210812023, 00.32 oro222 Presidéncia da Republica Secretaria-Geral Subchefia para Assuntos Juridicos DEGRETO N° 10.222, DE § DE FEVEREIRO DE 2020 Aprova a Estratégia Nacional de Seguranga Cibernética, © PRESIDENTE DA REPUBLICA, no uso da atribuigao que Ihe confere o art. 84, caput, da Constituigao, iso VI, alinea DECRETA: Art, 1° Fica aprovada a Estratégia Nacional de Seguranga Cibemeética - E-Ciber, conforme o disposto no inciso | do art. 6° do Decreto n° 9.637, de 26 de dezembro de 2018, na forma do Anexo a este Decreto, Paragrafo Unico. A E-Ciber sera publicada no sitio eletronico do Gabinete de Seguranga institucional da Presidéncia da Republica. Art. 2° Caberé aos érgaos e entidades da administragao publica federal, no Ambito de suas competéncias, as gestdes que possibilitem a implementacao das agées estratégicas previstas na E-Ciber. Art, 3° Este Decreto entra em vigor na data de sua publicacao. Brasilia, 5 de fevereiro de 2020; 199° da Independéncia e 132° da Republica, JAIR MESSIAS BOLSONARO ‘Augusto Heleno Ribeiro Pereira Este texto nao substitul o publicado no DOU de 6.2.2020. ANEXO ESTRATEGIA NACIONAL DE SEGURANGA CIBERNETICA A prosente Estratégia Nacional de Seguranga Cibernética - E-Cibor 6 orientagdo manifesta do Governo federal a sociedade brasileira sobre as principais ages por ele pretendidas, em termos nacionais e internacionais, na area da ‘seguranca cibemnética e tera validade no quadriénio 2020-2023, 1. CONSIDERAGOES PRELIMINARES 1.4. SUMARIO EXECUTIVO Em 2015, 0 Governo federal deu publicidade a Estratégia de Seguranga da Informagao e Comunicagdes e de Seguranga Cibernética da Administragao Publica Federal’, com validade até 2018, como um importante instrumento de apoio ao planejamento dos érgaos e entidades do Governo, cujo objetivo foi de melhorar a seguranga e a resiliéncia das infraestruturas criticas e dos servigos publicos nacionais. Esse documento impulsionou as discussées sobre o tema no ambito da Administragao Publica federal, e também em outros setores da sociedade, © Decrato n° 9,637, de 26 de dezembro de 2018, que instituiu a Politica Nacional de Seguranga da Informagao e dispde sobre principios, objetivos, instrumentos, atribuigdes e competéncias de seguranga da informagao para os 6rgaos e entidades da Administracao Publica federal, sob o prisma da govenanga, previu, para sua implementacao, a elaboragao da Estratégia Nacional de Seguranga da Informagao e dos Planos Nacionais. Em virtude da abrangéncia da Seguranga da Informacdo o Decreto n° 9,637, de 2018, indicou, em seu art. 6°, que a Estratégia Nacional de Seguranga da Informagao soja construida em médulos, a fim de contemplar a seguranga cibemética, a defesa cibernética, a seguranga das infraestruturas criticas, a seguranga da informacao sigilosa e a protegao contra vazamento de dados. Em cumprimento ao estabelecido na Polltica Nacional de Seguranga da Informacdo, e considerada a Seguranga Cibemética - Seg Ciber como a area mais critica © atual a ser abordada, 0 Gabinete de Seguranga Institucional da Presidéncia da Republica elegeu, em janeiro de 2019, a EstratégiaNacional de Seguranga Cibernética = E-Ciber como primeiro médulo da Estratégia Nacional de Seguranga da Informago, a seu cargo, a ser elaborada Desse modo, por coordenagao do Gabinete de Seguranga Institucional da Presidéncia da Repiiblica, e com participacao de mais de quarenta drgaos e entidades do Governo, além de instituigbes privadas e do setor académico, que foram distribuldos em trés subgrupos de trabalho, foi elaborada a presente E-Ciber, apés trinta e uma reunides sete meses de estudos e de debates. hitps:twwn.planlto.gowbrfcivi_03/_ato2019-202212020/decretold10222,hims:~text=D 102228text=Aprova a Estratéqia Nacional de,que Ihe c.. 1/322in8/2023, 00:32 10222 Por meio de metodologia bottom up, ¢ com base nas conclusdes dos subgrupos de trabalho, em avaliacao comparativa - benchmarking sobre estratégias correlatas de outros paises, e em cumprimento ao contido na Politica Nacional de Seguranga da Informacao, chegou-se ao diagnéstico da seguranga cibemética global e do Brasil. Em seguida, foram estabelecidos os objetivos estratégicos nacionais, e as respectivas agdes estratégicas, segundo sete eixos de atuagao, que demonstram a sociedade brasileira os pontos considerados relevantes para o Pais na area da seguranga cibernética. 1.2. INTRODUGAO A revolucao digital esta transformando profundamente nossa sociedade. Nas tltimas duas décadas, bilhdes de pessoas se beneficiaram do crescimento exponencial do acesso intemet, da répida adogao dos recursos de tecnologia da informagao e comunicago, e das oportunidades econémicas e sociais oriundas do ambiente digital Os répidos avangos na area de tecnologia da informagéio e comunicago resultaram no uso intenso do espaco cibernético para as mais variadas atividades, inclusive a oferta de servicos por parte do Governo federal, em coeréncia com as tendéncias globais. Entretanto, novas e crescentes ameagas cibernéticas surgem na mesma proporgao, @ colocam em risco a administragao publica e a sociedade. Desse modo, proteger 0 espago cibemético requer visdo atenta ¢ lideranga para gerenciar mudangas continuas, politicas, tecnoldgicas, educacionais, legais e inteacionais. Nesse sentido, 0 Governo, a industria, a academia e a sociedade em geral devem incentivar a inovagao tecnolégica e a adogo de tecnologias de ponta, manter constante atengao a seguranga nacional, & economia ¢ a livre expressao, Em nivel superior aos debates sobre a seguranca no espaco cibemnético est4 a Seguranga da Informagdo, érea sistémica, e diretamente relacionada a protegao de um conjunto de informagdes e ao valor que estas possuem para um individuo ou para uma organizacdo. Desse modo, segundo 0 art. 2° do Decreto n° 9.637, de 2018, a Seguranca da Informagao abrange a seguranga cibernética, a defesa cibemética, a seguranga fisica e a protecdio de dados ‘organizacionais, ¢ tem como principios fundamentals a confidencialidade, a integridade, 2 disponibilidade e a autenticidade. Entende-se que os recursos tecnolégicos empregados na seguranca sistémica devem apoiar politicas que garantam os principios fundamentais da autenticidade e da integridade dos dados, e prover mecanismos para protesao da legitimidade contra sua alteracdo ou eliminacao nao autorizada. Do mesmo modo, as informacées coletadas, processadas © armazenadas na infraestrutura de tecnologia da informagao e comunicagao devem ser acessiveis apenas a pessoas, a processos ou a entidades autorizadas, a fim de garantir a confidencialidade das informagées. Adicionalmente, os recursos de tecnologia da informacao e comunicagao devem prover disponibilidade Permanente e apoiar de forma continua todos os acessos autorizados. AE-Ciber, além de preencher importante lacuna no arcabougo normativo nacional sobre seguranga cibemética, estabelece agdes com vistas a modificar, de forma cooperativa e em ambito nacional, caracteristicas que refletem o posicionamento de instituigdes e de individuos sobre o assunto. Em primeiro lugar, verifica-se que ha boas iniciativas gerenciais nessa rea, entretanto, mostram-se fragmentadas e pontuais, o que dificulta a convergéncia de esforcos no setor. Em segundo, nota-se a falta de um alinhamento normativo, estratégico e operacional, o que frequentemente 4gera retrabalho ou resulta na constituicao de forgas-tarefas para ages pontuais, que prejudicam a absorgao de ligdes aprendidas e colocam em risco a eficdcia prolongada dessas agdes. Em terceiro, vé-se a existéncia de diferentes eis de maturidade da sociedade em seguranga cibernética, o que resulta em percepgées variadas sobre a real importancia do tema. Apés a presente parte introdutéria, discorre-se sobre a metodologia adotada nas linhas de andlise, que tiveram por base o estudo de dois conjuntos de eixos teméticos: os de protecdo e seguranga, e os denominados transformadores. Aborda-se, ainda, como os subgrupos de trabalho se estruturaram, de acordo com os temas propostos. Na Parte |, apresenta-se um diagnéstico da seguranga cibemética, baseado no cenario intemacional e 0 no cenérrio nacional, com especial atengdo as ameagas, aos ataques e as vulnerabilidades cibernéticas, e ao modo como esses elementos impactam a sociedade e as instituigdes. Os eixos tematicos so apresentados separadamente na Parte Il. Primeiro, abordam-se os relativos a protecao e A seguranga: governanca da Seguranga cibernética nacional, o universo conectado e seguro @ a protecao estratégica. Depois, analisam-se aqueles que, por sua natureza, ‘séo chamados de Transformadores: a dimensdo normativa; a pesquisa, desenvolvimento e inovagao; a dimensao internacional e parcerias estratégicas; e a educagao. Em virtude da analise diagnéstica © do estudo dos eixos tematicos, apresentam-se os objetivos estratégicos e, em seguida, as agbes estratégicas, elaboradas com o fim de alingir os objetivos especificados. Por meio dessas agées, pata cuja realizagdo recomenda-se a elaboragao de planos, apontam-se valiosas diregdes, capazes de conduzir a sociedade e as instituigdes a um ambiente préspero, resiliente e seguro, como condigao ideal para o crescimento econémico e para o desenvolvimento social Por fim, é importante ressaltar que no decorrer da apresentacao da Estratégia sdo mencionados diversos termos relacionados ndo apenas a seguranga cibemética, mas também ao grande campo de estudos da seguranca da informagao. Com 0 propésito de esclarecé-los, caso necessario, recomenda-se a consulta ao Glossario de hitps:twwnplanato.gowbrfcivi_08/_ato2019-202212020/decretold10222,hims:~text=D 102228text=Aprova a Estratégia Nacional de,que Ihe c.. 2/32210812023, 00.32 oro222 Seguranga da Informagao, publicado pela Portaria n° 93, de 26 de setembro de 2019, do Gabinete de Seguranga Institucional da Presidéncia da Republica 3 Em decorréncia da presente Estratégia, recomenda-se que cada érgao do setor ptiblico © do setor privado, planeje e realize gest6es no sentido de colocar em pratica os aspectos que Ihe cabem e que esto estabelecidos nas agdes estratégicas, em um esforgo conjunto e dedicado, em prol do pleno alcance dos objetivos estratégicos do Pais, no critico e atual tema da seguranga cibernética nacional. 