• CYBERSEGURANÇA

Agência de regulação em Cybersecurity no Brasil, ter ou não ter?

Por
Rodrigo Fragola
-
0

No mundo digital em que vivemos, a cibersegurança tornou-se uma preocupação essencial para governos, empresas e cidadãos. Neste contexto de transformação digital, os canais de suprimentos são particularmente vulneráveis a ataques cibernéticos devido à complexidade e interconexão de suas operações, que frequentemente envolvem múltiplos fornecedores e sistemas. Uma brecha em qualquer ponto da cadeia pode comprometer a integridade de todo o sistema, resultando em interrupções na produção, atrasos nas entregas e prejuízos financeiros significativos. Além disso, a manipulação de dados pode levar à exposição de informações sensíveis e comerciais, causando danos à reputação e à confiança entre parceiros comerciais.

Dada essa realidade, é importante entender que abordagens que geram ilhas de segurança perdem muito de sua capacidade de resposta e contenção. Atualmente, temos muitas verticais em nosso país com sua segurança digital muito robusta e outras onde a segurança é extremamente básica ou insuficiente. Isso torna o sistema como um todo fraco, o que explica, em parte, o aumento do número de ataques bem sucedidos a empresas, governos e cidadãos. Nesse contexto, não faz sentido separar infraestruturas críticas de infraestruturas essenciais e de estruturas governamentais ou privadas. Um bom exemplo disso são as ameaças de ransomware, que têm características transversais de mercado e transnacionais, sendo sua tecnologia utilizada para atender a vários tipos de interesses econômicos e políticos.

Outro aspecto é que o ambiente cibernético é um palco da guerra de 5ª geração, uma guerra contínua. Isso significa que, direta ou indiretamente, governos podem operar neste palco para interferir na soberania dos países.

Para atuar na mitigação desses riscos, uma articulação centralizada é crucial para proteger os canais de suprimentos contra ameaças cibernéticas. Esta articulação pode estabelecer normas de segurança, programas de treinamento, certificações, protocolos de colaboração entre vários centros, ajustar legislações, melhorar a segurança jurídica, integrar ações internacionais, dentre outras. Para facilitar o entendimento, poderíamos considerar os seguintes exemplos:

Proteção das Infraestruturas Críticas e Essenciais: No Brasil, a proteção das infraestruturas críticas e Essenciais é vital, especialmente em setores como energia, saúde e telecomunicações. Ataques cibernéticos a redes elétricas ou sistemas de saúde podem ter consequências devastadoras para a população. Uma agência de regulação pode estabelecer e monitorar a implementação de padrões de segurança que protejam essas infraestruturas contra ameaças cibernéticas, garantindo a continuidade dos serviços essenciais e a segurança da população. Podemos pensar nos seguintes exemplos:

  • Em 2019, hospitais no Brasil sofreram ataques cibernéticos que comprometeram sistemas de prontuários eletrônicos, afetando a prestação de serviços de saúde e colocando vidas em risco. Uma agência de regulação poderia ter estabelecido e monitorado padrões de segurança para evitar tais incidentes.
  • Um ataque a uma grande concessionária de energia em 2020 comprometeu a rede elétrica de uma região, causando apagões que afetaram milhares de pessoas. A agência poderia ter garantido a implementação de medidas de segurança robustas para proteger a infraestrutura elétrica.
  1. Garantia da Privacidade dos Dados: A Lei Geral de Proteção de Dados (LGPD) trouxe avanços significativos na proteção da privacidade dos dados dos brasileiros, sendo a ANPD responsável pela aplicação efetiva dessa lei. Entretanto o foco da mesma está na forma que o dado pessoal é tratado, tendo sua maior ferramenta a aplicação de multas. A cibersegurança é mais ampla, e vazamentos de dados podem ocorrer mesmo em ambientes onde o dado pessoal é bem tratado. Uma agência de cibersegurança irá atuar para melhorar a resposta aos incidentes e a implementação de controles mais adequados dentro das instituições.

