O Tribunal de Contas da União após a realização de uma auditoria operacional para avaliar a Política Nacional de Cibersegurança (PNCiber), constatou baixa maturidade na política de segurança cibernética em 254 órgãos integrantes do governo federal (SISP). Por conta desses achados, o tribunal recomendou que a Casa Civil da Presidência da República gerencie riscos e promova a criação da Agência Nacional de Cibersegurança (ANCiber), que executará a atual Política Nacional de Ciber Segurança (PNCiber), cujo orçamento em 2023 foi de apenas R$ 588 mil.
“Não há priorização do tema segurança cibernética no Estado brasileiro“, destacou no relatório os técnicos da Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI) do TCU, sobre a situação da área de Segurança Cibernética, agravado por baixo orçamento que inviabiliza a implementação da PNCiber e, por consequência, atrasa o encaminhamento ao Congresso Nacional da criação da agência.
O TCU avaliou a situação e constatou os seguintes problemas:
1 – O orçamento autorizado nos últimos quatro anos foi “insuficiente e a Casa Civil, sem motivação formal acostada aos autos, não deu andamento ao anteprojeto de Lei para instituir uma PNCiber”.
2 – A PNCiber encampou a proposta do GSI para encaminhamento de um projeto de Lei que previa a criação de uma agência (ANCiber), “que implicaria a criação de 687 cargos e um orçamento anual de cerca de R$ 540 milhões”.
3 – Mas a Casa Civil não encaminhou o texto do anteprojeto de Lei enviado pelo GSI ao Congresso Nacional. “E não apresentou justificativa para tal fato”, informaram os técnicos do tribunal.
4 – Diante do não envio de projeto de Lei, “a PNCiber foi instituída por meio de Decreto, que não prevê a criação de estrutura de coordenação”
5 – Por consequência, o orçamento previsto para implementar as ações de segurança cibernética em 2023, no âmbito da PNCiber,“foi de no máximo R$ 588 mil, o que representa 0,001% do proposto incialmente pelos formuladores da política pública; ou equivalente ao gasto anual com a contratação de apenas 2 terceirizados com salário mensal de R$ 9 mil”.
Foi realizada uma avaliaçlão do grau de maturidade dor órgãos públicos quanto os processos que adotam na segurança da sua tecnologia. E o resultado constatado pelo tribunal mostra que a maioria tem um nível mediano de maturidade, com destaque para o fato de que apenas 68% estariam “alinhados com as boas práticas”:
Falhas
Essa falta de priorização do tema segurança cibernética ficou ainda mais caracterizada na resposta às questões de auditoria da matriz de planejamento, transcritas do relatório abaixo:
Questão 1: Em que medida são necessárias as proteções cibernéticas ao ambiente digital sob a governabilidade do Brasil?
Resposta: São necessárias proteções cibernéticas em nível de política pública nacional, a partir da avaliação de risco pelo Estado brasileiro, uma vez que a ameaça cibernética é relevante para o Brasil e apresenta uma tendência de agravamento no cenário nacional (peça 100, p. 29).
Questão 2: Em que medida as ações previstas na PNSI selecionadas, relativas à segurança cibernética, executadas entre dez/2018 e dez/2023 (entre a publicação da PNSI e da PNCiber) contribuíram para tornar seguro o ambiente digital sob a governabilidade do Brasil?
Resposta: As ações previstas na PNSI foram parcialmente executadas pelo GSI/PR durante o período de dez/2018 e dez/2023 (entre a publicação da PNSI e da PNCiber), e as limitações decorrentes do modelo federal (e não nacional) da PNSI comprometeram a eficácia de tais ações no sentido de alcançar os objetivos da PNSI, o que pode levar à insegurança do ambiente digital sob a governabilidade do Brasil. (art. 4º, Decreto 9.637/2018) (peça 101, p. 12-13).
Questão 3: Em que medida a Política Nacional de Cibersegurança (PNCiber) foi formulada segundo as boas práticas, em especial comparada ao previsto no Referencial de Controle de Políticas Públicas do TCU?
Resposta: O estágio de formulação (Blocos I, II e III do RCPP), momento no qual problemas e intervenções públicos são analisados e selecionados para compor a agenda pública e o portfólio de ações governamentais, da PNCiber está razoavelmente alinhado às boas práticas, sendo a principal falha a incoerência do modelo adotado com o problema identificado, o que não contribui, de forma suficiente, para alcance dos seus objetivos (art. 3º, Decreto 11.856/2023) (peça 97, p. 11).
Ressalta-se que a equipe de auditoria entende que a PNCiber se demonstra como um ato preparatório para, possivelmente, um marco regulatório que virá e que endereçará o problema de forma nacional, após conclusões dos trabalhos do GTT-2 .
Soberania Digital
Na indagação número 4 elaborada pelos técnicos do TCU, a resposta dos gestores públicos vai ao encontro do que este blog vem questionando em relação do discurso da “soberania digital”, já que ela será relativa, uma vez que a Infraestrutura Nacional de Dados conta com grandes provedores de nuvem norte-americanos e as redes de telecomunicações terem predominância dos equipamentos chineses:
Questão 4: A quais riscos o país está submetido ao não se alcançar os objetivos de segurança cibernética estabelecidos pelo Estado brasileiro?
Resposta: Caso os objetivos da PNCiber não sejam alcançados e, consequentemente, sejam materializados os riscos e consequências expostos o Brasil pode perder o poder e o controle sobre infraestruturas e dados digitais, impactando negativamente na soberania digital (consequentemente, na soberania nacional), na confiança no ambiente digital e na aceleração da transformação digital do país.
Isso levou os auditores do TCU à seguinte conclusão:
“Este relatório identificou e evidenciou elementos do risco de que a soberania digital, confiança no ambiente digital e aceleração da transformação digital no Brasil podem ser negativamente impactadas devido à falta de priorização do tema segurança cibernética. A principal vulnerabilidade constatada associada ao risco acima é o fato de que o modelo adotado pelo Estado brasileiro não é coerente para tratar o problema identificado. A ameaça cibernética (problema público que a PNCiber busca enfrentar) revela-se multidimensional, multissetorial e transnacional. Nesse sentido, a PNCiber (e PNSI) deveria ser uma política pública intergovernamental, com capacidade de articular e coordenar a atuação de múltiplos entes federativos, tanto na formulação, quanto na implementação. Contudo, a PNCiber possui alcance restrito ao Poder Executivo Federal e a PNCiber não possui estrutura com autoridade e prerrogativas suficientes para coordenar a execução da política pública. Por conseguinte, deveria uma lei nacional regulamentar a matéria para além do Poder Executivo Federal, com o devido nível de autoridade pretendido para alcançar os objetivos da política pública”.
Por conta dessa avaliação, os auditores entendem que “a Presidência da República como responsável por gerenciar e tratar o risco (dona do risco)”.
Voto
O relator do processo, ministro Benjamin Zymler, acolheu os argumentos da equipe técnica e recomendou que a Casa Civil da Presidência da República se responsanilize por levar à frente a Política Nacional de Ciber Segurança, assuma os riscos inerentes à demora da implementação das medidas necesárias e encaminhe ao Congresso Nacional a proposta de criação da Agência Nacional de Ciber Segurança (ANCiber).
