Elaborado por iniciativa do Instituto Nacional de Combate ao Cibercrime (INCC), o documento possui cerca de 100 páginas, contou com a colaboração de especialistas e instituições de 10 setores econômicos, como FecomercioSP, FIESP, FEBRABAN, ABRASCA e ABES, representando 70% do PIB
No Brasil, existem 464 milhões de dispositivos digitais (computador, notebook, smartphone e tablet) ativos, considerando o uso doméstico e corporativo, segundo levantamento feito pela FGV em 2023. Temos uma população altamente conectada, só que o avanço da inclusão digital foi consideravelmente maior do que a educação digital, gerando vulnerabilidades em um ambiente em que ataques de ransomware e vazamentos de dados estão se tornando mais frequentes e mais prejudiciais. Pesquisas mostram que 71% dos brasileiros não sabem utilizar ferramentas de segurança em caso de roubo (Real Time Big Data), 60% dos usuários de celular não usam antivírus em seus dispositivos (ESET) e 40% das pessoas que usam computador no trabalho já tiveram problemas com vírus (dfndr lab). O Brasil é o segundo país mais atingido por ciberataques na América Latina (Fortinet) e fomos impactados, inclusive, pelo apagão cibernético ocorrido mundialmente nesse mês de julho.
É neste cenário que o INCC (Instituto Nacional de Combate ao Cibercrime) teve a iniciativa de desenvolver o relatório inédito “As contribuições da sociedade civil e dos setores produtivos para a estratégia nacional de cibersegurança, contendo quase 100 páginas. O objetivo foi trazer luz aos principais desafios enfrentados pelo Brasil referentes à cibersegurança, bem como agregar 20 propostas e medidas viáveis para o desenvolvimento da segurança digital no país, que envolvem desde a conscientização da sociedade, passando por formação de profissionais especializados, financiamentos e incentivos, até a criação de um arcabouço legal, regulatório e normativo mais robusto e efetivo. O relatório também enfatiza argumentos em defesa da criação de uma estrutura de coordenação central de Cibersegurança, a exemplo de países como os Estados Unidos, Reino Unido e, mais recentemente, Chile.
O material é resultado de uma aliança multisetorial, com a importante participação de 10 setores econômicos, que correspondem a aproximadamente 70% do PIB nacional, e 10 entidades setoriais, entre elas FecomercioSP (Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo), FIESP (Federação das Indústrias do Estado de São Paulo), FEBRABAN (Federação Brasileira de Bancos), ABRASCA (Associação Brasileira das Companhias Abertas) e ABES (Associação Brasileira das Empresas de Software). Também contou com conversas com especialistas, acadêmicos e autoridades e consulta a mais de 230 estudos e bases de dados nacionais e internacionais.
“Esta é uma contribuição inédita da sociedade para o fortalecimento da segurança no ambiente digital do Brasil. É muito gratificante termos visto a mobilização de tantas pessoas e entidades em torno de uma aliança do setor privado, de modo a gerar influência positiva, por meio de propostas e diálogo intenso em prol de políticas públicas mais efetivas nesta área. O Brasil hoje aparece na 18ª posição do ranking de maturidade dos países em cibersergurança, o “Global Cybersecurity Index” (Nações Unidas), o que não é uma posição tão desfavorável. Porém, somos o segundo país mais atacado do mundo e a forma como o crime organizado está instalado no Brasil e já migrou para o ambiente digital explica essa discrepância. Este cenário torna urgente o desenvolvimento e a integração de políticas públicas de diversas áreas em âmbito nacional e subnacional, além de forte parceria com o setor privado para enfrentarmos de maneira estrutural o crescimento descontrolado dos crimes que afetam diariamente os brasileiros, negócios e o próprio governo”, afirma a fundadora e CEO do INCC, Luana Tavares.
Além disso, o relatório é a primeira contribuição do INCC ao Gabinete de Segurança Institucional da Presidência da República (GSI) como parte do acordo de cooperação técnica assinado no dia 1º de agosto, em evento no auditório da FecomercioSP. O objetivo é colaborar em pesquisas e projetos que possam apoiar o Brasil a aumentar sua resiliência e maturidade cibernética.
Avanços e retrocessos
De acordo com o relatório, os investimentos no Brasil em cibersegurança são muito baixos. Para se ter uma ideia, em 2015, o Reino Unido já tinha capacidades cibernéticas mais avançadas do que as apresentadas pelo Brasil em 2020 – em cinco anos, foram investidos em média o equivalente a R$ 1,35 bilhão anualmente no Reino unido, enquanto a média brasileira no mesmo período foi de apenas R$ 15 milhões, valor 90 vezes menor. “De 2020 para cá, tivemos vários avanços no que tange a segurança cibernética, a LGPD foi uma conquista importante, mas temos visto os crimes digitais aumentando em volume e em complexidade, o que nos leva a crer que essas melhorias ou não foram suficientes ou ainda não refletiram na evolução dos indicadores”, comenta Fábio Diniz, fundador e presidente do INCC.
Outro ponto importante é o chamado “analfabetismo digital”, gerado no Brasil pela lentidão da educação digital frente ao avanço acelerado da inclusão digital. Ou seja, grande parte da população não tem conhecimento ou não sabe como se proteger de crimes virtuais e ameaças cibernéticas, o que a torna mais vulnerável aos golpes. “Deste modo, a vulnerabilidade da sociedade, em termos de conhecimento de cibersergurança, aliada ao baixíssimo custo para os criminosos ao cometer este tipo de delito, gerou o cenário catastrófico em que vivemos hoje”, afirma Diniz.
