Após estratégia, GSI elabora a Política Nacional de Segurança Cibernética

Uma carta de boas intenções, que endereça preocupações pontuais. Em resumo, foi com esse pensamento que parte da sociedade brasileira recebeu a criação da Estratégia Nacional de Segurança Cibernética – E-Ciber, instituída pelo Decreto nº 10.222 no último dia 6 de fevereiro. As atenções agora se voltam para a materialização das dez ações estratégicas apontadas no documento, e para a criação de uma Política Nacional de Cibersegurança. Um projeto de lei já está em elaboração no Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República (DSI/GSIPR). E a expectativa é de que ele possa ser enviado ao Congresso até o fim deste ano.

"A ideia é que o PL seja debatido em audiência públicas na Câmara e no Senado", comenta o Coronel Arhur Pereira Sabbat, assessor do DSI. "Mas ele ainda está em estágio inicial de elaboração.  Deverá ser analisado pelo GSI, pela Presidência…. ainda há passos a serem seguidos".

Arthur Pereira Sabbat, assessor do Departamento de Segurança da Informação do GSI Foto: Jane de Araújo/Agência Senado

Colunistas do UOL

O país já tem hoje uma Política Nacional de Segurança da Informação (PNSI), instituída por decreto de Michel Temer (o nº 9.637) em dezembro de 2018, seis dias antes de deixar a Presidência.  "Como segurança da Informação é uma área temática muito extensa, tem um guarda chuva muito grande, o próprio decreto 9.637 trouxe a orientação de que a Estratégia Nacional de Segurança da Informação fosse constituída em módulos. E nós optamos por elaborar o módulo da Estratégia Nacional de Segurança Cibernética", comenta o coronel Sabbat, que foi um dos elaboradores da E-Ciber.

A Segurança Cibernética é o carro chefe da Segurança da Informação, segundo o coronel Sabbat, e o que concerne ao GSI. Ao lado dela estão outros temas importantes como o tratamento da informação classificada, o credenciamento de segurança, a segurança física para proteção das informações, segurança das infraestruturas críticas, e também a defesa cibernética (olhar bélico, mais relacionado às ciberguerras, que está no escopo do Ministério da Defesa).

O objetivo principal da E-Ciber, segundo o coronel Sabbat, foi apresentar para a sociedade brasileira os grandes rumos que o governo federal considera essenciais para que o país, a sociedade e as instituições, incluindo aí empresas públicas e privadas, possam realmente estar protegidos no ciberespaço. São três os objetivos principais: tornar o Brasil mais próspero e confiável no ambiente digital; aumentar a resiliência brasileira às ameaças cibernéticas; e fortalecer a atuação brasileira em segurança cibernética no cenário internacional.

O texto nasceu da avaliação de um cenário, um diagnóstico elaborado por três grupos de trabalho, envolvendo mais de 40 órgãos públicos e empresas privadas, representantes de infraestruturas críticas, da academia, consultores e  especialistas no tema, que se reuniram durante sete meses. E segundo o qual, apesar do nível de segurança cibernética do país e das nossas instituições, públicas e privadas, não ser baixo, falta um alinhamento maior nas ações de prevenção, defesa e resposta a incidentes.

"O que fizemos foi uma análise sintomática do cenário complexo pelo qual o Brasil passa. Nós temos ameaças cibernéticas crescentes, índices crescentes de crimes cibernéticos, iniciativas de proteção muito boas, mas fragmentadas, e uma baixa maturidade de cibersegurança", explica Sabbat.

Depois desses sete meses, ainda no fim do ano passado, o texto foi colocado em consulta pública. Foi a primeira vez que um instrumento do GSI foi para consulta pública.  O órgão recebeu 167 contribuições, das quais 90 foram aceitas. O resultado é considerado viável e adequado ao Brasil. E, de fato provocou poucas críticas. A maioria delas referentes à falta de metas palpáveis, diretrizes e objetivos.

"Acontece que para que uma estratégia sobre um tema tão abrangente e tão transversal como esse dê certo é necessária uma pactuação entre todos os envolvidos. Ela precisa do auxílio de todos os órgãos públicos, nas diferentes esferas, federal, estadual e municipal, dos três poderes, do setor produtivo e a iniciativa privada, da academia, da imprensa e sociedade, para implementação das ações propostas", comenta Sabbat.

Em linhas gerais, a E-Ciber propõe 10 ações estratégicas, formuladas a partir da análise de 7 eixos temáticos (Governança da Segurança Cibernética Nacional; Universo conectado e seguro: prevenção e mitigação de ameaças cibernética; Proteção estratégica; Dimensão normativa; Pesquisa, desenvolvimento e inovação; Dimensão internacional e parcerias estratégicas; e Educação).

