O Brasil precisa começar urgente o debate sobre como estabelecer um Marco de Cibersegurança e Soberania Digital no País, defende um estudo produzido pelo Centro de Tecnologia e Sociedade (CTS) da Escola de Direito do Rio de Janeiro da Fundação Getulio Vargas (FGV Direito Rio). O levantamento, antecipado ao <i>Broadcast</i> (sistema de notícias em tempo real do Grupo Estado), lembra que houve 103,16 bilhões de tentativas de ataques cibernéticos no Brasil apenas no ano de 2022.
A segurança cibernética no Brasil necessita de um arcabouço normativo que considere os diversos setores da sociedade e iniciativas existentes sobre o tema, apontam os pesquisadores no estudo coordenado pelo professor Luca Belli, da FGV Direito Rio, que será apresentado pela primeira vez nesta quinta-feira, 9, durante a conferência internacional "Cibersegurança e Soberania Digital", na sede da FGV em Botafogo, na zona sul do Rio de Janeiro. O artigo ressalta a necessidade de um alinhamento na estratégia nacional por meio de uma lei que traga padrões mínimos para os níveis operacionais, organizando suas dimensões e estabelecendo os princípios, governança e formas de cooperação entre os diferentes setores.
Diante das novas movimentações do atual governo na proposição de normas que passam pela responsabilização por comportamentos em plataformas digitais, e com o fim da vigência da Estratégia Nacional de Segurança Cibernética (E-Ciber) em 2023, há oportunidade de redesenhar os arranjos atuais, no caminho da proteção das pessoas e na garantia de direitos humanos, diz o documento.
O estudo defende ser imperativa a criação de uma Agência Nacional de Cibersegurança, que seria assistida por um Comitê Multissetorial de Cibersegurança e por uma Rede Nacional de Cibersegurança.
O documento também sugere que a União desenvolva, implemente e atualize periodicamente uma Estratégia Nacional de Cibersegurança e Soberania Digital, "que inclua medidas para proteger os sistemas digitais, as infraestruturas de acesso, as infraestruturas críticas, os bancos de dados, e os aplicativos no País".
"A estratégia deverá incluir disposições para desenvolvimento de educação, capacidades técnicas e operacionais, gestão de riscos, resposta a incidentes, cooperação ao nível nacional e internacional, e definição de papéis e responsabilidades", enumerou o documento, que também sugere ao governo estabelecer um programa de certificação para sistemas digitais, redes e dados.
A cibersegurança é um assunto "multidimensional, multissetorial e, frequentemente, transnacional", dependente de atores de natureza extremamente diferentes (como das esferas pública e privada), "que não são necessariamente localizados na mesma jurisdição".
O levantamento destaca que a Política Nacional de Segurança da Informação, instituída pelo Decreto nº. 9.637/18, prevê a criação de uma Estratégia Nacional de Segurança da Informação composta por diferentes módulos temáticos, mas apenas a Estratégia Nacional de Segurança Cibernética (E-Ciber) e o Plano Nacional de Segurança de Infraestruturas Críticas já foram publicados.
"Estes instrumentos são voltados tanto para as instituições de governo, quanto para o setor privado, pois estabelecem diretrizes, guias, ações estratégicas e um planejamento direcionado a respeito dos assuntos de que tratam. Diante de uma realidade na qual a conectividade se torna cada dia mais permanente, ubíqua e essencial, esta situação ameaça não apenas atividades que se desenrolem digitalmente, mas todas as esferas da sociedade, da economia e da democracia brasileira. Além de operações comerciais, são também interrompidos ou afetados por ataques de ransomware, vazamento de dados etc. serviços públicos, infraestrutura crítica e os próprios processos democráticos", alertou o estudo.
O relatório cita ataques cibernéticos recentes que afetaram o provimento de serviços públicos no Brasil, incluindo o controle vacinal no ConecteSUS; processos e prazos de tribunais da Justiça do Rio Grande do Sul e Superior Tribunal de Justiça; interrupção de serviços públicos pela Prefeitura do Rio de Janeiro; e a invasão sofrida em sites do Governo do Ceará, com mensagens reivindicando a anulação de votos de cidadãos brasileiros da região Nordeste, "sequestrando o espaço de grande visibilidade e credibilidade destes portais para a difusão de discurso de ódio e de fomento a um golpe antidemocrático".
"Estudos sobre cibersegurança muito frequentemente voltam-se a aspectos técnicos, como criptografia, ou ameaças específicas, como malware ou ataques DDoS. Por outro lado, estudos sobre regulação de telecomunicações, plataformas, desinformação, proteção de dados pessoais e outras áreas em que a ação humana é traduzida para a esfera digital frequentemente focam aspectos jurídicos, políticos ou econômicos próprios, chegando raramente a examinar de maneira completa e, ainda mais raramente, a conectar as diferentes dimensões da cibersegurança", escreveram os autores. "Na verdade, todos os indivíduos, empresas, administrações públicas, instituições de ensino e tomadores de decisão devem considerar a cibersegurança como uma preocupação fundamental antes que alguns dos principais riscos e ameaças se tornem realidade", defenderam.