O Brasil é o país mais visado do mundo para ataques cibernéticos e casos recentes como a invasão de hackers, no Tribunal Superior Eleitoral (TSE), em 2020, evidenciam a vulnerabilidade dos sistemas no país. A conclusão foi tirada entre os especialistas e integrantes do governo que participaram, na quinta-feira (18/5), de audiência para debater o fortalecimento da cibersegurança da administração pública, na Comissão de Serviços de Infraestrutura (CI) do Senado.
Segundo o secretário de Segurança da Informação e Cibernética do Gabinete de Segurança Institucional, Luís Fernando Moraes da Silva, o GSI trabalha na formulação de uma Política Nacional de Cibersegurança, que deve ser enviada ao Congresso como Projeto de Lei (PL) quando estiver pronta. Ele destacou que, atualmente, os temas de cibersegurança são regidos apenas por alguns decretos.
"Queremos a produção de uma legislação que seja o mais inclusiva possível e que possa ser um instrumento útil, e não mais uma peça legal que não venha a atingir o seu objetivo", explicou Moraes da Silva. Ele argumentou ainda que a proposta tem um custo estimado em R$ 500 milhões, a serem aplicados em cinco anos, investimento muito mais baixo do que os danos causados por um ataque hacker. A proposta será debatida em 15 de junho, durante audiência no Palácio do Planalto.
Uma das medidas previstas é a criação da Agência de Segurança Cibernética (ANCiber), que, segundo a minuta do PL que será apresentado, "tem por finalidade promover o desenvolvimento, a regulação e a fiscalização das atividades de cibersegurança no país". O texto preliminar prevê ainda um Gabinete de Gerenciamento de "Cibercrises", na Presidência da República, e um Comitê Nacional de Cibersegurança.
Carlos Renato Araújo Braga, diretor de Avaliação de Segurança da Informação da Unidade de Auditoria Especializada em Tecnologia da Informação do Tribunal de Contas da União (TCU), apresentou estudos realizados pela Corte que apontam falta de investimento e de atos normativos para barrar ataques cibernéticos na administração pública. Ele destacou, também, que o Brasil é um dos países mais digitalizados do mundo, atrás apenas de Estados Unidos e Canadá - o que o torna vulnerável a ataques.
"Somos o país que mais paga resgate de ransomware do mundo. Estamos em um lugar muito desconfortável", lamentou Braga.
Ele também alertou que ataques em grande escala, que podem, inclusive, ser coordenados por governos de outros países, têm potencial para atingir infraestruturas críticas - como fornecimento de energia e telecomunicações, causando prejuízos bilionários. Ele apontou, ainda, que a recuperação total de uma invasão pode levar até seis meses, dependendo da extensão do estrago.
"Os ataques recentes - como o realizado ao TSE durante a eleição de 2020 ou aos sistemas do Ministério da Saúde, em dezembro de 2021, mas resolvido plenamente apenas em janeiro de 2022 - não espelham o que são capazes de fazer. Eles podem fazer muito mais. A nossa conclusão é que o jogo está desequilibrado, estamos mais fracos do que eles", enfatizou Braga.
Segundo o diretor do TCU, a Corte fez uma análise de risco dos órgãos da União, mas não há levantamentos sobre a vulnerabilidade dos sistemas dos governos estaduais, municipais e do setor privado, que podem servir como porta de entrada para que invasores acessem dados federais.
Também participaram da audiência José Luiz Medeiros, representante da Associação Brasileira de Governança Pública de Dados (Govdados); Fabrício Mota, conselheiro titular no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; Arthur Pereira Sabbat, diretor da Autoridade Nacional de Proteção de Dados (ANPD); Humberto Ribeiro, professor do Centro de Prevenção de Incidentes Cibernéticos (Ciberlab); e Leonardo Gustavo Ferreira, diretor de Privacidade e Segurança da Informação do Ministério da Gestão e da Inovação em Serviços Públicos. A sessão foi presidida pelo senador Veneziano Vital do Rêgo (MDB-PB), autor do requerimento para a realização da audiência.
Cinco perguntas para o senador Veneziano Vital do Rêgo (MDB-PB)
O que levou o senhor a requerer a audiência pública sobre cibersegurança?
Nesses últimos 15 anos, se você fizer uma linha cronológica dos acontecimentos identificados, no início dos anos 2000 - quando os primeiros ataques cibernéticos foram registrados -, isso foi ganhando dimensões até que chegássemos a situações ainda mais delicadas envolvendo grandes nações, intrusões e presenças em sistemas, em países de grande porte. Recentemente, em meio a fatos de gravidade, estamos propondo que detenhamos essa sistematização. A Câmara e o Senado já o fizeram em 2016. Avançamos quando criamos a Autoridade Nacional de Proteção de Dados (ANPD), mas ainda há uma fragilidade.
E qual é a forma de combater ou prevenir os ataques?
Com o desejo de fazer uma ação preventiva, de prontidão, e não apenas nos colocarmos como aqueles que se defendem sem que estejamos, de fato, preparados para os ataques. Uma das sugestões é que formemos essa consciência cidadã desde a tenra idade. Desde o contato com os familiares, com os núcleos de formação, quando nossos filhos vão às escolas, na interrelação social. É um tema que requererá de nós a atenção devida, por parte do Congresso, porque, comprovadamente, não estamos muito distantes de criar uma barreira protetiva às ações de criminosos cibernéticos.
A regulamentação é um caminho para aumentar essa segurança?
Temos quatro decretos que se sobrepõem. E, no momento em que você tem isso, você gera insegurança, não sabe o que seguir. Não tem uma linha norteadora sob o ponto de vista de um regramento. Tem decreto, mas não tem nenhuma legislação. É preciso que formatemos, e esse é o propósito do governo federal, com a audiência que está marcada para 15 de junho, para que iniciemos esse trabalho e possamos construir uma proposta proveniente do Executivo (a Política Nacional de Cibersegurança). É importante que assim o façamos, porque está tudo muito sem base.
Em que sentido?
Sem base para que sigamos, sem que identifiquemos tipos para práticas de crimes cibernéticos e suas respectivas sanções. Então, o papel do Congresso será importante. Se, por um lado, vibramos, aplaudimos e identificamos que todas essas novas tecnologias, inovações, nos permitem facilidades, comodidades, ganhos de tempo, produtividade, por outro lado tem um preço a pagar. E estamos pagando esse preço. Não estou advogando que não tenhamos avanços tecnológicos, mas a gente tem que fazer com que esse processo seja razoavelmente acompanhado.
No Legislativo, há discussões sobre o PL das Fake News, cibersegurança e inteligências artificiais. O que traz à tona esses temas de tecnologia agora?
A provocação chega ao Congresso, geralmente ou quase sempre, por meio de fatos que acontecem no nosso dia a dia. A discussão sobre o PL das Fake News se deveu por aquilo que está acontecendo na sociedade - a proliferação das desinformações. E não são quaisquer desinformações. Isso não pode ser visto como uma coisa natural sem que sejam estabelecidos os limites. Um momento como tivemos em 8 de janeiro, de ataques físicos, materiais, ou seja, cujos prejuízos se deram às Casas. Imagine você o que se pode dar, por parte de organismos criminosos, o propósito de invadir o setor elétrico nacional, o de segurança, o financeiro. Não podemos esperar um fato dessa grandeza para que tomemos providências.