O Brasil está avançado nas discussões sobre a Política Nacional de Defesa Cibernética, proposta desenvolvida pelas secretarias de Segurança da Informação e da Cibernética do Gabinete de Segurança Institucional (GSI) do Governo Federal.

Recentemente, foi realizada uma audiência pública para coletar informações, críticas e sugestões e aprimorar o texto em discussão. O objetivo é criar o Sistema Nacional de Cibersegurança, que centralizará as medidas de segurança cibernética do governo federal.

O documento, inspirado em países da União Europeia que estabeleceram suas próprias agências de segurança cibernética, prevê a criação de diversos órgãos e instrumentos. Isso inclui o Comitê Nacional de Cibersegurança (CNCiber), a Agência Nacional de Cibersegurança (ANCiber), o Gabinete de Gerenciamento de Cibercrises (GGCiber) e o Complexo Nacional de Cibersegurança. Além disso, estão previstos outros elementos, como a Estratégia Nacional de Cibersegurança (e-Ciber), o Plano Nacional de Cibersegurança (p-Ciber), a Cooperação Internacional, e iniciativas relacionadas ao Ensino, Pesquisa, Desenvolvimento e Inovação.

Para efetivação do projeto, está previsto um investimento de R$ 600 milhões por ano, além da contratação de 800 funcionários em até cinco anos. Esses profissionais virão de diversos setores, incluindo governo, sociedade, academia e setor privado. A concepção da proposta começou ainda em 2016, porém, nos últimos anos, os casos recorrentes de crimes cibernéticos acenderam alerta vermelho e a necessidade de implementar um plano robusto.

Uma pesquisa realizada pela Apura Cyber Intelligence revelou que instituições governamentais estão entre os alvos mais visados por grupo ciberterrorista. Um exemplo foi que ocorreu com o aplicativo Auxílio Emergencial, no qual criminosos coletaram dados pessoais para aplicar golpes por meio de aplicativos e sites fraudulentos.

Além disso, outro levantamento realizado pela mesma empresa, por meio da BTTng, plataforma que rastreia a internet em busca de indícios de ataques cibernéticos, apontou um crescimento, em 2023, no número de credenciais de brasileiros vazadas. Em 2022, a plataforma identificou o vazamento de 72 milhões de credenciais, apenas de brasileiros. Nos quatro primeiros meses deste ano, foram identificadas quase de 40 milhões de credenciais vazadas.

Para Sandro Süffert, CEO da Apura, embora o texto da Política Nacional de Defesa Cibernética possa ser insuficiente em alguns aspectos, como a sua finalidade, ele representa um marco inicial para a cibersegurança no país. "O Brasil é um dos países que avança mais lentamente em termos de progresso em cibersegurança. A discussão em torno do projeto do GSI foi um grande passo, demonstrando a urgência e a necessidade do assunto", afirmou.

Sandro Süffert, CEO da Apura

O GSI pretende concluir o projeto de lei até agosto, para então apresentar uma proposta ao Congresso Nacional que possa tramitar com urgência constitucional. Um dos pontos mais críticos do texto é o custo envolvido na criação da Política Nacional de Defesa Cibernética. Sandro destaca que os gastos com medidas de segurança e prevenção podem ser consideravelmente menores do que os custos associados aos ataques cibernéticos.

“O governo e organizações privadas tendem a subestimar os riscos e os impactos financeiros que podem surgir devido a violações de segurança. Além disso, a recuperação de um ataque pode levar muito tempo, o que podem impactar a produtividade e a eficiência. Por isso, investir em uma política de segurança cibernética representa um custo inicial, mas pode evitar gastos muito maiores a longo prazo”, completa.

Atualmente, o texto está em fase de aperfeiçoamento. De acordo com informações disponíveis no site da Associação Brasileira de Internet (Abranet), devido à ausência de uma lei definitiva, o governo planeja estender a vigência da Estratégia Nacional de Segurança Cibernética, conhecida como e-cyber, por mais um ano. Essa estratégia foi criada em 2020 e inicialmente teria vigência até o final de 2023. Para efetuar essa prorrogação, a Agência Reguladora está preparando uma revisão do regulamento de segurança cibernética, que foi lançado há três anos.