país, além da conscientização e educação sobre vulnerabilidades, notadamente nas questões cibernéticas. (WRIGHT, 2005; GAO RECOMMENDATIONS, 2003)
Independentemente da responsabilidade na gestão da segurança das infraestruturas críticas, elas hoje se tornaram um ativo que desperta o interesse de diversos agentes criminosos e, portanto, exigem uma ampliação no investimento da sua proteção. Ainda, o recrudescimento das relações entre diversos países e blocos e uma visão mais crua do ambiente internacional submetem todo o tipo de atividade empresarial a diversos riscos antes considerados, domesticamente, menores – terrorismo de estado, sabotagem e espionagem industrial, bioterrorismo, ataques cibernéticos. Ou seja, para além das atribuições típicas da adequada gestão destas estruturas, elas hoje, em função da sua relevância estratégica e de potenciais ameaças que se ampliam, exigem um efetivo investimento na proteção de ativos.
Neste cenário desafiador, hoje um Data Center (DC) pode ser considerado como uma das infraestruturas críticas mais relevantes e vulneráveis existentes. No que tange a segurança lógica os investimentos são massivos e especialistas neste campo são permanentemente desafiados a superar ameaças e riscos que vulneram interesses, dados, informações e equipamentos. No que tange a segurança física, o desafio consiste em rotular o ambiente em que ele está situado como absolutamente vulnerável e naquele ambiente edificar um conjunto de medidas que transcendem a segurança ordinária. O cenário atual em que os DCs correspondem a uma parte indispensável para operação de qualquer empreendimento , adotar medidas extraordinárias de proteção física parece indispensável.
Os DCs podem ter em um sentido físico três funções principais: i) ativo – DC principal que processa todas as solicitações dos clientes e mantém backups de dados locais; ii) reserva – DC pronto para processar solicitações dos clientes a qualquer momento, faz a replicação síncrona de dados e está localizado a uma pequena distância do ativo; iii) recuperação – geograficamente distante e acionado no caso do caso de inviabilidade do “ativo”. (KHALIL, ELMAGHRABY, 2011).
O projeto de um DC deve incluir requisitos operacionais tais como: i) local fisicamente seguro e protegido; ii) acesso à energia de forma confiável; iii) ambiente saudável e seguro para o exercício das funções; iv) comunicação no ambiente interno e com o mundo externo. Ainda ele deve apresentar as seguintes propriedades: i) flexibilidade – capacidade de suportar novos aplicativos, serviços e substituição de hardware sem grandes problemas tecnológicos; ii) disponibilidade – operação ininterrupta sem paradas não planejadas; iii) escalabilidade – volume de dados não devem afetar a qualidade do serviço; iv) segurança – física, lógica, operacional; v) gerenciabilidade – simplicidade no suporte técnico, no gerenciamento e na solução de problemas. (KHALIL, ELMAGHRABY, 2011)
Atualmente a maiorias dos provedores de infraestrutura de proteção de DCs trabalham com a ideia de “segurança multicamadas” incluindo: i) segurança de perímetro exterior – cercas e muros, portões, barreiras veiculares, câmeras de segurança com análise de vídeo inteligente, sensores de movimento, radar para detecção de intrusão, sistemas de detecção de drones, iluminação, patrulhas de segurança; ii) controle de acesso interior – portas de segurança, sistemas de controle de acesso, gaiolas de segurança, monitoramento em tempo real, registro de visitantes; iii) segurança de áreas internas restritas – divisão em acesso progressivamente mais restrito, controle por zonas, câmeras de segurança nas salas de equipamentos, detecção de intrusão; iv) segurança de rack e equipamentos físicos – armários e racks com fechaduras, biometria para acessos específicos, sensores ambientais e de supressão adequada de incêndio. (DATA CENTER BOOM, 2024; RESEARCH AND MARKETS OFFERS REPORT, 2021; CROWELL, 1996)
No ambiente doméstico os tradicionais riscos envolvendo infraestruturas críticas sempre estiveram no ambiente, ainda que complexo, administrável com base em uma visão bastante limitada de ameaças. A subtração de cabos e fios, a invasão de ambientes físicos, o desvio e a subtração de cargas, a quebra de segurança decorrentes da ação de colaboradores, dentre outros comportamento danosos, sempre foram consideradas parte da gestão do negócio. Hoje, em um cenário de competição mais agressiva, em que o império da força ganha protagonismo, com diversos entrantes e em um ambiente relacional, negocial em disputa, a opção por um adequado investimento em segurança demanda de atores públicos e privados uma ampliação da proteção dos seus ativos mais importantes. Os DCs, e toda a gama de serviços prestados por essas estruturas, são parte indispensável da operação de qualquer negócio. Bem estruturar a proteção física destes ambientes e locais se renova como um responsabilidade que não pode ser negligenciada.
Referências
CROWELL, David A. Auditing the data center infrastructure. Internal Auditor. Vol. 53, 1996, p. 40-46.
DATA CENTER BOOM: Explosive growth in data centers presents opportunities and challenges for property managers. Journal of Property Management. Vol. 89, n. 6, 2024, p. 44-47.
GAO RECOMMENDATIONS FOR IMPROVING CRITICAL INFRASTRUCTURE PROTECTION. Hazardous Waste Consultant. Vol. 21, 2003, p. 234-236.
KHALIL, Y. H.; ELMAGHRABY, A. S. Resilience of Data Centers. In: SAADAWI, Tarek; JORDAN, Louis. Cyber Infrastructure Protection. Carlisle: Strategic Studies Institute, US Army War College, 2011, p. 183–206.
RESEARCH AND MARKETS OFFERS REPORT: Data Center Physical Security. Entertainment Close-up. Close-Up Media, Inc., 2021, p. 1-2.
WRIGHT, Marie. Information Assurance Education and the Protection of U.S. Critical Infrastructures. The Forensic Examiner. Vol. 14, 2005, p. 33-37.
[1] ARAÚJO, R. Como o Comando Vermelho ataca empresas para cobrar ‘gatonet’ e deixa moradores sem internet. O Estado de S. Paulo, 13/03/2025; MOTTA, R., MACEDO, F. e GODOY M. ‘O PCC está montando as suas próprias instituições financeiras’, diz promotor. O Estado de S. Paulo, 25/02/2025; FERREIRA, P. Mais de 1 mil postos de combustível estariam sob controle do crime. O Estado de S. Paulo, 05/02/2025; TOMAZELA, J. M. Freio cortado e armazém clandestino: como o crime organizado saqueia trens perto do Porto de Santos. O Estado de S. Paulo, 28/04/2023.
[2] AGRELA, L. Pátria investe US$ 1 bi em nova empresa de data centers para atender big techs na era da IA. O Estado de S. Paulo, 16/05/2025; MONTEIRO, R. Dona do TikTok tem previsão de investir R$ 50 bi no Ceará; foco será em data center. O Estado de S. Paulo, 12/05/2025; PUPO, A. MONTEIRO, R. Governo prevê incentivo a data center que amplia cadeia produtiva local. O Estado de S. Paulo. 24/04/2025.
