Como parte da série sobre o direito e a Internet das Coisas (‘internet of things’ ou ‘IoT’), em parceria com o JOTA, este artigo discute os rumos do modelo institucional brasileiro para o tema de segurança da informação.¹

A IoT é caracterizada pela adoção em massa de dispositivos e sensores de baixo custo, que em muitas vezes não atendem a padrões de segurança mínimos, conectados a redes por vezes inseguras. Somada à natureza “sem fronteiras” de incidentes e a possibilidade para a expansão de vulnerabilidades, entra em pauta a preocupação com a segurança de redes e dispositivos.

+JOTA: O Direito da Internet das Coisas – desafios e perspectivas de IoT no Brasil

O momento é oportuno. Raramente um dia se passa sem que haja notícias e estatísticas sobre novos incidentes maliciosos a dispositivos e redes, danos causados e investimentos considerados necessários para proteção contra novas falhas ou ataques. Dados demonstram que o Brasil foi o segundo país que mais sofreu perdas financeiras com crimes cibernéticos em 2017 (em torno de US$ 22 bilhões), sendo superado apenas pela China.² Cerca de 62 milhões de brasileiros foram afetados no período por incidentes como hacking (acesso não autorizado a dispositivos) e ataques distribuídos de negação de serviço (nos quais o tráfego de dados decorrente de uma imensidão de dispositivos é direcionado a um servidor, a fim de sobrecarrega-lo).³

Com o avanço da adoção de dispositivos e serviços IoT na vida doméstica e em setores como saúde, rural e indústrias, a questão se torna ainda mais imediata e amplia exponencialmente os valores envolvidos – em termos de prejuízos e medidas para mitigação de riscos.

+JOTA: Neutralidade da rede e Internet das Coisas no Brasil: uma relação harmônica

Panorama internacional. Face a esse cenário, uma primeira preocupação tem a ver com o modelo adotado pelo Brasil para a cooperação com outros países na proteção contra crimes cibernéticos, notadamente considerando seu caráter transnacional. Atualmente, o país opta pela assinatura de ‘Acordos de Troca e Proteção Mútua de Informações Classificadas‘ com países estratégicos.⁴ Esses acordos permitem o auxílio direto entre um país e outro e a troca de experiências institucionais e de melhores práticas. Ainda assim, é tempo para aprimorarmos os mecanismos atuais para a prevenção e tratamento de incidentes com outros países, equilibrando as medidas previstas para cooperação policial e o respeito aos direitos fundamentais do indivíduo.

Uma possibilidade viável é justamente buscar adotar um maior número de Acordos de Troca e Proteção Mútua de Informações Classificadas. Por um lado, esse modelo apresenta desafios, como a dificuldade em acompanhar a troca de dados simultânea entre diversos países – o que seria impulsionado pela IoT. Por outro, a busca por novos acordos pode enriquecer o ordenamento jurídico interno brasileiro, além de assegurar que o mesmo permaneça pari passu com o que há de mais contemporâneo em termos de arcabouço normativo de cibersegurança. De forma complementar, o Brasil pode se aproximar da liderança regional exercida pela Organização dos Estados Americanos (OEA) e dos seus programas de segurança cibernética, de modo a fortalecer a cooperação regional e internacional no tópico.

Outro movimento importante para a adoção de melhores práticas internacionais é garantir que o País acompanhe as iniciativas de definição de standards internacionais, bem como de autorregulação ou de regulação híbrida com relação a temas de cibersegurança. Incentivar que fornecedores de equipamentos, software e outros insumos de IoT estejam certificados por organizações internacionais (tais como a IEEE) é um caminho efetivo, de baixo custo institucional e capaz de produzir resultados imediatos.

+JOTA: Qual o conceito de M2M e por que isso importa para o desenvolvimento de IoT?

