Anualmente, há mais de 100 bilhões de ciberataques no Brasil, que causam um prejuízo à economia nacional estimado entre R$ 200 bilhões e R$ 600 bilhões.
Além do impacto financeiro, episódios como o ransomware WannaCry, a paralização do Colonial Pipeline e o “apagão” no Conecte SUS ilustram que as ausências de uma Política Nacional de Cibersegurança e uma Agência Nacional de Cibersegurança são inadmissíveis.
É fácil imaginar cenários “ciberapocalíticos”, mas nosso cotidiano é suficiente para compreender a importância desse tema e, principalmente, tomar ações.
Para adotar e implementar tais políticas, há de se vencer a cultura de se dar respostas a problemas apenas após o “leite ter derramado”. Isso porque políticas como as de cibersegurança, ao focalizarem prevenção e resiliência, nem sempre ganham manchetes, ao mesmo tempo em que trazem custos de construção de capacidade estatal e privada.
As propostas apresentadas pelo GSI em maio último são uma tentativa de romper com esse padrão. Este breve texto oferece elementos sobre a necessidade de se debater tais minutas e de se adotar, com a máxima brevidade, uma robusta política nacional de cibersegurança, acompanhada pela implementação de uma atuante Agência Nacional de Cibersegurança.
Uma bomba relógio
A recente digitalização brasileira, turbinada pela pandemia de Covid-19, nos levou a alcançar a segunda posição mundial em termos de digitalização de serviços públicos, com mais de 4.200 serviços acessíveis digitalmente. Este avanço, porém, se torna uma crescente vulnerabilidade.
Sem um sistema brasileiro de cibersegurança, tal número de serviços públicos digitais foi desenvolvido sem uma estratégia uniforme e efetiva de identificação, prevenção e mitigação de riscos de ciberataques ou demais incidentes de cibersegurança.
Logo, a progressiva digitalização brasileira não foi estruturada de maneira segura e sustentável, e, pior, criou uma vasta superfície de ataque, multiplicando de maneira exponencial os potenciais alvos passíveis de ciberofensas.
Causa espécie a inexistência de estratégias abrangentes de higiene cibernética nos órgãos públicos, já que medidas simples como a realização de backups periódicos, utilização de senhas fortes e autenticação em duas etapas seriam extremamente eficazes para prevenir e reduzir consideravelmente os ciberataques.
O atraso brasileiro pode ser uma oportunidade
Ao olhar as experiências internacionais, o atraso brasileiro é evidente. A União Europeia criou a Agência Europeia de Cibersegurança em 2004. A China estabeleceu a Cyberspace Administration of China em 2014.
Ao final de 2023, e sem um horizonte claro de quando medidas serão tomadas, o Brasil ainda discute a necessidade de uma agência tão essencial. Porém, esse atraso possibilita a aprendizagem com os erros e acertos de outros países.
No ano corrente houve avanços no debate acerca da Política Nacional de Cibersegurança (PNCiber), embora restritos e limitados a um nicho de interessados. Ao menos entre os principais especialistas e atores públicos e privados afeitos ao tema, a importância da PNCiber é inconteste.
É passada a hora de se ter uma política nacional que seja de fato implementada e que seja capaz de prover alguma coerência e organicidade à extensa colcha de retalhos normativa que tenta regular a cibersegurança brasileira.
Uma necessária dimensão multissetorial
Para estabelecer um sistema brasileiro de cibersegurança com uma governança eficiente, ativa e democrática é essencial a adoção de uma abordagem multissetorial.
Neste sentido, a Agência Nacional de Cibersegurança deveria, primeiramente, integrar, coordenar e cooperar com o amplo número de atores e partes interessadas que já atuam em diferentes dimensões da cibersegurança no país, por meio de um conselho multissetorial que inclua atores públicos e privados, capaz de fornecer continuamente à agência inputs e feedback sobre as diferentes dimensões de cibersegurança, sejam elas de caráter técnico, jurídico, econômico ou social.
Deveria inclusive assessorar sobre quais estratégias, políticas e tecnologias seriam as mais eficientes para lidar com as diferentes ciberameças.
Em segundo lugar, a ANciber precisaria criar uma coordenação entre os diferentes órgãos governamentais e agências reguladoras que já adotaram regulação setorial sobre elementos essenciais da cibersegurança –como segurança de dados pessoais, de informações bancárias, da infraestrutura de telecomunicações etc.– mas que hoje atuam de forma incoordenada e sem adesão massiva à Rede Federal de Gestão de Incidentes Cibernéticos.
Em terceiro lugar, a ANciber também precisaria ter poderes para criar um diálogo cooperativo e efetivo com distintos níveis de governo e poderes, incluindo o Poder Legislativo, Poder Judiciário, os Tribunais de Contas, Ministérios Públicos, abarcando reguladoras e organizações públicas nos níveis estadual e municipal.
Para esses fins, nos parece essencial que uma Rede Nacional de Cibersegurança seja estabelecida, favorecendo a comunicação e a troca de boas práticas entre os entes supracitados, e ainda com centros de pesquisa, atores os quais já estão na linha de frente da cibersegurança e que devem ser considerados como um dos maiores ativos brasileiros para garantir a cibersegurança.
Uma cibersegurança centrada nas pessoas
Não obstante o atraso, o Brasil tem enorme oportunidade para inovar e virar referência internacional na cibersegurança.
Apesar de várias polícias nacionais e documentos internacionais declararem a necessidade de uma abordagem centrada no indivíduo, nenhum texto até hoje definiu explicitamente a cibersegurança neste sentido.
Colocar a proteção dos indivíduos sob o guarda-chuva da cibersegurança seria uma alvissareira inovação. Tal abordagem seria a mais apropriada para destacar a necessidade de se investir massivamente na educação e capacitação digital da população.
Só ao compreender os riscos cibernéticos é que a sociedade brasileira será digitalmente soberana e, por conseguinte, capaz de se beneficiar ao máximo da tecnologia.