Legal Informatics Lab - LILAB
Data: 04/09/2024
Relatores: Gustavo Fernando Fröhlich e Eugênio Corassa
1. INTRODUÇÃO
A apresentação, realizada em 4 de setembro de 2024, tratou de temas relacionados às obras "Cybersecurity and Local Government"[1] e "Cybersecurity, the Public/Private 'Partnership,' and Public Goods"[2] no que tange a relação da segurança cibernética e com a atuação estatal, com foco na atuação a nível local – ou seja, nos municípios. Ou seja, discutiu-se o papel do poder público com relação ao tema, tanto do ponto de vista de garantir a segurança das instituições e órgãos públicos, quanto da perspectiva dos entes governamentais como participantes relevantes dos ecossistemas de segurança cibernética nacionais.
Em geral, abrangeu: (i) a contextualização do cenário atual; (ii) antecedentes históricos; (iii) regulamentação vigente; (iv) auditorias em governança de segurança e LGPD conduzidas pelos órgãos brasileiros de controle; (v) a realidade nacional e (vi) situações hipotéticas que ilustram os desafios enfrentados pelo setor público.
2. CONTEÚDO
Inicialmente, a apresentação focou em introduzir o tema da segurança cibernética no setor público, ressaltando sua importância para a proteção de informações críticas e para a continuidade dos serviços essenciais à sociedade. Foram mencionadas notícias recentes que destacam invasões a sistemas governamentais, trazendo diversos transtornos para a população.
Nesse sentido, foram destacados quatro temas centrais que permeiam a atuação do setor público em cibersegurança:
a) Disponibilidade de recursos humanos e financeiros: A escassez de profissionais qualificados e limitações orçamentárias dificultam a implementação de medidas de segurança robustas.
b) Dicotomia entre centralização e descentralização: O debate entre centralizar sistemas para melhorar o controle e padronização versus a descentralização que pode levar a soluções isoladas e sem regulamentação consistente.
c) Cultura e liderança em cibersegurança: A falta de uma cultura organizacional que priorize a segurança cibernética e a ausência de liderança comprometida agravam as vulnerabilidades existentes.
d) Vulnerabilidades e tipos de ataques comuns: Ataques como ransomware, vazamentos de dados e abusos de sites web são frequentes, explorando fragilidades nos sistemas governamentais.
Na sequência, foram apresentados alguns dos antecedentes históricos que marcaram a evolução da segurança cibernética no setor público brasileiro.
Em 1957: Importação do UNIVAC 120 pelo Governo de São Paulo, marcando o início da informatização governamental. Nos anos seguintes, foram criados órgãos e empresas públicas vultadas ao assunto, destacando-se a criação do Serviço Federal de Processamento de Dados (SERPRO), em 1964, e da Empresa de Processamento de Dados da Previdência Social (DATAPREV), em 1974, precursoras na consolidação da infraestrutura tecnológica federal. Em 2000, foi instituída a Política de Segurança da Informação, a qual estabeleceu diretrizes e responsabilidades para a proteção das informações governamentais.
Quanto a regulamentação da matéria, apresar de existirem tentativas anteriores, esta se solidificou a partir de 2007, graças a trabalhos do Tribunal de Contas da União que culminaram na Instrução Normativa DSIC/GSIPR nº 1/2008[1], norma que disciplina a gestão de segurança da informação e comunicações na Administração Pública Federal. O documento, vigente atualmente, iniciou um processo de alinhamento da praxe administrativa aos padrões internacionais, promovendo a padronização de práticas de segurança e reforçando a necessidade de proteger as informações sensíveis do governo.
A partir de então, foram apresentados vários marcos normativos, incluindo: em 2012, a aprovação da Lei nº 12.737, conhecida como Lei Carolina Dieckmann[2], tipificou crimes cibernéticos no Código Penal brasileiro, como a invasão de dispositivos informáticos sem autorização.
Em 2014, por sua vez, foi sancionado o Marco Civil da Internet[3], que estabeleceu princípios, garantias, direitos e deveres para o uso da internet no Brasil, incluindo disposições sobre privacidade, proteção de dados pessoais e neutralidade da rede, seguida, em 2018, pela promulgação da Lei Geral de Proteção de Dados Pessoais[4], que impôs obrigações às organizações públicas e privadas quanto ao tratamento e segurança dos dados pessoais, exigindo a adoção de medidas técnicas e administrativas para protegê-los.
