Cibersegurança: Comércio e Indústria cobram foco no mobile, nova Agência e reforma na lei
Estudo encaminhado ao governo federal por um grupo de entidades setoriais e especialistas embasa recomendações para preencher lacunas nas políticas públicas de cibersegurança no Brasil. Entre as demandas prioritárias está a necessidade de adequar as medidas preventivas aos dispositivos mais utilizados no país: os celulares, que carregam as ameaças que chegam pelos aplicativos.
O relatório também sai em defesa do fortalecimento da Autoridade Nacional de Proteção de Dados (ANPD), a criação da Agência Nacional de Cibersegurança, além de uma reforma na lei (saiba mais abaixo).
O documento, de quase 100 páginas, é o resultado de uma iniciativa do Instituto Nacional de Combate ao Cibercrime (INCC), e resume as demandas em 20 propostas. A construção se deu em uma mobilização de dez setores econômicos, que correspondem a cerca de 70% do PIB nacional, além de acadêmicos. Entre as entidades participantes estão a FecomercioSP (Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo), Fiesp (Federação das Indústrias do Estado de São Paulo), Febraban (Federação Brasileira de Bancos), Abrasca (Associação Brasileira das Companhias Abertas) e Abes (Associação Brasileira das Empresas de Software).
Foco no mobile
A atenção na prevenção contra vulnerabilidades nos celulares aparece no primeiro eixo de propostas, relacionadas ao engajamento social e letramento digital. Defende-se “a realização de campanhas de conscientização pública com foco em mobile e redes sociais” e “investimento em educação obrigatória sobre o tema”.
O estudo ressalta dados que refletem a falta de alinhamento entre o amplo uso dos dispositivos no Brasil e o conhecimento sobre os riscos do ambiente virtual, pois houve “lentidão da educação digital frente ao avanço acelerado da inclusão digital”. Levantamento do Real Time Big Data realizado no ano passado aponta que, 71% dos brasileiros não sabiam utilizar ferramentas de segurança em caso de roubo e 91% não sabem o que é o número IMEI – código que identifica o aparelho e possibilita o bloqueio em caso de perda, roubo ou furto.
Outra pesquisa, realizada em 2019 pela ESET, apontou que “60% dos usuários brasileiros não possuíam antivírus no celular e utilizavam redes de WiFi públicas, 47% utilizaram algum mecanismo, como JailBreak e Root, para burlar controles de segurança dos dispositivos, instalando aplicativos não-autorizados, ainda, 60% dos usuários não se atentam às permissões requiridas por um aplicativo”.
“[…] uma extensa campanha de conscientização a respeito de práticas adequadas de segurança na utilização de aparelhos celulares, notadamente smartphones, é de sensível relevância para o combate do cibercrime”, recomenda.
Tal campanha, na visão dos especialistas, deve contar com monitoramento por indicadores. A estrutura sugerida visa estabelecer metas para ampliar o percentual da sociedade consciente sobre práticas de engenharia social, prevenção no mobile e como responder a incidentes de segurança.
Agência Nacional de Cibersegurança
A esperada criação de uma Agência Nacional de Cibersegurança, travada pelo impasse sobre como custeá-la, também consta entre as recomendações, no eixo de “Engajamento e integração multiinstitucional”.
“Tal eixo está diretamente ligado ao desafio de integração, capacitação e infraestrutura necessários para que o sistema de segurança pública atue efetivamente no combate aos cibercrimes, além do fortalecimento da cooperação internacional e a coordenação nacional de segurança cibernética com foco na gestão, monitoramento e integração dos esforços nacionais”, define.
Entre as propostas neste sentido há a defesa de “criar um centro ou agência que sirva como ponto central de conscientização, diretrizes, integração de atores e iniciativas de Cibersegurança”.
Em nota encaminhada junto ao relatório, a FecomercioSP destaca que “uma política de cibersegurança satisfatória precisa ser alicerçada no fortalecimento do ecossistema nacional e, nesse sentido, seria importante desenvolver um órgão regulatório com autonomia técnica e decisória, que possa consolidar e coordenar o processo junto a especialistas”.
Em defesa da ANPD
A expectativa por uma agência de segurança cibernética não elimina a atenção aos órgãos já existentes. O estudo joga luz para o fato de que “no momento, a principal reguladora em matéria atinente à segurança cibernética é a Autoridade Nacional de Proteção de Dados”.
“A ANPD não detém orçamento ou volume de profissionais suficiente para a adequada execução de suas atividades institucionais – possuindo um orçamento significativamente inferior àqueles das Autoridades de Dados de países com PIB bastante próximo ao brasileiro”, grifa o relatório.
