‘O Brasil não está preparado para enfrentar um ataque cibernético. Nem de governos e nem de criminosos’

Para Augusto Schmoisman, especialista em defesa cibernética e CEO da Citadel Brasil, falta consciência a respeito das consequências da falta de segurança básica na internet. “Hoje em dia você consegue quebrar a reputação de pessoas ou empresas de uma forma muito rápida”.

Entre os sites governamentais, o alerta é ainda mais urgente. O Ministério da Saúde, o TSE, o CNJ, o STJ e o TRF-1 são alguns dos que já foram alvos de invasões que provocaram desde a queda no sistema à exposição de dados sigilosos. 

 

O mais recente ocorreu no site do Supremo Tribunal Federal e derrubou por algumas horas o sistema da corte. A investigação prosseguiu e culminou nesta terça-feira 8 na prisão de três suspeitos de envolvimento no caso. Para conter o avanço e regularizar a resposta legal em situações como essa foi criada a Lei Geral de Proteção de Dados, mas quais as expectativas de atuação a curto prazo com a nova legislação?

Confira na entrevista a seguir: 

CartaCapital: Diante da recorrência de ataques cibernéticos aos sites dos órgãos públicos brasileiros, quais diagnósticos você faz dessa situação? De forma geral, faltam ações de prevenção ou essas invasões de sistema são de fato de difícil controle? 

Augusto Schmoisman: O sistema brasileiro em relação à defesa cibernética, não é um sistema muito maduro, não somente passando pelo setor público mas que afeta também o setor privado. 

Não é só um problema deste ou de outro governo, historicamente o País ficou para trás em base a essa necessidade. Precisa madurar no que se refere às questões de segurança. 

Os ataques estão acontecendo em todo mundo, tem alguns destaques mais agressivos e o Brasil não tem uma defesa cibernética à altura das suas necessidades. 

CC: O que pode mudar nesse sentido com a LGPD? 

AS: É muito positivo no sentido que miramos em uma consciência digital.  Agora vale ressaltar que as medidas estão preocupadas no sentido da punição e não sobre a segurança, o Brasil não tem consciência sobre o risco em geral, como consequência não está tomando as medidas adequadas para uma defesa correta.  

Creio que a partir de agosto com a aplicação das multas [da LGPD], vá se perceber que as medidas da parte legislativa está muito atrasada no que se diz respeito a realidade cibernética, porque são tempos muito distintos, o tempo tecnológico é muito mais rápido então para você atenuar as consequências [dos ataques], ter o marco legal e agir em determinada situação leva muito tempo. Agora a defesa é outro tema, as empresas estão mais preocupadas por ter um marco legal, do que pela segurança propriamente dita. 

CC: Quais seriam exemplos dessa lacuna temporal de atuação para a segurança cibernética?

AS: Bom, os Estados Unidos, a Europa e Israel estão mais avançados porque começaram há mais tempo. A LGPD, por exemplo, surge a partir de uma imposição da Europa e dos Estados Unidos para o Brasil. Isso foi o que pressionou a levar adiante um máximo de implementação, porque tanto nas empresas americanas, quanto europeias, as legislações são mais duras. 

E também quando a rede de proteção começou a atuar na Europa, a porcentagem de empresas que estavam realmente seguindo as normas, foi crescendo aos poucos, muitas por medo das multas e por medo de perder credibilidade. 

CC: O sistema do TSE foi alvo de invasão nas eleições de 2020, à época foi explicado que o ataque não interferiu no resultado das eleições, mas olhando para 2022 o que precisa ser visto com mais atenção no que diz respeito aos ataques na web? 

AS: Veja, já deveria ter começado a trabalhar os cuidados, porque toda essa implementação leva bastante tempo, não é uma coisa que você compra rápido e implementa, precisa de tempo porque são processos internos muito específicos. Provavelmente será um período muito conflituoso nesse sentido [cibernético] por falta de segurança que pode gerar um roubo de informação. 

Hoje em dia você consegue quebrar a reputação de pessoas ou empresas de uma forma muito rápida. Antigamente o acesso a tecnologia para fazer isso seria muito custoso e não tão fácil. Ou seja, a defesa deveria estar mais atenta, o Brasil não está preparado por exemplo, para um ataque de governos externos e ciberneticamente nem contra organizações criminosas que atuam online.