O governo justificou a publicação do decreto com base em relatórios que apontam os seguintes problemas do Brasil na questão da segurança cibernética:
“Destaca-se, a seguir, o caso brasileiro. O relatório sobre orankingde tecnologia da informação e comunicação da Organização das Nações Unidas – ONU analisa o índice de desenvolvimento mundial em tecnologias da informação e sua aplicação nos avanços da internet. Estuda, ainda, como as modernas tecnologias irão permitir inovações e transformar “de modo fundamental” negócios, Governos e sociedades. Norankingregional das Américas, o Brasil está apenas em décimo lugar, atrás de países como Barbados, Bahamas, Argentina e Chile.
Segundo o relatório, no entanto, o Brasil é um dos maiores mercados de telecomunicações da região. A expectativa é que a qualidade e a cobertura dos serviços melhorem “significativamente” nos próximos anos10.
O risco para a economia brasileira, gerado pela intrusão em computadores e pela disseminação de códigos maliciosos praticados pelo crime organizado já é uma realidade, conforme se vê pelos dados a seguir, referentes à conectividade do Governo, do setor privado e dos cidadãos, aos índices globais e aos crimes cibernéticos(11):
- O Brasil ocupa o 66º lugar norankingda Organização das Nações Unidas – ONU de tecnologia da informação e comunicação1;
- Apenas 11% dos órgãos federais têm bom nível em governança de TI2;
- O Brasil ocupa o 70º lugar noGlobal Security Index, da UIT3;
- 74,9% dos domicílios (116 milhões de pessoas) com acesso à internet4;
- 98% das empresas utilizam a internet5;
- 100% dos órgãos federais e estaduais utilizam a internet6;
- Em 2017, foram setenta milhões e quatrocentas mil vítimas de crimes cibernéticos7;
- Em 2018, 89% dos executivos foram vítimas de fraudes cibernéticas8;
- As questões de segurança desestimulam o comércio eletrônico9;
- Em 2017, os crimes cibernéticos resultaram em US$ 22.500.000.000,00 (vinte e dois bilhões e quinhentos milhões de dólares) de prejuízo10; e
- O Brasil é o 2º com maior prejuízo com ataques cibernéticos11.
Segundo o Relatório da “Internet Organised Crime Threat Assessment- IOCTA”12, de 2018, da Agência da União Europeia para a Cooperação Policial – Europol, “a falta de legislação adequada sobre crimes cibernéticos fez com que o Brasil fosse o alvo número um e a principal fonte de ataquesonlinena América Latina; 54% dos ataques cibernéticos reportados no Brasil supostamente são originários de dentro do país”. O documento prossegue afirmando que, “de modo semelhante aos EUA, o Brasil é um dos principais hospedeiros de sites dephishing, com alguns relatos colocando o Brasil como uma das dez maiores fontes mundiais de ataques cibernéticos”.
Verifica-se, ainda, que o número de ataques cibernéticos praticamente dobrou no Brasil em 2018 em relação a 2017. Segundo informações do laboratório especializado em segurança cibernética da PSafe13,foram detectados cento e vinte milhões e setecentos mil ataques no primeiro semestre de 2018. Esse número representa um crescimento de 95,9% em relação ao mesmo período do ano anterior. Nos últimos três meses de 2018, foram registrados sessenta e três milhões e oitocentos millinksmaliciosos, um aumento de 12% em relação ao início daquele ano, sendo campeões de golpes oslinksde aplicativos de mensagens como WhatsApp. Ao todo, 57,4% dos ataques foram realizados por meio dephishing, enquanto que, em segundo, ficaram os golpes com publicidade suspeita, que somaram 19,2% dos casos.
A pesquisaCyber Review2019 da consultoria JLT14, realizada com 200 empresas brasileiras de médio e de grande portes, apontou que 55,4% dessas empresas são totalmente dependentes do uso de tecnologia em suas atividades e que outras 35% podem ter paralizações severas diante de um problema relacionado à tecnologia. Outros dados relevantes da pesquisa são destacados a seguir:
- 80% dos entrevistados avaliaram que um incidente cibernético causaria um impacto operacional com reflexos em toda a empresa;
- 29% já avaliaram financeiramente o que esse impacto resultaria às suas organizações;
- 34% das empresas que responderam à pesquisa relataram ter sofrido algum tipo de incidente cibernético nos últimos doze meses;
- 29% das empresas que sofreram ataques tiveram impactos operacionais;
- 27,8% tiveram altos custos de reconstrução sistêmica; e
- 4% sofreram impactos de reputação frente aos clientes.
Os dados dessa pesquisa demonstram que as empresas brasileiras, principalmente aquelas consideradas como infraestruturas críticas, precisam considerar a segurança cibernética como ação prioritária de investimentos, elaborar planos de gestão de riscos e de tratamento e resposta a incidentes, assim como planejar orçamento adequado para combater os incidentes de segurança. Em mais da metade das empresas ouvidas no levantamento daTempest/EZ-Security15, o orçamento anual de segurança da informação representa até 2% do faturamento anual. Em 34,5% dessas empresas, esse percentual não ultrapassa 1%, de acordo com a mesma pesquisa.
