Faz algum tempo, convivemos com uma situação estranha na questão segurança da informação dentro do governo federal, e a Medida Provisória Nº 696, de 2 de outubro de 2015, veio dar uma contribuição fantástica para complicar mais ainda a questão.
Comecemos do conceito. No arcabouço jurídico nacional, no patamar das Leis, em apenas um lugar surge a questão segurança da informação: nas competências do Gabinete de Segurança Institucional. O Legislador à época, entendeu que o assunto era tão crítico e importante que ombreou lado a lado duas funções de Estado. Assim aparece na Lei, desde então, destacado em um inciso: “coordenação das atividades de inteligência federal e de segurança da informação”.
A atribuição destas competências, tratadas assim em conjunto, a um Órgão de Estado, tem sua primeira referência no ano de 2000. De lá para cá a cada mudança da estrutura administrativa de governo, a competência permanece inalterada e sempre atribuída a um Órgão de Estado.
A MP 696, mantém ipsis litteris esta competência, atribuindo-a a recém-criada Secretaria de Governo. Novo Órgão que constitui a Presidência da República, que em seu próprio nome reforça a lógica por traz da sua criação e acumula funções típicas de governo, misturando-as com essas duas funções de Estado.
A começar por seu Ministro, militante e filiado ao partido do governo. Não é foco deste texto tecer comentários a respeito da subordinação da Inteligência Federal à um órgão político, mudança implementada por aquela MP, mas não me furto a dizer que lamento profundamente e torço para que esta distorção seja sanada rapidamente.
Com relação a segurança da informação entendida aqui no seu latu sensu: proteção da informação não importando o meio pelo qual trafegue ou esteja armazenado. A sua gestão ficou mais embaralhada.
Todas as três Instruções Normativas e as vinte e duas Normas Complementares sobre segurança da informação, existentes na Administração Pública Federal – APF, que vão desde como construir e implementar a Política de Segurança da Informação até o uso de Criptografia, em cada um dos órgãos e entidades da APF, foram construídas por consenso, ao longo do período que vai de 2006 até 2014, pelos membros do Comitê Gestor de Segurança da Informação – CGSI, Órgão do Conselho de Segurança Nacional, sob a Coordenação do Departamento de Segurança da Informação e Comunicações – DSIC.
Ocorre que ao fatiarem as competências do antigo Gabinete de Segurança Institucional, o DSIC e o CGSI, foram abrigados em Órgãos distintos, Secretaria de Governo e Casa Militar, respectivamente.
Não parece um grande problema, pois ambos os órgãos pertencem a presidência da república. Entretanto, basta um olhar na conjuntura atual da gestão da segurança da informação, para perceber, que nada é tão simples como aparenta.
Há na Esplanada (e adjacências) uma série de Órgãos que buscam o protagonismo na gestão da segurança da informação ou de seus rótulos mais modernos: segurança cibernética, defesa cibernética, inteligência cibernética, e por aí vai, conceitos que se confundem, e que apesar de não serem exatamente sinônimos se complementam.
Não quero me tornar enfadonho, a literatura, ou a internet, está cheia de conceituações sobre cada uma dessas designações. Mas deixo aqui a minha visão. Segurança da informação é um guarda-chuva que abarca a proteção da informação em qualquer forma em que ela se apresente – analógica ou digital, e em qualquer meio que ela esteja armazenada, num papel ou em um computador.
As definições Segurança, Defesa e Inteligência Cibernética se aplicam a informação em formato digital e que trafegam pela Internet, por exemplo.
Sem maiores aprofundamentos nos conceitos, podemos dizer grosso modo que a Segurança Cibernética cuida das vulnerabilidades das redes de computadores e de seus softwares, além dos crimes praticados pelo uso destas redes. Ou seja, é uma responsabilidade das equipes de resposta a incidentes de redes e da Polícia. Defesa Cibernética é a proteção dos interesses (informações, sistemas e infraestruturas críticas) do Estado e da Sociedade brasileira contra ameaças externas, sem dúvida uma atribuição das nossas forças Armadas. E Inteligência Cibernética, é o uso de técnicas para detectar antecipadamente ameaças externas e tentativas de aproveitamento das vulnerabilidades de nossas redes. Em se tratando da defesa do Estado e da Sociedade é uma atividade que deve estar a cargo do órgão de Inteligência de Estado.
Funções complexas que devem estar perfeitamente coordenadas por cada um dos órgãos com papel a desempenhar. Entretanto, não há no governo federal um órgão ou entidade que centralize as políticas e as decisões nesta área. Que a coordene enfim. E a MP, veio acrescentar dois novos integrantes neste time.
Isso fica ainda mais crítico quando percebemos que o Governo, que não consegue nem mesmo coordenar esta atividade entre seus órgãos e entidades, ainda não deu um passo concreto em direção a coordenar a proteção cibernética da Sociedade. Estamos vivendo na chamada Sociedade da Informação, com todas as vantagens e desvantagens que isso traz.
Riscos cibernéticos não afetam apenas aos órgãos públicos, mas sim a toda a sociedade, cada empresa escola ou cidadão. Basta ter um celular conectado na internet.
Soluções existem. E outros países, que já entenderam que o Espaço Cibernético constitui a Nação Virtual, buscam soluções para proteger a sua Sociedade. Não seria a hora de voltarmos a pensar como Estado e buscar defender a nossa Sociedade?
Voltando a MP, no meio de tantos conselhos criados e existentes, será que não seria a hora de se pensar na criação de um Conselho Nacional de Segurança e Defesa Cibernética órgão de assessoramento vinculado à Presidência da República, composto por Ministros de Estado e por Conselheiros representantes da sociedade civil, designados pelo Presidente da República, entre representantes de usuários, de prestadores de serviços e de empresas dos setores de software e de hardware, infraestrutura de telecomunicações e Internet.
Não vejo clima político para isso acontecer no curto prazo. Por isso, estou fazendo a minha parte, criei e estou em fase de implantação do INSTITUTO DE PESQUISA E ESTUDOS SOBRE SEGURANÇA, DEFESA E INTELIGÊNCIA CIBERNÉTICA – IP_CIBER, sem fins lucrativos, com o objetivo fundamental de realizar estudos, pesquisas e capacitações na área de Segurança da Informação, Gestão do Conhecimento, Segurança, Defesa e Inteligência Cibernética que aprofundem e aprimorem o conhecimento e a cultura de Segurança da Informação no Brasil.
É uma grande empreitada e preciso da ajuda de todos que querem um Brasil melhor e mais seguro.
* Raphael Mandarino Jr. é ex-diretor do Departamento de Segurança da Informação e Comunicações da Presidência da República. Hoje é pesquisador em Segurança Cibernética, Consultor e Conferencista.