Cibersegurança é um assunto cada vez mais relevante e desafiador, não só para as organizações públicas e privadas ou para as pessoas, mas também para as nações, dadas as crescentes ameaças e vulnerabilidades que afetam o ambiente digital. Nesse contexto, tanto os Estados Unidos quanto o Brasil desenvolveram estratégias nacionais para orientar suas ações e políticas na área de cibersegurança. Mas quais seriam os pontos convergentes dessas duas estratégias? Quais os pilares e principais ações delineadas nesses documentos? Quais as ações que devem ser tomadas para fazer as estratégicas saírem do papel?
A estratégia de cibersegurança brasileira
A Estratégia Nacional de Cibersegurança do Brasil (E-Ciber) foi publicada em fevereiro de 2020, com validade até 2023, como parte da Política Nacional de Segurança da Informação. A E-Ciber é um documento que tem como alvo orientar a sociedade brasileira sobre as principais iniciativas — nos cenários nacional e internacional — do governo federal, no campo da segurança cibernética. A estratégia enfatiza que busca “promover um ambiente cibernético seguro e confiável, que preserve a soberania nacional e os direitos fundamentais dos cidadãos, bem como fomente o desenvolvimento econômico e social do país”.
A E-Ciber foi estruturada em cinco eixos temáticos: governança; prevenção; defesa; resposta; e ciência, tecnologia e inovação. Cada eixo tem um conjunto de objetivos específicos, iniciativas estratégicas e ações prioritárias para a implementação da E-Ciber. Além disso, a estratégia define os princípios, as diretrizes e os atores envolvidos na segurança cibernética nacional.
Cabe destacar que a estratégia brasileira definiu dez ações estratégicas:
1) fortalecimento das ações de governança cibernética, reconhecendo da importância da segurança cibernética para a proteção dos interesses nacionais, dos direitos humanos e da democracia, bem como para o desenvolvimento econômico e social do país;
2) estabelecimento de um modelo centralizado de governança, com a criação de um sistema nacional de segurança cibernética;
3) promoção de um ambiente participativo, colaborativo, confiável e seguro, entre os setores público, privado e a sociedade em geral, com acompanhamento contínuo e proativo das ameaças e ataques cibernéticos;
4) elevação do nível de proteção do Governo, por meio de uma atuação integrada e coordenada entre os diversos órgãos e entidades do Governo Federal, dos Estados, do Distrito Federal e dos Municípios, bem como entre os poderes Executivo, Legislativo e Judiciário, na prevenção, na defesa e na resposta aos incidentes cibernéticos;
5) elevação do nível de proteção das infraestruturas críticas nacionais, que permita a contínua prestação de serviços essenciais, mesmo em caso de um incidente de segurança;
6) melhoria o arcabouço legal sobre cibersegurança, revisando e atualizando os normativos existentes, além da criação de novos instrumentos;
7) incentivo à inovação em cibersegurança, alinhando a academia ao setor produtivo, incentivando a pesquisa e desenvolvimento na área, estimulando o desenvolvimento de uma indústria nacional de segurança cibernética, com foco na inovação, na pesquisa e no desenvolvimento de soluções tecnológicas;
8) ampliação e incentivo à cooperação internacional em segurança cibernética, com base nos princípios da soberania nacional, da responsabilidade compartilhada e do multilateralismo;
9) ampliação da parceria entre o setor público, o setor privado, a academia e a sociedade, para elevar o nível de segurança cibernética de forma ampla;
10) elevação do nível de maturidade da sociedade em cibersegurança, buscando a promoção de uma cultura de segurança cibernética na sociedade brasileira, por meio da educação, da conscientização e da capacitação de indivíduos e organizações.
A E-Ciber é um documento que expressa uma vontade, a visão do governo federal sobre a segurança cibernética nacional e as principais medidas para garantir um ambiente cibernético seguro e confiável para o Brasil. Contudo, sua implementação depende da articulação entre os diversos atores envolvidos na temática, bem como do acompanhamento e da avaliação dos resultados alcançados.
A estratégia de cibersegurança dos EUA
A National Cybersecurity Strategy dos EUA foi lançada em março de 2023 pelo governo Biden-Harris, substituindo a estratégia anterior de 2018. Para concretizar sua visão — um caminho para a resiliência no ciberespaço —, a estratégia propõe duas mudanças fundamentais na forma como os EUA alocam funções, responsabilidades e recursos no ciberespaço. Primeiro, o reequilíbrio da responsabilidade pela defesa cibernética, transferindo a responsabilidade pela segurança de indivíduos, pequenas empresas e governos locais para organizações mais capazes de forma a reduzir o risco para todos. Em segundo lugar, o realinhamento dos incentivos para favorecer o investimento de longo prazo, equilibrando os investimentos para a defesa contra as ameaças urgentes de hoje e aqueles necessários para o estabelecimento de um planejamento estratégico e soluções para um futuro resiliente.
