Governo discute lei de segurança para deixar país menos exposto a hackers

Criar uma lei de segurança cibernética. Colocar os conhecimentos de como se manter seguro no mundo digital no currículo escolar, ao lado de outras disciplinas como matemática e português. Fazer do GSI (Gabinete de Segurança Institucional) da Presidência da República o órgão central do ambiente cibernético brasileiro.

Essas e outras propostas foram reunidas pelo GSI na proposta de Estratégia Nacional de Segurança Cibernética. Apelidada de E-Ciber, ela entrou em consulta pública na semana passada.

Uma vez aprovada, ela norteará como o governo administra a segurança de seus sistemas da tecnologia da informação, como o Brasil se relaciona com entidades internacionais e como o país assegura que sua infraestrutura não será vulnerável, já que cada vez mais eletrônicos estão conectados. Isso significa mais interação entre os aparelhos, mas também mais portas abertas para hackers.

O E-Ciber foi elaborado após sete meses de reuniões e debates com mais de 40 órgãos governamentais, instituições privadas e do setor acadêmico. O documento final foi organizado com a coordenação do GSI.

Hoje o país possui um cenário com boas iniciativas, porém fragmentadas. Nota-se a falta de alinhamento normativo, estratégico e operacional, que resulta na adoção de grande número de linhas de ação em segurança cibernética, que por sua vez leva a um cenário de diversos níveis de esforços no tema, nem sempre com o resultado positivo esperado
General Antonio Carlos de Oliveira Freitas, diretor do Departamento de Segurança da Informação do GSI, por email

Brasil exposto

A análise feita pelo general ecoa o diagnóstico que o GSI faz da situação cibernética do Brasil no E-Ciber.

Ainda que seja um dos maiores mercados de telecomunicações das Américas, o Brasil está atrás de nações menores e com menos recursos como Barbados, Argentina e Chile no ranking da ONU (Organização das Nações Unidas) que avalia o índice de desenvolvimento em tecnologia da informação. Em termos globais, estamos em 66º lugar.

O quadro pintado pelo GSI é de que, ainda que tenha um alto nível de conexão, o Brasil descuida da segurança. Quase todas as empresas usam internet, chegamos a 75% o total de casas conectadas e há internet em todos os órgãos federais e estaduais.

Ao mesmo tempo, só 11% das entidades federais gerem de forma adequada suas áreas de tecnologia. O país é o segundo que mais registra prejuízo com ataque cibernético, na casa dos US$ 22,5 bilhões e que fizeram 70,4 milhões de vítimas, segundo a ONU.

Esse desleixo cibernético, avalia o GSI, pode afetar a economia do país, ainda mais se ações criminosas forem direcionadas ao governo e às chamadas infraestruturas críticas (IFCs), como as do setor financeiro, elétrico, de telecomunicações e grandes gestoras de dados, como Dataprev, Serpro e Prodesp.

"À medida que as infraestruturas de informação e de comunicação se tornam globalmente interligadas, tornam-se alvo de malwares, hackers, hacktivistas e de operações estatais adversas. Além disso, a interconectividade global de algumas IFCs significa que uma parte vulnerável pode se tornar o elo mais fraco e, portanto, um risco para outras nações", diz o general.

GSI no comando

Para solucionar algumas destas questões e promover uma estratégia para o futuro, o E-Ciber propõe dez ações estratégicas sugeridas (veja abaixo), divididas em dois eixos.

O primeiro eixo trata mais da reorganização das instituições já existentes e de uma mudança de postura do Brasil em relação a órgãos internacionais.

Para conduzir as ações, a proposta é que o GSI assuma o posto central em um Sistema Nacional de Segurança Cibernética. O GSI já possui um departamento dedicado a avaliar incidentes digitais no governo: o Centro de Tratamento e Resposta a Incidentes de Governo (CTIR Gov).

"O GSI já possui experiência e conhecimento na coordenação de ações diversificadas em relação à segurança cibernética, tanto no campo da gestão como no campo do tratamento e resposta aos incidentes", afirma o general Oliveira Freitas.

"Ampliar seu âmbito de ação proporcionará alinhamento estratégico à segurança cibernética e contribuirá para elevar e fortalecer essa segurança", justifica.

A ideia é que esse órgão coordene o trabalho de entidades relacionadas a esse assunto em outros setores, como os centros do Judiciário, Legislativo, da academia, dos provedores de acesso, de infraestrutura crítica (energia, financeiro, telecomunicações e dados).

