Luiz Rogério Franco Goldoni, Doutor em Ciência Política pela UFF e Professor do Programa de Pós-Graduação em Ciências Militares, da Escola de Comando e Estado-Maior do Exército (PPGCM/ECEME), além de coordenador do Laboratório de Poder Cibernético (LPCiber) do PPGCM/ECEME
Karina Furtado Rodrigues, Doutora em Administração pela FGV EBAPE e Professora do PPGCM/ECEME, além de coordenadora do Laboratório de Governança, Gestão e Políticas Públicas em Defesa Nacional (Lab GGPP) do PPGCM/ECEME
Temístocles Murilo de Oliveira Júnior, Doutor em Políticas Públicas (UFRJ), é Pós-Doutorando no PPGCM/ECEME, além de Diretor de Fomento, Mobilização e Inovação da Sociedade Brasileira de Administração Pública (SBAP)
Em 18 de maio, o Diário Oficial da União publicou aviso de Audiência Pública, a ser realizada em 15 de junho, convocada pelo GSI, para "coletar sugestões e críticas sobre a proposta de Projeto de Lei de iniciativa do poder executivo para a criação da Política Nacional de Cibersegurança (PNCiber)".
A proposta, de 45 páginas, é necessária e ousada: propõe a criação de diversas estruturas, dentre elas, a Agência Nacional de Cibersegurança (ANCiber), que regularia não só os três níveis da Federação no âmbito do Executivo, mas também os três poderes. Ademais, prevê criar outras duas estruturas interagências: o Comite? Nacional de Ciberseguranc?a (CNCiber) e o Gabinete de Gesta?o de Cibercrises (GGCiber).
São claros os dois principais pontos positivos das propostas. O primeiro é a criação de órgão especializado, dotado de orçamento e carreira próprios; um avanço gigantesco frente à atual estrutura de cibersegurança do país que, embora atuante, ainda é insuficiente. O segundo é o enfoque no caráter interagências da cibersegurança, vital para a condução de qualquer política no âmbito cibernético. Em 2020, o TCU já apontava que a atual estrutura não é adequada por não alcançar a Administração Pública como um todo, sendo restrita ao Executivo federal. Pensar em rede, e não de forma isolada, é condição sine qua non na proteção de Infraestruturas Críticas (ICs), que engloba a segurança de órgãos e empresas públicas, privadas e de capital misto que fornecem serviços-chave para o país, cuja instabilidade traria prejuízos para a economia, segurança e, em última instância, para a defesa nacional. Logo, o público e o privado se fundem, e normativas de segurança cibernética devem estar presentes em ambos os setores.
Apesar dos pontos fortes, a proposta ainda enseja preocupações, cujo debate e consideração de alternativas é imprescindível para que o PL sobreviva ao longo processo no qual a audiência do dia 15 de junho é apenas a antessala. Analisamos cinco eixos de preocupação: a agenda pública; desafios conceituais e de delimitação de competências; o ausente diálogo com as estruturas preexistentes; a estratégia escolhida pelo GSI para a consolidação; e o encaminhamento dado à proposta apresentada.
O problema da agenda pública
Para justificar a relevância do tema, a minuta de PL cita o relatório "Lista de alto risco da Administração Pública Federal", elaborado em 2022 pelo TCU, que aponta a segurança cibernética como ponto de preocupação. Segundo esse documento, apesar da transição de processos para o meio digital na esfera federal ultrapassar 73% dos serviços e se fazer presente, ao menos parcialmente, em 86,7% dos processos, a ausência de políticas de back-up e armazenamento remoto encontra-se acima dos 60%. A maior operacionalização do ciberespaço por parte da administração pública a expõe a riscos que podem causar a indisponibilidade dos serviços, como o ocorrido com o ConecteSUS.
Para enfrentar os gargalos da cibersegurança, a minuta oferece soluções que exigiriam considerável atenção orçamentária da União, pois prevê a criação de uma agência e de cargos de Especialista em Cibersegurança e de Técnico em Cibersegurança - com a previsão de abertura de concurso público para o preenchimento de 800 vagas ao longo de cinco anos. Ademais, estipula, também, a criação de 300 cargos comissionados.
