FOTO: LÉO RAMOS CHAVES/REVISTA PESQUISA FAPESP

Há boas razões para temer que informações pessoais ou de empresas vazem do celular ou do computador e sejam usadas sem o controle de seus donos. No Brasil, a chamada segurança cibernética ainda precisa melhorar, embora a legislação brasileira esteja avançando, com a participação de especialistas de universidades, empresas e centros de pesquisa. Definida como um conjunto de ações para proteger máquinas e pessoas contra invasões, a segurança cibernética implica aprimoramentos contínuos no campo da regulação, tecnologia e processos por parte de governos, usuários e setor privado.

O engenheiro eletricista Edmar Gurjão, daUFCG (Universidade Federal de Campina Grande), na Paraíba, deve apresentar em agosto à Anatel, em Brasília, propostas de medidas legais para reduzir a vulnerabilidade da tecnologia 5G, a internet de quinta geração, que começa a ser implantada no Brasil. Gurjão lidera um estudo que reúne 52 pesquisadores brasileiros cujo objetivo é oferecer subsídios para que a agência avalie a necessidade de criar medidas legais específicas para esse tipo de tecnologia. Uma das recomendações que pretende fazer é que a Anatel exija certificação de fábrica dos softwares instalados nos dispositivos aptos a funcionar com 5G, garantindo que os parâmetros de segurança estejam atualizados. “A alta velocidade e a conexão entre os aparelhos 5G expõem mais os usuários a ataques cibernéticos”, diz o pesquisador.

Há muito por fazer. Entre os países da América Latina, as redes e os aparelhos ligados à internet no Brasil estão entre os mais vulneráveis. O Brasil sofreu 103 bilhões de tentativas de ataques cibernéticos em 2022, atrás apenas do México (com 187 bilhões), segundo levantamento da empresa norte-americana de cibersegurança Fortinet. Em comparação com 2021, o número de ataques no país aumentou 16%. Mundialmente, de acordo com esse mapeamento, 82% dos ataques que tentaram roubar dinheiro de usuários e instituições usaram programas de ransomware, que sequestram dados e contas, só devolvidos aos seus donos após pagamento de um resgate.

Mesmo assim, de 2018 para 2020, o país saltou da 70ª posição para a 18ª no mais recente Índice Global de Segurança Cibernética, elaborado pelaITU (União Internacional de Telecomunicações), que avalia as ações dos países mais bem preparados para lidar com ataques de hackers. Provavelmente o avanço se deve aos aprimoramentos da legislação, um dos itens avaliados pela ITU, no qual o país obteve a nota máxima. Embora sejam fundamentais, apenas instrumentos legais não bastam, advertem os especialistas.

“O desafio principal do Brasil não é ter boas medidas regulatórias, mas implementá-las e monitorá-las”, diz a advogada Ana Luíza Calil, doutoranda em direito administrativo naUSP (Universidade de São Paulo). Em artigo publicado em maio de 2022 na revista científica International Cybersecurity Law Review, ela e o advogado Roberto Carapeto, da Universidade de Nagoya, no Japão, analisaram a legislação brasileira e de outros quatro países da América Latina: Argentina, Chile, Colômbia e México. Segundo eles, todos têm criado seus próprios mecanismos legais para reforçar a segurança cibernética, mas estão em estágios diferentes. “Entre os cinco países, o Brasil tem o conjunto de regulações mais avançado, seguido pelo Chile”, observa Calil. Segundo ela, o México ainda está em fase inicial.

O Marco Civil da Internet, aprovado em abril de 2014, abriu caminho para outras normas importantes. Entre as mais recentes, destaca-se aLGPD (Lei Geral de Proteção de Dados), em vigor desde agosto de 2020, que regulamenta o tratamento de dados pessoais (por exemplo, nome, sobrenome, CPF, RG, endereço residencial e identificação do computador). “É a única no Brasil que prevê objetivamente multa por vazamento e armazenamento inadequado de dados pessoais”, afirma o engenheiro da computação Roberto Gallo, diretor da empresa de criptografia Kryptus e presidente da Abimde (Associação Brasileira das Indústrias de Materiais de Defesa e Segurança).

