No dia 05 de fevereiro de 2020 foi publicado o Decreto 10.222/2020, que aprova a Estratégia Nacional de Segurança Cibernética. A E-Ciber é um texto cujo conteúdo abrange tanto o diagnóstico da situação brasileira a respeito da segurança virtual, como um compilado de orientações visando a melhoria do cenário verificado, com validade para o quadriênio 2020-2023.
Foi redigido em conjunto por órgãos públicos, privados, equipes de tratamento de incidentes cibernéticos de várias áreas e representantes da academia. Este grupo de trabalho debateu aspectos da segurança cibernética em vários encontros de cunho técnico e elaborou a estratégia que o Governo Federal considera essencial para que possamos elevar nossa segurança cibernética de forma gradual e contínua.
No curso dos estudos, os peritos examinaram as estratégias de países que já trilharam o mesmo caminho, concluindo que cada um possui suas características e que o E-Ciber deve respeitar nossa cultura em segurança e o nível de maturidade quanto ao tema.
Infelizmente, publicado o decreto, já podemos verificar críticas em relação a lacunas quanto à execução da Estratégia. Cobra-se aprofundamento das regras e leis para que haja uma política efetiva de Estado, como já acontece em países como EUA, países da União Europeia e o nosso vizinho Chile.
Histórico
O governo federal, em 2015, deu publicidade à Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal com validade até 2018 como um importante instrumento de apoio ao planejamento dos órgãos e entidades do Governo. O objetivo era melhorar a segurança e a resiliência das infraestruturas críticas e dos serviços públicos nacionais. O documento impulsionou as discussões sobre o tema no âmbito da Administração Pública federal e também em outros setores da sociedade.
Ainda em 2018 foi publicado o Decreto nº 9.637, que instituiu a Política Nacional de Segurança da Informação e dispôs sobre princípios, objetivos, instrumentos, atribuições e competências de segurança da informação para os órgãos e entidades da Administração Pública Federal, sob o prisma da governança, prevendo, então, para sua implementação, a elaboração da Estratégia Nacional de Segurança da Informação e dos Planos Nacionais.
O mesmo decreto indicou que a Estratégia Nacional de Segurança da Informação fosse construída em módulos, contemplando:
a segurança cibernética;
a defesa cibernética;
a segurança das infraestruturas críticas;
a segurança da informação sigilosa; e
a proteção contra vazamento de dados.
A Segurança Cibernética foi considerada a área mais crítica e atual a ser abordada, elegendo-se, em 2019, a Estratégia Nacional de Segurança Cibernética - E-Ciber como primeiro módulo da Estratégia Nacional de Segurança da Informação a ser elaborada.
Desta forma, coordenada pelo Gabinete de Segurança Institucional da Presidência da República e com participação de órgãos e entidades do Governo, além de instituições privadas e do setor acadêmico, foi elaborada a E-Ciber.
Os grupos trabalharam a matéria comparando a realidade brasileira com a de outros países, de modo que pudessem estabelecer objetivos nacionais e as respectivas ações estratégicas.
Quando da publicação do Decreto nº 9.637 de 2018 já se informava que a Segurança da Informação abrange a segurança cibernética, a defesa cibernética, a segurança física e a proteção de dados organizacionais e tem como princípios fundamentais a confidencialidade, a integridade, a disponibilidade e a autenticidade.
Ou seja, os recursos tecnológicos empregados na segurança precisam estar ao lado de políticas que garantam os princípios fundamentais da autenticidade e da integridade dos dados, além de prover mecanismos para proteção da legitimidade contra sua alteração ou eliminação não autorizada.
As informações coletadas, processadas e armazenadas na infraestrutura de tecnologia da informação e comunicação devem, enfim, ser acessíveis apenas a pessoas, a processos ou a entidades autorizadas, a fim de garantir a confidencialidade das informações.
Adicionalmente, os recursos de tecnologia da informação e comunicação devem prover disponibilidade permanente e apoiar de forma contínua todos os acessos autorizados.
A E-Ciber, é bom frisar, está alinhada com a LGPD. Autoridades e empresas relacionadas a órgãos e entidades da administração pública federal deverão se guiar pela Estratégia e pela lei de proteção de dados.
Aproveite e conheça nossos artigos sobre a Lei Geral de Proteção de Dados: a lei entra em vigor em agosto de 2020.
