A Estratégia Nacional de Segurança Cibernética: planos para educação e políticas públicas

Fotografia de vários feixes de luz azul embaraçados. Ao fundo há uma paisagem urbana à noite.

Publicado no Diário Oficial da União em 6 de fevereiro de 2020, o governo publicou sua Estratégia Nacional de Segurança Cibernética, também conhecida como E-Ciber (decreto 10.222). Com entrada em vigor nessa mesma data, o documento, que passou por consultas públicas e que parte da Política Nacional de Segurança da Informação de 2018, estabelece diretrizes importantes para o desenvolvimento do país.

Além de medidas importantes de segurança para o atual contexto cibernético, as quais devem ser imprescindíveis a qualquer país, o documento merece atenção nos destaques que faz ao papel da educação e conscientização da população acerca do momento em que vivemos, onde vulnerabilidades cibernéticas trazem não apenas relevantes prejuízos financeiros, como também impossibilitam um desenvolvimento político, econômico e social.

Golpes como o pedido de dinheiro por um conhecido pelo Whatsapp graças a um roubo de chip são extremamente comuns, e começam com um vazamento ou repasse ilegal de dados pessoais. O golpista em posse de alguns dados cadastrais compra um novo chip e em contato com a operadora ativa o número do usuário, que é bloqueado. Assim, se passa pelo usuário no Whatsapp onde consegue acesso aos contatos, algo que poderia ser evitado se o usuário tivesse autenticação de dois fatores, uma espécie de senha para o aplicativo (saiba como ativar aqui).

E como o golpista consegue dados de usuários? Através de uma das práticas ilegais mais antigas da Internet, o phishing. Sites falsos são criados copiando em detalhes uma grande loja de comércio eletrônico, por exemplo, com uma promoção imperdível de algum produto. O usuário sem perceber a falsidade do site realiza a “compra”, cadastrando assim todos os seus dados pessoais. Nesse caso, o conhecimento do usuário é testado, já que muitos desses sites falsos aparecem em links de correntes de Whatsapp, onde basta clicar para acessar a promoção. Na dúvida, vale digitar o endereço manualmente no seu navegador e conferir se a promoção é válida pelas redes sociais oficiais (contas verificadas) da loja.

Esses são apenas dois exemplos de problemas que o usuário brasileiro está vulnerável na Internet, especialmente com o acesso feito que quase exclusivamente pelo celular. Uma pesquisa de 2017 mostrou que o brasileiro é um dos povos mais dispostos a ceder dados em dispositivos eletrônicos, mesmo em um cenário de Internet das Coisas (IoT, em inglês), ou seja, com cada vez mais equipamentos conectados à Internet, como geladeiras e até máquinas de lavar roupa. Dentre os 13 países entrevistados, o Brasil fica entre as quatro primeiras posições em todos os itens questionados.

O Decreto chega em boa hora, já que o país se prepara para a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em agosto (ainda que com certo atraso, pois o Brasil é o 128° país a adotar uma lei específica para proteção de dados). Nesse contexto, o documento recomenda à indústria que invista em padrões de segurança desde a concepção de seus produtos, o chamado privacy by design [privacidade por desenho]. A criptografia também é uma ferramenta fortemente mencionada no texto da Estratégia, inclusive para elevar o nível de proteção do governo. O uso de medidas criptográficas aumentou globalmente desde 2013 quando Edward Snowden divulgou o esquema de espionagem massiva estadunidense, fazendo com que até grandes corporações de atuação transnacional como a Google implementasse criptografia em seus fluxos de dados.

Reconhecendo a importância do setor privado na temática e no próprio desenvolvimento de padrões e medidas de segurança, a Estratégia busca ampliar parcerias e cooperação em âmbito multissetorial. A formulação do texto passou por consulta pública e conta com inúmeras referências de acadêmicos e especialistas no assunto. O documento atinge, então, um ponto de extrema importância e de atual situação delicada em nível nacional: a educação. Chega a propor, inclusive, uma cooperação com o Ministério da Educação “[…] visando à implementação de programas de incentivo ao desenvolvimento de capacidades em segurança cibernética para estudantes da educação básica, com o objetivo de identificar talentos, e orienta-se que as universidades desenvolvam projetos em alinhamento com as necessidades do setor produtivo”.