Com isso, o GSI seria notificado dos incidentes cibernéticos nestas áreas. Segundo o general Oliveira Freitas, averiguar essas situações permitiria que o órgão pudesse "emitir alertas, recomendações, analisar tendências de ameaças cibernéticas e elaborar relatórios estatísticos, atuando somente em redes abertas e em coordenação com centros que prestam serviços de tratamento e resposta a entidades privadas".

O GSI não se sobreporia ao Comando de Defesa Cibernético (ComDCiber), braço das Forças Armadas dedicadas à defesa das infraestruturas digitais do Brasil.

"O ComDCiber e os centros das Forças Armadas atuam na defesa cibernética, que se constitui em uma atividade de natureza bélica, de atuação episódica (em situação real). Por essas razões, possuem intensa atuação na defesa das infraestruturas críticas nacionais", afirma o general.

Ainda dentro dessa linha de atuação, o E-Ciber propõe que o GSI ajude na elaboração de políticas públicas. Uma das propostas, por exemplo, é que sejam criados incentivos para que a indústria desenhe produtos com configurações de fábrica para assegurar a privacidade dos usuários e protegê-los de criminosos. Outro plano é implantar mecanismos que forcem órgãos públicos a comprar serviços ou produtos que tenham essas configurações por padrão.

Nova lei só para cibersegurança

O segundo eixo de ações trata de modificações mais profundas. Apesar de o Brasil já possui legislações que tratem do mundo digital, como o Marco Civil da Internet (a "Constituição da Internet"), a Lei Carolina Dieckmann (crimes cibernéticos) e a Lei Geral de Proteção de Dados, o E-Ciber indica a necessidade de uma nova legislação, que trate da segurança cibernética.

Segundo o general Oliveira Freitas, essa nova lei serviria tanto para a reorganização institucional, de modo que o GSI ganhasse relevância como coordenador da questão cibernética no Brasil, como serviria também para reordenar a comunicação e investigação de crimes cibernéticos e até para tipificar novos crimes digitais.

A lei poderia estabelecer ainda, diz o diretor do DSI/GSI, que as agências reguladoras exigissem que as empresas de suas respectivas áreas seguissem as normas de segurança cibernética.

Além disso, o E-Ciber estipula que o poder público invista em ferramentas inovadoras de segurança cibernética e que o Brasil amplie a cooperação internacional com órgãos da área, como o FIRST (Fórum de Resposta a Incidentes e Times de Segurança) e o Nat CSIRT (Encontro Técnico Anual para CSIRTs com Responsabilidade Nacional). Ambos são considerados pelo general Oliveira Freitas como de "extrema relevância" para tratamento e resposta a incidentes, sobretudo as governamentais.

Para se ter ideia da disparidade da representação do Brasil nessas organizações em relação a outros países, dos 492 membros do FIRST, só quatro são brasileiros (Axur, CAIS/RNP, CERT.br, CSIRT-ARCON). A Colômbia, por sua vez, possui 11 membros e a Austrália, sete.

Ciberescolas

Segundo o E-Ciber, a educação é crucial para transformar o cenário cibernético do Brasil. Por isso, o assunto deve ser tratado já nas escolas de nível infantil, passando pelas de ensino fundamental e chegando às do médio.

"As ações no campo educacional referentes à segurança cibernética são imprescindíveis, diante do imenso risco a que, especialmente, as crianças e os adolescentes estão expostos no ambiente cibernético", diz o general Oliveira Freitas.

Esta no entanto é apenas parte da abordagem do documento para o ensino. O E-Ciber propõe ainda a formação de especialistas em segurança digital e até a formação de um banco de talentos na área.

A consulta pública sobre o E-Ciber está aberta até 1º de outubro. As sugestões serão compiladas pelo GSI em um documento enviado à Casa Civil, que avaliará a publicação da estratégia. Não há previsão de quando isso deve acontecer, mas ideia é que o E-Ciber tenha vigência assim que for publicado no Diário Oficial da União e expire em 2020.

Veja as ações:

1. Fortalecer as ações de governança cibernética
2. Estabelecer um modelo centralizado de governança no âmbito nacional.
3. Promover um ambiente colaborativo, participativo, confiável e seguro, envolvendo setor público, setor privado e sociedade.
4. Elevar o nível de proteção do Governo.
5. Elevar o nível de proteção das Infraestruturas Críticas Nacionais.
6. Aprimorar o arcabouço legal sobre segurança cibernética.
7. Incentivar a concepção de soluções inovadoras em segurança cibernética.
8. Ampliar a cooperação internacional do Brasil em Segurança Cibernética.
9. Ampliar a parceria, em segurança cibernética, entre setor público, setor privado, academia e sociedade.
10. Elevar o nível de maturidade da sociedade em Segurança Cibernética.