Militares vão mudar texto de plano de cibersegurança após contestação da Abranet

GSI prepara estratégia de segurança cibernética, que será efetivada em decreto

Brasília e São Paulo

O GSI (Gabinete de Segurança Institucional) informou que vai rever os três pontos críticos levantados na carta da Abranet sobre a E-Ciber (Estratégia Nacional de Segurança Cibernética), que está sendo elaborada pelo governo federal no Palácio do Planalto.

A E-Ciber, um conjunto de recomendações e orientações para os setores público e privado sobre segurança de informação em ambientes virtuais, deverá ser efetivada por meio de um decreto presidencial, ainda sem data definida.

Em setembro, ela foi colocada no ar para consulta pública por 20 dias. Nesta terça-feira (22), a Abranet (Associação Brasileira de Internet) encaminhou uma carta ao GSI com três observações.

A entidade, criada em 1996, reúne as principais empresas do países que ofertam serviços, informações, realizam pesquisa e desenvolvimento e atividades profissionais e acadêmicas relacionadas à tecnologia da informação e comunicação e à internet.

A formulação de uma lei de segurança da informação está sendo conduzida pelo DSI (Departamento de Segurança da Informação) do GSI, vinculada à Presidência. Procurado pela Folha, o órgão informou que vai fazer correções e tomar providências para deixar o texto da E-Ciber mais claro.

A Abranet manifestou preocupação com o trecho que menciona “o estabelecimento de rotina de auditorias programadas em segurança cibernética dentro dos órgãos públicos e das entidades privadas”, a fim de analisar “vulnerabilidades, relatórios técnicos de ameaças e relação de soluções em tecnologia”, entre outros tópicos.

O GSI respondeu que o texto será revisto e reescrito para esclarecer que as auditorias serão “internas aos órgãos e realizadas por eles” —ou seja, não haverá interferência externa do governo.

“A ideia é que essas auditorias sejam realizadas pelos setores internos e designados para tal, pertencentes aos órgãos públicos e às entidades privadas, que se utilizariam de instrumentos conhecidos no mercado e teriam o objetivo de verificar a conformidade dessas organizações aos requisitos de segurança cibernética estabelecidos em suas políticas ou em seus programas internos de segurança cibernética”, informou o GSI.

Em um segundo ponto, a Abranet contestou que o mercado de meios de pagamento possa ser considerado parte do SFN (Sistema Financeiro Nacional) e, em consequência disso, ser qualificado como IFC (Infraestrutura Crítica), a exemplo de grandes servidores, pontos de troca de tráfego e datacenters.

O GSI “agradeceu a contribuição” e reconheceu que as instituições de pagamento não integram o SFN. “A intenção na E-Ciber não foi denominá-las como IFCs, por isso o texto será revisado para não oferecer essa conotação”, informou o órgão.

O terceiro questionamento da Abranet trata de referência, "de forma genérica, a uma ampla revisão do Marco Civil da Internet, para endereçar questões relacionadas à governança da rede, negócios eletrônicos, crimes cibernéticos e direitos do consumidor na Internet".

O GSI respondeu que a E-Ciber afirma que há “espaço para novos dispositivos relacionados, por exemplo, à governança da rede, aos negócios eletrônicos, aos crimes cibernéticos e à cidadania digital”. 

“Nesse sentido, [o texto] recomenda a análise do Marco Civil sob a ótica evolutiva das tecnologias e de sua influência na vida dos usuários da internet, sem, contudo, pormenorizar pontos que ensejem alterações naquele instrumento. Portanto, o texto será reescrito para esclarecer que não há desejo algum em se alterar o Marco Civil, mas sim que a segurança cibernética está em constante evolução, devendo ser suas implicações avaliadas periodicamente”, informou o GSI.

Especialistas em proteção de dados chamam a atenção para o alinhamento entre a estratégia de segurança cibernética e as recentes legislações relacionadas ao tema, aquecido com a aprovação da Lei Geral de Proteção de Dados, no governo Temer, e o decreto de Jair Bolsonaro que criou o Cadastro Base do Cidadão no dia 10 de outubro.

“A estratégia do GSI fala de integração de bases para uma oferta melhor de serviços e para a própria implementação do plano estratégico. Está de acordo com o recente decreto de interoperabilidade de bases de dados implementado do governo”, diz André Giacchetta, sócio do escritório Pinheiro Neto.