1.3. METODOLOGIAADOTADA A Estratégia é resultado de trabalho realizado por representantes de érgaos ptiblicos, de entidades privadas, e do meio académico, que participaram de uma série de reunides técnicas, para debater varios aspectos da seguranca cibernética. Ao considerar a vasta gama de assuntos, esses representantes foram divididos em trés subgrupos, constituidos do seguinte modo: - Subgrupo 1 - governanga cibernética, dimensdo normativa, pesquisa, desenvolvimento e inovago, educagao, dimensao internacional e parcerias estratégicas.; - Subgrupo 2- confianga digital e prevengao e mitigacdo de ameagas cibernélicas; e - Subgrupo 3 - protegao estratégica - protegio do Governo e protegdo as infraestruturas. Foram realizadas trinta e uma reuniées dos subgrupos, com a participagdo efetiva de todos esses representantes de notavel saber, 0 que possibilitou 0 intercmbio de conhecimentos e de ideias, e que contribuiram de forma decisiva para estabelecer a concepgao estratégica Com o fim de estruturar os debates, o trabalho seguiu quatro etapas: Primeira - Diagnéstico - levantamento e mapeamento de iniciativas, atores relacionados e agdes existentes; ‘Segunda - Debates dos subgrupos - rouniées semanais com os atores relacionados e convidados de notério saber; Terceira - Consulta piiblica - disponibilizagao do documento na internet para contribuigdes e ampla participagaio da sociedade em geral; e Quarta - Aprovagao e publicagao - finalizagao da proposta e submissao a aprovagao presidencial Adicionalmente, foi considerado o modelo de maturidade da capacidade em seguranga cibernética *, que define cinco dimensées: - politica e estratégia de seguranca cibernética, - cultura cibemética e de sociedade; - educago, de treinamento e de habilidades em seguranga cibemética; - marcos legais e regulatérios; e = padrées, organizagées e tecnologias. Essas dimensées, por sua transversalidade, abrangem as extensas areas que devem ser consideradas no aumento da capacidade em seguranga cibernética. Ao considerar as cinco dimensdes do modelo, chegou-se & estrutura de sete elxos de atuacao da Estratégia, anteriormente citados, que mantém relacao direta com o modelo de maturidade da capacidade em seguranca cibernética. Os eixos tematicos da E-Ciber foram considerados de forma transversal, e podem ser descritos como: + Eixos de Protegao e Seguranga: = governanga da seguranga cibernética nacional; universo conectado e seguro: prevengdo e mitigagdo de ameacas cibernéticas; e - protesdo estratégica; e - Eixos Transformadores: - dimensdo normativa; = dimensao internacional e parcerias estratégicas; = pesquisa, desenvolvimento @ inovagao; e hitps:twwnplanalto.gowbrfcivi_03/_ato2019-2022/2020/decretold10222,hims:~text=D 102228text=Aprova a Estratégia Nacional de,que Ihe c.. 3/32210812023, 00.32 oro222 + educago, ‘A metodologia acima descrita permitiu 0 levantamento de informagées relevantes, que resultaram numa concepgao estratégica nacional sistémica. As conclusées finais desse trabalho resultaram numa primeira versao da E-Ciber, que foi disponibilizada para patticipagao da socledade em forma de consulta publica, lancada via intemet em’ 10 de setembro de 2019, disponibilizada por vinte por dias consecutivos © acessada por quarenta e um participantes. Desse total, houve a Participagao de trinta e um individuos e de dez organizages publicas e privadas que enviaram cento e sessenta e seis contribuigdes. Apés andlise de todas as contribuigdes recebidas, chegou-se a presente versao aprovada pelo Excelentissimo Senhor Presidente da Repiiblica. 1.4. CONCEPGAO ESTRATEGICA Da anélise dos Eixos Teméticos constantes na Parte Il, chegou-se & presente concepgao, que resulta da interag4o entre os mencionados eixos, a visdo, e os objetivos estratégicos, em uma abordagem que culminou nas ages estratégicas nacionais. 2, AESTRATEGIA NACIONAL DE SEGURANCA CIBERNETICA 2.1. VISAO PARA O BRASIL Tornar-se pais de exceléncia em seguranga cibernética. 2.2. OBJETIVOS ESTRATEGICOS No intuito de atender @ visdo proposta, na concepgo dos objetivos estratégicos foram considerados os parametros estabelecidos na Politica Nacional de Seguranga da Informacéo: o estégio de maturidade e as necessidades do Pais em seguranca cibemética e os aspectos relatives ao ecossistema digital, no Ambito nacional © internacional, Desse modo, estes objetivos estratégicos visam a nortear as agées estratégicas do Pais em seguranga cibernética, e representa macrodiretrizes basilares para que o setor publica, o setor produtivo e a sociedade possam usufruir de um espaco cibernético resiliente, confiavel, inclusivo e seguro. Sao os objetivos estratégicos: 1, Tomar o Brasil mais préspero e confiével no ambiente digital; 2, Aumentar a resiliéncia brasileira as ameagas cibeméticas; ¢ 3, Fortalecer a atuagao brasileira em seguranga cibernética no cenério internacional. 2.3, AGOES ESTRATEGICAS Em virtude dos aspectos abordados na Parte | - Diagnéstico, ¢ das consideragées realizadas sobre a situago da seguranga cibemética nacional na Parte Il - Andlise dos Eixos Tematicos, estabeleceram-se dez agdes estratégicas. Enfatiza-se ser absolutamente fundamental que cada érgao do setor pliblico e do setor privado identifique, planeje e execute as agées de sua competéncia, para que o Pais torne realidade os rumos materializados por cada acdo estratégica. 2.3.1.Fortalecer as ages de governanga cibernética Fortalecer as agdes de governanca em seguranca cibernética, por parte do setor ptblico e do setor privado, que contemplem iniciativas relacionadas 4 gestéo de pessoas, ao atendimento aos requisites de seguranga cibemnética e A gestéo dos ativos de informagao. Dentre as agdes que podem ser adotadas nesse sentido, mencionam-se: - realizar féruns de governanga; - criar controles para o tratamento de informagées com restrig&o de acesso; - estabelecer requisitos minimos de seguranga cibernética nas contratagées pelos érgos puiblicos; - implantar programas e projetos sobre governanga cibernética; - adotar, além dos normativos de governanga emitidos pelo Gabinete de Seguranca Institucional da Presidéncia da Republica, normas, padrées e modelos de governanga reconhecidos mundialmente; - adotar, a industria, padrées intemacionais no desenvolvimento de novos produtos desde sua concepgao(privacy/security by design and default); - recomendar a adogao de solugdes nacionais de criptografia, observada, para tanto, a legislagdo especifica; - intensificar o combate a pirataria de software; + adotar solugdes de seguranga cibernética que abordem iniciativas integradoras; hitps:twwnplanalto.gowbricivi_03/_ato2019-202212020/decretold10222,hims:~text=D 102228text=Aprova a Estratéqia Nacional de,que Ihe c... 4/3221082023, 00:32 oro222 - designar 0 gestor de seguranca da informagao; = recomendar a certficagao em seguranga cibernética, conforme padrées internacionais; - ampliar 0 uso do cettificado digital Estabelecer um modelo centralizado de governanga no ambito nacional Estabelecer um modelo centralizado de governanca para 0 Pais, por meio da criagdo de um sistema nacional de seguranga cibernética, com as seguintes atribuigdes: - promover a coordenacéo dos diversos atores relacionados com a seguranga cibernélica, além da esfera federal; = promover a anélise conjunta dos desafios enfrentados no combate aos crimes cibernéticos; - auxiliar na formulagao de politicas puiblicas; - criar um conselho nacional de seguranga cibenética; - criar grupos de debate sobre seguranga cibernética, em diferentes setores, sob coordenagao do Gabinete de Seguranga institucional da Presidéncia da Republica, para fomentar discussdes sobre o tema, por meio de mecanismos informais de participagao; - estabelecer rotina de verificages de conformidade em seguranga cibemética, internamente, nos érgaos piblicos e nas entidades privadas; + permitir a convergéncia dos esforgos e de iniciativas, e aluar de forma complementar para receber dentincias, apurar incidentes e promover a conscientizagao e a educagao da sociedade quanto ao tema, Para viabilizar a sua implementacdo, ficara a cargo do Gabinete de Seguranca institucional da Presidéncia da Republica a coordenacao da seguranga cibernética em Ambito nacional, que possibile a atuagéo de modo amplo, cooperativo, participativo, alinhado com as ages de defesa cibemética, a cargo do Ministerio da Defesa. 