Uma epístola de boas intenções, que endereça preocupações pontuais. Em resumo, foi com esse pensamento que secção da sociedade brasileira recebeu a geração da Estratégia Pátrio de Segurança Cibernética – E-Ciber, instituída pelo Decreto nº 10.222 no último dia 6 de fevereiro. As atenções agora se voltam para a materialização das dez ações estratégicas apontadas no documento, e para a geração de uma Política Pátrio de Cibersegurança. Um projeto de lei já está em elaboração no Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República (DSI/GSIPR). E a expectativa é de que ele possa ser enviado ao Congresso até o término deste ano.
“A teoria é que o PL seja discutido em audiência públicas na Câmara e no Senado”, comenta o Coronel Arhur Pereira Sabbat, assessor do DSI. “Mas ele ainda está em estágio inicial de elaboração. Deverá ser analisado pelo GSI, pela Presidência…. ainda há passos a serem seguidos”.
Arthur Pereira Sabbat, assessor do Departamento de Segurança da Informação do GSI Foto: Jane de Araújo/Filial Senado
O país já tem hoje uma Política Pátrio de Segurança da Informação (PNSI), instituída por decreto de Michel Temer (o nº 9.637) em dezembro de 2018, seis dias antes de deixar a Presidência. “Porquê segurança da Informação é uma extensão temática muito extensa, tem um guarda chuva muito grande, o próprio decreto 9.637 trouxe a orientação de que a Estratégia Pátrio de Segurança da Informação fosse constituída em módulos. E nós optamos por elaborar o módulo da Estratégia Pátrio de Segurança Cibernética”, comenta o coronel Sabbat, que foi um dos elaboradores da E-Ciber.
A Segurança Cibernética é o coche dirigente da Segurança da Informação, segundo o coronel Sabbat, e o que concerne ao GSI. Ao lado dela estão outros temas importantes porquê o tratamento da informação classificada, o credenciamento de segurança, a segurança física para proteção das informações, segurança das infraestruturas críticas, e também a resguardo cibernética (olhar bélico, mais relacionado às ciberguerras, que está no escopo do Ministério da Resguardo).
O objetivo principal da E-Ciber, segundo o coronel Sabbat, foi apresentar para a sociedade brasileira os grandes rumos que o governo federalista considera essenciais para que o país, a sociedade e as instituições, incluindo aí empresas públicas e privadas, possam realmente estar protegidos no ciberespaço. São três os objetivos principais: tornar o Brasil mais próspero e confiável no envolvente do dedo; aumentar a resiliência brasileira às ameaças cibernéticas; e fortalecer a atuação brasileira em segurança cibernética no cenário internacional.
O texto nasceu da avaliação de um cenário, um diagnóstico elaborado por três grupos de trabalho, envolvendo mais de 40 órgãos públicos e empresas privadas, representantes de infraestruturas críticas, da ateneu, consultores e especialistas no tema, que se reuniram durante sete meses. E segundo o qual, apesar do nível de segurança cibernética do país e das nossas instituições, públicas e privadas, não ser insignificante, falta um alinhamento maior nas ações de prevenção, resguardo e resposta a incidentes.
“O que fizemos foi uma estudo sintomática do cenário multíplice pelo qual o Brasil passa. Nós temos ameaças cibernéticas crescentes, índices crescentes de crimes cibernéticos, iniciativas de proteção muito boas, mas fragmentadas, e uma baixa maturidade de cibersegurança”, explica Sabbat.
Depois desses sete meses, ainda no término do ano pretérito, o texto foi disposto em consulta pública. Foi a primeira vez que um instrumento do GSI foi para consulta pública. O órgão recebeu 167 contribuições, das quais 90 foram aceitas. O resultado é considerado viável e adequado ao Brasil. E, de indumentária provocou poucas críticas. A maioria delas referentes à falta de metas palpáveis, diretrizes e objetivos.
“Acontece que para que uma estratégia sobre um tema tão abrangente e tão transversal porquê esse dê evidente é necessária uma pactuação entre todos os envolvidos. Ela precisa do auxílio de todos os órgãos públicos, nas diferentes esferas, federalista, estadual e municipal, dos três poderes, do setor produtivo e a iniciativa privada, da ateneu, da prelo e sociedade, para implementação das ações propostas”, comenta Sabbat.
Em linhas gerais, a E-Ciber propõe 10 ações estratégicas, formuladas a partir da estudo de 7 eixos temáticos (Governança da Segurança Cibernética Pátrio; Universo conectado e seguro: prevenção e mitigação de ameaças cibernética; Proteção estratégica; Dimensão normativa; Pesquisa, desenvolvimento e inovação; Dimensão internacional e parcerias estratégicas; e Ensino).
