Ericson Scorsim. Doutor em Direito pela USP. Advogado com foco no Direito da Comunicação. Autor da Coleção de Ebooks sobre Direito da Comunicação. Fundador do Portal Direito da Comunicação. Sócio fundador do Escritório Meister Scorsim Advocacia.

O Decreto n. 10.222, de 5 de fevereiro de 2020, aprovou a Estratégia Nacional de Segurança Cibernética. Dentre os eixos temáticos encontram-se: i) a proteção e segurança do governo e na prestação de serviços públicos, das infraestruturas críticas e das empresas: a governança da segurança cibernética nacional, ii) a dimensão normativa; iii) o campo da pesquisa e educação, iv) a dimensão internacional e parcerias estratégicas.

Como ambiente normativo subjacente ao Decreto da Estratégia Nacional de Segurança Cibernética, há o plano legislativo: 1) Marco Civil da Internet (Lei n. 12.965/2014); 2) Lei Geral de Proteção de Dados (Lei n. 13.709/2018) e 3) Lei dos Crimes Cibernéticos. No plano regulamentar: a) o Decreto n. 9.573, de 22 de novembro de 2018, que aprovou a Política Nacional de Segurança das Infraestruturas Críticas, b) Decreto n. 9.637, de 26 de dezembro de 2018 que aprovou a Política Nacional de Segurança da Informação.[1] O objetivo estratégico é estabelecer um modelo de governança de segurança cibernético centralizado, sob o comando do Ministério da Defesa.  Assim, busca-se a construção de um ambiente de cooperação entre o setor público, privado e sociedade em ações de segurança cibernética. Além disto, outro objetivo estratégico é a definição de um marco regulatório sobre segurança cibernética, com alcance em áreas de atualização da legislação vigente no aspecto de crimes cibernéticos, tecnologias emergentes, contratação de mão de obra especializada e critérios para programas de trabalho remoto. Ademais, a definição de políticas de incentivo a centros de pesquisa em segurança cibernética, bem como startups, soluções de segurança cibernética, padrões globais de tecnologia. Em relação à tecnologia 5G devem ser definidos requisitos mínimos de segurança cibernética. Por outro lado, outra estratégia é o fortalecimento da cooperação internacional do Brasil em segurança cibernética, mediante a participação em eventos internacionais sobre o tema, como também acordos de cooperação e utilização de mecanismos internacionais de combate aos crimes cibernéticos. Outra ação é a adoção de medidas de prevenção e atenuação de ameaças cibernéticas, em diversas áreas tais como: 5G, internet das coisas, inteligência artificial, aprendizado por máquina, robótica, etc.

Destaca o Decreto n. 10.222/2020 que já existem centros de tratamento e respostas aos incidentes cibernéticos, ligado aos setores público, privado e acadêmico. Cita-se como exemplos: o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil – CERT.br, com responsabilidade sobre redes comerciais e instituições privadas. Por outro lado, há o Centro de Tratamento e Resposta a Incidentes Cibernéticos do Governo – CTIR – Gov. Assim, a necessidade de coordenação destes centros de tratamento e resposta aos incidentes cibernéticos. Em relação à interceptação ilegal de comunicações, destaca o Decreto n. 10.222/2020: “Atualmente, a comunicação pode ser alvo de interceptação ilegal que, de forma pontual, pode não ser evitada pelas políticas de segurança cibernética adotada tanto pelas prestadoras de serviços de telecomunicações quanto por parte de outros atores, e promovida por agentes com diferentes intenções, como busca de informações, assédio a pessoas com determinado perfil ou tentativa de prejudicar a realização de algum projeto, entre outras razões. Assim, a comunicação digital pode ser monitorada ou interceptada das seguintes formas: dispositivos pessoais ou organizacionais, infectados com malware ou monitorados diretamente; roteador wi-fi, infectado com malware ou controlado por terceiros; ponte de rede nacional (gateway), independente de localização do interceptado; cabos com derivação para desvio das comunicações, website do serviço utilizado e qualquer um dos serviços que armazena ou roteia sua comunicação”.  Deste modo, para atenuar os riscos de interceptação ilegal das comunicações, o Decreto n. 10.222/2020 recomenda a utilização da técnica da criptografia. Por outro lado, em relação à proteção das infraestruturas críticas, o Decreto considera: “A proteção às infraestruturas críticas, por sua relevância, merece abordagem específica. No Brasil, essas organizações a serem protegidas, escopo desta Estratégia, são as pertencentes ao setor de telecomunicações, ao setor de transportes, ao setor de Energia, ao setor de água e ao setor financeiro”.