Frente aos necessários investimentos em educação, saúde, meio ambiente, dentre outras áreas, nos resta gerir um cobertor curto. Logo, questiona-se: as justificativas e diagnósticos dados são suficientes para tal tomada de decisão? Qual seria o diferencial da cibernética que justificaria esse investimento? Essa compreensão só virá por meio de um "desinsulamento" do tema, por meio do engajamento de atores chave impactados tanto pela possível regulação, quanto pela falta dela, já que os ataques cibernéticos já compõem o cotidiano de boa parte das organizações públicas e privadas.
A dúvida sobre a exequibilidade da proposta é reforçada quando se vem à mente a criação do cargo de Analista de Defesa do Ministério de Defesa (MD), em discussão há pelo menos 20 anos e retomada no início do atual Governo, com a previsão de abertura de "apenas" 300 vagas a serem preenchidas mediante concurso público. Tal como no GSI, ainda não há carreira pública no MD, seus cargos são ocupados por funcionários cedidos por outros órgãos ou comissionados. Há ainda dezenas de órgãos já existentes com déficits de servidores públicos, sem previsão de abertura de novos concursos.
Não se questiona aqui a necessidade dos novos cargos, tanto para o MD quanto para a nova agência. Para dar conta das 36 diferentes competências da nova agência, a criação dos cargos é passo basilar. Contudo, e apesar do número de vagas proposto, indaga-se se a quantidade vislumbrada seria condizente com a quantidade e qualidade dos encargos sob responsabilidade da futura agência.
Desafios conceituais e de delimitação de competências
Segurança cibernética ou cibersegurança é termo amplo, incerto e ainda em disputa. Pode abrigar diversas ações, como o combate aos crimes cibernéticos mais "comuns" e menos sofisticados, o combate às fake news, a atuação em fóruns internacionais sobre a governança do ciberespaço, e a segurança das infraestruturas críticas. Há ainda a dificuldade de definir se alguns incidentes cibernéticos são questão de defesa ou segurança. A literatura aponta que, a depender do enquadramento conceitual dado, distintos atores governamentais deveriam ser acionados.
Apesar de extenso, o PL dedica apenas quatro linhas para definir seu objeto principal: cibersegurança. A definição de ciberdefesa é ainda mais suscinta e ocupa três linhas. Uma das finalidades da ciberdefesa seria "assegurar a ciberseguranc?a de ciberativos de interesse da defesa nacional". O documento se exime de definir o que seriam "ciberativos de interesse da defesa nacional".
Na apresentação da minuta, há um esforço para se diferenciar Complexo Nacional de Ciberseguranc?a e Infraestruturas Cri?ticas (ICs), com a conclusão que: "onde tudo e? IC, nada e? cri?tico". Da mesma forma, sem uma devida definição, tudo não poderia ser considerado como "de interesse da defesa nacional"?
Colapsos nos sistemas de energia, telecomunicações ou financeiro provocados por ciberataques podem ser considerados afeitos tanto à segurança quanto à defesa nacional, a depender do contexto e das atribuições. Os mais notórios casos de ciberdefesa tiveram como alvos esses sistemas: Stuxnet (instalação nuclear), Estonia (sistema financeiro), Georgia (sistema de comunicações e financeiro) e Ucrânia pré-guerra (sistema elétrico e de comunicações).
O ausente diálogo com as estruturas preexistentes e a legislação correlata
A minuta do PL peca no diálogo com as estruturas já existentes de gestão de incidentes cibernéticos. Pouco é falado sobre o futuro da Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC), atualmente coordenada pelo GSI. Sobre ela só há menção a uma mudança de nome, denotando seu caráter nacional. Não fica claro qual seria a diferença entre a rede já existente e as novas estruturas que se propõe criar: o Comite? Nacional de Ciberseguranc?a (CNCiber), o Gabinete de Gesta?o de Cibercrises (GGCiber) e o Sistema Nacional de Cibersegurança (SNCiber).
Aliás, quando se pensa em ReGIC, é difícil não pensar na atual e importante atuação das agências reguladoras na geração de normativas de cibersegurança específicas para cada setor econômico de ICs. Contudo, não há qualquer menção sobre como a ANCiber se relacionaria com as demais agências que já regulam sobre o tema. Haveria a supressão de competências nas outras agências? As demais agências reguladoras seriam reguladas pela ANCiber? Poderiam ser responsabilizadas por ela?