Essas 10 ações se desdobram em ações práticas que podem ser encaradas porquê recomendações de fácil realização por secção de órgãos e empresas públicas, ateneu e empresas privadas. Entre elas estão, por exemplo, a recomendação de soluções nacionais de criptografia; a intensificação ao combate à pirataria de software; a ampliação do uso de certificação do dedo; a promoção de um envolvente participativo, colaborativo e seguro, entre as organizações públicas, as instituições privadas, a ateneu e a sociedade, por meio do seguimento contínuo e proativo das ameaças e dos ataques cibernéticos, com o objetivo de, entre outras questões, estimular o compartilhamento de informações sobre incidentes e vulnerabilidades cibernéticas; e a realizar ações de conscientização da população sobre o tema.
Já outras vão depender de um debate mais aprofundado, envolvendo toda a sociedade, para a elaboração de normas, regulamentos e até mesmo leis, porquê a viabilização de investimentos em pesquisas, por meio dos fundos públicos e privados e a geração de programas de incentivo ao desenvolvimento de soluções de segurança cibernética. Ou a definição dos requisitos de segurança cibernética que deverão ser exigidos nas contratações estabelecidas pelos órgãos e entidades do Governo. O estabelecimento de um padrão concentrado de governança para o país, por meio de um sistema pátrio de segurança cibernética. E ainda a revisão, atualização e aprimoramento do busto legítimo sobre segurança cibernética.
Destrinchar cada uma das ações e recomendações práticas derivadas de cada uma das dez ações estratégicas tornaria esse cláusula mais extenuante e bastante longo. Logo recomendo a leitura atenta da Estratégia por profissionais de segurança, fornecedores de soluções, funcionários públicos, advogados, pesquisadores, ativistas e todos os que tiverem curiosidade, já que o tema afetará a todos, na pessoa física ou jurídica. Sempre com o...
olhar do que ainda precisará ser feito.
“Nós já estamos conversando com vários grupos do setor produtivo, da ateneu e das infraestruturas críticas, em prol de um instrumento que queremos edificar em conjunto, com toda a sociedade inclusive, por meio do Congresso Pátrio, que é o Projeto de Lei da Política Pátrio Segurança Cibernética, em período inicial de elaboração. Ela procura uma pactuação de amplos setores da sociedade”, explica Sabbat.
Também já estão em curso conversas com o Ministério da ensino para a inclusão nos currículos, começando pela Ensino Básica, de disciplinas que promovam o uso seguro de dispositivos e serviços digitais e o comportamento seguro no ciberespaço. “Inclusive, a segurança cibernética é uma instrumento da proteção de dados. Tanto que a LGPD fala em segurança da informação, que inclui a segurança cibernética”, comenta o coronel.
Recomendação, Sistema e Projecto Pátrio de Segurança Cibernética
A Política Pátrio de Segurança Cibernética, em gravidez, é que dirá o que tem que ser feito. A teoria é que ela tenha porquê instrumento um Projecto Pátrio de Segurança Cibernética e a recomende a geração de planos setoriais.
“Os planos são mais executantes”, comenta Sabbat. “O projecto é que diz quem, quando, onde, dá prazos”.
Nele, por exemplo, é que deverão constar detalhes de porquê se dará o incentivo ao desenvolvimento e uso de criptografia pátrio. Ou a liberação para negócios internacionais que dependem de padrões criptográficos, acordos e legislações internacionais.
Também devem estar na Política a geração do Sistema Pátrio de Segurança Cibernética e um Juízo Pátrio de Segurança Cibernético.
Parece confuso, mas cada um desses instrumentos tratará de secção das recomendações feitas pela Estratégia. Decorrer para tê-la publicada foi importante para poder pavimentar o caminho para o projeto de lei da Política Pátrio de Segurança Cibernética.
“Esse projeto de lei vai ser um passo significativo para o aumento da resiliência do país”, afirma Sabbat. “A estratégia sinalizou o que é preciso fazer. O projeto de lei da Política trará o alinhamento que o país precisa”.
Críticas e preocupações
Algumas das críticas e preocupações que ouvi sobre a E-Ciber foram feitas de forma anônima, com as pessoas pedindo para não serem identificadas. Outras alegaram falta de agenda para falar, porquê foi o caso da Brasscom, nominalmente citada pelo coronel Sabbat porquê uma das organizações empresariais a participar dos grupos de trabalho que geraram a Estratégia, e doConselho Empresarial de Segurança Cibernética da CompTIA no Brasil (CSEC), criado em meados do ano pretérito, iniciando agora as suas atividades.