Adiciona o Decreto n. 10.222/2020 afirmando que, embora o setor farmacêutico não seja formalmente considerado como infraestrutura crítica, deve ser adotadas medidas para evitar ataques cibernéticos.  Salienta que o setor financeiro já possui medidas de segurança cibernética de sua infraestrutura críticas, na forma de Resolução do Banco Central n. 4.658/2018.  Mas, diversamente, o Decreto n. 10.222/2020 menciona que as empresas de pagamento eletrônico não fazem parte do sistema financeiro nacional, razão pela qual não são consideradas como infraestruturas críticas. Além disto, a falta de coordenação das ações de segurança cibernética foi destacada da seguinte forma: “Segundo relatório da Comissão Parlamentar de Inquérito da Espionagem, a distribuição e o trato dos assuntos relacionados à segurança cibernética no País, não tem colaborado para que o Governo possua uma visão geral do assunto, o que dificulta a execução de ações mais eficazes nesse campo. Isso ocorre porque cada órgão público adota definições, critérios e diferentes ações para a proteção do ambiente digital, sem compartilhar informações, boas práticas e as soluções adotadas para cada incidente cibernético”.  Em relação às pesquisas em inovação surgem diversas oportunidades para o florescimento de startups focado no setor de segurança cibernética, entre outras áreas, no segmento de inteligência quanto à utilização do espectro de radiofrequências: “A propósito, neste contexto, ressalta a importância do prosseguimento das pesquisas sobre o uso de inteligência espectral, em virtude do fato de sensores empregados em redes IoT, drones, smartphones, dispositivos GPS e em roteadores sem fio poderem sofrer ações maliciosas no espectro de radiofrequência com sérios impactos na privacidade e até mesmo na segurança de pessoas e de infraestruturas críticas. Entende-se como inteligência espectral o uso e a análise do espectro de radiofrequência em sistemas de comunicação sem fio”. No âmbito da cooperação internacional em relação às informações de inteligência destaca o Decreto n. 10.222/2020: “Em relação aos atos internacionais relacionados ao tratamento de informação classificada, o Gabinete de Segurança Institucional da Presidência da República tem a competência de conduzir as negociações, em articulação com o Ministério das Relações Exteriores. Atualmente, o Gabinete de Segurança Institucional da Presidência da República acompanha dezenas de acordos para troca e proteção mútua de informação classificada”.  Por sua vez, há a recomendação de cooperação internacional em matéria jurisdicional, através de tratado de assistência recíproca:“

Ainda, com relação aos acordos bilaterais, o Brasil deve estimular a negociação de tratados de assistência mútua ou MLATs, Mutual Legal Assistance Treaty), a fim de melhor combater o crime cibernético quando se expande além de nossas fronteiras”. Por último, destaca-se a demanda por ações de educação, mediante medidas de capacitação (professores, gestores e especialistas, formação e criação de cursos e inserção dos temas nas escolas) e conscientização (escolas e instituições e usuários). Assim, sugere-se a criação de políticas públicas de ensino voltadas à criação de cursos de nível superior em segurança cibernética, cursos de graduação e pós-graduação no Brasil e no exterior em segurança cibernética, pesquisa e desenvolvimento no tema, formação de profissionais especializados na área, realização de eventos, banco de talentos, entre outras medidas.

Decreto nº 10.222, de 5 de Fevereiro de 2020

[1] Conforme a Estratégia Nacional de Segurança da Informação há os seguintes pilares: segurança cibernética, defesa cibernética, segurança das infraestruturas críticas, a segurança da informação sigilosa e a proteção contra vazamento de dados.