Um ataque cibernético de grande envergadura, caso não seja adequadamente tratado, pode afetar profundamente a reputação da organização, ocasionar perda de receitas, levar a prejuízos operacionais com a paralização dos serviços, resultar em perda de informações e ainda levar à aplicação de sanções legais e administrativas.
Dessa forma, é importante que as organizações, públicas ou privadas, estabeleçam políticas e procedimentos de segurança cibernética que sejam periodicamente revisados, atendam à evolução tecnológica, ao aperfeiçoamento de processos e à necessidade de capacitação contínua e estruturada para todos os colaboradores, por meio de programas de capacitação e de treinamento. De acordo com a pesquisaJLT CyberView2019, em 2017, 35% das organizações mencionaram não possuir um plano de contingência em segurança cibernética; em 2019, 44,2% afirmaram que, além de não possuírem um plano de contingência, também não previram, em seus orçamentos, o atendimento a uma possível crise.
Na última década, não somente no Brasil, mas em vários países, verificou-se um aumento significativo na quantidade de serviços prestados ao cidadão por meio da internet. Dentre os diversos serviços destacam-se: o cadastramentos, a obtenção de certidões negativas, o pagamento de tributos, a segunda via de documentos e consultas, os quais são prestados em plataformasonlineno âmbito federal, no estadual e no municipal.
Iniciativas como a Política de Governança Digital – Decreto nº 8.638, de 15 de janeiro de 2016, a recente Estratégia Brasileira para a Transformação Digital – E-Digital – Decreto nº 9.319, de 21 de março de 201816e a governança no compartilhamento de dados – Decreto nº 10.046, de 9 de outubro de 2019, evidenciam o forte processo de digitalização do Governo federal e os parâmetros que o embasam ao longo de sua implantação.
Acrescenta-se que essas iniciativas, com ênfase na mudança tecnológica, significam, para o sistema financeiro, a adoção dos processos denominados 4D: a democratização, a digitalização, a desburocratização e a desmonetização17, que irão favorecer o conceito deOpen Insurance18, no qual, em relação ao mercado financeiro, os dados bancários vão passar a pertencer aos clientes e não às instituições financeiras.
Em virtude desse processo, e em consonância com iniciativas mais avançadas já adotadas, por exemplo, pelos países da União Europeia, consubstanciadas em relatórios como oeGovernment Benchmark201819, ressalta-se a importância de instrumentos normativos adequados à realidade brasileira que, de fato, contribuam para a proteção dos sistemas e de redes governamentais, uma vez que os serviços apoiados nesses recursos não podem sofrer interrupções, vazamento de dados ou serem alvos de outras ações danosas.
Em ataques cibernéticos recentes, grupos dehackerstêm considerado sistemas de governo como alvos compensadores, no intuito de provocar diferentes impactos, como: o potencial dano à imagem do Governo perante seu público interno e perante a comunidade internacional, o descrédito da população nos serviços públicos, a desconfiança de investidores internacionais na capacidade da administração pública em proteger seus próprios sistemas, a desconfiança nos processos eleitorais, e o descontentamento da população com relação à administração pública.
Além da proteção do próprio Governo, outro ponto crítico refere-se à proteção cibernética das empresas representantes das infraestruturas críticas. A título de compreensão, podemos conceituá-las como as instalações, serviços e bens que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança nacional. Essas empresas precisam ter uma abordagem consistente e evolutiva em segurança cibernética para identificar e avaliar vulnerabilidades, e gerenciar o risco de ameaças, ao observar , por exemplo, as cinco funções previstas na estrutura de segurança cibernética doNational Institute of Standards and Technology- NIST, que são: Identificar, Proteger, Detectar, Responder e Restaurar20.
Avalia-se que os principais tipos de ameaças contra essas organizações são ataques de phishing, negação de serviço em larga escala, vazamentos de informações privadas, espionagem e terrorismo cibernéticos e a interrupção de serviços.
A necessidade de proteção dessas empresas está crescendo em relevância. À medida que as infraestruturas de informação e de comunicação se tornam globalmente interligadas, tornam-se alvo demalwares,hackers,hacktivistase de operações estatais adversas. Além disso, a interconectividade global de algumas infraestruturas críticas significa que uma parte vulnerável pode se tornar o elo mais fraco e, portanto, um risco para outras nações.
De acordo com o Instituto Nacional de Tecnologia da Informação, até abril de 2019, a emissão de certificados superou 35,6% do número registrado no mesmo período de 2018. Entretanto, do total de emissões em 2019, os certificados emitidos para pessoa física representaram somente 8,4%, enquanto que, para pessoa jurídica, representaram 45,9%31.
Hoje, praticamente, todas as pessoas jurídicas possuem ao menos um certificado digital. Entretanto, a certificação digital ainda não é amplamente utilizada nas corporações, em virtude de certas dificuldades, como a elevada quantidade de processos para emissão dos certificados, o alto custo para o cidadão e o baixo número de unidades certificadoras por habitante. A fim de solucionar essas questões, o Governo federal vem adotando ações para otimizar os processos visando à sua obtenção, com o propósito de expandir significativamente a oferta desse recurso. Todavia, há que se ter o devido cuidado de, em nome da celeridade e da disseminação da certificação digital, não fragilizar as medidas de segurança relativas à sua concessão, que levem ao comprometimento desse valioso recurso.”
O link para o decreto você acessa AQUI.