Arranjo institucional. Já no âmbito interno, hoje não é possível identificar uma estrutura de governança definida na Administração Pública Federal em relação à segurança da informação, o que representa um gargalo na adoção e coordenação de medidas. É fundamental que o País defina uma estratégia de segurança da informação, cujo norte seja a atuação multissetorial, isto é, a cooperação entre os diversos setores relevantes, como o Poder Público, setor privado, academia, comunidade técnica e científica, além da sociedade civil.

Há alguns modelos institucionais possíveis, como a criação de um conselho permanente, que poderia atuar em caráter consultivo para a elaboração de políticas nacionais e como um hub de articulação entre diferentes setores. Este conselho poderia ser composto por estrutura adequada para a proteção da segurança da informação no contexto da adoção e desenvolvimento de IoT, e para a coordenação da cooperação entre os órgãos e entidades do Poder Público. É o modelo escolhido pela Holanda, com o Nationaal Cyber Security Centrum. O órgão é responsável por supervisionar a estratégia nacional em cibersegurança e é composto por membros do governo, indústria, comunidade científica, setor público e iniciativa privada.⁵

Qualquer que seja o modelo adotado, o fundamental é criar ou designar um órgão competente que atue para a criação de um ambiente de confiança entre o Poder Público e a iniciativa privada, a sociedade civil e a academia. Trata-se de passo essencial para tratar de temas de cibersegurança.

+JOTA: A necessidade de investimentos na infraestrutura de telecomunicações

Infraestruturas críticas. Outro aspecto estratégico no tema de segurança da informação e IoT diz respeito ao grau de segurança de infraestruturas consideradas críticas, como redes de saneamento básico e energia elétrica.⁶ Com a adoção em massa de soluções de IoT, uma falha de segurança ou ataque malicioso aos sistemas envolvidos na prestação de serviços essenciais traria um impacto social tremendo, o que exige robustez redobrada em medidas de segurança da informação.⁷

Embora já haja atualmente iniciativas no âmbito da Administração Federal, ligadas ao Gabinete de Segurança Institucional da Presidência da República, deve haver engajamento na coordenação de esforços e no estabelecimento de parcerias com, por exemplo, centros técnicos.⁸ Isso se deve em função do dinamismo associado a esse tipo de risco. Como exemplo da relevância da cooperação entre diferentes atores, em caso recente, um software malicioso infectou os sistemas de três subestações de distribuição de energia elétrica em país do leste europeu, deixando centenas de milhares de cidadãos sem energia elétrica até ser detectado por pesquisadores e corrigido.⁹

Uma possibilidade imediata é a criação de roadmaps por ministérios e órgãos públicos para a prevenção de incidentes de segurança, detecção, resposta e gestão de crises. Outro ponto é a possibilidade de agências reguladoras exigirem que concessionárias respeitem aspectos mínimos de segurança da informação.

+JOTA: Principais desafios tributários do ambiente de Internet das Coisas

Próximos passos. O desenvolvimento da Internet das Coisas no Brasil deve ser acompanhado de medidas concretas por parte do Poder Público para garantir a construção de um ambiente de confiança e o avanço de um ambiente institucional adequado para a segurança da informação. Um primeiro passo nesse sentido é definir uma estratégia clara baseada na cooperação entre o Estado, a sociedade, a iniciativa privada e os demais setores – o que, em nosso entendimento, passa pelos elementos aqui tratados.

No próximo artigo da série sobre direito e Internet das Coisas, continuamos o debate com uma contribuição sobre o arranjo institucional para a proteção de dados no Brasil. Até lá!

——————————

Mateus Piva Adami – Doutorando e Mestre em Direito Público pela Universidade de São Paulo (USP). Professor do Programa de pós-graduação Lato Sensu da FGV Direito São Paulo (FGVlaw) e Sócio de Pereira Neto Macedo Advogados.
Daniel Douek – mestre em Direito da Concorrência pela King’s College London. Sócio de Pereira Neto, Macedo Advogados
Philippe Sundfeld – mestre em Direito da Propriedade Intelectual pela King’s College London. Advogado de Pereira Neto, Macedo Advogados