O Comitê Nacional de Cibersegurança (CNCiber) publicou nesta segunda-feira (22), duas novas resoluções que criam grupos de trabalho voltados à elaboração de instrumentos de avaliação, classificação e mensuração da segurança cibernética brasileira. A publicação ocorre em um momento particularmente delicado para o governo federal, depois de passar o fim de semana explicando a invasão da plataforma Defesa Civil Alerta, que permitiu o envio indevido de mensagens do tipo “Alerta Extremo” para diversas regiões do país. Elas não guardam relação com o suposto ataque hacker. São iniciativas com horizonte de médio e longo prazos, mas que chegam ao conhecimento público justamente quando o debate nacional está concentrado em uma questão mais imediata: a proteção efetiva de sistemas governamentais críticos.
A Resolução CNCiber nº 19 institui um grupo de trabalho temático responsável pela implementação de um projeto-piloto do Modelo Brasileiro de Avaliação de Cibermaturidade (CIMBRA). O grupo terá seis meses para conduzir os trabalhos e será composto por representantes de órgãos públicos, entidades acadêmicas e associações empresariais ligadas ao setor de tecnologia e telecomunicações. Entre os participantes estão Gabinete de Segurança Institucional, Ministério da Gestão e da Inovação, Ministério das Comunicações, Ministério da Ciência, Tecnologia e Inovação, Banco Central, Agência Nacional de Telecomunicações, Comitê Gestor da Internet, CPqD, Fundação Getulio Vargas, RNP, Brasscom, Assespro e Instituto Peck.
O texto da resolução define que a missão do grupo será implementar o piloto do modelo de avaliação e apresentar os resultados ao CNCiber ao final do prazo estabelecido. O documento não cria obrigações para órgãos públicos nem estabelece requisitos técnicos de segurança. Tampouco impõe padrões mínimos de proteção ou determina auditorias em infraestruturas governamentais. A decisão se limita à constituição do grupo e à realização do projeto-piloto do modelo de avaliação. O foco está na construção de uma metodologia nacional para mensurar níveis de maturidade em cibersegurança.
Já a Resolução CNCiber nº 20 segue linha semelhante. O ato cria um grupo de trabalho temático encarregado de estudar e propor uma taxonomia nacional para incidentes cibernéticos e parâmetros para utilização de indicadores relacionados à frequência, gravidade e impacto desses eventos. Também com duração prevista de seis meses, o colegiado reúne representantes de órgãos governamentais, entidades acadêmicas e organizações do setor produtivo. Entre os participantes figuram GSI, Ministério da Gestão, Ministério da Ciência, Tecnologia e Inovação, Anatel, CGI.br, FGV, RNP, Fiesp, Brasscom, Assespro e Instituto dos Advogados de São Paulo.
Pela resolução, caberá ao grupo apresentar ao CNCiber uma proposta de classificação de incidentes e parâmetros para utilização de indicadores relacionados aos eventos de segurança cibernética. O texto não estabelece qualquer sistema nacional de notificação obrigatória de ataques, não cria procedimentos de resposta a incidentes e não determina medidas de proteção para órgãos públicos ou operadores de infraestrutura crítica. Seu objeto é exclusivamente o estudo e a proposição de critérios para classificação e mensuração dos incidentes.
As duas resoluções seguem um padrão já adotado pelo CNCiber desde sua criação. O colegiado tem concentrado sua atuação na constituição de grupos temáticos voltados à elaboração de estratégias, planos, guias, modelos, requisitos e propostas legislativas. Nos últimos dois anos foram criados grupos para atualização da Estratégia Nacional de Cibersegurança, elaboração do Plano Nacional de Cibersegurança, construção de requisitos mínimos para operadores de serviços essenciais e infraestruturas críticas, criação de centros de compartilhamento de informações sobre ameaças, combate a golpes digitais e aperfeiçoamento da proposta da Lei Geral de Cibersegurança.
Sob essa perspectiva, as Resoluções nº 19 e nº 20 representam mais um capítulo do esforço de construção institucional da política brasileira de cibersegurança. Ambas produzem efeitos voltados ao planejamento estratégico e à formulação de instrumentos de governança. O CIMBRA busca desenvolver um modelo nacional de avaliação. A taxonomia de incidentes pretende produzir uma linguagem comum para classificação e mensuração de eventos de segurança. Nenhuma das duas, contudo, trata de ações operacionais relacionadas à proteção de sistemas específicos ou à resposta a incidentes em andamento.
É justamente esse contraste que chama atenção no momento de sua publicação. O governo tornou públicas as duas resoluções quando ainda tentava esclarecer como ocorreu a invasão da plataforma da Defesa Civil e quais mecanismos permitiram a emissão de alertas extremos não autorizados. Enquanto o episódio expõe questionamentos sobre segurança operacional, controles de acesso e proteção de sistemas críticos já em funcionamento, os atos publicados pelo CNCiber mantêm o foco em instrumentos de planejamento, avaliação e produção de conhecimento para orientar futuras políticas públicas.
O resultado é uma coincidência política difícil de ignorar. No mesmo dia em que o país tomou conhecimento oficial de duas novas iniciativas voltadas à construção da arquitetura institucional da cibersegurança brasileira, permaneciam sem resposta pública as questões centrais levantadas pelo incidente que colocou o tema definitivamente no centro do debate nacional. O caso está sendo investigado pela Polícia Federal.