Exemplos:

  • Em 2021, um vazamento de dados expôs informações pessoais de milhões de brasileiros, incluindo CPF, endereços e histórico de crédito. A atuação de uma agência de regulação poderia ter garantido o cumprimento estrito da LGPD, prevenindo a coleta e armazenamento inadequado de dados sensíveis.
  • Uma empresa de e-commerce brasileira sofreu um ataque que resultou na exposição dos dados de compras de seus clientes. Uma agência de regulação poderia ter exigido a implementação de melhores práticas de segurança para proteger essas informações.
  1. Resposta a Incidentes Cibernéticos: O Brasil tem sido alvo frequente de ataques cibernéticos, afetando instituições financeiras, empresas de todo tamanho e órgãos governamentais. Uma agência de regulação pode coordenar a resposta a incidentes cibernéticos, fornecendo diretrizes claras e recursos para mitigar os danos, investigar as causas e prevenir futuros ataques. A criação de um centro de resposta a incidentes cibernéticos pode fortalecer a capacidade do país de lidar com essas ameaças de forma rápida e eficaz. Exemplos:
  • Em 2020, um ataque cibernético interrompeu os sistemas de uma grande instituição financeira brasileira, causando prejuízos significativos aos clientes e à própria instituição. Uma agência de regulação poderia ter coordenado uma resposta rápida e eficaz, reduzindo os danos e restaurando a confiança dos clientes.
  • Órgãos governamentais brasileiros foram alvo de ataques que comprometeram dados sensíveis e a prestação de serviços públicos. A agência poderia ter fornecido diretrizes claras e recursos para mitigar os danos e investigar as causas dos ataques.
  • Uma empresa de telecomunicações brasileira foi vítima de um ataque de ransomware que paralisou suas operações. A agência poderia ter auxiliado na coordenação da resposta ao incidente e na recuperação dos sistemas afetados.
  1. Promoção da Conscientização e Educação: A conscientização e a educação sobre cibersegurança são essenciais para proteger a população contra ameaças cibernéticas. Uma agência de regulação pode implementar programas de treinamento e campanhas de conscientização que alcancem escolas, empresas e o público em geral. No Brasil, onde a inclusão digital está em crescimento, é fundamental garantir que todos os cidadãos, independentemente de sua formação, estejam preparados para reconhecer e responder a ameaças cibernéticas. Exemplos:
  • Uma campanha nacional de conscientização em cibersegurança ensinaria cidadãos a identificar e-mails fraudulentos (phishing) e proteger seus dispositivos contra malware, reduzindo o número de vítimas de golpes digitais.
  • Programas de treinamento em cibersegurança para empresas ajudariam a capacitar funcionários a reconhecer ameaças cibernéticas e a adotar práticas seguras no ambiente de trabalho.
  • Iniciativas educativas em escolas poderiam ensinar crianças e adolescentes sobre a importância da cibersegurança, preparando-as para um uso mais seguro e responsável da internet.
  1. Harmonização de Normas e Políticas: O Brasil é um país vasto e diverso, com diferentes realidades regionais e setores econômicos. Uma agência de regulação pode garantir a harmonização das normas e políticas de cibersegurança em todo o território nacional, promovendo a cooperação entre diferentes setores e níveis de governo. Isso resulta em uma abordagem coordenada e eficaz para enfrentar os desafios cibernéticos, respeitando as peculiaridades regionais e setoriais. Temos como exemplo:
  • Diferentes estados brasileiros têm abordagens variadas em relação à cibersegurança. Uma agência de regulação pode criar diretrizes unificadas que ajudem a padronizar práticas de segurança em todo o país.
  • A cooperação entre entidades públicas e privadas pode ser fortalecida por meio de normas harmonizadas, permitindo uma resposta coordenada e eficaz a ameaças cibernéticas.
  • Setores específicos, como saúde e finanças, poderiam se beneficiar de regulamentações claras e uniformes, garantindo a proteção adequada dos dados e sistemas.
  1. Fomento à Inovação e Pesquisa: O campo da cibersegurança está em constante evolução, com novas ameaças e tecnologias surgindo regularmente. O Brasil possui um ecossistema crescente de startups e empresas de tecnologia que podem se beneficiar do apoio e incentivos da agência para desenvolver soluções inovadoras. A agência pode também promover parcerias entre o setor privado, universidades e institutos de pesquisa, fortalecendo a capacidade do país de inovar e se adaptar às novas ameaças cibernéticas.
  • Programas de financiamento para startups de cibersegurança poderiam estimular o desenvolvimento de novas tecnologias de proteção digital no Brasil.
  • Parcerias entre universidades e o setor privado podem resultar em inovações que tornem o país mais preparado para enfrentar ameaças cibernéticas.
  • Incentivos à pesquisa em cibersegurança podem levar à criação de soluções inovadoras que respondam às necessidades específicas do contexto brasileiro.

Certamente, é importante considerar os argumentos contrários para ter uma visão balanceada. Aqui estão alguns pontos contra a criação de uma Agência Governamental de Cibersegurança e algumas considerações:

Custo Elevado e Burocracia: A criação de uma agência governamental envolve custos elevados para os cofres públicos, incluindo despesas com infraestrutura, contratação de pessoal qualificado e manutenção de sistemas. Além disso, a burocracia inerente a órgãos governamentais pode resultar em processos lentos e ineficientes.

Contra-argumento: Embora a criação de uma agência possa ser cara, os benefícios de proteger a cadeia de suprimentos, infraestruturas críticas e Essenciais, padronização da legislação existente, etc… superam os custos iniciais. A prevenção de ataques cibernéticos pode economizar recursos a longo prazo, evitando prejuízos financeiros e danos à reputação que podem ser muito mais custosos.

  1. Redundância com Entidades Existentes: Já existem órgãos e instituições no Brasil responsáveis pela cibersegurança, como o Comitê Gestor da Internet no Brasil (CGI.br) e a Autoridade Nacional de Proteção de Dados (ANPD). A sobreposição de responsabilidades entre diferentes entidades pode levar a disputas internas e falta de clareza sobre quem é responsável por determinadas ações.

Contra-argumento: Uma nova agência pode coordenar e centralizar os esforços de cibersegurança, eliminando conflitos de competência e promovendo uma abordagem mais unificada e eficaz. A harmonização de esforços entre diferentes entidades pode aumentar a eficiência e a capacidade de resposta a incidentes.

  1. Riscos de Centralização de Poder: A criação de uma agência centralizada pode concentrar poder e controle sobre a cibersegurança nas mãos de uma única entidade, o que pode ser problemático em termos de transparência e responsabilidade. Isso pode levar a abusos de poder ou à falta de diversidade de perspectivas na tomada de decisões.

Contra-argumento: A centralização de poder pode ser mitigada por meio de transparência e mecanismos de prestação de contas. A agência pode ser supervisionada por comitês independentes e ter regulamentações claras para evitar abusos de poder e garantir a responsabilidade.

  1. Inovação Limitada e Resistência à Mudança: Órgãos governamentais tendem a ser menos ágeis e inovadores em comparação com o setor privado. A burocracia e a resistência à mudança podem dificultar a implementação de novas tecnologias e abordagens em cibersegurança.

Contra-argumento: Uma agência governamental pode estabelecer parcerias com o setor privado e acadêmico para fomentar a inovação e a adoção de novas tecnologias. Programas de incentivo e financiamento podem estimular a pesquisa e o desenvolvimento de soluções inovadoras em cibersegurança.

  1. Desafios na Atração e Retenção de Talentos: O setor de cibersegurança exige profissionais altamente qualificados, que muitas vezes preferem trabalhar no setor privado devido a salários mais competitivos e melhores condições de trabalho. A agência governamental pode enfrentar dificuldades para atrair e reter esses talentos.

Contra-argumento: A agência pode oferecer benefícios competitivos e oportunidades de desenvolvimento profissional para atrair e reter talentos. Além disso, parcerias com universidades e centros de pesquisa podem ajudar a formar e recrutar profissionais qualificados.

  1. Impacto na Privacidade e Liberdades Civis: Uma agência governamental de cibersegurança pode levantar preocupações sobre a invasão de privacidade e a violação de liberdades civis, especialmente se tiver poderes amplos de vigilância e coleta de dados.

Contra-argumento: A proteção da privacidade e das liberdades civis pode ser garantida por meio de regulamentações claras e mecanismos de fiscalização. A agência pode atuar de forma transparente e responsável, respeitando os direitos dos cidadãos enquanto protege contra ameaças cibernéticas.