“A LGPD deixa claro que é preciso proteger os dados pessoais porque a empresa responsável por eles vai responder pelos vazamentos”, comenta Gallo. “Seria importante expandi-la ou criar uma legislação para proteger outros tipos de dados, como os comerciais, industriais e dos sistemas críticos.”

Um caminho importante para o setor avançar, além de contar com regulamentações estruturadas, é garantir investimentos das empresas em segurança da informação. Em 2020, Gallo estimou que, no Brasil, eles não chegavam a 4% do orçamento da área de tecnologia da informação das companhias, enquanto em países mais desenvolvidos o valor era de 10% a 15%. Segundo ele, a Abimde ainda não tem dados atualizados sobre essa média no país, mas estima que não houve grandes mudanças. Segundo projeções da consultoria de inteligência de mercado norte-americana IDC, os gastos com soluções de segurança no Brasil devem atingir US$ 1,3 bilhão em 2023, 13% a mais que o ano anterior.

Outro marco legislativo importante é aE-Ciber (Estratégia Nacional de Segurança Cibernética), aprovada como decreto em fevereiro de 2020, com diretrizes e ações estratégicas de segurança cibernética, como incentivo à pesquisa. “A Estratégia Nacional procura harmonizar os objetivos de quem lida com cibersegurança, mas falta clareza sobre as atribuições de cada participante e as formas de monitoramento das ações, incluindo a interação da União com estados e municípios”, comenta Calil.

Mesmo assim, ela ressalta os desdobramentos desse plano, como uma resolução do Banco Central, de abril de 2021, com diretrizes de segurança cibernética para instituições financeiras. Em junho daquele ano, oCNJ (Conselho Nacional de Justiça) divulgou normas de cibersegurança para os órgãos do Poder Judiciário para proteger as informações de mais de 77 milhões de processos digitalizados.

A Estratégia vigora até o final de 2023. Consultado sobre os planos de atualização do decreto, oGSI (Gabinete de Segurança Institucional) da Presidência da República, responsável pela elaboração do documento, observou, em nota enviada a Pesquisa FAPESP, que tem avaliado desde 2022 tópicos que precisam ser aprimorados.

O órgão informou que analisará também contribuições “da comunidade de segurança cibernética e das que resultarem de consulta pública”, indicando que, assim como na formulação da Estratégia atual, apresentará o projeto do documento para avaliação prévia da sociedade. Não revelou, porém, quando isso deve ser feito.

Gurjão, da UFCG, ressalta a importância de criar um centro unificado para registros de incidentes cibernéticos, previsto na Estratégia. A seu ver, esse centro poderia permitir ações conjuntas mais rápidas de defesa entre instituições responsáveis por serviços essenciais como fornecimento de água, energia, telecomunicações e segurança pública, em caso de ataques.

“É importante formar uma coalizão com os diversos setores do governo e da sociedade civil, já que a segurança cibernética lida ao mesmo tempo com uma ameaça difusa e híbrida, que pode atingir qualquer pessoa, empresa ou instituição”, diz Raquel Jorge de Oliveira, analista de inteligência na startup de cibersegurança Harpia Tech, do Rio de Janeiro.

Em seu mestrado, concluído em 2021 naUnB (Universidade de Brasília), ela comparou a política brasileira com a de quatro países europeus – Finlândia, Suécia, Dinamarca e Noruega – considerados referências internacionais em cibersegurança. Nos quatro, há um diálogo permanente entre as instituições e os usuários de internet, o que, segundo ela, não ocorre no Brasil. Oliveira detalhou as conclusões em um artigo publicado em fevereiro de 2022 na revista Brasiliana: Journal for Brazilian Studies.