O CSEC inclui executivos de diversas organizações, todos os setores envolvidos na infraestrutura, porquê serviços bancários e financeiros; consultoria e serviços profissionais; resguardo; varejo; aço e telecomunicações. Tem entre seus pilares de atuação a cooperação Pública/Privada, que objetiva discutir e propor medidas legais ou setoriais para melhorar a segurança cibernética. Certamente estará envolvida no processo de elaboração do PL que criará a Política Pátrio de Segurança Cibernética.
Mais de uma pessoa manifestou estranheza em ver o decreto da Estratégia Pátrio de Segurança Cibernética ser publicado antes do decreto da estruturação da Dependência Pátrio de Proteção de Dados. “Por que se deu prioridade a esse objecto, que não tem uma base prevista em lei, e a gente ainda não tem o decreto da ANPD, que diz reverência a uma lei que já está posta, está correndo e vai impactar tudo?”, questionou uma manancial para quem a prioridade deveria ser tratar da sustentação da LGPD.
“Minha opinião é que há pontos preocupantes porquê a ampliação do escopo de atuação do GSI para também abraçar estados, municípios e o setor privado em privativo. Abre-se um precedente cá perigoso, com a possibilidade de normas locais, certificações e inspeções por secção da mando em relação às organizações privadas”, disse outra pessoa próxima ao matéria.
Nos dois casos, a elaboração do PL da Política de Segurança Cibernética parece ser a chave. Sem a estratégia publicada, dificilmente o debate sobre a Política correia a bom termo. E temas porquê normas, inspeções e certificações serão objeto de debates intensos nop Congresso.
Membros da sociedade social organizada gostaram mormente da mensagem de colaboração multissetorial e de envolvimento com ateneu e sociedade social. “É alguma coisa que reforçamos muito ao Sabbat num encontro da OEA em 2017”, me disse um deles. Mas esboçaram preocupação quanto à conjugação da E-Ciber com a portaria nº 93, do GSI, de setembro de 2019, que aprovou o Vocabulário de Segurança da Informação. “É uma portaria estranhíssima, em alguns pontos aderente em outros super conflitante com a LGPD”.
Estranheza foi uma termo que apareceu muito.
“O decreto traz um objecto importante que, de roupa, merece atenção e definição de políticas. Mas raramente se vê na estratégia alguma menção à premência de investimentos na estrutura do estado, em pesquisa, em desenvolvimento de tecnologia. E aí você fica se perguntando porquê isso harmoniza com o padrão de desenvolvimento e de estado desse governo”, diz Marina Pita, coordenadora do Intervozes (Coletivo Brasil de Informação Social). “A estratégia fala em uso de fundos públicos, fomento à pesquisa, requintar a estrutura pátrio de investigação… Tudo isso custa custoso. Logo a materialização da estratégia vai ter que envolver também o Ministério da Economia…”, pondera. “Será que as cabeças econômica e política do governo estarão de pacto?”
Marina expressa preocupação também com o foco oferecido à pirataria de software no documento, um tanto exagerado. E com o trecho que fala no estabelecimento de “rotina de verificações de conformidade em segurança cibernética, internamente, nos órgãos públicos e nas entidades privadas”, porquê secção de um padrão concentrado de governança no contexto pátrio. “Esse progressão para além do setor público é um pouco estranho. Porquê será essa rotina?”, questiona.
Outro ponto que preocupa muito gente é a tipificação de crimes cibernéticos. O Novo Código Penal se debruçou muito sobre o tema. A estratégia fala em novas tipificações crimes cibernéticos, sem chegar a riscar quais seriam esses crimes não tipificados. Invasão de dispositivo já está lá. Roubo? Estelionato? “Isso gera preocupação, porque a gente defende que esses crimes sejam qualificados de forma independente dos meios onde são praticados”, comenta Marina.
O pessoal de telecom quer entender melhor, por exemplo, porquê materializar a recomendação de investimentos em “lucidez espectral”, para a estudo de frequências a término de evitar evitar ações maliciosas. Ou o que seriam considerados “requisitos mínimos” de cibersegurança a serem exigido dos fornecedores. Mormente em relação aos equipamentos que suportarão a infraestrutura 5G.
Mais questões que, provavelmente, serão cobertas pelos projecto setoriais e, portanto, objeto de intensos debates no Congresso.
De modo universal, no entanto, a percepção é a de que a estratégia parece ser boa no diagnóstico, enxurrada de boas intenções, com uma visão que parece não ser a majoritária dentro do governo de investimento em tecnologia pátrio, de padronização pátrio.
Segundo o Meio de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), foram detectados 12.365 incidentes de segurança (fraudes, malware, scan, vazamentos, entre outros) somente no contexto do Governo brasiliano. Estrebuchar a questão é urgente.
A sorte está lançada.
