27 - Segurança da informação e segurança cibernética

Por que o tema é considerado de alto risco

A insegurança cibernética é um dos principais riscos globais para os próximos dez anos[1]. Pessoas ou organizações, independentemente do dispositivo conectado à internet, estão expostas a ataques virtuais de hackers de qualquer lugar do planeta. Essas ameaças geram perda de confiabilidade e prejuízos financeiros imediatos, além da interrupção de serviços críticos, como fornecimento de energia, telecomunicações, transporte aéreo, transferência de valores via Pix etc.

No Brasil, mais de 161 milhões de pessoas acima dos dez anos de idade acessam a internet[2]. Esse comportamento resultou em aumento do número de computadores e smartphones nos últimos 14 anos, chegando a 480 milhões de dispositivos em maio de 2024[3].

Assim, a segurança cibernética (cibersegurança) afeta a vida de todos os cidadãos, não somente daqueles que estão conectados. Com a transformação digital do país, serviços essenciais dependem de recursos de tecnologia da informação e acesso à internet para chegarem à população, como é o caso do Gov.br, da Declaração de Imposto de Renda, da solicitação de Seguro Desemprego e da emissão da nova carteira de identidade.

Figura 27.1 - O Brasil tem a 4ª maior superfície de ataque desnecessariamente exposta no mundo.

Quando o Estado brasileiro não garante sua soberania digital, há potencial impacto na economia, cujo Produto Interno Bruto (PIB) foi quantificado em R$ 10,9 trilhões em 2023[5], e na qualidade de vida da população nacional, estimada em 212 milhões de pessoas em 2024[6]. A soberania digital de um país é composta por três dimensões fundamentais: autodeterminação, cibersegurança e capacidade de explorar, econômica, estratégica e tecnologicamente, seus dados pessoais e críticos[7].

Em um recorte que considera os ministérios, autarquias e fundações do Poder Executivo Federal (organizações do Sistema de Administração dos Recursos de Tecnologia da Informação – Sisp), o crescente número de incidentes de segurança da informação nos últimos anos[8] representa séria ameaça à soberania digital do Brasil. Essa tendência, evidenciada pelo aumento de 3.402 incidentes, em 2022, para 5.302, em 2024, levanta preocupações sobre a capacidade de as organizações públicas protegerem seus dados (estratégicos e pessoais) e manterem a prestação de serviços à sociedade brasileira.

O que o TCU encontrou

A soberania, a confiança e a aceleração digital no Brasil podem ser impactadas pela falta de priorização do tema segurança cibernética, devido aos fatos a seguir:

• a superfície de ataque no país está entre as mais vulneráveis do mundo, com tendência de aumento;
• o sucesso dos ataques cibernéticos direcionados às organizações e cidadãos brasileiros já causa danos significativos;
• as atividades de segurança cibernética no país são insuficientes para atender à demanda nacional;
• não há organização oficial no Brasil capaz de zelar pelo nível de maturidade da segurança cibernética e orientar a atividade no país;
• a Política Nacional de Cibersegurança (PNCiber), instituída pelo Decreto (Federal) 11.856/2023, tem alcance restrito ao âmbito do Poder Executivo Federal, o que é insuficiente para enfrentar a ameaça cibernética, que é nacional;
• a PNCiber não possui estrutura de coordenação com autoridade e prerrogativas suficientes para executar a política e orientar a atividade de segurança cibernética em todo o país;
• a falta de andamento ao anteprojeto de lei para instituir uma política nacional de cibersegurança mais abrangente;
• a não priorização do tema segurança cibernética no Estado brasileiro, pois o orçamento autorizado para o tema nos últimos quatro anos foi insuficiente.

No que diz respeito à baixa maturidade em segurança cibernética das organizações do Sisp, o Programa de Privacidade e Segurança da Informação (PPSI) é uma iniciativa promissora da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos (SGD/MGI), com oportunidades de melhoria, em especial quanto à atribuição explícita da alta administração das organizações ser responsável pelo gerenciamento de riscos cibernéticos.

Contudo, o cenário em 2024 indica que a implementação de medidas de segurança cibernética pelas organizações do Sisp ainda é inferior ao esperado. Nenhuma organização fiscalizada implementa a totalidade dos controles de segurança[9] que seriam necessários para conter 78% dos ataques de ransomware conhecidos[10], uma das maiores ameaças cibernéticas da atualidade.

Figura 27.2 - Percentual de Medidas de Segurança de Informação (SI) do grupo IG1 implementadas pelas organizações do Sisp

Esse cenário pode permitir ataques cibernéticos efetivos nessas organizações, com danos em diversas dimensões, como perda da confidencialidade, integridade e disponibilidade de informações e sistemas. Esse risco materializou-se em algumas ocasiões, como: paralisação da emissão de cartões de vacina contra a Covid-19 (2021); desvios de recursos por meio do Siafi (2024); e vazamento de dados pessoais dos beneficiários do INSS (2024). Esses incidentes foram decorrentes de ataques cibernéticos bem-sucedidos.

Os riscos descritos, no quadro 27.1, são capazes de comprometer substancialmente os resultados das políticas públicas, impactando os brasileiros que consomem serviços públicos e o montante de recursos financeiros das políticas geridas pelo Poder Executivo federal, orçado para 2024 em cerca de R$ 5,5 trilhões[11]. A situação exige atuação urgente dos gestores.

O que precisa ser feito

O TCU recomendou à Casa Civil da Presidência da República que adote medidas para a priorização do tema segurança cibernética, tendo em vista o impacto na soberania digital, na confiança no ambiente digital e na aceleração da transformação digital no Brasil. Para tanto, o Gabinete de Segurança Institucional da Presidência da República deve apoiar essa atividade.

Para que as organizações do Sisp reduzam o risco de ataques cibernéticos ao nível aceitável para as políticas públicas que executam, o TCU recomendou, individualmente, que elas adotem medidas para implementar os controles de segurança cibernética, utilizando como referencial as diretrizes expedidas pela Secretaria de Governo Digital, por meio do Programa de Privacidade e Segurança da Informação (PPSI). Além disso, o processo de gestão de riscos decorrentes de ataques cibernéticos deve ser liderado explicitamente pela alta administração de cada organização.

O TCU também recomendou à Secretaria de Governo Digital que aperfeiçoe o PPSI, a fim de gerenciar os riscos identificados na institucionalização e na execução do programa, além de adotar as medidas de controle que estiverem sob sua governabilidade e orientar as organizações do Sisp quando as medidas estiverem sob governabilidade delas.

Decisões recentes

Acórdãos 2.387/2024 e 2.430/2024, todos do Plenário do TCU.

Benefícios gerados pela atuação do TCU

Com a priorização do tema pelo Estado brasileiro, as atividades de segurança cibernética terão mais chance de serem implementadas nas organizações públicas e privadas. A consciência dos cidadãos para a necessidade de adotar medidas de proteção cibernética pessoal também deve aumentar.

O aumento do número de controles de cibersegurança implementados, de forma efetiva, pelas organizações do Sisp, poderá reduzir os riscos de ataques cibernéticos ao nível aceitável e, em consequência, reduzirá possíveis impactos negativos nas políticas públicas executadas pelo Poder Executivo Federal.

A priorização e orientação para a segurança cibernética pode aumentar as atividades de segurança cibernética no país, de forma generalizada e orientada. Em consequência, serão reduzidos os efeitos dos ataques cibernéticos no Brasil, melhorando a soberania digital, a confiança no ambiente digital e acelerando a transformação digital no país.