Atualmente a criação de agências ou centros de coordenação de cybersecurity ou a reestruturação e reorganização dos mesmos tem sido tema de debate em vários países. Para cada país foram adotadas soluções que se adaptam a cultura e a forma de governança local. Abaixo temos algumas que podemos citar:

  1. National Cyber Security Centre (NCSC) – Reino Unido: Responsável por proteger a infraestrutura crítica do Reino Unido contra ameaças cibernéticas e fornecer orientação sobre cibersegurança para organizações e cidadãos.
  1. Cybersecurity and Infrastructure Security Agency (CISA) – Estados Unidos: Parte do Departamento de Segurança Interna dos EUA, a CISA trabalha para proteger a infraestrutura crítica do país contra ameaças cibernéticas e físicas.
  1. Agence nationale de la sécurité des systèmes d'information (ANSSI) – França: A ANSSI é responsável pela segurança dos sistemas de informação do governo francês e pela proteção das infraestruturas críticas do país.
  1. Australian Cyber Security Centre (ACSC) – Austrália: O ACSC fornece orientação e suporte para proteger a infraestrutura crítica da Austrália contra ameaças cibernéticas e promove a conscientização sobre cibersegurança.
  1. Centro Criptológico Nacional (CCN) – Espanha: Parte do Centro Nacional de Inteligência, o CCN é responsável pela proteção dos sistemas de informação do governo espanhol e pela coordenação de respostas a incidentes cibernéticos.
  1. National Cyber Security Centre (NCSC) – Países Baixos: O NCSC holandês trabalha para proteger a infraestrutura crítica do país e fornecer orientação sobre cibersegurança para organizações e cidadãos.
  1. Federal Office for Information Security (BSI) – Alemanha: O BSI é responsável pela segurança da tecnologia da informação na Alemanha, incluindo a proteção de infraestruturas críticas e a promoção de boas práticas de cibersegurança.
  1. Canadian Centre for Cyber Security (CCCS) – Canadá: Parte do Communications Security Establishment, o CCCS fornece orientação e suporte para proteger a infraestrutura crítica do Canadá contra ameaças cibernéticas.
  1. National Cyber Security Authority (NCSA) – Israel: A NCSA é responsável pela proteção das infraestruturas críticas de Israel contra ameaças cibernéticas e pela promoção da cibersegurança em todo o país.
  1. Singapore Cyber Security Agency (CSA) – Singapura: A CSA é responsável pela proteção da infraestrutura crítica de Singapura contra ameaças cibernéticas e pela promoção da conscientização sobre cibersegurança.
  1. National Cyber Security Centre (NCSC) – Nova Zelândia: O NCSC da Nova Zelândia trabalha para proteger a infraestrutura crítica do país e fornecer orientação sobre cibersegurança para organizações e cidadãos.
  1. National Cyber Security Centre (NCSC) – Finlândia: O NCSC finlandês é responsável pela proteção das infraestruturas críticas do país e pela promoção de boas práticas de cibersegurança.
  1. National Cyber Security Centre (NCSC) – Irlanda: O NCSC irlandês trabalha para proteger a infraestrutura crítica do país e fornecer orientação sobre cibersegurança para organizações e cidadãos.
  1. National Cyber Security Centre (NCSC) – Noruega: O NCSC norueguês é responsável pela proteção das infraestruturas críticas do país e pela promoção de boas práticas de cibersegurança.
  1. O Centro Nacional de Cibersegurança (CNCS) – Portugal: Entidade responsável por garantir a segurança do ciberespaço nacional. Ele atua como a autoridade nacional em matéria de cibersegurança e tem como missão contribuir para que o ciberespaço seja utilizado de forma livre, confiável e segura.

(*) CNCiber (Comitê Nacional de Cibersegurança) — Gabinete de Segurança Institucional

(**) Estratégia Nacional de Segurança Cibernética (E-Ciber) — Gabinete de Segurança Institucional

(***) Política Nacional de Cibersegurança (PNCiber) — Gabinete de Segurança Institucional

Rodrigo Fragola, profissional destacado na área de segurança da informação, com uma trajetória de mais de 26 anos. Reconhecido como pioneiro em soluções tecnológicas inovadoras, Fragola contribuiu significativamente para o desenvolvimento do primeiro firewall nacional. Graduado em Ciência da Computação pela Universidade de Brasília, ele se especializou em Segurança de Rede e Inteligência Artificial, integrando habilidades técnicas a uma visão estratégica profunda.

Atualmente, Fragola lidera como CEO da Ogasec Cyber Security, Diretor-Adjunto de Cibersecurity e Defesa da Federação Assespro e Conselheiro da ABES. Além disso, desempenha papel chave como membro da Câmara Nacional de Cibersegurança (CNCiber) do GSI/PR, membro da Câmara de Segurança e Direitos do CGI.BR, Coordenação do GT1 da Ransomware Task Force Brasil – RTF Brasil/MRE/OAS/IST.

ARTIGOS RELACIONADOSMais do autor

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.