O Fórum Econômico Mundial (WEF, sigla em inglês) identifica a segurança cibernética como um dos 10 principais riscos globais (setor público e setor privado). Os ataques cibernéticos dobraram globalmente desde a pandemia. Os ataques estão se tornando cada vez mais sofisticados. O custo médio de uma violação de dados para uma instituição governamental em 2020 foi de US$ 4,441 milhões (aproxmadamente R$ 24 milhões). O Brasil tem um alto nível de digitalização, mas precisa amadurecer em segurança cibernética. Esses são alguns dos dados apresentados pelos participantes de uma audiência pública sobre os riscos internacionais à segurança digital, promovida pela Subcomissão Permanente de Defesa Cibernética, realizada na terça-feira (9).
A subcomissão, que funciona no âmbito da comissão de Relações Exteriores e Defesa Nacional (CRE), foi criada por iniciativa do senador Esperidião Amin (PP-SC) para acompanhar a política pública relacionada à defesa cibernética e sugerir propostas.
Para Amin, o Brasil já está atrasado em relação a esse tema e é necessário que o Executivo conduza ações para prevenir e combater os riscos de ataques quepodem afetar os bancos, o sistema financeiro, o sistema de infraestrutura como logística, hidrelétricas e energia, entre outros alvos potenciais.
Amin defende a criação de uma agência governamental, e o compartilhamento de experiências.
— Isso é uma coisa muito séria, trata-se de quase 14% de prejuízo que os países estão tendo no mundo, e o Brasil faz parte do mundo e desses países, prejuízo à economia, sem contar os transtornos que podem acontecer no sistema de saúde, por exemplo. A Inglaterra já foi alvo disso. E outros países também já foram alvo, tanto no sistema de educação, como em infraestrutura e logística. Este é o nosso aprendizado e pretendemos, até o fim do ano, ter a política pública brasileira avaliada e a proposta apresentada.
Santiago Paz, especialista setorial em Segurança Cibernética, destacou o papel da governança nacional e acontribuição de Banco Interamericano de Desenvolvimento (BID), e de agências de países da América Latina, dos Estados Unidos e da Europa.
Nesse sentido, Santiago apontou o IFX, um provedor de serviços de nuvem com atividades em mais de 17 países latino-americanos. Ele também citou aNIS2, a normativa europeia de cibersegurança, que começou no fim de 2022 e tem que ser adotada agora, neste ano, por todos os países da Europa. Além de mencionar as boas experiências desenvolvidas na Austrália e em Israel.
Entre as ações de países com maturidade nessa área, o especialista apontou que a maioria das estratégias mais modernasconsideram a segurança cibernética como um habilitador para a prosperidade econômica, parcerias público-privadas como um ponto-chave, a promoção do setor local, e a cooperação internacional.
— A Europa começou criando um centro de resposta para governo, um centro de resposta de internet, muito parecido com o Brasil, especializado na parte de saúde, setor financeiro — sempre foi muito líder nessa área de segurança — e uma vez que criaram todos os desenvolvimentos necessários, encontraram os problemas de governança. É uma primeira fase, com foco no modelo institucional e desenvolvimento no modelo de governança, a partir da capacidade normativa, dos padrões técnicos, e um ponto muito importante é o fortalecimento do capital humano.
Jorge Blanco, diretor de Segurança da Informação (Ciso) e representante do Google, alertou no debate que o status do Brasil como um poder global de influência, e a maior economia da América do Sul, trouxeram a atenção de ciberespiões.
—Na medida que o Brasil continua a crescerem significância econômica e geopolítica,vai permanecer um alvopara vários atores com diversas motivações.Esse cenário é uma arena complexa,desenvolvida e expandida ao longo dos anospela convergência de ameaças globais e locais.
De acordo com Blanco, para salvaguardar as empresas e os usuários brasileiros, é importante ter uma tendência proativa para a segurança digital. Ele relembrou o ataque cibernético ao Superior Tribunal de Justiça (STJ) em novembro de 2022, e recomendou planos coordenados de forma centralizada, além de investimento em profissionais e em educação de cibersegurança.
— A Google oferece nossos princípios centrais e recomendações para todas as organizações, incluindo governos, para desenvolver uma postura robusta seguindo os princípios que nós também tomamos para a segurança interna. O primeiro passo é criar uma estratégia de cibersegurança. Quase todo mundo usa a internet e tecnologia para se comunicar, fazer negócios e aprender. E, se não me engano, no Brasil, estamos falando de 150 milhões de usuários de internet. O governo tem a obrigação de aumentar a conscientização do público, campanhas públicas para empoderar seus cidadãos e serviços providos por agências de cibersegurança. Na medida que vocês constroem seu programa de cibersegurança, haverá oportunidades para regular.