As leis de proteção de dados levam diretamente a outro ponto de grande destaque na Estratégia, que trata da educação e conscientização da população sobre uma cultura de segurança cibernética.

Diante dos recentes ataques às universidades públicas e consideráveis cortes de orçamento, especialmente de bolsas da pós-graduação, é interessante que o reconhecimento da Estratégia volta-se às questões de pesquisa, desenvolvimento e inovação: as iniciativas de Pesquisa, Desenvolvimento e Inovação (PD&I), na área de segurança cibernética, necessitam de maior prioridade, com o fim de obter maior investimento, mais pesquisadores capacitados na área, e novos projetos, aos moldes de outros países, de forma a contemplar, inclusive, a criptologia como matéria de extrema relevância a ser incorporada em projetos de pesquisa e de inovação em âmbito nacional”.

É de se atentar, assim, que tais investimentos não ignorem as pesquisas em Ciências Humanas, que não apenas no campo cibernético, mas em qualquer área do conhecimento que atinja políticas públicas, avaliam a implementação e os impactos de tais medidas na sociedade, buscando aprimorá-las dentro do cenário de constante transformação tecnológica, como a própria formulação do documento apresenta. Um forte financiamento e incentivos que demonstrem a necessidade de aplicação dessas políticas nacionalmente podem manter pesquisadores de alto nível no país, já que o atual quadro da educação causou muitas desistências e busca por oportunidades no exterior.

Outro ponto de atenção da Estratégia trata de ampliação da cooperação internacional do Brasil, que se orienta “[…]pelos princípios constitucionais brasileiros, pelos valores fundamentais de nossa sociedade – como o respeito à democracia e aos direitos humanos – pela ênfase ao multilateralismo, pelo respeito ao direito internacional, pela vocação para o diálogo e pela solução pacífica de controvérsias, passando pela identificação de novas oportunidades comerciais”. Nesse sentido, o Brasil possui forte histórico de envolvimento em fóruns internacionais, assim como princípios e ações bem reconhecidas, a exemplo do Marco Civil da Internet (Lei 12.965/2014), que estabelece direitos e deveres para o uso da Internet no país.

Entretanto, o país tardou a aderir à Convenção de Budapeste, tratado internacional criado em 2001 a partir do Conselho da Europa, com o intuito de harmonizar práticas de combate aos crimes cibernéticos. O pedido de adesão foi feito em 2019 e deve facilitar a cooperação jurídica internacional, além de aproximar o Brasil das diretrizes europeias nesse campo. A LGPD já se baseia, em grande parte, na Regulação Geral de Proteção de Dados (GDPR) da União Europeia, que entrou em vigor em 2018. O velho continente se apresenta hoje como uma forte liderança nos temas relacionados à Internet, tendo condutas globalizadas e procurando ser uma alternativa tanto à condução autoritária do ciberespaço chinês quanto à condução não-intervencionista liberal estadunidense, que favorece grandes corporações privadas.

Se faz necessário um entendimento em todos os níveis da sociedade, sobre o funcionamento básico de websites e plataformas da Internet, a fim de expandir práticas simples desde ativar uma verificação em duas etapas para proteger uma conta online, até reconhecer informações de fontes duvidosas e, principalmente, questionar mensagens recebidas por aplicativos de mensagens.

As leis de proteção de dados levam diretamente a outro ponto de grande destaque na Estratégia, que trata da educação e conscientização da população sobre uma cultura de segurança cibernética. Afinal, quem nos dias de hoje não possui ao menos um smartphone, com uma conta de e-mail ou um aplicativo de banco por onde se realiza transações financeiras? No uso mais comum, os cidadãos convivem com inúmeros aplicativos que facilitam o dia-a-dia, mas que também coletam e processam dados pessoais de valores diversos: personalizar propagandas e recomendações de conteúdo, repasses para terceiros, compreensão de comportamentos e conhecimentos não só econômicos, como também políticos e culturais.