Finalmente, em 2020, o Decreto nº 10.222[5] aprovou a Estratégia Nacional de Segurança Cibernética (E-Ciber), estabelecendo objetivos estratégicos e ações para fortalecer a segurança cibernética no Brasil.
Indo à parte prática da discussão, foram analisados os resultados de auditorias realizadas pelo Tribunal de Contas da União (TCU), os quais revelaram deficiências significativas nas organizações públicas no que tange a segurança cibernética e a proteção de dados:
a) Dependência tecnológica: Com 73,1% dos serviços públicos totalmente digitais, a segurança cibernética torna-se crítica, mas muitas organizações não possuem políticas de backup adequadas nem planos de continuidade de negócios (totalizando mais de 70% das organizações da administração pública federal).
b) Falta de políticas de segurança: 24% das organizações avaliadas não possuem Política de Segurança da Informação, e; apenas 18% mantêm Política de Proteção de Dados Pessoais.
c) Capacitação insuficiente: Somente 29% dos órgãos avaliados possuem plano de capacitação abrangendo a proteção de dados pessoais.
d) Inadequação à LGPD: Apenas 45% das organizações concluíram iniciativas de adequação à legislação de proteção de dados.
Esses dados são oriundos da primeira edição da Lista de Alto Risco (LAR) da Administração Pública Federal, elaborada pelo Tribunal de Contas da União[6], bem como de auditoria sobre a adequação dos mesmos entes à LGPD, realizada em 2021[7].
Vale lembrar que o TCU tem exercido o trabalho de fiscalização na esfera da administração pública federal, enquanto cabe aos Tribunais de Contas dos Estados (TCEs) a fiscalização dos entes estaduais e, principalmente, dos entes municipais. Apesar disso, muitos TCEs não conduzem auditorias do ponto de vista de segurança cibernética e da proteção de dados pessoais. Em 2024, inclusive, o TCU propôs uma ação de auditoria com relação à conformidade com a LGPD a nível nacional, embora apenas tribunais de nove estados da federação tenham aderido à fiscalização (TCE-AM, TCE-BA, TCE-CE, TCE-PA, TCE-PE, TCE-PR, TCE-RJ, TCE-RN e TCE-SC).
Destacou-se, também, o problema da falta de dados estatísticos, especialmente para além da administração pública federal, visto que não há dados atualizados sobre o estágio de conformidade dos entes governamentais com os temas abordados. Ainda, embora haja a atuação de alguns tribunais de contas, a discussão parece não ter chegado ainda nos elos mais fracos da cadeia de segurança cibernética – ou seja, estados e municípios, bem como suas secretarias e órgãos vinculados.
Ademais, a apresentação abordou outros aspectos da realidade nacional da segurança cibernética, marcada por desafios significativos que comprometem a proteção dos sistemas governamentais. Nessa linha, a fragmentação regulatória foi apontada como um dos principais obstáculos para o aperfeiçoamento da segurança cibernética, pois a inexistência de uma legislação abrangente em nível nacional resulta em normatizações esparsas que raramente abordam questões estruturantes. A falta de coesão dificulta a implementação de políticas eficazes de cibersegurança e deixa brechas que podem ser exploradas por agentes mal-intencionados.
No mesmo sentido, pontou-se que a desigualdade entre esferas governamentais agrava esse cenário. Estados e municípios, geralmente com menos recursos financeiros e humanos, tornam-se mais vulneráveis a ataques cibernéticos em comparação ao Poder Executivo Federal. Concluiu-se que essa disparidade cria pontos fracos na infraestrutura de segurança nacional, comprometendo a proteção de dados e serviços essenciais em diferentes níveis de governo.
Além disso, os expositores entendem que existe uma cultura organizacional deficiente no que tange à segurança da informação. Muitas instituições públicas não priorizam esse aspecto, e há resistência interna à adoção de medidas de segurança, como o armazenamento em nuvem e o uso de senhas complexas. Essa falta de conscientização e comprometimento aumenta as vulnerabilidades e dificulta a criação de um ambiente digital seguro.
3. CONCLUSÃO
Como consequência desses fatores, os incidentes cibernéticos têm crescido de forma alarmante. Entre janeiro de 2020 e agosto de 2024, o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) foram registrados 26.709 incidentes de segurança cibernética e identificou 26.427 vulnerabilidades. Os números evidenciam a necessidade urgente de ações coordenadas e investimentos para fortalecer a segurança cibernética no setor público brasileiro.
