Revisão de capacidade de cibersegurança – República Federativa do Brasil
Documento utilizou metodologia inédita no mundo e avaliou o quanto o país avançou em segurança na internet, além dos desafios para os próximos anos
Um verdadeiro raio-x sobre como o Brasil lida com segurança cibernética é o que apresenta um relatório que acaba de ser divulgado pela Organização dos Estados Americanos (OEA). Elaborado pelo Programa de Segurança Cibernética do Comitê Interamericano contra o Terrorismo da OEA e pelo Centro de Segurança Cibernética da Universidade de Oxford – em conjunto com representantes do governo da República Federativa do Brasil e do governo do Reino Unido, o documento traz, entre seus apontamentos, a necessidade de o país encampar a cultura da segurança na internet.
Intitulada “Revisão de capacidade de cibersegurança – República Federativa do Brasil”, a publicação analisa, em 118 páginas, avanços na área obtidos desde 2010 e desafios para os próximos anos. Os encontros e a avaliação dos pesquisadores envolvidos se deram sobre dados e a conjuntura de 2018.
Entre 2019 e junho último, foi providenciada a sistematização do relatório. Ao final deste texto, está o link para acesso à publicação completa.
O levantamento analisa quais foram os resultados do plano estratégico estabelecido pelo governo brasileiro em 2010, o chamado “Plano Brasil 2022” – que reúne uma relação de ações de cibersegurança -, que se encerra daqui dois anos. Nesse período, e mesmo um pouco antes, o país passou por testes importantes, ao receber grandes eventos internacionais sujeitos a ataques cibernéticos, como os Jogos Pan-Americanos em 2007; a visita do Papa Francisco, em 2013; a Copa do Mundo, em 2014; e os Jogos Olímpicos, em 2016.
O relatório constata que, em que pese um e outro incidente, o Brasil se saiu bem, e isso graças à articulação entre diversos grupos.
“Todos os eventos foram conduzidos eficientemente e o retorno à atividade normal foi alcançado conforme o acordo de nível de serviço aprovado […]. Os processos de tratamento de incidentes durante esses eventos mostraram que as organizações críticas para a defesa cibernética são capazes de colaborar e efetivamente reduzir o impacto desses ataques.”
CULTURA DE CIBERSEGURANÇA
É essa cultura de cibersegurança, verificada episodicamente, que precisa ser internalizada pela sociedade nacional, conforme o relatório indica em várias passagens. Para o consultor Sandro Süffert, fundador e diretor da Apura – a empresa brasileira de cibersegurança é uma das cinco organizações privadas parceiras na elaboração do documento –, de fato esse é um dos principais desafios do Brasil: encarar a segurança na internet como uma tarefa de todos.
“O relatório observa que a cultura de cibersegurança no Brasil ainda varia entre diferentes regiões do país, e entre diferentes setores do governo e da economia. De parte do cidadão, é uma minoria dos usuários de internet que faz uma avaliação crítica daquilo com o que tem contato em sites, e-mail, redes sociais, aplicativos de mensagens. Ainda não há uma ‘cibereducação’, isto é, uma formação das pessoas para o ciberespaço”, ressalta Sandro Süffert.
EDUCAÇÃO E LEI CAROLINA DIECKMANN
Falta, ainda, um programa nacional de “conscientização” sobre segurança cibernética, frisa o relatório, ponto destacado também pelo consultor e diretor da Apura. “No decorrer da análise, o órgão de conscientização mais importante reconhecido pelos participantes [pesquisadores] foi a SaferNet Brasil, uma ONG criada em 2005. Essa ONG tem estabelecido parcerias [com órgãos governamentais] para ‘proteger os direitos humanos e servir como linha direta, linha de ajuda e modo de conscientização no Brasil’”, exemplifica a publicação.
Em contrapartida, instrumentos legais, frutos de discussão e envolvimento de atores sociais diversos, foram estabelecidos na atual década. O relatório cita a Lei de Crimes Cibernéticos (Lei Federal 12.737/2012), a chamada “Lei Carolina Dieckmann”; e o Marco Civil da Internet (Lei Federal 12.965/2014), como as “peças de legislação” “relevantes” e “importantes”. Sandro Süffert acrescenta entre os instrumentos legais a Lei Geral de Proteção de Dados, sancionada em 2018, pouco depois do período de realização da pesquisa, resultado de quase oito anos de discussão.
RESPOSTA A INCIDENTES
O raio-x indica ainda que a estrutura de organismos de resposta a incidentes de segurança cibernética não alcança todas as regiões do Brasil. Equipes de entidades governamentais, instituições acadêmicas e empresariais se concentram sobretudo em São Paulo, Rio de Janeiro e Brasília.
Há também presenças em São José dos Campos e Campinas (SP); Belo Horizonte e Uberlândia (MG); no sul, em Porto Alegre (RS); e no nordeste, em Salvador (BA) e Natal (RN). Sandro Süffert salienta uma constatação do relatório neste ponto: a de que onde há esses organismos, existe oferta de cursos ou campanhas de conscientização, voltadas, inclusive, ao público em geral.
INFRAESTRUTURA CRÍTICA
O levantamento averiguou que setores de atividades da chamada “infraestrutura crítica” (em linhas gerais, aquelas que, em razão de sua natureza, se tornam alvos prioritários de ataques cibernéticos) adotam “políticas e procedimentos claramente definidos em vigor”. Atuação que deve ser seguida por todas as instituições públicas, de acordo com o que recomenda o relatório.
“As principais empresas líderes do setor privado começaram a priorizar uma mentalidade de segurança cibernética, mediante a identificação de práticas de alto risco. Os setores financeiro e de TI estão mais avançados em segurança cibernética; por serem alvos mais frequentes, investem mais em segurança cibernética”, informa o documento.
Mas, reiterando as palavras do próprio relatório, Sandro Süffert vê a sociedade “como um todo” ainda carecendo de uma “mentalidade de segurança cibernética”. Neste sentido, o consultor ressalta a importância de o tema se fazer cada vez mais presente nos meios de comunicação. Segundo o relatório, a abordagem ainda é “esporádica”.
METODOLOGIA E DECLARAÇÕES INTERNACIONAIS
O relatório foi desenvolvido com a metodologia do Modelo de Maturidade da Segurança Cibernética e avaliou cinco dimensões específicas para determinar o nível de preparação do Brasil por meio de consultas a órgãos e membros do setor público e equipe de resposta. É a primeira vez que a metodologia é implementada em um determinado país.
A secretária de Segurança Multidimensional da OEA, Farah Urrutia, afirmou: “Este relatório ajudará o Brasil a conhecer suas verdadeiras capacidades, áreas de oportunidade e a priorizar esforços e investimentos em cibersegurança”. Da mesma forma, ela destacou que “Embora a região esteja passando por uma transformação notável devido à pandemia Covid-19, estamos convencidos de que a segurança cibernética deve ser uma prioridade para o Brasil e toda a região”.
Por sua vez, Liz Davidson, encarregada de negócios da Missão Diplomática Britânica no Brasil, disse: “A crise global causada pela pandemia Covid-19 destacou ainda mais alguns dos desafios que enfrentamos como governos na área de segurança cibernética, e a troca de experiências e apoio entre governos é ainda mais importante. Estamos, portanto, muito honrados que o Programa de Acesso Digital do Governo Britânico tenha apoiado o desenvolvimento deste relatório com o Brasil e esperamos que seja, como é para nós, um importante instrumento para melhorar nossas capacidades”.