OEA lança relatório que analisa capacidade brasileira em cibersegurança

0

Um verdadeiro raio-x sobre como o Brasil lida com segurança cibernética é o que apresenta um relatório que acaba de ser divulgado pela Organização dos Estados Americanos (OEA). Elaborado pelo Programa de Segurança Cibernética do Comitê Interamericano contra o Terrorismo da OEA e pelo Centro de Segurança Cibernética da Universidade de Oxford – em conjunto com representantes do governo da República Federativa do Brasil e do governo do Reino Unido, o documento traz, entre seus apontamentos, a necessidade de o país encampar a cultura da segurança na internet.

Intitulada "Revisão de capacidade de cibersegurança – República Federativa do Brasil", a publicação analisa, em 118 páginas, avanços na área obtidos desde 2010 e desafios para os próximos anos. Os encontros e a avaliação dos pesquisadores envolvidos se deram sobre dados e a conjuntura de 2018. Entre 2019 e junho último, foi providenciada a sistematização do relatório. Ao final deste texto, está o link para acesso à publicação completa.

O levantamento analisa quais foram os resultados do plano estratégico estabelecido pelo governo brasileiro em 2010, o chamado "Plano Brasil 2022" – que reúne uma relação de ações de cibersegurança -, que se encerra daqui dois anos. Nesse período, e mesmo um pouco antes, o país passou por testes importantes, ao receber grandes eventos internacionais sujeitos a ataques cibernéticos, como os Jogos Pan-Americanos em 2007; a visita do Papa Francisco, em 2013; a Copa do Mundo, em 2014; e os Jogos Olímpicos, em 2016.

O relatório constata que, em que pese um e outro incidente, o Brasil se saiu bem, e isso graças à articulação entre diversos grupos. "Todos os eventos foram conduzidos eficientemente e o retorno à atividade normal foi alcançado conforme o acordo de nível de serviço aprovado […]. Os processos de tratamento de incidentes durante esses eventos mostraram que as organizações críticas para a defesa cibernética são capazes de colaborar e efetivamente reduzir o impacto desses ataques."

Cultura de cibersegurança

É essa cultura de cibersegurança, verificada episodicamente, que precisa ser internalizada pela sociedade nacional, conforme o relatório indica em várias passagens. Para o consultor Sandro Süffert, fundador e diretor da Apura – a empresa brasileira de cibersegurança é uma das cinco organizações privadas parceiras na elaboração do documento –, de fato esse é um dos principais desafios do Brasil: encarar a segurança na internet como uma tarefa de todos.

"O relatório observa que a cultura de cibersegurança no Brasil ainda varia entre diferentes regiões do país, e entre diferentes setores do governo e da economia. De parte do cidadão, é uma minoria dos usuários de internet que faz uma avaliação crítica daquilo com o que tem contato em sites, e-mail, redes sociais, aplicativos de mensagens. Ainda não há uma 'cibereducação', isto é, uma formação das pessoas para o ciberespaço", ressalta Sandro Süffert.

Educação e Lei Carolina Dueckmann

Falta, ainda, um programa nacional de "conscientização" sobre segurança cibernética, frisa o relatório, ponto destacado também pelo consultor e diretor da Apura. "No decorrer da análise, o órgão de conscientização mais importante reconhecido pelos participantes [pesquisadores] foi a SaferNet Brasil, uma ONG criada em 2005. Essa ONG tem estabelecido parcerias [com órgãos governamentais] para 'proteger os direitos humanos e servir como linha direta, linha de ajuda e modo de conscientização no Brasil'", exemplifica a publicação.

Em contrapartida, instrumentos legais, frutos de discussão e envolvimento de atores sociais diversos, foram estabelecidos na atual década. O relatório cita a Lei de Crimes Cibernéticos (Lei Federal 12.737/2012), a chamada "Lei Carolina Dieckmann"; e o Marco Civil da Internet (Lei Federal 12.965/2014), como as "peças de legislação" "relevantes" e "importantes". Sandro Süffert acrescenta entre os instrumentos legais a Lei Geral de Proteção de Dados, sancionada em 2018, pouco depois do período de realização da pesquisa, resultado de quase oito anos de discussão.

Respostas a incidentes

O raio-x indica ainda que a estrutura de organismos de resposta a incidentes de segurança cibernética não alcança todas as regiões do Brasil. Equipes de entidades governamentais, instituições acadêmicas e empresariais se concentram sobretudo em São Paulo, Rio de Janeiro e Brasília.

Há também presenças em São José dos Campos e Campinas (SP); Belo Horizonte e Uberlândia (MG); no sul, em Porto Alegre (RS); e no nordeste, em Salvador (BA) e Natal (RN). Sandro Süffert salienta uma constatação do relatório neste ponto: a de que onde há esses organismos, existe oferta de cursos ou campanhas de conscientização, voltadas, inclusive, ao público em geral.

Infraestrutura crítica

O levantamento averiguou que setores de atividades da chamada "infraestrutura crítica" (em linhas gerais, aquelas que, em razão de sua natureza, se tornam alvos prioritários de ataques cibernéticos) adotam "políticas e procedimentos claramente definidos em vigor". Atuação que deve ser seguida por todas as instituições públicas, de acordo com o que recomenda o relatório.

"As principais empresas líderes do setor privado começaram a priorizar uma mentalidade de segurança cibernética, mediante a identificação de práticas de alto risco. Os setores financeiro e de TI estão mais avançados em segurança cibernética; por serem alvos mais frequentes, investem mais em segurança cibernética", informa o documento.

Mas, reiterando as palavras do próprio relatório, Sandro Süffert vê a sociedade "como um todo" ainda carecendo de uma "mentalidade de segurança cibernética". Neste sentido, o consultor ressalta a importância de o tema se fazer cada vez mais presente nos meios de comunicação. Segundo o relatório, a abordagem ainda é "esporádica".

Metodologia e declarações internacionais

O relatório foi desenvolvido com a metodologia do Modelo de Maturidade da Segurança Cibernética e avaliou cinco dimensões específicas para determinar o nível de preparação do Brasil por meio de consultas a órgãos e membros do setor público e equipe de resposta. É a primeira vez que a metodologia é implementada em um determinado país.

A secretária de Segurança Multidimensional da OEA, Farah Urrutia, afirmou: "Este relatório ajudará o Brasil a conhecer suas verdadeiras capacidades, áreas de oportunidade e a priorizar esforços e investimentos em cibersegurança". Da mesma forma, ela destacou que "Embora a região esteja passando por uma transformação notável devido à pandemia Covid-19, estamos convencidos de que a segurança cibernética deve ser uma prioridade para o Brasil e toda a região".

Por sua vez, Liz Davidson, encarregada de negócios da Missão Diplomática Britânica no Brasil, disse: "A crise global causada pela pandemia Covid-19 destacou ainda mais alguns dos desafios que enfrentamos como governos na área de segurança cibernética, e a troca de experiências e apoio entre governos é ainda mais importante. Estamos, portanto, muito honrados que o Programa de Acesso Digital do Governo Britânico tenha apoiado o desenvolvimento deste relatório com o Brasil e esperamos que seja, como é para nós, um importante instrumento para melhorar nossas capacidades".

O relatório completo está disponível aqui

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.