2.3.3. Promover ambiente participativo, colaborativo, confidvel e seguro, entre setor piblico, setor privado e sociedade Promover um ambiente participativo, colaborativo © seguro, entre as organizagées piiblicas, as instituigdes privadas, a academia e a sociedade, por meio do acompanhamento continuo e proativo das ameacas e dos ataques cibernéticos, com o objetivo de: + estimular 0 compartilhamento de informagGes sobre incidentes e vulnerabilidades cibernéticas; - realizar exercicios cibernéticos com participagao de miltiplos atores; = estabelecer mecanismos que permitam a interagéo e 0 compartilhamento de informagées em diferentes niveis; - fortalecer 0 Centro de Tratamento e Resposta a Incidentes Cibemnéticos de Governo - CTIR Gov e manté-lo atualizado em pessoal e material; + ressaltar 0 papel dos Centros de Tratamento © Resposta a Incidentes Cibemnéticos - CSIRTs nacionais; - aperfeigoar a infraestrutura nacional de investigacao de crimes cibernéticos; - incentivar a criago ¢ a atuacdo de equipe de tratamento e resposta aos incidentes cibernéticos - ETIRs, com €nfase no uso de tecnologias emergentes; - emir alertas @ recomendagées; € - estimular o uso de recursos criptograficos, no Ambito da sociedade em geral, para comunicagdo de assuntos considerados sensiveis. 2.3.4, Elevar o nivel de protecdo do Governo Elevar o nivel de protegao do Governo, por meio de agdes no campo cibernético, a exemplo de: + incluir requisitos de seguranca cibernética nas contratagdes estabelecidas pelos érgaos e entidades do Govern - aperfeigoar e incentivar o uso dos dispositives de comunicagdo segura do Governo; aperfeicoar manter atualizados os sistemas informacionais, as infraestruturas e os sistemas de comunicagao dos 6rgao0s piiblicos, em relagao aos requisites de seguranga cibernética; = recomendar que os érgaos ptiblicos possuam cépias de seguranga atualizadas © segregadas de forma automatica em local protegido; - elaborar requisitos especificos de seguranga cibernélica relatives ao uso de endpoints nas organizagées piblicas, aqui entendidos, em suma, como equipamentos finais conectados a um terminal de alguma rede ou a algum sistema de comunicagao; - incluir, nas politicas de seguranca cibernética, requisites relativos a gestdo da cadeia de suprimentos; hitps:twwnplanalto.gowbrfcii_03/_ato2019-2022/2020/decretold10222,hims:~text=D102228text=Aprova a Estratéqia Nacional de,que Ihe... 5/32210812023, 00.32 oro222 + incluir requisitos de seguranga cibernética nos processos de desestatizagao, no que envolver servigos essenciais; € - monitorar a implementago dos requisitos minimos de seguranga cibernética pelos fornecedores que integram a cadeia de suprimentos. 2.3.5. Elevar o nivel de protecdo das Infraestruturas Criticas Nacionais Proporcionar as infraestruturas criticas, maior resiliéncia que possibilite a continua prestagao de servigos essenciais, por meio das seguintes acdes: - promover a interago entre as agéncias reguladoras de infraestruturas criticas para tratar de temas relativos ‘seguranga cibernética; - estimular a adogao de agdes de seguranga cibernética pelas infraestruturas criticas; + incentivar que essas organizagdes implementem politicas de seguranga cibernética, que contemplem, dentre outros aspectos, métricas, mecanismos de avaliagao, e de revisdo periédica, - incentivar a constituigdo de ETIRs; - estimular que as infraestruturas criticas notifiquem o CTIR Gov dos incidentes cibernéticos; e - incentivar a participagao das infraestruturas criticas em exercicios cibeméticos. 2.3.6. Aprimorar o arcabougo legal sobre seguranga cibernética Para aprimorar o arcabougo legal sobre seguranga cibemnética, revisar e atualizar os normativos existentes, abordar novas tematicas e elaborar novos instrumentos. Nesse sentido, podem ser adotadas as seguintes agées como: - identificar e abordar temas ausentes na legisiacdovigente; + realizar esforgos no sentido de incluir, no Decreto-Lei n° 2.848, de 7 de dezembro de 1940 - C6 novas tipificagdes de crimes cibernéticos; 10 Penal, - elaborar normativos sobre tecnologias emergentes; - ctiar politicas de incentivo para contratagao de mao de obra especializada em seguranga cibemética, - definirrequisitos de seguranga cibernética nos programas de trabalho remoto; @ = elaborar, sob coordenagéo do Gabinete de Seguranga institucional da Presidéncia da Repiiblica, um anteprojeto de lei sobre seguranga cibernética, com diretrizes que Irdo proporcionar alinhamento macroestratégico a0, setor e contribuir de forma decisiva para elevar a seguranga das organizagées e dos cidadaos. 2.3.7. Incentivar a concepgao de solugées inovadoras em seguranga cibernética Buscar o alinhamento entre os projetos académicos @ as necessidades da area produtiva, de modo a incentivar a pesquisa @ 0 desenvolvimento de solugdes em seguranca cibernética, que tragam a necessaria inovacdo aos produtos nacionais nessa 4rea critica, atual e imprescindivel. Dentre as agées a serem consideradas, pode-se mencionar: - propor a inclusdo da seguranga cibernética nos programas de fomento a pesquisa; + incentivar a criagdo de centros de pesquisa e desenvolvimento em seguranga cibernética no Ambito do Poder Executivo federal e no setor privado; - viabilizar investimentos em pesquisas, por meio dos fundos publicos e privados; - criar programas de incentivo ao desenvolvimento de solugdes de seguranga cibernética; estimular a criagéo de startups na area de seguranga cibernética; + estimular 0 desenvolvimento e a inovagao de solugdes de seguranga cibernética nas tecnologias emergentes; - incentivar a adogo de padrdes globals de tecnologia, que permitira a interoperabilidade em escala internacional; + incentivar o desenvolvimento de competéncias e de solucées em criptografia; + estimular 0 prosseguimento das pesquisas sobre o uso de inteligéncia espectral; & = estabelecer requisitos minimos de seguranga cibemética que assegurem o uso pleno, responsavel e seguro da tecnologia de quinta geragao de conexao mével - 5G. hitps:twwnplanalto.gowbrfcii_03/_ato2019-2022/2020/decretold10222,hims:~text=D 102228text=Aprova a Estratéqia Nacional d,que Ihe c..._ 6/32210812023, 00.32 oro222 2.3.8, Ampliar a cooperacao internacional do Brasil em Seguranca cibernética Ampliar a cooperaco do Brasil, em seguranga cibernética, com 0 maior ntimero possivel de paises, de forma transparente, e reforgar a posigao do Pals na constante busca pela paz e pela seguranga internacional, conforme a tradi¢ao da diplomacia nacional baseada nos principios estabelecidos no art. 4 da Constituigao, Para viabilizar esse intento, podem ser adotadas as seguintes medidas. - estimular a cooperagao internacional em seguranga cibernética \centivar as discussées sobre seguranga cibemética nos organismos, nos féruns e nos grupos intemnacionais dos quais 0 Brasil 6 membro; - ampliar o relacionamento internacional com os paises da América Latina; - promover eventos e exercicios internacionais sobre seguranca cibemética; - participar de eventos internacionais de interesse para o Pais; - ampliar os acordos de cooperagao em seguranga cibemética; ampliar 0 uso de mecanismos internacionais de combate aos crimes cibernéticos; - estimular a participagdo do Pais em iniciativas futuras de estruturagao normativa, como as relativas a criagdo de padres de seguranca em tecnologias emergentes, € - identificar, estimular @ aproveitar novas oportunidades comerciais em seguranca cibemética. 2.3.9, Ampliar a parceria, em seguranga cibernética, entre setor puiblico, setor privado, academia e sociedade Ampliar parcerias, entre os diversos setores da sociedade, com vistas a elevar, de modo geral, 0 nivel de seguranga cibemética. Visualiza-se a efetiva cooperagao do setor produtivo com a academia, por meio de recursos financeiros e materiais, e conforme apresentadas suas necessidades, investir na formagao de universitarios. Dentre as agdes possiveis, destacam-se - ampliar a cooperagao entre Governo, academia e iniciativa privada para promover a implementagao da E- Ciber; - manter um ambiente colaborativo que permita o estudo e a ampla utllizagdo das tecnologias emergentes; - estabelecer parcerias para incentivar o setor privado a investir em medidas de seguranga cibernética - incentivar a realizagao de reunides com atores destacados em seguranca cibernética; - estimular a instituigo, caso necessério, de grupos de trabalho e de foruns sobre seguranca ciberética; - incentivar a criagao de mecanismos de compartilhamento de informagées sobre riscos cibernéticos; + realizar parcerias entre a Unido, os Estados, o Distrito Federal, os Municipios, 0 Ministério Publico e a academia, para a implantacdo de programas, projetos e ages em seguranca cibernética, que alcancem a toda a sociedade. 2.3.40, Elevar o nivel de maturidade da sociedade em seguranga cibernética Elevar o nivel de maturidade em seguranga cibernética da sociedade, com o fim de ensejar a compreensao das ameagas e dos riscos no espaco cibernético, e possibiltar 4s pessoas o uso adequado e oportuno de procedimentos e de ferramentas em prol da utilizagao segura do ambiente digital. Nesse sentido, identificam-se como iniciativas: - incentivar os érgaos piiblicos e empresas privadas para que realizem campanhas de conscientizagao interas; - realizar ages de conscientizacao da populagao; - criar politicas piblicas que promovam a conscientizagao da sociedade sobre seguranga cibemética; - propor a inclusdo da seguranca cibernética, por intermédio de suas competéncias basicas, ¢ do uso ético da informagao na educagao basica - educagao infantil, ensino fundamental e ensino médio, + estimular a criago de cursos de nivel superior em seguranga cibemética; = propor a criagéio de programas de incentivo para graduagio e pés-graduagao no Brasil © no exterior em seguranga cibernética; - fomentar a pesquisa e o desenvolvimento em seguranga cibernética; - criar programas de capacitagao continuada para profissionais do setor publico e do setor privado; hitps:twwnplanalto.gowbrfcivi_03/_ato2019-202212020/decretold10222,hims:~text=D 102228text=Aprova a Estratégia Nacional de,que Ihe c.. 7/32210812023, 00.32 oro222 - incentivar a formacao de profissionais para atuar