Essas 10 ações se desdobram em ações práticas que podem ser encaradas como recomendações de fácil execução por parte de órgãos e empresas públicas, academia e empresas privadas.  Entre elas estão, por exemplo, a recomendação de soluções nacionais de criptografia; a intensificação ao combate à pirataria de software; a ampliação do uso de certificação digital; a promoção de um ambiente participativo, colaborativo e seguro, entre as organizações públicas, as instituições privadas, a academia e a sociedade, por meio do acompanhamento contínuo e proativo das ameaças e dos ataques cibernéticos, com o objetivo de, entre outras questões, estimular o compartilhamento de informações sobre incidentes e vulnerabilidades cibernéticas; e a realizar ações de conscientização da população sobre o tema.

Já outras vão depender de um debate mais aprofundado, envolvendo toda a sociedade, para a elaboração de normas, regulamentos e até mesmo leis, como a viabilização de  investimentos em pesquisas, por meio dos fundos públicos e privados e a criação de  programas de incentivo ao desenvolvimento de soluções de segurança cibernética.  Ou a definição dos requisitos de segurança cibernética que deverão ser exigidos nas contratações estabelecidas pelos órgãos e entidades do Governo. O estabelecimento de um modelo centralizado de governança para o país, por meio de um sistema nacional de segurança cibernética. E ainda a revisão, atualização e aprimoramento do arcabouço legal sobre segurança cibernética.

Destrinchar cada uma das ações e recomendações práticas derivadas de cada uma das dez ações estratégicas tornaria esse artigo mais cansativo e bastante longo. Então recomendo a leitura atenta da Estratégia por profissionais de segurança, fornecedores de soluções, funcionários públicos, advogados, pesquisadores, ativistas e todos os que tiverem curiosidade, já que o assunto afetará a todos, na pessoa física ou jurídica. Sempre com o olhar do que ainda precisará ser feito.

"Nós já estamos conversando com vários grupos do setor produtivo, da academia e das infraestruturas críticas, em prol de um instrumento que queremos construir em conjunto, com toda a sociedade inclusive, por meio do Congresso Nacional, que é o Projeto de Lei da Política Nacional Segurança Cibernética, em fase inicial de elaboração. Ela busca uma pactuação de amplos setores da sociedade", explica Sabbat.

Também já estão em andamento conversas com o Ministério da educação para a inclusão nos currículos, começando pela Educação Básica, de disciplinas que promovam o uso seguro de dispositivos e serviços digitais e o comportamento seguro no ciberespaço. "Inclusive, a segurança cibernética é uma ferramenta da proteção de dados. Tanto que a LGPD fala em segurança da informação, que inclui a segurança cibernética", comenta o coronel.

Conselho, Sistema e Plano Nacional de Segurança Cibernética

A Política Nacional de Segurança Cibernética, em gestação, é que dirá o que tem que ser feito. A ideia é que ela tenha como instrumento um Plano Nacional de Segurança Cibernética e  a recomende a criação de planos setoriais.

"Os planos são mais executantes", comenta Sabbat. "O plano é que diz quem, quando, onde, dá prazos".

Nele, por exemplo, é que deverão constar detalhes de como se dará o incentivo ao desenvolvimento e uso de criptografia nacional. Ou a liberação para negócios internacionais que dependem de padrões criptográficos, acordos e legislações  internacionais.

Também devem estar na Política a criação do Sistema Nacional de Segurança Cibernética e um Conselho Nacional de Segurança Cibernético.

Parece confuso, mas cada um desses instrumentos tratará de parte das recomendações feitas pela Estratégia.  Correr para tê-la publicada foi importante para poder pavimentar o caminho para o projeto de lei da  Política Nacional de Segurança Cibernética.

"Esse projeto de lei vai ser um passo significativo para o aumento da resiliência do país", afirma Sabbat. "A estratégia sinalizou o que é preciso fazer. O projeto de lei da Política trará o alinhamento que o país precisa".

Críticas e preocupações

Algumas das críticas e preocupações que ouvi sobre a E-Ciber foram feitas de forma anônima, com as pessoas pedindo para não serem identificadas. Outras alegaram falta de agenda para falar, como foi o caso da Brasscom, nominalmente citada pelo coronel Sabbat como uma das organizações empresariais a participar dos grupos de trabalho que geraram a Estratégia, e doConselho Empresarial de Segurança Cibernética da CompTIA no Brasil (CSEC), criado em meados do ano passado, iniciando agora as suas atividades.