Ações estratégicas da E-Ciber
O texto aprovado pelo Decreto 10.222/2020 determina ações estratégicas a serem implementadas, quais sejam:
fortalecer as ações de governança cibernética
estabelecer um modelo centralizado de governança no âmbito nacional
promover ambiente participativo, colaborativo, confiável e seguro, entre setor público, setor privado e sociedade
elevar o nível de proteção do Governo
elevar o nível de proteção das Infraestruturas Críticas Nacionais
aprimorar o arcabouço legal sobre segurança cibernética, incluindo novas tipificações de crimes cibernéticos;
incentivar a concepção de soluções inovadoras em segurança cibernética
ampliar a cooperação internacional do Brasil em Segurança cibernética
ampliar a parceria, em segurança cibernética, entre setor público, setor privado, academia e sociedade
elevar o nível de maturidade da sociedade em segurança cibernética
O último ponto de ação estratégica da E-Ciber confirma o que a experiência ordinária escancara: nossa sociedade não compreende as ameaças e os riscos no espaço virtual, sendo extremamente necessário que tanto órgãos públicos e empresas privadas:
realizem campanhas de conscientização internas;
realizem conscientização da população;
criem políticas públicas que promovam a conscientização da sociedade;
proponham a inclusão da segurança cibernética na educação básica;
estimulem a criação de cursos de nível superior em segurança cibernética;
proponham a criação de programas de incentivo para graduação e pós-graduação no Brasil e no exterior em segurança cibernética;
fomentem a pesquisa e o desenvolvimento em segurança cibernética;
criem programas de capacitação continuada para profissionais do setor público e do setor privado;
incentivem a formação de profissionais para atuar no combate aos crimes cibernéticos;
realizem eventos de capacitação em segurança cibernética;
incentivem a participação em fóruns e eventos nacionais e internacionais em segurança cibernética;
aperfeiçoem mecanismos de integração, de colaboração e de incentivos entre universidades, institutos, centros de pesquisa e setor privado em relação à segurança cibernética;
incentivem exercícios de simulação em segurança cibernética; e
promovam a gestão de conhecimento de segurança cibernética, em articulação com os principais atores da área, a fim de otimizar a identificação, a seleção e o emprego de talentos.
Somente o conhecimento contornará a falta de maturidade da população e possibilitará um uso adequado e oportuno de procedimentos e de ferramentas no ambiente digital.
Riscos mundiais
O texto da E-Ciber nos informa que em 2018 mais da metade da população mundial utilizou a internet, sendo 93% dos acessos a redes sociais realizados via dispositivos móveis. A estimativa do portal statista.com é de que, em 2020, haverá mais de trinta bilhões de dispositivos de internet das coisas conectados.
O cenário de conectividade em expansão faz com que existam cada vez mais equipamentos com acesso simultâneo a redes de dados e o uso de grande variedade de serviços online, o que é ótimo. Todavia, quanto mais gente conectada, mais vulnerabilidade, com diferentes níveis de impacto para pessoas e instituições.
Ainda de acordo com o próprio documento da E-Ciber, considerando ataques cibernéticos, estimam-se perdas globais de seiscentos bilhões de dólares por ano e que em todas as economias a diretriz é a implementação de ações que fortaleçam a resiliência, a capacidade de uma empresa em identificar, prevenir, detectar e dar respostas a processos ou falhas tecnológicas, recuperando ou minimizando danos ao cliente, à sua reputação e perdas financeiras.
O caso brasileiro
Estima-se que, em 2020, o mercado de segurança cibernética mundial seja avaliado em cento e cinquenta e um bilhões de dólares. O mercado brasileiro de segurança virtual movimenta perto de dois bilhões de dólares por ano (com a venda de softwares, hardwares e serviços).
Nas Américas, o Brasil está em décimo lugar, atrás de países como Barbados, Bahamas, Argentina e Chile, mas surpreende quando se trata do mercado de telecomunicações.
Os dados a seguir são bem interessantes e, por isso, vamos transcrevê-los do Relatório/2019:
o Brasil ocupa o 66º lugar no ranking da Organização das Nações Unidas no uso de tecnologia da informação e comunicação;
apenas 11% dos órgãos federais têm bom nível em governança de TI;
74,9% dos domicílios (116 milhões de pessoas) tem acesso à internet;
98% das empresas utilizam a internet;
100% dos órgãos federais e estaduais utilizam a internet;
em 2017 foram setenta milhões e quatrocentas mil vítimas de crimes cibernéticos;
em 2018, 89% dos executivos foram vítimas de fraudes cibernéticas;
as questões de segurança desestimulam o comércio eletrônico;
em 2017 os crimes cibernéticos resultaram em vinte e dois bilhões e quinhentos milhões de dólares de prejuízo; e
o Brasil é o 2º país do mundo com maior prejuízo com ataques cibernéticos.