no combate aos crimes cibernéticos; + realizar eventos de capacitagao em seguranga cibernstica; + incentivo @ participagao em féruns e eventos nacionais ¢ intemmacionais em seguranga cibernética; - aperfeigoar mecanismos de integrago, de colaborago e de incentivas entre universidades, institutos, centros de pesquisa e setor privado em relagao a seguranga cibernética; - incentivar exercicios de simulagao em seguranga cibernética; © = promover a gestéo de conhecimento de seguranga cibemética, em a area, a fim de otimizar a identificagao, a selegao e o emprego de talentos, PARTE! DIAGNOSTIC tulago com os principais atores da Em 2018, mais da metade da populagao mundial utiizou a internet (quatro bilhdes e cem milhoes de usuarios, 0 que representa cinquenta e quatro por cento da populagéo mundial), sendo noventa e trés por cento dos acessos a redes sociais realizados via dispositivos méveis°. De acordo com estimativa do portal stalista.com, havera mais de {rinta bilhdes de dispositivos de internet das coisas (IoT, do inglés Internet of Things) conectados em 2020 Esse cenério de progressiva conectividade, em que milhares de equipamentos tém acesso simultaneo a redes de dados e & intemet, oferece aos usuarios grande variedade de servicos online, e proporcionam ao cidadao conforto comodidade na vida diaria, Entretanto, ao tempo em que 0 crescimento dessa conectividade resulta em beneficios aos usudrios, também traz, consigo, vasta gama de vulnerabilidades cibernéticas, que ensejam ameacas e ataques que podem causar prejuizos de toda ordem, com diferentes niveis de impacto para pessoas e para inslituigGes. Em termos financeiros, considerando ataques cibeméticos, estimam-se, por ano, perdas globais de US$ 600.000.000.000,00 (seiscentos bilhdes de délares)®. O Relatério de 2019 do Fundo Monetério Internacional destacou que, em todas as economias, a diretriz é a implementagao de agdes que fortalegam a resiliéncia, ao tempo em que lege, como necesséria, a busca por maior coopera¢ao multilateral para gerenciar os riscos em seguranca cibernética”, A digitalizagao quase total dos modelos de negécios tomou a economia global mais eficiente e dinamica, & também mais vulneravel a ataques cibernéticos. A variedade e a complexidade das ameacas colocam em risco a imprescindivel confianga no mundo digital, fator chave para as atividades online. Esse cendrio leva a crescentes, investimentos conjuntos entre Governos e setores produtivos. Em consequéncia, estima-se que, em 2020, 0 mercado de seguranga cibernética mundial seja avaliado em US$ 151.000.000.000,00 (cento e cinquenta e um bilhdes de délares)®. A titulo de comparagéo, vé-se que, atualmente, 0 mercado brasileiro de seguranga cibernética movimenta perto de USS 2.000.000.000,00 (dois bilhes de délares) por ano com a venda de softwares, hardwares e servigos®, Destaca-se, a seguir, 0 caso brasileiro. O relatério sobre o ranking de tecnologia da informagao e comunicagao da Organiza¢do das Nagdes Unidas - ONU analisa o indice de desenvolvimento mundial em tecnologias da informagio sua aplicacdo nos avangos da internet. Estuda, ainda, como as modemas tecnologias iréo permitir inovagdes e transformar “de modo fundamental” negécios, Governos e sociedades. No ranking regional das Américas, o Brasil esté apenas em décimo lugar, atrés de paises como Barbados, Bahamas, Argentina e Chile Segundo 0 relatério, no entanto, o Brasil é um dos maiores mercados de telecomunicagGes da regido. A expectativa é que a qualidade e a cobertura dos servicos melhorem “significativamente” nos préximos anos". O risco para a economia brasileira, gerado pela intrusao em computadores e pela disseminacdo de cédigos malciosos praticados pelo crime organizado j 6 uma realidade, conforme se ve pelos dados a seguir, referentes & conectvidede do Govemo, do setor privado e dos cidados, aos indices globais e aos crimes cibemnéticos(") = © Brasil ocupa o 66° lugar no ranking da Organizagao das Nagées Unidas - ONU de tecnologia da informagao e comunicagao '; ~ Apenas 11% dos érgéos federais tém bom nivel em governanga de TI?; - 0 Brasil ocupa 0 70° lugar no Global Security Index, da UITS; - 74,9% dos domicilios (116 milhdes de pessoas) com acesso internet*; = 98% das empresas utiizam a internet®. = 100% dos érgaos federais e estaduais utlizam a internet®: hitps:twwnplanalto.gowbrfcivi_03/_ato2019-202212020/decretold10222,hims:~text=D 102228text=Aprova a Estratégia Nacional d,que Ihe c... 8/32210812023, 00.32 oro222 - Em 2017, foram setenta milhées e quatrocentas mil vitimas de crimes cibemnéticos”; - Em 2018, 89% dos executivos foram vitimas de fraudes cibeméticas®; - As questdes de seguranca desestimulam o comércio eletrOnico®, - Em 2017, 08 crimes cibernéticos resultaram em USS 22.500.000,000,00 (vinte ¢ dois. blhdes e quinhentos milhdes de délares) de prejulzo’; e - O Brasil é 0 2° com maior prejuizo com ataques cibernéticos"! ‘Segundo 0 Relatério da “Internet Organised Crime Threat Assessment - IOCTA"!2, de 2018, da Agéncia da Unido Europeia para a Cooperagao Policial - Europol, “a falta de legislagao adequada sobre crimes cibernéticos fez com que 0 Brasil fosse o alvo ntimero um e a principal fonte de ataques online na América Latina; 54% dos ataques cibernéticos reportados no Brasil supostamente sao originarios de dentro do pais". © documento prossegue afirmando que, "de modo semelhante aos EUA, o Brasil é um dos principals hospedelros de sites de phishing, com alguns relatos colocando o Brasil como uma das dez maiores fontes mundiais de ataques cibernéticos’, Veritica-se, ainda, que 0 ntimero de ataques cibernéticos praticamente dobrou no Brasil em 2018 em relacdo a 2017. Segundo informagées do laboratério especializado em seguranga cibernética da PSafe"? foram detectados cento ¢ vinte milhdes e setecentos mil ataques no primeiro semestre de 2018. Esse niiméro representa um crescimento de 95,9% em relagdo ao mesmo perfodo do ano anterior. Nos uillimos trés meses de 2018, foram registrados sessenta ¢ trés milhdes e oltocentos mil links maliciosos, um aumento de 12% em relagdo ao inicio daquele ano, sendo campedes de golpes os links de aplicativos de mensagens como WhatsApp. Ao todo, 57,4% dos ataques foram realizados por meio de phishing, enquanto que, em segundo, ficaram os golpes com publicidade suspeita, que somaram 19,2% dos casos. A pesquisa Cyber Review 2019 da consultoria JLT", realizada com 200 empresas brasileiras de médio e de grande portes, apontou que 55,4% dessas empresas so totalmente dependentes do uso de tecnologia em suas atividades e que outras 35% podem ter paralizagoes severas diante de um problema relacionado & tecnologia. Outros dados relevantes da pesquisa sao destacados a seguir: = 80% dos entrevistados avaliaram que um incidente cibernético causaria um impacto operacional com reflexos em toda a empresa; + 29% jé avaliaram financeiramente o que esse impacto resultaria as suas organizacées; - 34% das empresas que responderam & pesquisa relataram ter sofrido algum tipo de incidente cibernético nos Uiltimos doze meses; + 29% das empresas que sofreram ataques tiveram impactos operacionais; - 27,8% tiveram allos custos de reconstrucao sistémica; e - 4% sofreram impactos de reputagdo frente aos clientes. Os dados dessa pesquisa demonstram que as empresas brasileiras, principalmente aquelas consideradas como infraestruturas criticas, precisam considerar a seguranga cibernética como agao prioritaria de investimentos, elaborar planos de gestéo de riscos e de tratamento e resposta a incidentes, assim como planejar orgamento adequado para combater os incidentes de seguranca. Em mais da metade das empresas ouvidas no levantamento da ‘TempestiEZ-Security'®, 0 orgamento anual de seguranga da informagao representa até 2% do faturamento anual. Em 34,5% dessas empresas, esse percentual nao ultrapassa 1%, de acordo com a mesma pesquisa. Um ataque cibemético de grande envergadura, caso néo seja adequadamente tratado, pode afetar profundamente a reputago da organizacdo, ocasionar perda de receitas, evar a prejulzos operacionais com a Paralizacdo dos servigos, resultar em perda de informagées ¢ ainda levar a aplicagao de sangées legais © administrativas. Dessa forma, é importante que as organizagées, ptiblicas ou privadas, estabelegam politicas e procedimentos de seguranga cibemnética que sejam periodicamente revisados, atendam a evolugdo tecnolégica, ao aperfeicoamento de processos e a necessidade de capacitagao continua e estruturada para todos os colaboradores, por meio de programas de capacitagao e de treinamento. De acordo com a pesquisa JLT CyberView 2019, em 2017, 35% das ‘organizagdes mencionaram nao possuir um plano de contingéncia em seguranca cibernética; em 2019, 44,2% afirmaram que, além de nao possuirem um plano de contingéncia, também nao previram, em seus orcamentos, 0 atendimento a uma possivel crise. Na ultima década, néo somente no Brasil, mas em varios paises, verificou-se um aumento significative na quantidade de servigos prestados ao cidadao por meio da internet. Dentre os diversos servigos destacam-se: 0 hitps:twwnplanalto.gowbrfcivi_03/_ato2019-202212020/decretold10222,hims:~text=D 102228text=Aprova a Estratégia Nacional de,que Ihe c... 9/32210812023, 00.32 oro222 cadastramentos, a obtencao de certidées negativas, 0 pagamento de tributos, a segunda via de documentos © consultas, 08 quais sao prestados em plataformas online no ambito federal, no estadual e no municipal. Iniciativas como a Politica de Governanga Digital - Decreto n° 8,638, de 15 de janeiro de 2016, a recente Estratégia Brasileira para a Transformagdo Digital - E-Digital - Decreto n° 9.319, de 21 de marco de 2018" e a governanga no compartilhamento de dados - Decreto n° 10.046, de 9 de outubro de 2019, evidenciam o forte proceso de digitalizagao do Governo federal e os parametros que 0 embasam ao longo de sua implantacao. Acrescenta-se que essas iniciativas, com énfase na mudanga tecnoldgica, significam, para o sistema financeiro, a adogdo dos processos denominados 4D: a democratizagdo, a digitalizagdo, a desburocratizagio e a desmonetizaco"’, que iréo favorecer 0 conceito de Open Insurance’®, no qual, em relag4o ao mercado financeiro, ‘0s dados banedrios vao passar a pertencer aos clientes e ndo as instituigdes financeiras. Em virtude desse processo, ¢ em consonancia com iniciativas mais avangadas j4 adotadas, por exemplo, pelos paises da Unio Europeia, consubstanciadas em relatérios como o eGovernment Benchmark 2018", ressalta-se a importancia de instrumentos normativos adequados @ realidade brasileira que, de fato, contribuam para a protecao dos sistemas e de redes governamentais, uma vez que os servicos apoiados nesses recursos ndo podem sofrer interrupgdes, vazamento de dados ou serem alvos de outras acées danosas. Em ataques cibernéticos recentes, grupos de hackers tém considerado sistemas de govemo como alvos compensadores, no intuito de provocar diferentes impactos, como: o potencial dano a imagem do Governo perante seu publico interno e perante a comunidade internacional, o descrédito da populagao nos servigos publicos, a desconfianga de investidores internacionais na capacidade da administragdo publica em proteger seus préprios sistemas, a desconfianca nos processos eleitorais, ¢ 0 descontentamento da populacao com relacao a administragao publica, ‘Além da protegao do proprio Governo, outro ponto critico refere-se a protego cibemética das empresas representantes das infraestruturas criticas. A titulo de compreensdo, podemos conceitué-las como as instalagdes, servigos e bens que, se forem interrompidos ou destruidos, provocarao sério impacto social, econdmico, politico, internacional ou & seguranga nacional, Essas empresas precisam ter uma abordagem consistente e evolutiva em seguranga cibemetica para identificar e avaliar vulnerabilidades, e gerenciar o risco de ameacas, ao observar , por exemplo, as cinco fungdes previstas na estrutura de seguranga cibernética do National Institute of Standards and Technology - NIST, que séo: Identficar, Proteger, Detecta, Responder e Restaurar2, Avalia-se que os principals tipos de ameagas contra essas organizagées sfo ataques de phishing, negacao de servigo em larga escala, vazamentos de informagées privadas, espionage e terrorismo cibeméticos ¢ a interrupgdo de servigos. Anecessidade de protepo dessas empresas esta crescendo em relevancia. A medida que as infraestruturas de informacao e de comunicacéo se toram globalmente interligadas, tornam-se alvo de malwares, hackers, hacktivistas e de operagées estatais adversas. Além disso, a interconectividade global de algumas infraestruturas criticas significa que uma parte vulneravel pode se tornar o elo mais fraco e, portanto, um risco para outras nagdes. PARTE Il ANALISE DOS EIXOS TEMATICOS Com vistas a auxiliar a formulagao das agdes estratégicas, foram analisados, primeiramente, os eixos tematicos que pertencem a Area de protegao e de seguranga, que sdo: a governanga da seguranga cibernética nacional, o Universo subconectado e seguro, a prevencao e mitigago de ameagas cibernéticas, e a protegao estratégica. Em seguida, foram abordados os eixos tematicos transformadores, assim denominados pelo potencial que possuem em modificar, de forma decisiva e estruturante, os temas por eles influenciados. Sao eles: a dimensao normativa, a Pesquisa, desenvolvimento e inovagao, a dimensao internacional e parcerias estratégicas, e a educagao. 1, EIXOS TEMATICOS: PROTEGAO E SEGURANCA 4.1. Governanga da Seguranca Cibern ica Nacional Na andlise deste eixo temético, serdo abordados aspectos relativos a mecanismos @ medidas passiveis de adogao em prol da governanga cibernética, a metodologia de gestdo de riscos, a confianga e seguranga no uso do cerlificado digital, a implantagao de modelo centralizado de coordenagéo da seguranga cibernética nacional, € 0 monitoramento do cenario cibernéstico. Com relagao aos mecanismos e as medidas em prol da govemanga cibernética, analisa-se, iniialmente, a concepgéo de govemanga. Nota-se que esse conjunto de processos de gesto, em qualquer area, é de vital importéncia para alinhar o planejamento de uma organizagao as suas ages estratégicas, olimizar 0 emprego de recursos, elevar a qualidade dos servigos prestados e permitir a condugao exitosa de projetos e de processos. Em seguranga cibemética, esse aspecto adquire especial relevancia, em virlude da profusao de atores relacionados ao tema, da capilaridade e da transversalidade do assunto em diferentes areas da Sociedade, e da multlateralidade de ages previstas e em andamento. hitps:twwnplanato.gowbrfcivi_03/_ato2019-2022/2020/decretold10222,hims:~text=D 102228text=Aprova a Estratégia Nacional d,que Ihe... 10/32210812023, 00.32 oro222 Nesse sentido, a governanga cibernética abrange o desenvolvimento e a aplicagéio de principios comuns, de normas, de procedimentos e de programas que moldam a evolugao e 0 uso das ferramentas digitais, ‘A seguranga da informagao 6 obtida através da implementagao de controles, de processos, de politicas e de procedimentos, que juntos fortalecem os objetivos de negécio com a minimizago dos seus riscos, e a promogéo da seguranga da organizagao (NBR ISO/IEC 17799:2005). Abordam-se, ainda, agdes voltadas @ comunicagdo de ataques cibernéticos e de agées maliciosas, ao fortalecimento da capacidade institucional dos érgaos publicos em seguranga cibemética, aos mecanismos de lideranga, aos manuais de boas praticas, aos requisitos minimos e as recomendagées, ao monitoramento de politicas Piblicas, & gestdo de riscos, ao atendimento dos interesses da sociedade, custédia de dados por érgaos publicos aos certificados em seguranga cibernética, além das aces voltadas a outras tematicas, Para subsidiar e orientar a andlise dos eixos temdticos de proteg4o e seguranga, foram considerados os seguintes aspectos: 2: = confianga da populago nos servicos piiblicos or + garantia, pela administragdo piiblica, de que seus érgéos protegem suas redes ¢ sistemas, conforme a legislagao sobre o tema; - investimento governamental na prestagao de servigos digitais; atendimento das normas de seguranga cibernética, pelos fornecedores de bens e de servicos aos érgios de governo; e - necessidade de informagées atualizadas que subsidiem a politica governamental atual, o planejamento de novas diretrizes e a futura concepgao de programas. A governanga na rea cibernética esté relacionada as agdes, aos mecanismos e as medidas a serem adotados com o fim de simplificar e modernizar a gestéo dos recursos humanos, financeiros e materials, e acompanhar o desempenho e avaliar os resultados dos esforcos empreendidos nesse campo. Essa govemanga visa incorporar elevados padrées de conduta em seguranga cibernética, e orientar as agdes de agentes piblicos e de agentes privados, ao considerar o papel que exercem em suas organizacdes, conforme a finalidade e a natureza de seu negécio. Inclui, ainda, o planejamento voltado & execugdo de programas, de projetos e de processos, e o estabelecimento de diretrizes que irdo nortear a gestdo de riscos. Nesse contexto, orienta pessoas e organizagées quanto a observancia das normas, dos requisitos e dos procedimentos existentes em seguranga cibemnética. Segundo 0 Decreto n° 9.203, de 22 de novembro de 2017, em seu art. 1721, tem-se que “a alta administrago das organizagées da administragao ptiblica federal direta, autdrquica e fundacional deverd estabelecer, manter, monitorar e aprimorar sistema de gestao de riscos e controles internos com vistas a identificacao, a avaliagao, ao tratamento, ao monitoramento e a andlise critica de riscos que possam impactar a implementagdo da estratégia e a consecugao dos objetivos da organizagéo no cumprimento da sua misao institucional’. Nesse contexto, ressalta-se a importancia de as empresas, que produzem ou comercializam servigos no campo da seguranca cibernética, adotarem padrdes nacionais e internacionais no desenvolvimento de novas solugdes, desde a sua concepcdo, 0 que é inlernacionalmente conhecido pelos termos privacy by design and default & security by design and default. Para tanto, destaca-se o papel do Estado em garantir as empresas a flexibilidade para continuar a criar mecanismos de aperfeigoamento, com o uso de tecnologia de ponta para garantir a seguranga de seus produtos, servigos e solugées e, assim, proteger seus usuarios. Visualiza-se que a governanga cibernética, considerada em Ambito nacional, orienta os direitos, as obrigagées © as responsabilidades dos diversos segmentos da sociedade, e leva os érgaos publicos e as organizagoes privadas a priorizarem 0 uso seguro do espaco cibemnético, Nesse sentido, verifica-se a importancia de as instituigdes implementarem programas de seguranga cibemética, com uso de modelos reconhecidos, que proporcionem um adequado diagnéstico do estagio em que se encontram, que identifiquem os pontos mais vulneraveis de seus sistemas, as ameacas cibernéticas mais provaveis, e os maiores fatores de risco que considerem a adocdo das protegdes adequadas, os mecanismos de detecodo de ataques, as metodologias de resposta a incidentes e os procedimentos de restauragao do ecossistema