“A legislação sobre cibersegurança no Brasil prevê a interação entre setores do governo e a sociedade civil, mas sempre sob o comando do GSI ou do Ministério da Defesa, sem estruturas permanentes de coordenação e de interação entre órgãos do governo e os usuários”, diz Oliveira.

Graduada em relações internacionais, Louise Marie Hurel, mestranda na London School of Economics, no Reino Unido, tem uma visão semelhante. Em uma análise publicada pelo Instituto Igarapé, instituição não governamental do Rio de Janeiro dedicada à segurança climática e digital, ela comentou: “Por mais que o GSI já desempenhe a função de coordenação e facilitação na administração pública federal, sua relação com a sociedade civil permanece frágil, com grupos frequentemente apontando a falta de transparência e militarização da agenda do Departamento de Segurança da Informação do GSI”.

Questionado sobre essa militarização, o GSI informou, em nota, que a defesa cibernética nacional está, de fato, entre as competências do Ministério da Defesa. Mas a segurança cibernética do país, segundo o órgão, “compete majoritariamente a organizações civis”. Como instituições civis importantes nessa área, o GSI cita oCais (Centro de Atendimento a Incidentes de Segurança) da RNP (Rede Nacional de Ensino e Pesquisa), e o Cert.br (Centro de Estudos, Resposta e Tratamentos de Incidentes de Segurança no Brasil), que faz a gestão de incidentes para redes do CGI.br (Comitê Gestor da Internet no Brasil). Essas entidades se articulam com o CTIR Gov (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo).

Para Calil, a Anatel ajuda a equilibrar esse jogo de forças, ampliando a participação social. Em 2021, a agência criou oGT-Ciber (Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica), reunindo empresas de telecomunicações. O grupo editou o Ato 77, da Anatel, de julho de 2021, que estabelece requisitos de segurança cibernética para aparelhos de telecomunicações e dispositivos conectados à internet, como roteadores, modems, celulares, câmeras de segurança e televisões.

“Agora, aguardamos a interação com o novo governo e uma participação mais intensa na atualização da estratégia nacional”, afirma Gustavo Santana Borges, superintendente de controle de obrigações da agência e integrante do GT-Ciber.

Quem cuida da cibersegurança no país

Participação social é ampla, mas especialistas criticam a falta de um órgão apto a articular os objetivos dos diferentes grupos.

Sociedade Civil

• Coalizão Direitos na Rede
• ONGs

Defesa Nacional

• Comando de Defesa Cibernético (ComDCiber)
• Centro de Defesa Cibernética (CDCiber)

Comunidade Técnica

• Centro de Estudos, Resposta e Tratamentos de Incidentes de Segurança no Brasil (Cert.br)
• Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (Cais/RNP)

Segurança Nacional

• Gabinete de Segurança Institucional (GSI) da Presidência da República – Departamento da Segurança da Informação (DSI)
• Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov)
• Centro de Pesquisa e Desenvolvimento para a Segurança das Comunidades (Cepesc/Abin)

Para navegar com mais segurança

Algumas recomendações para o uso de dispositivos com acesso à internet.

No seu celular

• configure uma senha forte para bloquear suas tela inicial
• desabilite funções com a tela bloqueada , como a visualização de mensagens
• quando trocar de aparelho, apague todos os dados e desvincule-o de contas bancárias e outros aplicativos
• altere o código do PIN padrão que vem no seu chip
• crie uma senha para o seu chip
• lembre-se de guardar o número IMEI , que permite bloquear e desbloquear o celular

Em qualquer dispositivo com acesso à internet

• não clique em qualquer link que receber. Entre em contato com a pessoa que enviou por outro meio, para checar se foi ela quem mandou
• não publique seus dados pessoais nas redes sociais
• nunca responda a mensagens ou ligações que solicitem seus dados pessoais, dados bancários ou senhas
• use senhas distintas para aplicativos diferentes
• não encaminhe códigos de acesso recebidos em mensagens para terceiros
• não reencaminhe mensagens de origem desconhecida ou com links duvidosos
• não acesse contas de banco quando estiver logado em Wi-Fi público