O documento traz como referência os resultados do Índice de Defesa Cibernética dos anos 2022/2023, o qual, em linhas gerais, mostra que “países com práticas robustas de proteção de dados tendem a obter melhores pontuações – com a França obtendo a melhor pontuação do ranking, em parte devido a atuação de sua Autoridade de Dados”, enquanto que o Brasil ficou em 16º lugar.
“A má classificação nacional parece resultar da ausência de disponibilização de recursos adequados ao regulador”, avalia.
A análise é de que a ANPD precisa aprimorar também sua atuação, especificamente para empresas de pequeno porte.
“Até o momento, a atuação da ANPD tem sido marcada pela apresentação de um único framework multisetorial, conforme descrito em seu Guia Orientativo Sobre Segurança da Informação para Agentes de Pequeno Porte […] Apesar de sua importância, há lacunas a serem destacadas nessa iniciativa. Uma delas é a falta de abordagem específica para certas áreas de risco que podem ser particularmente relevantes para agentes de pequeno porte, como a segurança de dados em ambientes de trabalho remoto ou o gerenciamento de terceirizados que têm acesso aos dados da empresa”.
A reivindicação por maior atenção institucional é voltada também para as forças policiais em âmbito regional, por mais delegacias especializadas em cibercrimes.
Diante disso, entende-se que “é clara a necessidade de melhor instrumentalizar os entes públicos responsáveis pela aplicação das leis e frameworks relacionados com segurança cibernética no país, destacando-se a atual situação precária da ANPD“.
Novo marco penal
O relatório dedica um dos eixos ao arcabouço legal, regulatório e normativo, apontando que a “legislação brasileira precisa continuamente tipificar novas modalidades de crimes cibernéticos, como fraudes sofisticadas e ataques a infraestruturas críticas”.
“Grande parte das alterações no Código Penal até agora foram reativas, respondendo a casos específicos que demonstraram a precariedade das leis existentes. Para enfrentar esse cenário, é essencial que a legislação aborde o uso de tecnologias emergentes, como inteligência artificial e blockchain, no contexto de crimes cibernéticos”, orienta.
Outro alvo de mudanças seria o Decreto n° 8.771/2016, que regulamentou o Marco Civil da Internet. Observa-se que “a norma definiu padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas, constituindo-se como um padrão multisetorial, uma vez que abrange todos os provedores de aplicações de internet, assim como os provedores de conexão com a internet”, no entanto, “não previu a necessidade de adoção de controles técnicos básicos, como soluções de proteção contra malware, além de não mencionar quaisquer medidas de segurança administrativas”.
“Essas lacunas podem representar um desafio significativo para a eficácia dos padrões de cibersegurança no país, demandando revisões e atualizações que contemplem um espectro mais abrangente de medidas de proteção e prevenção”, opina.
Para a Lei Geral de Proteção de Dados (LGPD) o estudo faz uma comparação com a legislação europeia. “Enquanto o General Data Protection Regulation (GDPR) estabelece diretrizes mais específicas sobre as medidas de segurança mínimas a serem implementadas, a norma nacional determina que tais medidas serão definidas por meio de regulamentação a ser emitida pela ANPD. Essa distinção pode gerar impactos na interpretação e aplicação das medidas de segurança, demandando uma atenção especial às futuras regulamentações emitidas pela ANPD para garantir a conformidade efetiva com os requisitos de proteção de dados”, observa.
Fundo e crédito
O levantamento pede prioridade às pequenas e médias empresas também no eixo de Financiamentos e Incentivos. Uma das reivindicações é por uma linha de crédito específica para esta categoria por meio do BNDES (Banco Nacional de Desenvolvimento Econômico e Social).
Em uma proposta de impacto mais amplo, sugere-se também incentivos fiscais para empresas que investem em segurança cibernética., além de linhas de financiamento para projetos no SEB (Sistema Educacional Brasileiro), visando o “desenvolvimento de projetos de P&D e de implantação de soluções de cibersegurança, garantindo a possibilidade de uso tanto pela iniciativa privada quanto por instituições estatais e paraestatais.
Como alternativa de fonte de recurso, apresenta-se a ideia de um fundo estadual voltado para o combate ao crime cibernético, entruturado por lei federal, por meio da reserva de um percentual de valores recuperados de lavagem de dinheiro e demais proventos do crime para o fomento ao combate do crime.
Recomendações
Veja abaixo o resumo das recomendações:
