Pode-se até achar que a segurança cibernética é uma prioridade na agenda brasileira. Afinal, no último dia 4 de agosto, foram assinados dois decretos da temática, que aprovam a nova Política Nacional de Segurança da Informação, bem como seu principal meio de implementação, a Estratégia Nacional de Cibersegurança (E-Ciber).
Ademais, conforme o GovTech Maturity Index (GTMI) do Banco Mundial, o país ocupa a vice-liderança global em transformação digital no setor público. Esse índice avalia a maturidade da transformação a partir de 48 indicadores distribuídos entre sistemas centrais de governo, entrega de serviços públicos, e engajamento do cidadão.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
O avanço do Brasil em transformação digital é reflexo da implementação de iniciativas de transformação digital tais quais o Comitê Interministerial para a Transformação Digital (Decreto 12.308, de 11 de dezembro de 2024) e a Estratégia Brasileira para a Transformação Digital (E-Digital).
Contudo, a realidade dos fatos se impõe sobre qualquer otimismo, já que o Brasil ocupa outra vice-liderança que, diferentemente do ranking do Banco Mundial, não é nada lisonjeira: é o segundo país com mais incidentes cibernéticos no mundo, de acordo com pesquisa feita pela BNAmericas.
A consequência de ser alvo de tantos ataques cibernéticos é nefasta. Segundo dados do Instituto Nacional de Combate ao Cibercrime (INCC), apenas em 2024, ataques cibernéticos causaram um prejuízo global estimado de R$ 2,3 trilhões à economia brasileira. Esse valor corresponde a cerca de 18% do PIB do país, e se aproxima à totalidade do PIB de países como Portugal e Irlanda. A cifra, porém, desconsidera os graves prejuízos não financeiros causados na sociedade, como os advindos do cyberbullying, pornografia infantil e dos crimes de intolerância e de ódio.
A alta digitalização do governo, se levada à cabo sem a devida segurança, pode deixar vulneráveis tanto informações governamentais sensíveis, quanto dados pessoais dos cidadãos brasileiros. Paradoxalmente, quanto maior o número de usuários e dependência de uma sociedade em relação ao ciberespaço, maiores sua superfície para ataques cibernéticos e vulnerabilidade.
A nova E-Ciber: boas e más notícias
A nova E-Ciber tem a amplitude que os desafios da cibersegurança demanda. O documento está estruturado em quatro eixos temáticos: i) proteção e conscientização do cidadão e da sociedade; ii) segurança e resiliência dos serviços essenciais e das infraestruturas críticas; iii) cooperação e integração entre órgãos e entidades públicas e privadas; iv) soberania nacional e governança.
Ela inova em relação à E-Ciber anterior ao adotar uma abordagem mais enxuta e operacional, substituindo os sete eixos da versão de 2020 por quatro áreas centrais, alinhadas à Política Nacional de Cibersegurança (PNCiber). Na edição atualizada, a diversidade dos temas reflete-se nas ações estratégicas propostas, dentre elas: proteção de serviços essenciais, gestão de riscos, resposta a ciberincidentes, combate ao cibercrime, estabelecimento de padrões mínimos para dados sensíveis, criação de um selo nacional de cibersegurança, garantia do uso seguro do ciberespaço por pessoas consideradas vulneráveis, tais como crianças, adolescentes, idosos e pessoas neurodivergentes, capacitação de professores e gestores, e incentivo a inclusão de conteúdos sobre cibersegurança nos currículos escolares.
Até este ponto da análise, a nova E-Ciber é uma boa notícia. Contudo, a abrangência e amplitude do documento podem ser consideradas, ao mesmo tempo, virtude e vulnerabilidade. A Estratégia adequadamente elenca os desafios inerentes ao seu objeto, não obstante, um rol de desafios tão extenso nos faz questionar a exequibilidade de tal “lista de intenções”. Perguntas do tipo: “quem?” e “como?” em relação às ações listadas não são raras na leitura do documento.
A má notícia, portanto, é que a atualização do documento, por si só, não nos garante nem a efetiva implementação da política e da estratégia, tampouco alguma economia nos trilhões perdidos anualmente.
O sujeito oculto
As perguntas em aberto sobre a implementação da E-Ciber remetem a um ‘sujeito oculto’, que tem morado apenas na intenção de alguns setores da burocracia, e nos pedidos de parte do empresariado brasileiro: a Agência Nacional de Cibersegurança (ANCiber). Tal agência foi vislumbrada em uma minuta preliminar da PNCiber, elaborada em 2023 pelo Gabinete de Segurança Institucional (GSI), a qual foi discutida em audiência pública no mesmo ano.
A sugestão da criação de uma agência especializada na matéria vem da percepção de que o GSI não seria o ator mais adequado para levar à cabo as medidas previstas nas políticas de cibersegurança e segurança da informação brasileiras. Faltam a esse, que é o órgão responsável pela cibersegurança nacional, pessoal especializado e orçamento. Frente ao tamanho e custo do problema, desenhou-se uma ANCiber que custaria cerca de R$ 600 milhões aos cofres públicos por ano, após sua implementação inicial ao longo de cinco anos, com provimento de 800 novos cargos.
Contudo, em tempos de restrição fiscal e contingenciamentos orçamentários, novos gastos são vistos com maus olhos, o que se refletiu claramente nas diferenças entre as aspirações da primeira proposta da PNCiber e o documento de fato publicado. Profundamente desidratada, a PNCiber em vigor – e, também, a E-Ciber – deixa ausente qualquer menção à agência.
Sem este órgão, pensado como coordenador e regulador da transversal e multifacetada questão cibernética, o Brasil acaba por persistir em problemas antigos, como as ausências de um agente responsável e de meios claros para executar suas políticas e estratégias.
Deixou-se em segundo plano o fato de que o valor estimado de gasto com a agência é irrisório ao se considerar os prejuízos à economia nacional supracitados. Ainda assim, sendo o financiamento da agência uma questão, não foi a falta de tentativas que deixou engavetada a proposta. A possibilidade de taxação de usuários da internet para financiar a agência foi controversamente aventada, mas obteve um não contundente da Casa Civil da Presidência da República, em nota divulgada em julho de 2023.
A necessária criação da ANCiber
Em vista dos objetivos da Política e da Estratégia e, principalmente, dos desafios e prejuízos sociais e econômicos em tela, é urgente a criação da ANCiber. Essa necessidade se torna ainda mais premente com a previsão, na E-Ciber, de um Plano Nacional de Cibersegurança – em atual elaboração pelo Comitê Nacional de Cibersegurança – que deverá conter a discriminação das iniciativas estratégicas, seu cronograma de execução, e a governança das ações e das atividades vislumbradas na E-Ciber. Somado à esta, o Plano Nacional de Cibersegurança e os eventuais normativos subsequentes serão os instrumentos da nova Política Nacional de Segurança da Informação.
Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email
Por óbvio, não se espera que a ANCiber consiga resolver todos os problemas de cibersegurança no Brasil. Contudo, sem um órgão como a ANCiber – que teria meios técnicos e orçamentários mais robustos –, as políticas e estratégias do governo federal podem estar fadadas a um triste e comum fim: serem não medidas eficazes para solucionar problemas públicos, mas, meras listas de sonhos e desejos; aquilo que o país deveria ser ou ter, mas nunca o é ou tem.
Fato é que, quando o tema é cibersegurança, continuar deitado em berço esplêndido custa R$ 2,3 trilhões ao ano. Mas e se pudéssemos os ganhar de volta com um investimento de R$ 600 milhões?