A saber, os principais pontos da LGPD são o fornecimento de consentimento pelo titular dos dados e o atendimento dos interesses legítimos do controlador ou de terceiro. Ou seja, o usuário deve ter conhecimento total e transparência sobre o processamento de seus dados, que com seu claro consentimento devem ser utilizados apenas para o funcionamento do serviço contratado (ainda que esse serviço seja financeiramente gratuito para o usuário, como as redes sociais ou aplicativos de troca de mensagens). A LGPD também é extraterritorial, o que significa que serviços estrangeiros que atuem no Brasil devem seguir a lei.

Nesse sentido, a Estratégia propõe “[…] desenvolver uma cultura de segurança cibernética, por meio da educação, que alcance todos os setores da sociedade e níveis de ensino, a fim de prevenir incidentes e proporcionar o uso responsável das tecnologias, por ser um dos fatores chaves para o desenvolvimento do País”. O desafio é grande, a começar pelo próprio governo, mas não significa que seja inatingível. Projetos como o Dia da Internet Segura são exemplos de medidas a serem cada vez mais adotadas e publicizadas, onde temas como uso de criptografia e cuidados com desinformação são debatidos e levados ao grande público.

Se faz necessário um entendimento em todos os níveis da sociedade, sobre o funcionamento básico de websites e plataformas da Internet, a fim de expandir práticas simples desde ativar uma verificação em duas etapas para proteger uma conta online, até reconhecer informações de fontes duvidosas e, principalmente, questionar mensagens recebidas por aplicativos de mensagens. Como o próprio texto da Estratégia coloca “[…] como o tema é transversal, os melhores resultados somente serão alcançados se todos agirem de forma coordenada, sempre cientes de que nenhum ator poderá, de forma isolada, enfrentar com todos os desafios impostos pelas novas tecnologias. Nesse sentido, são necessárias responsabilidades bem definidas, e cabe ao Governo o papel central de coordenação desse complexo ecossistema, ao direcionar os esforços em prol do bem-estar da sociedade”.

O ponto sobre a centralização no governo para coordenar tal Estratégia ainda gera dúvidas, desde o fato do despreparo do mesmo em assuntos cibernéticos, até em questões institucionais mais práticas, a exemplo de uma possível interação entre o Gabinete de Segurança Institucional (GSI) e o Comando de Defesa Cibernético (CDCiber), que executa exercícios e treinamentos de proteção cibernética. Porém, o Decreto não deixa de mencionar o papel fundamental de outros órgãos, privados e estatais, que tratam de respostas a incidentes cibernéticos, como o CERT.br, Dataprev e Serpro, estas duas últimas presentes na lista de privatizações do governo.

O Serpro, Serviço Federal de Processamento de Dados, e a Dataprev, Empresa de Tecnologias e Informações da Previdência Social, são empresas responsáveis pela infraestrutura crítica de tecnologia do país, que possuem bancos de dados dos cidadãos, onde é possível ter acesso à informações como hábitos financeiros, documentos como CPF, CNPJ, CNH e Renavam, histórico de salários e impostos recolhidos, ou seja, tudo que o cidadão é obrigado a ceder para o governo (o cadastro nesses bancos de dados não é opcional). Uma privatização desses órgãos vai contra os ideais de soberania nacional tão presentes nos discursos do atual governo, já que estará entregando à um poder privado informações estratégicas sobre a população brasileira.

A Estratégia traça, portanto, objetivos importantes e condizentes com as necessidades do país em termos de cibersegurança. O grande destaque para a educação ressalta a importância da sociedade civil e da academia nessa questão, inclusive no papel de cobrança sobre os políticos e as empresas que tratam os dados pessoais. Somente com ampla conscientização e aprendizado, o Brasil pode evoluir e avançar tanto economicamente quanto em outras áreas de desenvolvimento, com a tecnologia a favor da população.

Jaqueline Trevisan Pigatto
Bacharela em Relações Internacionais pela UNESP. Mestre e doutoranda no PPGRI San Tiago Dantas (UNESP/UNICAMP/PUC-SP). Pesquisadora sobre governança global da Internet.

1 comentário

  1. Excelente texto e diga-se de passagem ótimo tema. É inegável que precisamos de proteção na internet. Parabéns Jaqueline.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *