Brasil melhora no ranking global de cibersegurança. Mas precisa de mais

Em um período marcado por vazamentos de dados e tentativas de invasão a sites, sistemas e bases de dados de órgãos públicos, o Brasil melhorou sua posição no ranking mundial de governança e segurança cibernética da União Internacional de Telecomunicações (UIT), agência especializada da ONU, situado em 18º lugar. O ranking avalia a conscientização de 194 países em relação à cibersegurança, avaliando o seu preparo para enfrentamento de riscos cibernéticos em cinco frentes: jurídica, técnica, cooperativa, organizacional e de capacitação.

O novo posicionamento do país no ranking é um reflexo de medidas que vêm sendo tomadas com a publicação de normativas, diretrizes e consensos sobre a governança de segurança da informação, especialmente na administração pública federal, que é responsável por sistemas e bases de dados sensíveis para a segurança do Estado, das infraestruturas e dos cidadãos. Exemplo disso foi a recente criação da Rede Federal de Gestão de Incidentes Cibernéticos, através do Decreto nº 10.748, de 16 de julho de 2021, que visa manter as medidas de prevenção, tratamento e resposta a incidentes cibernéticos coordenadas e alinhadas entre todos os órgãos da administração pública federal, seguindo a Política Nacional de Segurança da Informação.

A criação dessa rede de prevenção, tratamento e resposta a incidentes cibernéticos é um importante movimento para a proteção do ambiente virtual brasileiro. Os recentes casos de vazamentos de dados de bases públicas, como o DataSus, Detran-RS e INSS, e de ataques a sistemas oficiais, exemplo de alguns Tribunais de Justiça Regionais e até mesmo do Tribunal Superior Eleitoral – TSE, reforçaram a urgência nas diligências de segurança cibernética em todos os níveis para mitigar riscos, evitar novos vazamentos e combater ataques.

Além disso, considerando que os dados gerais básicos comumente utilizados para autenticação e confirmação automatizada da identidade dos cidadãos foram expostos em rede após o megavazamento de dados noticiado no início deste ano, também deve ser prioridade estabelecer mecanismos e requisitos de segurança aplicáveis para manter a confiabilidade, integridade e autenticidade do relacionamento entre os órgãos e com o cidadão nos processos de autenticação e nas interações.

O desenvolvimento organizado das ações de segurança cibernética em toda a administração pública é ainda mais primordial e necessário frente à rápida transformação digital dos serviços públicos eletrônicos. Hoje, já são mais de 4.500 serviços disponibilizados de forma centralizada no portal Gov.br e mais de 100 milhões de brasileiros cadastrados no portal único, compartilhando com a base pública dados pessoais, informações e assinaturas eletrônicas baseadas em confirmações automatizadas de dados (assinaturas eletrônicas simples e avançadas).

O papel dessa rede, composta pelas equipes de segurança da informação dos órgãos vinculados à administração pública federal, é de divulgar alertas e medidas de prevenção, tratamento e resposta a incidentes cibernéticos, de modo a buscar a mitigação de ocorrências e a agilidade na resolução de eventuais incidentes. São ações importantes para a segurança do ambiente digital do Brasil, que no ranking de educação digital em cibersegurança está posicionado na 42ª posição, entre os 50 países avaliados para o estudo global “Cyber Risk Literacy and Education Index” (Índice de Educação em Risco Cibernético), da consultoria Oliver Wyman.

A Rede Federal de Gestão de Incidentes Cibernéticos será coordenada pelo Departamento de Segurança da Informação do Gabinete de Segurança Institucional (GSI) da Presidência da República, por meio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo. Em março deste ano, o GSI foi autorizado a editar normas, estratégias e requisitos de segurança em resposta a incidentes cibernéticos sem a necessidade de assessoria do Comitê Gestor de Segurança da Informação, composto por membros dos Ministérios, Banco Central e AGU, dando maior independência à pasta.

Com a tendência de digitalização de serviços prestados pela administração pública, impulsionada principalmente por políticas públicas como a Estratégia de Governo Digital 2020-2022, e a entrada em vigor da Lei Geral de Proteção de Dados, os dados pessoais e sensíveis dos cidadãos estão na mira de criminosos que podem utilizá-los para aplicação de golpes ou para extorquir empresas custodiantes de bases de dados vazadas para não denunciá-las às autoridades competentes.

A mudança do cenário onde os itens de valor estão armazenados – os dados, no ambiente digital – determina onde devem ser empregadas as ações de combate e prevenção. Quando o Estado orienta o relacionamento com o cidadão para o meio digital, deve estar preparado para proteger a sua privacidade e manter a segurança e a confiabilidade das interações nesta arena.

* Thaís Covolato é coordenadora do Comitê de Identidades Digitais da Câmara Brasileira da Economia Digital (Camara-e.net)