Rafael Gonçalves, representante de Trellix, empresa privada de segurança cibernética, apresentou como maior desafio para asempresas o alto volume de eventose a escassez de pessoas.Somando a isso a falta de mão de obra qualificada.
O executivo ilustrou o problema com um estudo da PUC Campinas demonstrando que há um déficit de 500 mil pessoas capacitadas em tecnologia, das quais 140 mil, ou boa parte disso, são necessárias em cibersegurança. Segundo ele, é necessária não só a integração de múltiplos sistemas, mas interconectar qualquer um deles, independentemente da plataforma ou do fabricante dessa tecnologia.
— [Essa é] Aimportância da criação de uma agênciaque possa olhar para a sibersegurança,coordenar, padronizar,eu diria que ela é indispensável e urgente.A gente percebe uma falta de padrão,muitas vezes uma falta de priorizaçãonaquilo que seria o processo básicode padronização e proteção das empresas,não somente do setor público,muitas empresas do setor privado sofrem do mesmo problema,talvez até uma situação culturalque a gente percebe diluída,mediante a ocorrência de uma situação,de uma ocorrência de um incidente cibernético.
No mesmo sentido, o senador Sérgio Moro (União-PR) ressaltou o desafio da criação de um órgão que possa lidar com diferentes demandas específicas, como a Segurança Nacional.
— Eu creio que não existe aí uma controvérsia sobre a oportunidade, a necessidade de criação de uma agência nacional de cibersegurança no Brasil. Talvez a questão mais pertinente seja a estruturação de um formato e de um financiamento.
O senador Astronauta Marcos Pontes (PL-SP) defendeu a ideia de um conselho de segurança cibernética com representantes dos diversos setores reguladores, da sociedade civil, do Exército brasileiro na questão da defesa cibernética, e do setor privado.
Já o senador Jorge Seif (PL-SC) sugeriu que os governos façam contratos com empresas de defesa que promovem segurança das suas plataformas digitais, visto que, para ele, são muito mais desenvolvidas que as agências governamentais.
— Uma agência que pode ficar obsoleta, ou vira um cabide de emprego, não vão ter os melhores talentos, não é melhor que os governos, e vou falar obviamente do Brasil. Não é melhor que se terceirize essa atividade de segurança para fazer umfirewallsobre os sistemas dos municípios, dos estados ou do governo federal? — questionou.
Para compartilhar as experiência do governo norte-americano, Patricia Soller, líder no Colaborativo Conjunto de CiberDefesa, explicou que eles têm muitas legislações sobre cibersegurança, especialmente porque precisam acompanhar o que “os atores de ameaça” estão fazendo, tanto os criminosos como os Estados nacionais que os protegem dentro de suas divisas.
— Somos responsáveis pela infraestrutura crítica nos Estados Unidos. Então, não é só cibercrime, mas diferentes tipos de atividades que um governo estrangeiro pode estar fazendo contra a nossa infraestrutura.
Patricia detalhou diferentes itens de um memorando da Casa Branca que estabelece a Cisa (Agência Americana de Cibersegurança e Infraestrutura), a qual ela representa, como coordenadora nacional desse trabalho com parceiros internos como o FBI, e externos como empresas privadas, enfatizando também a colaboração com parceiros internacionais como o Brasil.
—E com relatórios obrigatórios mais e mais comuns entre nossos parceiros internacionais,vamos ter uma melhor compreensão do que essas infraestruturas estão fazendoe poder entender riscos específicos para certos setores nos EUA.O que está acontecendo no setor de água,no setor nuclear,e trabalhar com nossos parceiros interagências,nossos parceiros do setor público e a indústria privada.
A abordagem colaborativa para garantir a segurança da comunidade, garantir uma defesa eficaz também foi denfendida por Paulo Manzato, chefe da área de Setor Público, representante da plataforma Cloudfare.
—Como realizar esse compartilhamento e essa coordenação sem uma entidade legal é um ponto a se debater. O setor privado pode fornecer informações valiosas sobre as ameaças e vulnerabilidades descobertas em suas operações diárias.É assim que, de fato, acontecena nossa parceria com a Sisa.Enquanto o governo pode compartilhardados de suas investigaçõese suas redes de inteligência.Este intercâmbio é fundamental e crucialpara antecipar e neutralizar ataquesantes que causem danos significativos.Um último ponto é a educação e a capacitação,também como uma área de cooperaçãoentre o poder público e o setor privado.
Mín. 22° Máx. 32°