João Pedro Paro

No dia 6 de fevereiro de 2020 foi publicado o <a href="http://www.in.gov.br/web/dou/-/decreto-n-10.222-de-5-de-fevereiro-de-2020-241828419?inheritRedirect=true&amp;redirect=%2Fweb%2Fguest%2Fsearch%3FqSearch%3DEstrat%25C3%25A9gia%2520Nacional%2520de%2520Seguran%25C3%25A7a%2520Cibern%25C3%25A9tica" target="_blank" rel="noopener noreferrer">Decreto nº 10.222/2020</a> que estabelece a Estratégia Nacional de Segurança Cibernética. O documento é uma "orientação manifesta do Governo federal à sociedade brasileira sobre as principais ações por ele pretendidas, em termos nacionais e internacionais, na área da segurança cibernética e terá validade no quadriênio 2020-2023".
O decreto é composto por um trecho bastante amplo de considerações preliminares que envolve um sumário executivo no qual são retomadas as iniciativas anteriores na área de cibersegurança com menção expressa à Política Nacional de Segurança da Informação no sentido de indicar que a segurança cibernética é a "área mais crítica e atual a ser abordada".
<ul class="jota-article__internal-links">
<li>+JOTA <a href="https://www.jota.info/degustacao/contato-poder">Sua organização está preparada para 2020? Com o JOTA PRO, milhares de profissionais antecipam o impacto de decisões judiciais no seu planejamento do ano. Entre em contato e faça um diagnóstico!</a></li>
</ul>
Além disso, há também uma introdução genérica que aborda avanços da tecnologia, revolução digital e a necessidade de proteção do espaço cibernético. Neste sentido, consta no Decreto que:
"A E-Ciber, além de preencher importante lacuna no arcabouço normativo nacional sobre segurança cibernética, estabelece ações com vistas a modificar, de forma cooperativa e em âmbito nacional, características que refletem o posicionamento de instituições e de indivíduos sobre o assunto".
No que concerne à metodologia adotada, temos estabelecido no texto que a E-Ciber "é resultado de trabalho realizado por representantes de órgãos públicos, de entidades privadas, e do meio acadêmico, que participaram de uma série de reuniões técnicas, para debater vários aspectos da segurança cibernética". Para tanto, foram criados três importantes subgrupos de trabalho para estudo e aprofundamento dos seus respectivos tópicos, a saber:
<ul>
<li>
Subgrupo 1 - governança cibernética, dimensão normativa, pesquisa, desenvolvimento e inovação, educação, dimensão internacional e parcerias estratégicas;
</li>
<li>
Subgrupo 2 - confiança digital e prevenção e mitigação de ameaças cibernéticas; e
</li>
<li>
Subgrupo 3 - proteção estratégica - proteção do Governo e proteção às infraestruturas.
</li>
</ul>
Nota-se, portanto, que o escopo da E-Ciber é bastante abrangente e é resultado de mais de trinta reuniões dos referidos subgrupos para intercâmbio de ideias a fim de que fosse estabelecida uma concepção cooperativa e estratégica da segurança cibernética brasileira. Desta feita é que foram consolidados, de forma transversal, os eixos temáticos da E-Ciber, quais sejam:
EIXOS DE PROTEÇÃO E SEGURANÇA
- governança da segurança cibernética nacional;
- universo conectado e seguro: prevenção e mitigação de ameaças cibernéticas; e
- proteção estratégica; e
EIXOS TRANSFORMADORES
- dimensão normativa;
- dimensão internacional e parcerias estratégicas;
- pesquisa, desenvolvimento e inovação; e
- educação.
Mais adiante, o texto menciona também os objetivos almejados pelo novo decreto que visam "nortear as ações estratégicas do País em segurança cibernética, e representam macrodiretrizes basilares para que o setor público, o setor produtivo e a sociedade possam usufruir de um espaço cibernético resiliente, confiável, inclusivo e seguro". Tais objetivos são:
<ul>
<li>
1. Tornar o Brasil mais próspero e confiável no ambiente digital;
</li>
</ul>
<ul>
<li>
2. Aumentar a resiliência brasileira às ameaças cibernéticas; e
</li>
</ul>
<ul>
<li>
3. Fortalecer a atuação brasileira em segurança cibernética no cenário internacional.
</li>
</ul>
Para além disto, o novo decreto - que é pródigo em metas e objetivos, mas sovina no planejamento executivo - estabelece 10 ações estratégicas extremamente complexas que vão desde elevar o nível de maturidade da sociedade em segurança cibernética até estabelecer um modelo centralizado de governança no âmbito nacional.
É curioso notar que o texto aponta que a "visão para o Brasil" é "tornar-se país de excelência em segurança cibernética", mas sequer faz menção sobre como isso será alcançado, quais valores serão empenhados ou qual será o investimento público para atingir um desafio deste jaez.
Neste sentido, é chocante a diferença de abordagem de um país que realmente é considerado de "excelência em segurança cibernética". O Reino Unido, em sua <a href="https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/567242/national_cyber_security_strategy_2016.pdf">Estratégia Nacional de Cibersegurança</a>, já na primeira página indica que "Durante a vida útil dessa estratégia de cinco anos, vamos investir £ 1.9 bilhões em defesa nossos sistemas e infraestrutura, impedindo adversários e desenvolvendo uma capacidade de integridade - dos maiores empresas ao cidadão individual".