Finalmente, foram apresentadas situações hipotéticas baseadas em eventos reais que ilustram desafios enfrentados pelo setor público. As situações destacaram vulnerabilidades como o acesso indevido a dados sensíveis em razão de configurações inadequadas de servidores e falta de controles de acesso; a ausência de medidas básicas de segurança, incluindo a não utilização de antivírus, resultando em ataques de ransomware que comprometem sistemas críticos; e a existência de contas com privilégios excessivos, cuja exploração pode levar à perda permanente de informações por falhas nas políticas de backup.
Outros cenários apresentados evidenciaram a resistência interna à adoção de práticas seguras, como o uso de senhas complexas e a implementação de armazenamento em nuvem, bem como o desenvolvimento descoordenado de soluções tecnológicas, como projetos de inteligência artificial sem regulamentação ou controle adequado. Os desafios identificados ressaltam a necessidade urgente de fortalecer a cultura de segurança, aprimorar políticas e procedimentos, e promover a conscientização em todos os níveis do setor público para proteger os dados e assegurar a continuidade dos serviços essenciais.
Finalmente, a apresentação concluiu que o setor público brasileiro enfrenta desafios significativos em cibersegurança, decorrentes da falta de regulamentação abrangente, recursos limitados e cultura organizacional deficiente. Para mitigar esses riscos, são recomendáveis as seguintes medidas:
a) Fortalecimento da legislação: Desenvolver uma estrutura legal mais robusta que aborde questões estruturantes em cibersegurança e estabeleça padrões mínimos obrigatórios.
b) Promoção de cultura e liderança em cibersegurança: Incentivar a conscientização e o comprometimento com a segurança cibernética em todos os níveis organizacionais.
c) Investimento em recursos e capacitação: Alocar recursos adequados e investir na capacitação contínua dos profissionais em cibersegurança e proteção de dados.
d) Padronização de políticas e práticas: Estabelecer políticas claras e padronizadas que possam ser adotadas por todas as esferas governamentais, reduzindo a fragmentação e melhorando a consistência.
Fomento à colaboração e cooperação: Promover a cooperação entre órgãos públicos, setor privado e sociedade para compartilhar informações, experiências e boas práticas.
REFERÊNCIAS
NORRIS, Donald F.; MATECZUN, Laura; FORNO, Richard F. Cybersecurity and local government. Hoboken, NJ: John Wiley & Sons, 2022.
ROSENZWEIG, Paul. Cybersecurity, the Public/Private 'Partnership,' and Public Goods. Hoover National Security and Law Task Force, 2011. Disponível em: https://ssrn.com/abstract=1923869. Acesso em 25 de setembro de 2024.
BRASIL. Instrução Normativa DSIC/GSIPR nº 1, de 13 de junho de 2008. Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências. Disponível em: https://www.gov.br/governodigital/pt-br/legislacao/14_IN_01_gsidsic.pdf. Acesso em: 25 de setembro de 2024.
BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso em: 25 de setembro de 2024.
BRASIL. Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 25 de setembro de 2024.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD). Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 25 de setembro de 2024.
BRASIL. Decreto nº 10.222, de 5 de fevereiro de 2020. Aprova a Estratégia Nacional de Segurança Cibernética. Disponível em: https://www.gov.br/conarq/pt-br/legislacao-arquivistica/decretos-federais/decreto-no-10-222-de-5-de-fevereiro-de-2020. Acesso em: 25 de setembro de 2024.
BRASIL. Tribunal de Contas da União. Lista de Alto Risco da Administração Pública Federal - 2022. Disponível em: https://sites.tcu.gov.br/listadealtorisco/. Acesso em: 25 set. 2024.
BRASIL. Tribunal de Contas da União. Fiscalização sobre a implementação dos dispositivos da LGPD na União, nos Estados e nos Municípios. Disponível em: https://portal.tcu.gov.br/fiscalizacao-de-tecnologia-da-informacao/atuacao/fiscalizacoes/auditoria-sobre-lgpd/. Acesso em: 25 set. 2024.
_________________________________________________________________________________________________________
O LILAB realiza encontros quinzenais remotos para debater temas afetos à sua área e o DTIBR cede espaço no site e nas suas redes sociais para divulgar as atas de reuniões e editais de processo seletivo do grupo de estudos.
Para maiores informações, acesse nosso FAQ.
Comments