informatio. Com relagao definigao de papéis © de responsabilidades, vé-se que 0 cidadao brasileiro precisa elevar sua Participagao no ecossistema digital, nao somente por meio do uso das tecnologias, porém, principalmente, no combate aos crimes cibeméticos, chamada pirataria de software @ as apdes maliciosas, ao reportar, por melo dos canais especificos de dentincia, todos os ilicitos cibernéticos de que for vitima. No que tange gestio de riscos, verifica-se que ¢ um dos principals pontos de sustentagdo da governanca cibernética, uma vez que indica a adogao de melhores politicas e metodologias, o que permite geri, de forma hitps:twwnplanalto.gowbrfcivi_03/_ato2019-2022/2020/decretold10222,hims:~text=D 102228text=Aprova a Estratéqia Nacional de,que Ihe... 11/32210812023, 00.32 oro222 otimizada, os limites aceitaveis de risco. Essa gestao resume-se aos principios, aos objetivos, as estruturas, as Competéncias e aos processos necessérios para se conhecer as vulnerabilidades, e assim permitir que sejam tratadas do modo eficaz, sendo, portanto, uma ferramenta que permite a cada insttuigdo, dentre outros beneficios, ter a perfeita dimensao de seus pontos criticos e dos ativos mais relevantes a proteger. Em 13 de outubro de 2008, 0 Gabinete de Seguranga Institucional da Presidéncia da Republica publicou a Norma Complementar n° OZ/INOT/DSICIGSIPR, que disp6e sobre a metodologia de gestdo de seguranca da informagao e da orientagdes acerca de definigao de riscos, de procedimentos para identificar os riscos e seus niveis aceltavels, da andlise de impactos e de probabilidades e de opgdes de tratamento dos riscos. Adicionalmente, em 15, de fevereiro de 2013, 0 Gabinete de Seguranga institucional da Presidéncia da Repdblica publicou a Norma Complementar n° 04/INO1/DSIC/GSI/PR, que estabelece diretrizes para o processo de gestao de riscos de seguranga da informagdo @ comunicagées nos érgaos ou entidades da Administragao Publica federal, deta e indireta, Essa norma faculta que cada érgao ou entidade piiblica adote uma metodologia de gestdo de riscos de seguranga da informagdo que atenda aos objetivos, as diretrizes gerais e ao escopo definido, e que contemple, no minimo, os critérios de avaliagdo e de aceitagao do risco. Com o tempo, verificou-se que cada institulgao adota metodologias e arcabougos intemacionais diferentes, que, dentre outras coisas, fornecem: politicas de orientagao de seguranga, recomendagées de boas praticas e guia para auxillar as empresas na avaliacao e no aprimoramento dos seus sistemas de controle interno, o que inclui a avaliagao de riscos. A adogao desses arcabougos de forma distinta entre os érgdos e entidades piblicas e empresas do setor privado, dificulta a andlise do grau de maturidade em seguranca cibernética do Pais de forma geral, uma vez que 03 ritérios © requisitos de cada normative ndo so 0s mesmos, so que toma necessario padronizar as melhores praticas e permitir que mesmo pequenas organizagdes possam adotar medidas eficientes para a protegao de suas informagdes. Desse modo, destacam-se a avaliagdo e a gestao de risco em seguranga cibemnética como fatores chaves para a protego do espago cibemeélico, dos servigos e das informagées nele existentes. Entretanto, verificou-se que a adocdo de padrées Unicos e excludentes de governanga nao produziriam necessariamente resultados positives, ao considerar a transversalidade @ a capilaridade das agdes de seguranga cibernética nas instituigdes publicas e privadas e na sociedade em geral. Ressalta-se, ainda, que politicas de governanca cibernética devem corresponder a pracessos continuos que fagam parte da cultura de entidades publicas e privadas. Em consequéncia, no contexto mais amplo de governanga, recomenda-se, como patamar inicial, a observancia das normas emitidas pelo Gabinete de Seguranca Institucional da Presidéncia da Republica. Entretanto, sabe-se que essas normas ndo so exaustivas, e devem ser consultadas e, quando pertinentes, também adotadas as normas correlatas da Organizaao Internacional para Padronizagao (ISO, do inglés International Organization for Standardization), além de outros padrées metodolégicos, tais como o Control Objectives for Information and related Technolog - COBIT”, o National Institute of Standards and Technology - NIST” © 0 discorrido pelo Center for Internet Security - CIS*°. Desse modo, encorajam-se as empresas a adotarem medidas customizadas de Seguranga e ferramentas para tratar os riscos enfrentados pelo seu modelo de negéclo especffico. A observancia desses padrées pelos diferentes atores nacionais, para a elaboragdo de seus normativos em seguranca cibernética, mostra-se relevante, uma vez que fornecem estruturas amplamenie avaliadas e baseadas em consenso para definir e implementar abordagens eficazes para a seguranga cibemética que possam ir ao encontro de desafios comuns, e assim possibiitar colaboragao e interoperabilidade. As agées de governanga devem, ainda, de acordo com o contexto de cada institui¢éo, contemplar conceitos de seguranga cibemnética que abordem iniciativas integradoras e que permitam a macro gestéo de diversos ativos e de diferentes tecnologias, como uma plataforma SOAR - Security Orchestration Automation and Response, que consiste em um conjunto de solugdes”® de softwares compativeis que permitem que uma organizagao colete dados sobre ameagas de seguranga de varias fontes. Uma plataforma SOAR inclui uma série de recursos” de gestao de seguranca, analise e relatorios que utilizam dados legiveis de miltiplas fontes para oferecer relatérios, andlises e fungdes de automatizagao de fluxos de trabalho para diversas equipes de seguranga, ¢ oferecemr a inteligéncia que as solugdes pontuals, como SIEM (software28 de gerenciamento de informagdes @ eventos de seguranca) - solugdes de resposta a incidentes e escaneamento de vulnerabilidades, nao oferecem. Porlanto, a parlir de solugdes como o SOAR, espera-se responder adequadamente a eventos de seguranga, e a aprimorar a eficacia das operagdes no cenério digital Uma plataforma SOAR pode, portanto, gerenciar diversos recursos”, como por exemplo: os dispositivos portéteis, os sistemas de protegao de endpoints, os servidores, a seguranga de e-mail, os roteadores, os switches, ‘5 sistemas de Wireless, os pontos de acesso, os firewalls, os sistemas de arquivos, os servidores DNS (Domain Name System), os protocolos DHCP (Dynamic Host Configuration Protocol), os IDS (Intrusion Detection System), 0s IPS (Intrusion Prevention System) ¢ as solugdes SIEM Por oportuno, entende-se que a certificagao de produtos e de solugdes em seguranga cibernética & um objetivo a ser perseguido, ao considerar a complexidade dos equipamentos e das ferramentas computacionais, que exigem elevado grau de especializagao e de recursos tecnolégicos a disposigao, e de organismos estruturados e equipados hitps:twwnplanalto.gowbrfcivi_03/_ato2019-202212020/decretold10222,hims:~text=D 102228text=Aprova a Estratéqia Nacional de,que Ihe .. 12/32210812023, 00.32 oro222 Para conduzi-la, Destaca-se que, antes de fomentar e desenvolver uma certificagao propria, recomenda-se buscar alavancar os mecanismos de certificagao existentes, para evitar a criagdo de barreiras comerciais. Entretanto, crescente o entendimento, no meio produtivo, de que a cettificagéo de produtos - mais, especificamente, de equipamentos - néo se mostra algo simples, uma vez que a certificagéo ocorre sobre o tipo, 0 modelo e o firmware de um equipamento, o que impede sua atualizagdo de firmware ou que o fabricante disponibilize patches de seguranga, sob pena de levar o produto a perder a cerliticagao inicial. utro aspecto a considerar quando se aborda protedo e seguranga no ambiente cibernético é a confianga proporcionada pelo certificado digital, que pode ser compreendido como uma identidade eletrénica segura para pessoas ou organizacdes, e com autenticidade garantida por uma criptografia complexa. Com ele, é possivel garantir de forma inequivoca a identidade de um individuo ou de uma instituigo, sem uma apresentagao presencial® © certificado digital garante a confidencialidade, a autenticidade, e a comprovagao de autoria em transagdes eletrénicas assinadas por meio de sua utilizagdo, Esse recurso é muito relevante e incentiva a padronizacao das praticas de validagéo e de autenticacdo, uma vez que diversos certiicados possuem aceitagao internacional. Assim, a adogao da cerificagao digital deve ser incentivada. Destaca-se que 0 seu uso em documentos piblicos (carteira de identidade, titulo de eleitor ecadastro de pessoa fisica), pode ser uma forma de propagar um ambiente de acesso mais seguro e confidvel. No Brasil, a cettificagdo digital foi introduzida em 2001. Dentre os pioneiros em sua utllizagdo, destacam-se 0 Banco Central do Brasil, por meio do Sistema de Pagamentos Brasileiro - SPB, e a Receita Federal do Brasil, que a utilizou em servigos como o Centro Virtual de Atendimento ao Contribuinte - ¢-CAC, e para a emissdo da Nota Fiscal Eletrénica - NF-e, que colabora para otimizagao dos processos e possibilita um maior controle para reduzir fraudes e sonegaao fiscal. judiciario brasileiro também utiliza extensivamente a certificagao, desde a edigéo do Diario da Justiga em formato eletrénico até o peticionamento eletrénico disponivel em varios tribunals. So varias as aplicagdes que fazem uso do certificado digital ICP-Brasil, e possibilitam confianga e seguranca digital De acordo com o Instituto Nacional de Tecnologia da Informacao, até abril de 2019, a emissao de certificados superou 35,6% do nimero registrado no mesmo