Letícia Paiva
No Brasil, os últimos anos foram recheados de falhas de segurança que colocaram em risco dados pessoais e também o funcionamento de políticas públicas: o sistema do SUS ficou fora do ar após um ataque hacker, dados das CNHs de brasileiros foram expostas, o PIX se viu sob ameaça mais de uma vez…
Esses incidentes demandam respostas eficientes, que ainda estão sendo criadas e dependem de ajustes. A capacidade de responder a um incidente de segurança cibernética na nova realidade foi tema de debate em evento realizado na Casa JOTA com apoio da Microsoft e organização da Associação Brasileira de Empresas de Software (ABES) e do Information Technology Industry Council (ITI), nesta quarta-feira (29/6).
“Precisamos entender o grau de atenção que cada incidente deve receber. Além disso, os recursos para lidar com segurança nos governos são limitados, por isso é importante que haja uma colaboração entre o setor público e o privado, para que eles sejam administrados da melhor forma”, afirmou Courtney Lang, do ITI, durante o painel “respondendo a um incidente de segurança cibernética na nova realidade”.
Assim, a troca de conhecimentos – em ambas as direções – também pode ser imprescindível para melhora o nível das respostas. “Na cibersegurança, é mais arriscado não compartilhar informação. Colocar informação na mesa que seja interessante para as empresas, que só o governo americano tem, pode ser necessário”, afirmou Patrícia Soler, chefe de seção da Agência de Segurança Cibernética e Infraestrutura (CISA) dos Estados Unidos.
Ela contou sobre a experiência da agência em criar um grupo de colaboração entre o governo e 21 empresas, como IBM, Google e Microsoft, para planejar e executar ações conjuntas de cibersegurança. “Com a invasão da Ucrânia, todas as empresas querem saber o máximo do que nós sabemos; lógico que não podemos compartilhar tudo, mas ao menos uma parte. Muitas empresas têm patrimônio em jogo e podem ajudar”, disse.
Essa é uma das poucas iniciativas estruturadas no mundo para que essa comunicação aconteça de forma regular, e não apenas diante de incidentes específicos. No Brasil, o setor público, por estar mais vulnerável a ataques, já tem lições que poderiam ir para o setor privado, e vice-versa.
“Vimos que organismos privados passaram por incidentes parecidos com o que já tínhamos lidado, e se já tivéssemos tido essa colaboração poderia ser evitado. A necessidade de quebrar essas barreiras existe, por isso há muito benefício em ter parcerias público-privadas”, afirmou Jackeline Almeida, coordenadora-geral de infraestrutura de TI e segurança da informação do Departamento de Informática do SUS e Ministério da Saúde.
Na saúde, por conta de muitos ataques, houve um amadurecimento para responder a incidentes. Nesse caso, uma das apostas é contar com a ação dos usuários, como profissionais de saúde. “Queremos que eles entendam o papel deles em nos ajudar a identificar situações novas. A partir desses incidentes, conseguimos criar nossas bases de conhecimento para dar uma resposta cada vez mais rápido”, disse.
Uma das barreiras para que sejam mantidas parcerias público-privadas mais robustas seria a dificuldade em formalizar acordos em um campo ainda novo, que nem sempre se adequa às exigências contratuais impostas ao setor público. Essa é a visão de Victor Hugo Rosas, coordenador-geral de Gestão da Segurança da Informação do Gabinete de Segurança Institucional (GSI), do governo federal.
“Temos trabalhado caso a caso, então as parcerias e comunicações não são tão sistematizadas. Não temos conseguido fazer a formalização de acordos, com validade jurídica. É muito complexo assinar um memorando de entendimento com um parceiro quando os contratos não atendem certos requisitos formais”, apontou.
