O Fórum Econômico Mundial (WEF, sigla em inglês) identifica a segurança cibernética como um dos 10 principais riscos globais (setor público e setor privado). Os ataques cibernéticos dobraram globalmente desde a pandemia. Os ataques estão se tornando cada vez mais sofisticados. O custo médio de uma violação de dados para uma instituição governamental em 2020 foi de US$ 4,441 milhões (aproxmadamente R$ 24 milhões). O Brasil tem um alto nível de digitalização, mas precisa amadurecer em segurança cibernética. Esses são alguns dos dados apresentados pelos participantes de uma audiência pública sobre os riscos internacionais à segurança digital, promovida pela Subcomissão Permanente de Defesa Cibernética, realizada na terça-feira (9).
A subcomissão, que funciona no âmbito da comissão de Relações Exteriores e Defesa Nacional (CRE), foi criada por iniciativa do senador Esperidião Amin (PP-SC) para acompanhar a política pública relacionada à defesa cibernética e sugerir propostas.
Para Amin, o Brasil já está atrasado em relação a esse tema e é necessário que o Executivo conduza ações para prevenir e combater os riscos de ataques que podem afetar os bancos, o sistema financeiro, o sistema de infraestrutura como logística, hidrelétricas e energia, entre outros alvos potenciais.
Amin defende a criação de uma agência governamental, e o compartilhamento de experiências.
— Isso é uma coisa muito séria, trata-se de quase 14% de prejuízo que os países estão tendo no mundo, e o Brasil faz parte do mundo e desses países, prejuízo à economia, sem contar os transtornos que podem acontecer no sistema de saúde, por exemplo. A Inglaterra já foi alvo disso. E outros países também já foram alvo, tanto no sistema de educação, como em infraestrutura e logística. Este é o nosso aprendizado e pretendemos, até o fim do ano, ter a política pública brasileira avaliada e a proposta apresentada.
Governança
Santiago Paz, especialista setorial em Segurança Cibernética, destacou o papel da governança nacional e a contribuição de Banco Interamericano de Desenvolvimento (BID), e de agências de países da América Latina, dos Estados Unidos e da Europa.
Nesse sentido, Santiago apontou o IFX, um provedor de serviços de nuvem com atividades em mais de 17 países latino-americanos. Ele também citou a NIS2, a normativa europeia de cibersegurança, que começou no fim de 2022 e tem que ser adotada agora, neste ano, por todos os países da Europa. Além de mencionar as boas experiências desenvolvidas na Austrália e em Israel.
Entre as ações de países com maturidade nessa área, o especialista apontou que a maioria das estratégias mais modernas consideram a segurança cibernética como um habilitador para a prosperidade econômica, parcerias público-privadas como um ponto-chave, a promoção do setor local, e a cooperação internacional.
— A Europa começou criando um centro de resposta para governo, um centro de resposta de internet, muito parecido com o Brasil, especializado na parte de saúde, setor financeiro — sempre foi muito líder nessa área de segurança — e uma vez que criaram todos os desenvolvimentos necessários, encontraram os problemas de governança. É uma primeira fase, com foco no modelo institucional e desenvolvimento no modelo de governança, a partir da capacidade normativa, dos padrões técnicos, e um ponto muito importante é o fortalecimento do capital humano.
Ameaça
Jorge Blanco, diretor de Segurança da Informação (Ciso) e representante do Google, alertou no debate que o status do Brasil como um poder global de influência, e a maior economia da América do Sul, trouxeram a atenção de ciberespiões.
— Na medida que o Brasil continua a crescer em significância econômica e geopolítica, vai permanecer um alvo para vários atores com diversas motivações. Esse cenário é uma arena complexa, desenvolvida e expandida ao longo dos anos pela convergência de ameaças globais e locais.
De acordo com Blanco, para salvaguardar as empresas e os usuários brasileiros, é importante ter uma tendência proativa para a segurança digital. Ele relembrou o ataque cibernético ao Superior Tribunal de Justiça (STJ) em novembro de 2022, e recomendou planos coordenados de forma centralizada, além de investimento em profissionais e em educação de cibersegurança.
— A Google oferece nossos princípios centrais e recomendações para todas as organizações, incluindo governos, para desenvolver uma postura robusta seguindo os princípios que nós também tomamos para a segurança interna. O primeiro passo é criar uma estratégia de cibersegurança. Quase todo mundo usa a internet e tecnologia para se comunicar, fazer negócios e aprender. E, se não me engano, no Brasil, estamos falando de 150 milhões de usuários de internet. O governo tem a obrigação de aumentar a conscientização do público, campanhas públicas para empoderar seus cidadãos e serviços providos por agências de cibersegurança. Na medida que vocês constroem seu programa de cibersegurança, haverá oportunidades para regular.