periodo de 2018. Entretanto, do total de emiss6es em 2019, os certificados emitidos para pessoa fisica representaram somente 8,4%, enquanto que, para pessoa juridica, representaram 45,9%91 Hoje, praticamente, todas as pessoas juridicas possuem ao menos um certificado digital. Entretanto, a certificagao digital ainda n4o é amplamente utlizada nas corporagdes, em virtude de certas dificuldades, como a elevada quantidade de processos para emiss&o dos certificados, o alto custo para o cidadao e 0 baixo numero de unidades certificadoras por habitante. A fim de solucionar essas questées, o Gover federal vem adotando agées para otimizar os processos visando sua obtengo, com o propésito de expandir significativamente a oferta desse recurso. Todavia, ha que se ter o devido cuidado de, em nome da celeridade e da disseminacao da certificacao digital, nao fragliizar as medidas de seguranga relativas @ sua concessao, que levem ao comprometimento desse valioso recurso, Com relago ao estudo do modelo mais adequado para coordenagaio das agdes de seguranga cibernética, 6 importante destacar que a gestéo dessas acées envolve miltiplos atores, Tanto no ambito nacional, quanto no intemacional, uma mobilizagao efetiva para a consolidagao da seguranga cibemética, como vital para o desenvolvimento da sociedade brasileira, teré mais sucesso por meio de asserliva coordenagao politica, que inclua o setor privado e a sociedade. Segundo relatorio da Comissao Parlamentar de Inquérito da Espionagem*, a distribuigéo @ 0 trato dos assuntos relacionados @ seguranga cibernética no Pais, ndo tem colaborado para que o Governo possua uma visdo geral do assunto, o que dificulta a execugdo de agdes mais eficazes nesse campo. Isso ocorre porque cada érgio Publico adota definigdes, critérios e diferentes agdes para a protecdo do ambiente digital, sem compartilhar informagées, boas praticas e as solugdes adotadas para cada incidente cibernético. Nesse sentido, a criagao de um sistema que retina todos os atores estalais e nao estalais sob a égide da seguranga cibernética, poderd contribuir para 0 necessério alinhamento estratégico, doutrinario e operacional nas agdes concementes a esse campo, e cabe ao Governo federal incentivar a discussao de alternativas que levem ao fortalecimento institucional da seguranca cibernética brasileira. Nesse contexto, € importante que se conceda a um 6rgao governamental a responsabilidade de orientar o tema em ambito nacional, organizé-lo, e propor medidas © regulamentos, com a parlicipagao de representantes de todos os setores da sociedade. Faz-se excegdo, apenas, aos aspectos relacionados a defesa e a guerra cibernéticas, que estdo a cargo do Ministério da Defesa, 0 que de modo algum impede a necesséria interagao, nesse viés, entre as areas de seguranga e de defesa. 0 modelo centralizado de gestéo em seguranga cibernética apresenta-se como alternativa viavel e eficaz, e foi adotado por paises como Estados Unidos da América, Reino Unido, Portugal, Franga, India, Maldsia, Singapura, Coréia do Sul e Japao. A experiéncia desses paises demonstra que a criagao de estruturas centrais para condugao desse tema, com autoridade para estabelecer regulamentos e ages especificas, apresenta bons resultados para a hitps:twwnplanalto.gowbrfcivi_03/_ato2019-2022/2020/decretold10222,hims:~text=D 102228text=Aprova a Estratéqia Nacional de,que Ihe... 13/32210812023, 00.32 oro222 coordenagao e a consolidagao da seguranga cibernética como assunto de Estado, promove sinergia entre Governo, setor privado, sociedade e academia, e evidencia o carater estratégico da protego do espaco cibernético, No caso brasileiro, ao consider 0 Governo federal, destaca-se a atuagao do Gabinete de Seguranca Institucional da Presidéncia da Repiblica que, desde 2006, por melo do Departamento de Seguranca da Informacao, estuda e elabora diversos normativos, que consistem em Instrugdes Gerais, Normas Complementares, Estratégias e Palltica, no Ambito da Administracao Publica federal, ao reunir, desde entéo, vasa experiéncia com relagdo a diversas areas da seguranga da informagao, especialmente no que tange 4 seguranga cibernética, Desse modo, nao se vislumbra a necessidade da criagdo de novos e dispendiosos organismos governamentais, sendo suficiente redimensionar a atual estrutura do Gabinete de Seguranca institucional da Presidéncia da Republica, de forma a Ihe possibilitar a atuagao em Ambito nacional, Portanto, urge a necessidade de uma lel que regule as agdes de seguranca cibemetica, que especifique atribuigoes, que aponte mecanismos de didlogo com a sociedade © que tome possivel, ao Gabinete de Seguranga Institucional da Presidéncia da Republica, com a patticipagao de representantes de todos os entes nacionais, exercer 0 papel de macro coordenador estratégico, ao proporcionar alinhamento as agbes de seguranga cibernética e ao contribuir para a evolugao de todo o Pais nesse campo, de forma convergente e estruturada. Conclui-se, ainda, ser necessario e urgente que o Governo federal priorize a aplicagao de recursos na area da seguranga cibernética. Outrossim, conforme mencionado no pardgrafo anterior, devem ser considerados mecanismos que viabilizem a participagao da sociedade. Dentre os instrumentos possiveis, esta Estratégiarecomenda a criagao de um conselho nacional de seguranga cibernética, que congregue diversos atores estalais e no estalais, com o objetivo de pensar a seguranga cibemética sob um prisma abrangente, inclusive, modemo e com énfase nas reais necessidades nacionais. ‘Além desse conselho, como estimulo ao debate sobre o tema, a E-Ciber incentiva a criagao de diversos grupos de debate, sob coordenagao do Gabinete de Seguranca Institucional da Presidéncia da Repiblica, de modo a se garantir 0 envolvimento de profissionais com conhecimentos setoriais e especialidades relevantes para uma melhor compreensdo dos desafios a serem dirigidos aos varios selores de acordo com realidades especificas. No tocante ao monitoramento do cenario cibernético, observa-se a necessidade da verificacdo continua da eficacia dos instrumentos normativos, 0 que passa, necessariamente, por seu monitoramento e por sua constante avaliagao. Avaliagdes que produzem resultados confidveis permitem o aprimoramento de politicas e justificam investimentos ou economia de recursos, j4 que evidenciam se os resultados esperados so alcancados se os recursos sao utilizados de modo eficiente. Conforme as diretrizes de governanga publica estabelecidas no Decreto n° 103. de 217°, vé-se a importancia de igualmente prever métricas e indicadores que permitam, no futuro, 0 monitoramento das agées, dos programas e dos projetos voltados 4 seguranga cibernética, de modo a se obter continua eficdcia na gestao das agdes referentes a essa area, Dentro dessa perspectiva, ressaltam-se trés vertentes importantes: a medicao da eficdcia e da eficiéncia dos centros de tratamento e resposta aos incidentes computacionais, a elaboragao de indicadores para medir o desempenho do Pais em seguranca cibernética e o estabelecimento de rotina de verificagdes de conformidade em seguranga cibernética dentro dos érgaos publicos e das entidades privadas, por eles conduzidas, de modo que seja possivel estabelecer a correta relagao entre os aspectos técnicos detecnologia da informacao, como andlise de vulnerabilidades, relatérios técnicos de ameagas e relacao de solugdes em tecnologia, com os aspectos de negécio, como continuidade dos servigos prestados, riscos 4 imagem e processos de tomada de deciséo. Entende-se, portanto, a verificagao de conformidade como um processo natural, baseada em programas estabelecidos pelas proprias entidades puiblicas e privadas, que visa ao aprimoramento continuo dos sistemas voltados 4 seguranga cibernética Destaca-se que as verificagdes de conformidade devem ser planejadas com moderacdo, e devem ser baseadas em principios de razoablidade, para que nao levem as instituigées publicas ¢ privadas a empregarem tempo e grande soma de recursos em procedimentos excessivos de conformidade, em detrimento de seu uso para lidar com ameagas cibernéticas. 43 Universo conectado e seguro: prevengao e mitigagdo de ameagas cibernéticas © processo de preparagdo do Pals rumo a nova economia digital, experimentara forte impacto de variadas tecnologias, como intemet das coisas, computacao quantica, inteligéncia artificial, aprendizado de maquina, ciéncia cognitiva, robtica, biotecnologia, nanotecnologia ou geragao de telefonia 5G. Para prover sustentagao a esse proceso, so necessérias agdes que permitam sua viabllizagao de forma segura ¢ resiliente. Para fazer face a esse desafio, este eixo da E-Ciber versara sobre a gestdo de incidentes computacionais, que envolve detecao, triagem, andlise e resposta a esses incidentes, As atividades preventivas baseadas nas avaliagdes de riscos podem reduzir o crescente niimero de incidentes cibernéticos, entretanto, nao podem evité-los totalmente. Portanto, é necessério um recurso de resposta para detecta- los com rapidez, minimizar a perda e a destruigo que podem causar, atenuar os pontos fracos explorados e restaurar ‘08 servigos de tecnologia da informacao e comunicagao, sempre considerando que o acompanhamento das ameagas & seguranca cibernélica devem ter natureza global. hitps:twwnplanalto.gowbrfcivi_03/_ato2019-2022/2020/decretold10222,hims:~text=D 102228text=Aprova a Estratéqia Nacional de,que Ihe... 14/322in8/2023, 00:32 10222 Nesse contexto, destaca-se a relevancia de recursos e de mecanismos que permitam a interagao e 0 compartihamento de informagdes em diferentes