Ademais, no texto há uma carência de informações sobre a existência de legislação correlata às iniciativas apresentadas. Além da referência à Proposta de Emenda Constitucional 03/2020, o documento não oferece uma verificação acerca de eventuais projetos de lei em tramitação no Congresso Nacional que tratem de tema relacionado, mesmo que indiretamente, ao seu objeto. Como exemplo, cita-se o PL 2630/2020, que pretende instituir a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet, que trata do tema de "notícias falsas". Por mais, vale ressaltar que apesar da minuta do PL definir um tipo criminal novo, o "cibercrime", ela não apresenta seu preceito e sanção, e não faz qualquer menção ao Código Penal.
Sobre a estratégia escolhida pelo GSI para a consolidação da proposta
Além das considerações anteriores, a urgência e a relevância do tema no Brasil exigem a devida reflexão sobre a estratégia escolhida pelo GSI para a consolidação e o encaminhamento dado à proposta apresentada, considerando os riscos de mitigação de sua legitimidade e da celeridade em sua tramitação. Em relação à consolidação, observa-se que a proposta disponibilizada pelo GSI para a audiência pública trata de dois anteprojetos diferentes que, mesmo que correlatos, referem-se a espécies normativas diferentes: um projeto de lei ordinária, que depende da apreciação do Congresso Nacional, e um projeto de decreto, de edição do Presidente da República.
O anteprojeto de lei inclui em seu texto disposições sobre a PNCiber, o SNCiber e a Estratégia Nacional de Cibersegurança (ENCiber), sendo que, entre os conteúdos sobre o SNCiber está prevista a criação da ANCiber, do CNCiber, e do GGCiber. De forma pouco comum às regras e práticas do legístico brasileiro, o anteprojeto de lei traz, em seu Anexo I, conjunto de normas sobre a ANCiber, sem definir a que espécie normativa se trata (estrutura regimental, regimento interno, etc.).
Já o anteprojeto de decreto pretende a aprovação das estruturas regimentais do CNCiber, GGCiber e da ANCiber, representando nova escolha estranha ao legístico, já que o anteprojeto de lei propõe, em seu Anexo I, outras disposições de natureza similar a essa mesma agência. Imagina-se que a inclusão do Anexo I no anteprojeto de lei refira-se à exigência do ordenamento pátrio que trata a criação e estruturação de agências como matéria própria de lei em sentido estrito. Se confirmada a suspeita, imagina-se que os dispositivos do anexo deveriam fazer parte do corpo do anteprojeto e não estarem apartados.
O encaminhamento da proposta apresentada
A estratégia de encaminhamento no âmbito do Poder Executivo federal é passo importante na tramitação de um PL, e dois são os momentos em que este pode sofrer alterações que podem o descaracterizar. O primeiro é dentro do próprio Executivo, pois como trata de matéria que se relaciona com competências que afetam outros órgãos, os anteprojetos de lei e de decreto deverão passar pelo crivo daqueles. O efeito pode ser a necessidade da realização de novo ato de participação social, afetando a celeridade, ou a decisão pelo encaminhamento direto do PL ao Congresso Nacional.
O segundo momento é na tramitação do PL no Congresso Nacional, que pode resultar na aprovação de lei ordinária com texto que traga disposições diferentes àquelas do anteprojeto de lei. Caso ocorram tais mudanças, o anteprojeto de decreto não só deverá ser revisto, como os resultados da audiência pública e dos encaminhamentos para coleta dos posicionamentos dos órgãos consultados podem se tornar inócuos, acarretando a necessidade de realização de nova audiência e de novos encaminhamentos.
Apesar de parte dos argumentos acima representarem um exercício sobre possibilidades, as "estranhezas" sobre a forma de constituição dos textos dos anteprojetos e as escolhas sobre os encaminhamentos pretendidos já se apresentam como justificativas para melhor reflexão sobre a estratégia escolhida pelo GSI para a devida regulamentação do tema da cibersegurança no Brasil.
Indubitavelmente, as propostas apresentadas pelo GSI têm o mérito de buscar soluções para temática sensível aos interesses de qualquer nação que se pretende desenvolvida. Ao levantar esses cinco eixos de preocupação, o presente artigo visa fortalecer o debate, para que a proposta seja exequível, e para que medidas perenes e robustas sejam tomadas no campo da cibersegurança brasileira.
Disclaimer
As opiniões e análises contidas neste artigo representam exclusivamente as opiniões dos seus autores e não necessariamente a posição das instituições em que atuam.