Por ter um caráter de orientação, a estratégia do GSI não entra em conflito com a lei de proteção de dados, que considera as responsabilidades do setor privado no tratamento de informações. 

A maioria das orientações dedicadas às empresas na E-ciber ocorrem no campo de governança e de gestão de risco, como a proposição de análises de ameaças cibernéticas, fóruns de discussão e capacitação de segurança cibernética. 

“É uma manifestação do pensamento do governo, não uma ordem. Não há aspectos mandatórios e empresas não terão que responder ao governo. Um dos poucos aspectos mais mandatórios ocorre no âmbito da administração pública federal”, diz o coronel Arthur Sabbat, que ajudou a formular a estratégia.

 Durante 20 dias, a E-Ciber foi aberta na internet à consulta pública. Segundo o GSI, mais de 140 participantes enviaram “contribuições, sugestões ou comentários de forma geral”. O próximo passo do governo será analisar e consolidar as ideias e revisar o texto para a futura publicação de um decreto presidencial.

Prejuízos

O histórico da criação do E-Ciber começa em 2008, durante o governo Luiz Inácio Lula da Silva (PT), quando o GSI publicou uma norma complementar que dispunha sobre a metodologia de gestão de segurança da informação.

Cinco anos depois, no governo Dilma Rousseff (PT), o GSI publicou uma nova norma para "estabelecer diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações". O órgão constatou, na época, que cada instituição adotava metodologias e arcabouços internacionais diferentes.

Em 2014, o governo federal lançou uma “Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal”, válida até 2018. No final do ano passado, um decreto instituiu a PNSI (Política Nacional de Segurança da Informação), que previa a elaboração de uma ENSI (Estratégia Nacional de Segurança da Informação) e de Planos Nacionais.

O governo definiu que a ENSI fosse construída em torno de cinco módulos: segurança cibernética, defesa cibernética, segurança das infraestruturas críticas, segurança da informação sigilosa e proteção contra vazamento de dados.

Em janeiro passado, com a posse de Jair Bolsonaro (PSL), o GSI elegeu a área de segurança cibernética como “a mais crítica e atual a ser abordada”. Daí surgiu a E-Ciber.

O GSI disse ter elaborado o texto-base após ouvir 40 órgãos e entidades do governo e realizar 31 reuniões e 7 meses de estudos e de debates. O órgão diz que o Brasil é o país com o segundo maior prejuízo derivado de ataques cibernéticos, com US$ 22,5 bilhões (R$ 90 bilhões).

“O número de ataques cibernéticos praticamente dobrou no Brasil em 2018 em relação a 2017. Segundo informações do laboratório especializado em segurança cibernética da PSafe foram detectados 120,7 milhões desses ataques no primeiro semestre de 2018. Esse número representa um crescimento de 95,9% em relação ao mesmo período do ano anterior”, diz o texto da E-Ciber.

 

Citando um estudo de 2019, o GSI diz que, em 2017, 35% das organizações mencionaram não possuir um plano de contingência em segurança cibernética.

O GSI reivindica para si o papel de “exercer o papel de macro coordenador estratégico, proporcionando alinhamento às ações de segurança cibernética e contribuindo para o crescimento de todo o país nesse campo, de forma convergente e estruturada”. 

“No tocante ao monitoramento do cenário cibernético, observa-se a necessidade da verificação contínua da eficácia dos instrumentos normativos, o que passa, necessariamente, por seu monitoramento e por sua avaliação”, diz a E-Ciber.

Citando um decreto de novembro de 2017, o órgão ressalta “a importância de prever métricas e indicadores que permitam, no futuro, o monitoramento das ações, dos programas e dos projetos voltados à segurança cibernética, de modo a se obter contínua eficácia na gestão das ações referentes a essa área”.

O GSI aponta três vertentes em seu trabalho: “1 - a medição da eficácia e da eficiência dos centros de tratamento e resposta aos incidentes computacionais; 2 - a elaboração de indicadores para medir o desempenho do país em segurança cibernética; e 3 - o estabelecimento de rotina de auditorias programadas em segurança cibernética dentro dos órgãos públicos e das entidades privadas, de modo que seja possível estabelecer a correta relação entre os aspectos técnicos de TI, como análise de vulnerabilidades, relatórios técnicos de ameaças e relação de soluções em tecnologia, com os aspectos de negócio, como continuidade dos serviços prestados, riscos à imagem e processos de tomada de decisão”.

Tópicos relacionados

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.