Vale destacar que uma pesquisa realizada pela IBM em 2023 mostra que 62% dos ataques cibernéticos foram direcionados a pequenas e médias empresas. “É preciso que investimentos, linhas de crédito especiais e políticas de educação voltadas para a população em geral e para as empresas sejam colocadas como prioridade nas ações nacionais de cibersegurança, seguindo exemplo de países como Portugal e Reino Unido”, complementa Diniz.
“Não podemos esquecer que o Brasil possui um alto déficit de profissionais de cibersegurança, de 441 mil, e que lideramos as demissões mundiais na área de Segurança Cibernética, segundo a pesquisa ISC 2021”, reforça Luana.
Olhando para esse panorama, entidades setoriais, organizações sociais e especialistas técnicos enviaram ao INCC 52 propostas de soluções com foco no aumento da resiliência cibernética do Brasil. Foram considerados, pelo comitê técnico do instituto, seis eixos estratégicos (conscientização da sociedade; adequação do capital humano; engajamento e integração multi-institucional; informações e conhecimento especializado; financiamento e incentivos; e arcabouço legal, regulatório e normativo), além de dois critérios: conteúdo estratégico e factibilidade de execução. Das 52 propostas, 20 foram priorizadas no relatório completo entregue ao GSI.
Metas e propostas
No primeiro eixo, a meta é aumentar o conhecimento da sociedade e o engajamento social quanto à cibersegurança no Brasil, tendo como propostas a realização de campanhas de conscientização pública com foco em mobile e redes sociais; investimento em educação obrigatória sobre o tema; e a criação e divulgação de “biblioteca” de conteúdos.
No eixo de adequação do capital humano, a meta é reduzir o déficit de profissionais no país. Para isso, as propostas passam pela criação de centros de capacitação especializados; estímulo a talentos em carreiras de cibersegurança; e a regulamentação para garantir a resiliência operacional para aplicações/aplicativos críticos.
Já em engajamento e integração multi-institucional, a meta é a implementação de uma estrutura que garanta maior coordenação nacional em cibersegurança. Para tanto, o relatório sugere a criação de um Centro ou Agência Nacional de Segurança Cibernética; a realização de cursos sobre acordos internacionais (Convenção de Budapeste e MLAT, por exemplo); a criação de uma rede de compartilhamento de informações sobre ameaças; e a ampliação das delegacias especializadas em crimes cibernéticos.
Para disseminar informações e conhecimento especializado e criar bases de dados confiáveis de acesso integrado, garantindo que o Brasil tenha base de dados confiáveis, as ações prioritárias são o desenvolvimento e a implementação de padrões de segurança cibernética; a criação de plataforma nacional para reporte de incidentes cibernéticos; e o desenvolvimento de capacidade de resposta a incidentes.
Com o objetivo de reduzir o gap de financiamento e de estimular os incentivos em cibersegurança, a proposta passa pela criação de uma linha de crédito para PMEs via BNDES; por incentivos fiscais e/ou subsídios para empresas; linhas de financiamento para projetos de segurança cibernética no SEB (Sistema Educacional Brasileiro); e pela estruturação de um fundo para combate ao crime cibernético com recursos advindos dos próprios crimes.
Por fim, o relatório ainda propõe a criação de um novo Marco de Legislação Penal para Crimes Cibernéticos. As propostas para isso passam por um novo arcabouço legal para cibercrimes; pelo fortalecimento legal e regulatório para dispositivos IoT; e pela autonomia financeira da ANPD.
O estudo também aponta que um dos grandes desafios é a ausência de dados e estatísticas de fontes públicas que apoiem no desenvolvimento de políticas públicas baseadas em evidências, metas e resultados para o tema. Portanto, são trazidas recomendações aos agentes públicos para a criação de pesquisas e captação de dados estruturados pelo estado de modo que as metas possam ser quantificadas e acompanhadas a médio e longo prazos.
Outras contribuições do setor empresarial
Dentre as propostas listadas, a FecomercioSP, anfitriã do encontro, destaca sete pontos essenciais: fortalecimento da governança e da coordenação, proteção de serviços essenciais, respostas a incidentes, capacitação e educação, pesquisa e desenvolvimento, legislação e regulação, intercâmbio internacional e maior acesso ao crédito às PMEs. Sobre a criação da Agência Nacional de Cibersegurança, a Federação defende que uma política de cibersegurança satisfatória precisa ser alicerçada no fortalecimento do ecossistema nacional e, nesse sentido, seria importante desenvolver um órgão regulatório com autonomia técnica e decisória, que possa consolidar e coordenar o processo junto a especialistas. Outra preocupação da Entidade é que, atualmente, o Marco Civil da Internet não tem controles técnicos básicos e medidas de segurança administrativas. Tais dispositivos poderiam ser incorporados numa atualização do Decreto 8771/2016, que regulamenta a matéria.
A FecomercioSP lembra ainda que, para minimizar os impactos para a economia e a segurança nacional, manter serviços essenciais funcionando durante um ciberataque é fundamental e, para isso, é preciso reduzir as vulnerabilidades do sistema e aumentar sua capacidade de detectar ameaças, bem como de responder a elas. Desenvolver uma cultura de segurança digital robusta também passa pela integração da cibersegurança nos currículos escolares e universitários, visando preparar a próxima geração para esse contexto.