A "Internet Organised Crime Threat Assessment, da Agência da União Europeia para a Cooperação Policial - Europol, emitiu um relatório em que consta que “a falta de legislação adequada sobre crimes cibernéticos fez com que o Brasil fosse o alvo número um e a principal fonte de ataques online na América Latina. No Brasil, 54% dos ataques cibernéticos reportados são originários de dentro do próprio país, um dos principais hospedeiros de sites de phishing”.
O número de ataques cibernéticos praticamente dobrou no Brasil em 2018 em relação a 2017, o que é bastante assustador, considerando que 55,4% das empresas de médio e grande porte são totalmente dependentes do uso de tecnologia em suas atividades e que outras 35% podem ter paralizações severas diante de um problema relacionado à tecnologia.
Ou seja, as empresas brasileiras precisam com urgência considerar a segurança cibernética como ação prioritária de investimentos, elaborar planos de gestão de riscos e de tratamento e resposta a incidentes, assim como planejar orçamento adequado para combater os incidentes de segurança. Hoje o orçamento dedicado a este serviço é bastante reduzido.
Ninguém duvida que um grande ataque cibernético, caso não adequadamente tratado, pode afetar a reputação da organização, causar perda de receitas, levar a prejuízos operacionais, resultar em perda de informações e vazamento de dados, motivos mais que suficientes para que as organizações - públicas ou privadas - estabeleçam procedimentos de segurança periodicamente revisados, atendendo à evolução tecnológica.
Infelizmente, de acordo com a pesquisa JLT CyberView2019, as empresas brasileiras ainda não estão preparadas para enfrentar um ataque virtual.
Iniciativas anteriores (ou a falta delas)
O Governo Federal avança aquém do desejado e necessário na Política de Governança Digital. Temos o Decreto nº 8.638, de 15 de janeiro de 2016, a Estratégia Brasileira para a Transformação Digital - E-Digital, via Decreto nº 9.319, de 21 de março de 2018 e a Governança no compartilhamento de dados, via Decreto nº 10.046, de 9 de outubro de 2019.
Apesar desses instrumentos legais, existem muitas lacunas e omissões e isto é preocupante, especialmente em se tratando da proteção cibernética das empresas representantes das infraestruturas críticas, que são serviços e bens que, se interrompidos ou destruídos, tem o potencial de provocar sério impacto social, econômico, político, internacional ou à segurança nacional.
Parece-nos que sobram intenções, mas falta a implementação necessária de uma estrutura de segurança cibernética digna de um país de grandeza econômica e populacional.
Críticas
O texto E-Ciber chega ao seu final com o prognóstico de que o Brasil vê o mundo físico e o ambiente virtual interagirem cada dia com mais intensidade, mas com poucos profissionais especializados em segurança cibernética, baixa conscientização dos usuários e poucos programas educacionais focados na área.
Frisa que pretende tornar o Brasil um país de excelência em segurança virtual; porém não especifica como será implementado.
Não há referência a valores a serem empenhados, muito menos ao investimento que eventualmente será feito pelo poder público. Não se estabelece um plano de ação, não há um cronograma que demonstre os passos seguintes. No final das contas o decreto apenas torna pública uma carta de intenções, agindo o Governo totalmente em desacordo com o que fizeram os países referência no assunto.
A expectativa dos especialistas (registro necessário) é que durante o período de duração da E-Ciber 2020-2023 novos documentos complementares venham preencher “as lacunas do idealismo formal das autoridades” e que realmente possamos ter expectativa de solução ou melhoria das vulnerabilidades cibernéticas em nível estrutural.
Gostou deste artigo? Faça parte de nossa lista de e-mail para receber regularmente textos como este e notícias de seu interesse.
Fazendo seu cadastro você também pode receber mais informações sobre nossos cursos: em março de 2020 teremos o curso de Direito de Informação e Proteção de Dados nas Instituições de Ensino. Em breve também faremos nossos encontros sobre Direito Educacional.
Comments