O <a href="https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf">caso dos EUA</a> é ainda mais impressionante, pois a estratégia de cibersegurança americana é baseada em quatro pilares básicos: i) Proteger o povo americano, a pátria e o modo de vida americano; ii) Promover a prosperidade Americana; iii) Preservar a Paz através da força; iv) Ampliar a Influência Americana. Verifica-se a evidente natureza imperialista e dominante do documento própria dos americanos, mas ao mesmo tempo consta no documento os esforços da administração americana, que tem sido imensos no sentido de punir aqueles que cometeram crimes cibernéticos e atividades maliciosas bem como a exigência aos departamentos e agências para que removessem softwares vulneráveis a vários riscos de segurança.
Os russos, por sua vez, na própria <a href="http://rustrans.wikidot.com/russia-s-national-security-strategy-to-2020">estratégia de cibersegurança do país</a>, ressaltam que os principais indicadores do estado de segurança nacional, vão além de minúcias técnicas e tecnológicas, pois também incluem:
<ul>
<li>
o nível de desemprego (como proporção da população economicamente ativa);
</li>
<li>
o coeficiente de decil (a correlação entre a renda dos 10% superior e inferior da população);
</li>
<li>
a taxa de crescimento dos preços ao consumidor;
</li>
<li>
o nível da dívida interna e externa do estado como porcentagem do PIB;
</li>
<li>
o nível de apoio fiscal à saúde, cultura, educação e ciência como porcentagem do PIB;
</li>
<li>
o nível de renovação anual de armamentos, equipamentos militares e especializados;
</li>
<li>
o nível de fornecimento de quadros militares e técnicos de engenharia.
</li>
<li>
A lista de indicadores básicos de segurança nacional pode ser mais precisa, de acordo com os resultados do monitoramento do estado de segurança nacional.
</li>
</ul>
Já Israel, considerado um país líder nesta área, apresenta sua <a href="http://cyber.haifa.ac.il/images/pdf/cyber_english_A5_final.pdf">estratégia de cibersegurança</a>, estruturada em três camadas: i) Robustez cibernética agregada ii) Resiliência cibernética sistêmica; iii) Defesa cibernética nacional. Em apenas 20 páginas "O governo de Israel estabeleceu uma visão de que Israel seja uma nação líder no aproveitamento do ciberespaço como um motor de crescimento econômico, bem-estar social e segurança nacional". Sendo importante considerar que os investimentos israelenses em cibersegurança em 2018 ultrapassaram US$ 1 bilhão.
Voltando ao decreto brasileiro, são elaboradas páginas e páginas de diagnósticos que envolvem temas como certificação digital, padronização internacional (ISO), hackers, malwares, uso de tecnologia na vida cotidiana, uso de softwares, menção aos custos de um incidente de cibersegurança e vazamento de dados, sem que haja alguma medida prática, com planejamento claro, cronograma executivo, orçamento empenhado para tratar dos assuntos "diagnosticados". Um ponto a ser elogiado, apesar de bastante óbvio, envolve as análises produzidas sobre a dimensão normativa que inclui o diagnóstico sobre "ação coordenada entre as organizações governamentais e a sociedade em geral para prosseguir nos avanços legislativos sobre o tema".
Mantendo a usual prodigalidade de promessas, o decreto amplia o rol de expectativas quando aborda os temas da pesquisa e desenvolvimento e educação com base em diversos diagnósticos também sem estabelecer um plano de ação claro, com cronogramas e empenho financeiro e institucional.
Ao fim e ao cabo, considerando muitas outras experiências internacionais que podem ser consultadas no Centro de Defesa Cibernética credenciado pela OTAN, o <a href="https://ccdcoe.org/library/strategy-and-governance/">Cooperative Cyber Defence Centre of Excellence</a>, o balanço que se faz sobre o Decreto nº 10.222/2020 é de uma carta de intenções, com muitos diagnósticos ainda bastante rudimentares que não encontram na realidade econômica e social do país qualquer expectativa de solução ou melhoria das vulnerabilidades cibernéticas do país em nível estrutural. Como sou um otimista, espero que durante o período de duração desta E-Ciber (2020-2023), surjam outros documentos complementares que preencham as lacunas do idealismo formal de nossas autoridades.

hacking-2077124_1920

https://images.jota.info/wp-content/uploads/2021/09/copy-of-jota-logo-high-cmyk.jpeg

JOTA

É preciso que surjam documentos complementares que preencham lacunas do idealismo formal de nossas autoridades

Estratégia brasileira de segurança cibernética (E-Ciber)

É preciso que surjam documentos complementares que preencham lacunas do idealismo formal de nossas autoridades