niveis, entre instituigdes publicas e privadas, e entre essas € ‘organizagées internacionais, que possuam experiéncia no acompanhamento de tendéncias de ameacas e de ataques cibeméticos, de forma a consider os impactos regionais, multilaterais e globais da ocorréncia de incidentes no ambiente digital E de amplo conhecimento que toda organizago, publica ou privada, deve possuir uma equipe de tratamento e resposta aos incidentes cibernéticos - ETIR, também conhecida pela sigla - CSIRT, de Computer Security Incident Response Team. Essa equipe deve ser capacitada, e deve dispor de ferramentas computacionais adequadas as ‘suas necessidades, e de sistomas baseados em tecnologias emergentes, condizentes com os padrées intemacionais, Atualmente, o Brasil possui oito tipos de centros de tratamento e resposta aos incidentes cibernéticos, de acordo com sua aluagao - Centros de Responsabilidade Nacional - CERT.br e CTIR Gov. ~ Centros de Coordenagao Internacional - CERT/Coordination Center, FedCirc e FIRST. - CSIRTs de Infraestruturas Criticas - Energia - CSIRTCemig - Financeiro - CSIRTs do BB, da Caixa, do BASA, do BNB, do BRB e do BANESE - Telecom - CTIR/DATAPREV, GRA/SERPRO e CSIRT PRODESP. - CSIRTs de Provedores - CSIRT Locaweb e CSIRT HP. - CSIRTs Corporativos - CERT-RS, SEGTIC UFRJ e CSIRT Unicamp. - CSIRTs Académicos - CAIS/RNP, CEO/RedeRio, CERT-RS, CERT.Bahia, CSIRT POP-MG, CSIRT Unicamp, CSIRT USP, GSR/INPE, GRC/UNESP, NARIS/UFRN e TRI/JUFRGS. - CSIRTs do Poder Publico - Executivo - CTIR Goy, Legislative - GRIS-CD e Judiciério - GATI, CLRI e TRF-3. - CSIRTs Militares - Marinha - CTIM, Exército - CCTIRIEB e Aerondutica - CTIR FAB, Esses centros atuam em constante comunicagao, e mantém registros de incidentes nacionais, para avaliago de dados estatisticos referentes as ameagas e a esses incidentes. Os atuais esforgos concentram-se em simplificar 0 compartilhamento de informagdes entre todos os CSIRTs, uma vez que o numero de atores do Governo e do setor privado esta-se ampliando, ao lado dos crescentes desafios no campo cibernético. © Brasil possui dois centros de tratamento e resposta de responsabilidade nacional. © Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranga no Brasil - CERT.br™, 6 o responsdvel por tratar incidentes de seguranga em computadores que envolvam redes conectadas a internet no Pais, mais voltado as redes comerciais © de instituigdes privadas. Com atribuigao similar, porém voltado as redes governamentais, existe o Centro de Tratamento e Resposta a Incidentes Cibeméticos de Govemo - CTIR Gov®®. Hoje, os servigos fornecidos pelo CTIR Gov incluem, basicamente: a notificagao de incidentes, a analise de incidentes, o suporte a resposta a incidentes, a coordenagao na resposta a incidentes, a distribuigao de alertas, de recomendagées e de estatisticas e a cooperagao com outras ETIRs. Como exemplo de Alerta expedido pelo CTIR Gov, tem-se o Alerta n° 03/2019 - Malware Si oT, documento que pode ser encontrado no sitio desse Centro. x em dispositivas Para exercer suas fungoes, 0 CTIR Gov possui mecanismos que monitoram vulnerabilidades, adulteragoes e indisponibilidade de sitios, antincios de vazamento de informagdes, ¢ que verificam redes sociais abertas. Alem disso, alua em cooperagao com érgdos parceiros em seguranca cibernética, ao integrar uma rede internacional de CSIRTs, com forte atuagao na andlise de possiveis agdes massivas. Destaca-se que o trabalho de um CSIRT pode ser aprimorado mediante pesquisas e consultas a padroes globais, 0 que pode faciltar a comunicacao entre outros analistas de incidentes, operadores detecnologia da informago, fabricantes de equipamentos detecnologia da informacao, e demais representantes da iniciativa privada e do meio académico. Neste sentido, modelos como o descrito pela Common Vulnerabilities and Exposures - CVE*, podem ser de grande utlidade. Nesse contexto, considera-se essencial adotar aces que permitam o acompanhamento continuo ¢ proativo das ameagas e dos ataques cibernéticos, @ que possibilitem 0 estabelecimento de meios de comunicagao adequados com grupos internos e externos a propria organizagao. Canais de comunicagao podem ser ampliados, também, em mbilo internacional, por meio da participagdo em foros como os seguintes: - FIRST: Forum of Incident Response and Security Teams ~ Criagdo: 1990 - Membros: quatrocentos ¢ citenta ¢ trés CSIRTs, em noventa e dois paises, participantes de todos os setores -APWG: Antiphising Working Group hitps:twwnplanalto.gowbrfcivi_03/_ato2019-2022/2020/decretold10222,hims:~text=D 102228text=Aprova a Estratégia Nacional d,que Ihe... 15/32210812023, 00.32 oro222 = Criagao: 2003. = Membros: mais de duas mil organizagées, participantes de todos os setores, incluindo organizagées internacionais. - M3AAWG: Messaging, Mobile, Malware Anti-Abuse working Group + criagaio: 2004, = Membros: mais de duzentos CSIRTs, pertencentes ao setor industrial. = LAC-AAWG: Latin America and Caribbean Ant “Abuse Working Group + Criagao: 2017 - Membros: Comunidade da internet em geral Com o fim de demonstrar a ago do CTIR Gov diante das notificagdes recebidas, conforme o relatério dos incidentes reportados e confirmados por aquele Centro, de 2011 a 2018, tem-se que, dentre as notificagdes recebidas, 26,23% correspondem a abuso de sitio, 20,04% correspondem a vazamento e 15,95% correspondem a fraude, sendo esas as maiores categorias de incidentes. Nesse sentido, segundo publicagéo do CERT.br, foram recebidas, em 2018, mil e setenta e cinco notificacdes do maquinas comprometidas. Esse total foi 168% maior em relacdo ao recebido em 2017. Mais de 98% das notificagdes foram referentes a servidores web que tiveram suas paginas desfiguradas*7. Entretanto, como os casos so relatados de forma voluntaria, & provavel que 0 nlmero real de incidentes seja muito maior, j& que os incidentes cibernéticos direcionados a usuarios S40, em maior parte, relacionados a fraudes. No atual cenario de ameagas cibernéticas, 6 provavel que as organizagées experimentem o mesmo tipo de ataque, 0 que ressalta a importancia das informagdes sobre fato, sobre o tratamento realizado e sobre as licbes aprendidas. Nesse contexto, visa-se a atuagao conjunta em prol da seguranca cibernética, e considera-se de suma importancia a criagao de um ambiente colaborativo, do qual participem a administragdo puiblica, o setor privado, a academia e a sociedade em geral. Um exemplo de agao colaborativa é o exercicio Guardiao Cibernético, organizado anualmente pelo Comando de Defesa Cibernética, em parceria com oGabinete de Seguranga Institucional da Presidéncia da Repiblica. A atividade consiste em treinamento de agdes de protegao cibernética, por meio da cooperacao entre Forgas Armadas, érgaos parceiros e representantes das infraestruturas criticas, ao adotar técnicas virtuais de simulago e praticas de gestdo de incidentes. O exercicio emprega gabinetes de crise das dreas de tecnologia da informagao © comunicagao, de comunicagdo social, juridica e da alta administracdo dos participantes, que s4o levados a apresentar solucdes para ‘08 eventos cibernéticos com impacto nas organizagées, incluindo 0 nivel decisério-gerencial (gestdo de crise) ¢ 0 nivel técnico (resposta a incidentes) das empresas e de érgaos de governo. Outra abordagem nesse contexto, com 0 objetivo de promover um ambiente colaborativo, participativo & seguro, pode ser a implementagdo de uma plataforma de compartihamento de ameagas ou de tendéncias cibernéticas, onde o intercmbio de informagées ocorra de maneira padronizada, répida e segura Destaca-se que o compartilhamento de informagdes é uma forma de evidenciar a parceria estratégica entre os principais atores interessados em seguranga cibernética, de todos os setores da sociedade. Desse modo, aqueles atores responsaveis pela exploragao e pelo gerenciamento de infraestruturas criticas - sejam eles 6rgaos da administragéo ptiblica ou empresas do setor privado - possuem melhores condigdes de compartilhamento de informages que possam auxiliar na mitigagdo de riscos, na andlise de ameagas e no estudo de vulnerabilidades emergentes, enquanto que os érgaos pllblicos especializados em seguranga cibernética, possuem condicoes de fornecer informagées primordiais sobre aspectos relacionados ao status da seguranca nacional. © Pais necessita, ainda, fortalecer © aperfeigoar seus drg’os de governo que tratam das ameacas e que combatem os crimes cibernéticos. Uma vez que 0 CTIR Gov 6 0 érgao central do governo que coordena e realiza ages destinadas 4 gestdo de incidentes computacionais, recomenda-se outorgar a esse érgao aluagdo em ambito nacional, e que deve ser fortalecido. Na mesma diregdo, recomenda-se aperfeigoar a estrutura nacional de investigagao de crimes clbernéticos. ‘Atualmente, a comunicago pode ser alvo de interceptagaio ilegal que, de forma pontual, pode ndo ser evitada polas politicas de seguranca cibemética adotadas tanto pelas prestadoras de servigos de telecomunicagées quanto Por parte de outros atores, e promovida por agentes com diferentes intengdes, como busca de informagées, assédio a pessoas com determinado perfil ou tentativa de prejudicar a realizado de algum projeto, entre outras raz6es. Assim, a comunicagao digital pode ser monitorada ou interceptada, das seguintes formas: - dispositivos pessoais ou organizacionais, infectados com malware ou monitorados diretamente; - roteador wi-fi, infectado com malware ou controlado por terceiros; hitps:twwnplanalto.gowbrfcivi_03/_ato2019-2022/2020/decretold10222,hims:~text=D 102228text=Aprova a Estratégia Nacional de,que Ihe... 16/32