O CSEC inclui executivos de diversas organizações, todos os setores envolvidos na infraestrutura, como serviços bancários e financeiros; consultoria e serviços profissionais; defesa; varejo; aço e telecomunicações. Tem entre seus pilares de atuação a cooperação Pública/Privada, que objetiva discutir e propor medidas legais ou setoriais para melhorar a segurança cibernética. Certamente estará envolvida no processo de elaboração do PL que criará a Política Nacional de Segurança Cibernética.

Mais de uma pessoa manifestou estranheza em ver o decreto da Estratégia Nacional de Segurança Cibernética ser publicado antes do decreto da estruturação da Agência Nacional de Proteção de Dados.  "Por que se deu prioridade a esse assunto, que não tem uma base prevista em lei, e a gente ainda não tem o decreto da ANPD, que diz respeito a uma lei que já está posta, está correndo e vai impactar tudo?", questionou uma fonte para quem a prioridade deveria ser tratar da sustentação da LGPD.

"Minha opinião é que há pontos preocupantes como a ampliação do escopo de atuação do GSI para também abarcar estados, municípios e o setor privado em especial. Abre-se um precedente aqui perigoso, com a possibilidade de normas locais, certificações e inspeções por parte da autoridade em relação às organizações privadas", disse outra pessoa próxima ao assunto.

Nos dois casos,  a elaboração do PL da Política de Segurança Cibernética parece ser a chave. Sem a estratégia publicada, dificilmente o debate sobre a Política correia a bom termo.   E temas como normas, inspeções e certificações serão objeto de debates intensos nop Congresso.

Membros da sociedade civil organizada gostaram especialmente da mensagem de colaboração multissetorial e de envolvimento com academia e sociedade civil. "É algo que reforçamos muito ao Sabbat num encontro da OEA em 2017", me disse um deles. Mas esboçaram preocupação quanto à conjugação da E-Ciber com a portaria nº 93, do GSI, de setembro de 2019, que aprovou o Glossário de Segurança da Informação. "É uma portaria estranhíssima, em alguns pontos aderente em outros super conflitante com a LGPD".

Estranheza foi uma palavra que apareceu muito.

"O decreto traz um assunto importante que, de fato, merece atenção e definição de políticas. Mas raramente se vê na estratégia alguma menção à necessidade de investimentos na estrutura do estado, em pesquisa, em desenvolvimento de tecnologia. E aí você fica se perguntando como isso harmoniza com o modelo de desenvolvimento e de estado desse governo", diz Marina Pita, coordenadora do Intervozes (Coletivo Brasil de Comunicação Social). "A estratégia fala em uso de fundos públicos, fomento à pesquisa, aperfeiçoar a estrutura nacional de investigação… Tudo isso custa caro. Então a materialização da estratégia vai ter que envolver também o Ministério da Economia…", pondera. "Será que as cabeças econômica e política do governo estarão de acordo?"

Marina expressa preocupação também com o foco dado à pirataria de software no documento, um tanto exagerado. E com o trecho que fala no estabelecimento de "rotina de verificações de conformidade em segurança cibernética, internamente, nos órgãos públicos e nas entidades privadas", como parte de um modelo centralizado de governança no âmbito nacional. "Esse avanço para além do setor público é um pouco estranho. Como será essa rotina?", questiona.

Outro ponto que preocupa muito gente é a tipificação de crimes cibernéticos. O Novo Código Penal se debruçou muito sobre o tema. A estratégia fala em novas tipificações crimes cibernéticos, sem chegar a desenhar quais seriam esses crimes não tipificados. Invasão de dispositivo já está lá. Extorsão? Estelionato? "Isso gera preocupação, porque a gente defende que esses crimes sejam qualificados de forma independente dos meios onde são praticados", comenta Marina.

O pessoal de telecom quer entender melhor, por exemplo, como materializar a recomendação de investimentos em "inteligência espectral", para a análise de frequências a fim de evitar evitar ações maliciosas. Ou o que seriam considerados "requisitos mínimos" de cibersegurança a serem exigido dos fornecedores. Especialmente em relação aos equipamentos que suportarão a infraestrutura 5G.

Mais questões que, provavelmente, serão cobertas pelos plano setoriais e, portanto, objeto de intensos debates no Congresso.

De modo geral, no entanto, a percepção é a de que a estratégia parece ser boa no diagnóstico, cheia de boas intenções, com uma visão que parece não ser a majoritária dentro do governo de investimento em tecnologia nacional, de padronização nacional.

Segundo o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), foram detectados 12.365 incidentes de segurança (fraudes, malware, scan, vazamentos, entre outros) somente no contexto do Governo brasileiro. Atacar a questão é urgente.

A sorte está lançada.