Plano tem ponto negativo tragicômico, ao recomendar certificado digital monopolizado

Na semana passada, o governo federal editou medida que estava atrasada havia 15 anos: criou um decreto que define a estratégia nacional de segurança cibernética. 

Esse tema andava à deriva havia décadas. O país ocupa o 70º lugar no Índice Global de Cibersegurança da ONU, perdendo para países como México, Quênia e Paraguai.

São muitos os casos vexatórios: vazamento de dados de autoridades, lista de todas as senhas de sites do governo publicadas na internet, espionagem industrial de empresas estatais etc.

Como sempre, a ocasião faz o ladrão. Praticamente todo o primeiro escalão do governo usa celulares e aplicativos convencionais. Com isso, estão sujeitos ao monitoramento constante dos seus dados, além de vulneráveis ataques comuns.

O certo seria que ocupantes de cargos públicos que lidam com informações sensíveis passassem a usar aparelhos especiais criptografados e imunes à captação de dados por terceiros.

O plano da semana passada não vai resolver isso. No entanto, ao menos traça princípios que podem orientar o país. Nele há pontos positivos e pontos negativos.

Um destaque positivo é o fato de o plano tratar a segurança cibernética como questão pertinente a todos os setores da sociedade. Faz sentido. Para lidar com esse desafio, é fundamental juntar o setor público, o setor privado, a comunidade científica, o terceiro setor e assim por diante.

A razão é simples. Segurança digital é tema tão complexo que precisa da mobilização de toda a sociedade para ter eficácia. Há muito pouco que o governo sozinho (ou só os militares) pode fazer sem a cooperação de outros setores. O plano vai nesse sentido e acerta.

O documento valoriza também o Marco Civil da Internet e a Lei Geral de Proteção de Dados, dois pilares legais da internet no país. Valoriza também o CERT.br, entidade que monitora e responde a incidentes de segurança no país, gerido pelo Comitê Gestor da Internet.

Já com relação aos pontos negativos, há falhas graves. A primeira é um ponto cego imperdoável. Uma das maiores ameaças globais à segurança na rede é a compra de programas-espiões por governos, capazes de devassar a vida digital de qualquer pessoa, incluindo autoridades. Um desses programas escancarou há pouco a vida do bilionário fundador da Amazon, Jeff Bezos.

O Brasil deveria deixar bem claro se adquire programas-espiões como esse e quem os adquire (há rumores de que sim). E qual a estratégia que o país possui para defender seus cidadãos contra esse tipo de ataque. O plano brasileiro não traz uma palavra sobre isso.

Há outro ponto negativo tragicômico. O texto inclui nas medidas recomendadas para aumentar segurança digital no Brasil “ampliar o uso do certificado digital”. Não qualquer certificado, mas sim o vergonhoso certificado digital que é monopolizado pelo próprio governo federal (por meio do órgão chamado ITI) que custa até R$ 250 por ano para ser emitido.

Aqui a recomendação não tem nada a ver com cibersegurança, mas sim tudo a ver com o lobby de quem vende esse sistema vergonhoso, que jamais terá escala para ser solução para a segurança digital no país. Alguém me conte, por favor, como esse jabuti foi parar no texto de um documento tão importante, minando sua credibilidade.

Reader

Já era Mundo só com apps

Já é Superapps (apps dentro de apps)

Já vem Dapps (descentralized apps)