A estratégia se alicerça em cinco pilares, cada um com seus objetivos estratégicos específicos:
1) defesa da infraestrutura crítica, para aumentar a confiança da sociedade americana na disponibilidade e resiliência da infraestrutura crítica para garantir o funcionamento dos serviços essenciais;
2) romper e desmantelar ameaças cibercriminosas, integrando ações diplomaticas, de rede de informações, militares, financeiras, de inteligência e legais. O objetivo principal desse pilar é incapacitar os atores maliciosos para empreenderem ações cibernéticas que ameacem a segurança nacional ou segurança pública norte-americanas;
3) moldar as forças do mercado para impulsionar a segurança e a resiliência, colocando a responsabilidade pela segurança cibernética nos atores mais bem posicionados e preparados, criando um ecossistema digital mais seguro e confiável;
4) investir em um futuro resiliente, por meio de uma ação coordenada e estratégica de investimento em inovações tecnológicas e de infraestrutura;
5) criar alianças internacionais para perseguir objetivos compartilhados, engajando países para trabalharem conjuntamente contra problemas comuns, cunhando uma coalisão de nações para manter uma internet aberta, livre, global interoperável, confiável e segura.
Breve comparativo das duas estratégias
Ainda que a estratégia norte-americana seja mais recente que a brasileira, há pontos convergentes entre elas, como a preocupação com a defesa de infraestruturas críticas, o combate às ciberameaças, o incentivo à inovação e o estreitamento da cooperação internacional em relação à cibersegurança.
Contudo, as estratégias também têm diferenças importantes. A começar pelo foco dos EUA em transferir a responsabilidade pela segurança cibernética de pequenas empresas e governos locais para organizações maiores e mais bem capacitadas para lidar com a complexidade do tema, enquanto o Brasil ressalta o fortalecimento da governança nacional de segurança cibernética e o aumento da capacidade nacional de prevenção, detecção, resposta e recuperação de incidentes cibernéticos. Ademais, a estratégia dos EUA ressalta a necessidade de equilibrar as ações de defesa contra as ameaças urgentes de hoje com o planejamento estratégico para um futuro resiliente, enquanto a estratégia brasileira prioriza a promoção de uma cultura de segurança cibernética na sociedade brasileira e a promoção do desenvolvimento científico, tecnológico e da inovação em cibersegurança.
A estratégia é suficiente?
A criação de estratégias de cibersegurança é passo relevante para o enfrentamento dos crescentes desafios da segurança cibernética e é crucial que os países continuem a colaborar e compartilhar conhecimento para melhorar a segurança cibernética global. Uma recente pesquisa do Google mostrou que em 2022, os ataques cibernéticos patrocinados por Estados-nações visando usuários em países da OTAN aumentaram 300% em comparação com 2020. Outro dado relevante sobre esse cenário vem da Reunião Anual do Fórum Econômico Mundial em Davos, em um relatório intitulado Global Cybersecurity Outlook 2023. Nesse relatório, os especialistas previram que 2023 seria um “ano movimentado” em termos de ataques cibernéticos. O relatório ainda aponta que 93% dos experts em cibersegurança e 86% dos líderes das organizações acreditam que a instabilidade global terá um impacto negativo em sua capacidade de garantir a segurança cibernética nos próximos dois anos.
Nesse cenário pessimista, é vital que as estratégias de cibersegurança se transformem em ações efetivas para evitar e mitigar a verdadeira epidemia de ataques cibernéticos que aflige a todos, especialmente os que têm como alvos os países e suas instituições públicas. No caso dos EUA, há um capítulo que trata da implementação da estratégia, citando três pontos: avaliação da efetividade, incorporação de lições aprendidas e investimento. No caso do Brasil, as ações parecem ter ficado somente no papel. E como o quadriênio previsto para a validade da estratégia brasileira está no fim, o país tem a oportunidade de trabalhar em sua próxima estratégia, com a participação da sociedade, alinhada ao novo cenário mundial e com a definição de ações mais concretas para sua materialização.
A implementação de uma estratégia nacional de cibersegurança é um desafio complexo e dinâmico, que requer uma visão integrada e colaborativa dos diversos interesses e necessidades dos diferentes setores da sociedade. No entanto, é também uma oportunidade para fortalecer a segurança, a confiança e o desenvolvimento do país no cenário digital global.
*As opiniões contidas no texto são pessoais e não expressam o posicionamento institucional do Tribunal de Contas do Estado de São Paulo.
Este artigo foi produzido por Fabio Correa Xavier, Diretor do Departamento de Tecnologia da Informação do TCESP, Mestre em Ciência da Computação, Professor e colunista da MIT Technology Review Brasil.