Após ataque ao STJ, novas regras aumentam as exigências de segurança no governo
Em que pese a rotinha de milhares de ataques cibernéticos contra redes do Poder Público, a escalada das ameaças – como visto na paralisação dos sistemas do Superior Tribunal de Justiça – reforçou a preocupação com a proteção de dados no governo federal. E o que começou com o movimento de revisão normativa ainda em 2019, ganhou momento com os novos ataques.
Como explicou o ex-diretor do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República Arthur Sabbat, agora nomeado como diretor da Autoridade Nacional de Proteção de Dados, estão para sair do forno novas regras que vão elevar as exigências para todos os órgãos da administração pública. Além disso, está pronta a minuta do Decreto que vai criar um sistema único de prevenção, reposta e tratamento a incidentes na esfera federal. Sabbat participou do webinar Cyber Security & Governo Digital, realizado pela Network Eventos e pelo portal Convergência Digital, nesta terça-feira, 11/11.
“Estamos em estágio avançado de revisão de várias normas. Alinhadas perfeitamente com o momento que vivemos, elas evoluíram. E tem uma iniciativa excelente do Gabinete de Segurança Institucional de elaboração, que em breve será avaliado pela subchefia para assuntos jurídicos da Secretaria Geral, e posteriormente levado ao Presidente da República, que é a proposta de um Decreto que cria o sistema federal de gestão de incidentes cibernéticos. Esse sistema vai reunir todas as equipes de prevenção, tratamento e reposta a incidentes cibernéticos do governo federal. Inclusive vão participar as agências reguladoras, vai ser um grande sistema. São iniciativas para fortalecer a segurança”, explicou Sabbat.
Como apontou ainda o conselheiro da ANPD, ainda há diferenças grandes entre os diferentes órgãos públicos. “Temos diferentes níveis de maturidade e aceitação da segurança da informação. Alguns órgãos dão maior ênfase à parte procedimental, informação classificada, gestão de ativos de informação. Outros órgãos, que têm mais ativos críticos a perder, ativos mais sensíveis, se protegem mais. Nem em todos os órgãos da administração pública o nível de segurança cibernética é o mesmo. Aqueles que têm ativos mais críticos acabam se protegendo mais, como é o caso dos integrantes do setor financeiro, da Receita Federal, e alguns ligados à saúde, os donos de infovias. Outros que têm ativos não tão críticos acabam se protegendo menos”.
A ideia, afirmou, é elevar o “sarrafo” e exigir padrões mínimos que sejam comum a todos os entes. “Com esse novo arcabouço que está surgindo, estamos padronizando certas ações que com certeza terão o reflexo de uma proteção mais equitativa, porque até então não era. Agora, devido ao crescente das ameaças cibernéticas, estamos refletindo a importância dessas novas ameaças nesses normativos. Quando eles saírem, virão com um nível de exigência maior. Nível que é como um sarrafo do salto em altura. O GSI vai colocar esse sarrafo, que são os requisitos essenciais de segurança da informação. É isso que os normativos vão trazer. Então os órgãos vão ter que cumprir aquilo ali. Quem quiser fazer mais, pode fazer. O que não pode é fazer menos.”