Governo cria plano contra ataques cibernéticos, mas eficácia é incerta

Casos como a invasão do hacker Walter Delgatti no sistema do Conselho Nacional de Justiça (CNJ), com a exposição das fragilidades na cibersegurança do governo, no ano passado, motivaram o governo federal a criar o o Plano Setorial de Gestão de Incidentes Cibernéticos do Setor Defesa (PSGIC-Def). O objetivo é ajudar o setor militar a lidar com possíveis prejuízos às redes da pasta. A portaria que cria o sistema foi publicada no Diário Oficial da União (DOU) no final de 2023.

Em janeiro de 2023, 11 alvarás de soltura falsos foram inseridos no sistema do CNJ, além de um mandado de prisão contra o ministro do Supremo Tribunal Federal (STF), Alexandre de Moraes. A deputada Carla Zambelli é investigada sob suspeita de ter pedido a invasão para expor fraquezas do Judiciário das eleições, o que ela nega.

Como uma resposta ao aumento de incidentes cibernéticos reportados, que afetam organizações militares do setor de Defesa, o plano busca estabelecer procedimentos para a gestão de incidentes virtuais dentro do setor, incluindo a criação de equipes, coordenação entre as mesmas e a colaboração com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR-GOV).

Segundo a portaria, o plano visa melhorar, constantemente, suas estratégias, mantendo-se alinhado às melhores práticas nacionais e internacionais. O objetivo final é assegurar que a gestão de incidentes cibernéticos seja contínua, eficaz e oportuna para prevenir crises de segurança.

O que dizem os especialistas

Jorge Henrique Cabral, professor de Ciência da Computação da Universidade de Brasília (UnB), acredita que o plano aprovado é “padrão” e que “não há novidade”. “É um plano típico de gestão de incidentes, usa práticas internacionais, não tem nada de diferente. Se é suficiente ou não, na prática saberemos. Todo plano tem as suas limitações”, avalia ele.

O professor também explica que o recente aumento da relação de militares com a política pode aumentar os níveis de vulnerabilidade e atrapalhar o êxito do plano. “Certamente, toda essa situação que a gente vivenciou nos últimos anos, de envolvimento do setor militar em coisas da área civil, não contribui para que essas soluções sejam tão efetivas quanto poderiam”, afirma.

Segundo Wanderson Castilho, perito em crimes digitais, a portaria está atrasada. “Todas as nações precisam estar preparadas para eventos cibernéticos, de guerras, de tudo. Um país como o Brasil já deveria estar dentro dessa preparação há muito tempo. Não que nós já não tivéssemos, mas não havia uma portaria deste nível, já tão definida. Na metodologia, em todo plano é um excelente plano. Agora vamos ver na prática”, afirma.

Sobre a prevenção de possíveis futuras tentativas de ataque hacker, ele acredita que o plano deixa a Defesa mais preparada. “Com certeza absoluta [o Ministério da Defesa] estaria muito mais preparado para qualquer tipo de ataque. Mas afirmar que seria 100% eficaz é uma afirmação leviana”, diz o perito em crimes digitais.

A advogada Luiza Leite, especialista em Lei Geral de Proteção de Dados (LGPD), afirma que a maioria dos ataques hacker a sistemas do governo são decorrentes de falhas na segurança da informação pela falta de adoção de protocolos que reforcem a estrutura e garantam a segurança dos dados.

Em relação ao PSGIC-Def, ela acredita que “tal padronização tende a reforçar a segurança e procedimentalizar a forma de atuar nestes casos, então espera-se que ajude a proteger os sistemas e mapear as suas fragilidades”.