Padrão
Rafael Gonçalves, representante de Trellix, empresa privada de segurança cibernética, apresentou como maior desafio para as empresas o alto volume de eventos e a escassez de pessoas. Somando a isso a falta de mão de obra qualificada.
O executivo ilustrou o problema com um estudo da PUC Campinas demonstrando que há um déficit de 500 mil pessoas capacitadas em tecnologia, das quais 140 mil, ou boa parte disso, são necessárias em cibersegurança. Segundo ele, é necessária não só a integração de múltiplos sistemas, mas interconectar qualquer um deles, independentemente da plataforma ou do fabricante dessa tecnologia.
— [Essa é] A importância da criação de uma agência que possa olhar para a sibersegurança, coordenar, padronizar, eu diria que ela é indispensável e urgente. A gente percebe uma falta de padrão, muitas vezes uma falta de priorização naquilo que seria o processo básico de padronização e proteção das empresas, não somente do setor público, muitas empresas do setor privado sofrem do mesmo problema, talvez até uma situação cultural que a gente percebe diluída, mediante a ocorrência de uma situação, de uma ocorrência de um incidente cibernético.
No mesmo sentido, o senador Sérgio Moro (União-PR) ressaltou o desafio da criação de um órgão que possa lidar com diferentes demandas específicas, como a Segurança Nacional.
— Eu creio que não existe aí uma controvérsia sobre a oportunidade, a necessidade de criação de uma agência nacional de cibersegurança no Brasil. Talvez a questão mais pertinente seja a estruturação de um formato e de um financiamento.
O senador Astronauta Marcos Pontes (PL-SP) defendeu a ideia de um conselho de segurança cibernética com representantes dos diversos setores reguladores, da sociedade civil, do Exército brasileiro na questão da defesa cibernética, e do setor privado.
Já o senador Jorge Seif (PL-SC) sugeriu que os governos façam contratos com empresas de defesa que promovem segurança das suas plataformas digitais, visto que, para ele, são muito mais desenvolvidas que as agências governamentais.
— Uma agência que pode ficar obsoleta, ou vira um cabide de emprego, não vão ter os melhores talentos, não é melhor que os governos, e vou falar obviamente do Brasil. Não é melhor que se terceirize essa atividade de segurança para fazer um firewall sobre os sistemas dos municípios, dos estados ou do governo federal? — questionou.
Estados Unidos
Para compartilhar as experiência do governo norte-americano, Patricia Soller, líder no Colaborativo Conjunto de CiberDefesa, explicou que eles têm muitas legislações sobre cibersegurança, especialmente porque precisam acompanhar o que “os atores de ameaça” estão fazendo, tanto os criminosos como os Estados nacionais que os protegem dentro de suas divisas.
— Somos responsáveis pela infraestrutura crítica nos Estados Unidos. Então, não é só cibercrime, mas diferentes tipos de atividades que um governo estrangeiro pode estar fazendo contra a nossa infraestrutura.
Patricia detalhou diferentes itens de um memorando da Casa Branca que estabelece a Cisa (Agência Americana de Cibersegurança e Infraestrutura), a qual ela representa, como coordenadora nacional desse trabalho com parceiros internos como o FBI, e externos como empresas privadas, enfatizando também a colaboração com parceiros internacionais como o Brasil.
— E com relatórios obrigatórios mais e mais comuns entre nossos parceiros internacionais, vamos ter uma melhor compreensão do que essas infraestruturas estão fazendo e poder entender riscos específicos para certos setores nos EUA. O que está acontecendo no setor de água, no setor nuclear, e trabalhar com nossos parceiros interagências, nossos parceiros do setor público e a indústria privada.
Integração
A abordagem colaborativa para garantir a segurança da comunidade, garantir uma defesa eficaz também foi denfendida por Paulo Manzato, chefe da área de Setor Público, representante da plataforma Cloudfare.
— Como realizar esse compartilhamento e essa coordenação sem uma entidade legal é um ponto a se debater. O setor privado pode fornecer informações valiosas sobre as ameaças e vulnerabilidades descobertas em suas operações diárias. É assim que, de fato, acontece na nossa parceria com a Sisa. Enquanto o governo pode compartilhar dados de suas investigações e suas redes de inteligência. Este intercâmbio é fundamental e crucial para antecipar e neutralizar ataques antes que causem danos significativos. Um último ponto é a educação e a capacitação, também como uma área de cooperação entre o poder público e o setor privado.
Fonte: Agência Senado