O projeto do governo de implantar uma Estratégia Nacional de Cibersegurança corre o risco de acabar na gaveta das boas intenções. A criação da Agência Nacional de Segurança Cibernética (ANCiber), eixo central da iniciativa, enfrenta fortes resistências dentro da própria estrutura de Estado. A relutância vem de uma série de órgãos que temem perder poder com o surgimento de um ente regulador, a começar pelo Ministério da Justiça. A medida trisca na sua jurisdição. A ANCiber vai esvaziar atribuições hoje pertencentes à ANPD (Autoridade Nacional de Proteção de Dados), subordinada à Pasta.

O rol de insatisfeitos tem outros nomes, como a ABIN (Agência Brasileira de Inteligência) – recentemente aparteada do GSI e agora vinculada à Casa Civil -, e a Polícia Federal. Há objeções também da parte dos servidores do Serpro, considerado a maior empresa pública de tecnologia da informação do mundo e responsável pelo processamento da base de dados de todo o governo federal. Outro ponto de fricção é o fato de que os estudos para a elaboração da Estratégia Nacional de Cibersegurança e a implantação da ANCiber estão a cargo do GSI.

Dentro do próprio governo, há um receio de que o Gabinete de Segurança Institucional acabe tendo uma ascendência excessiva sobre a Agência e consequentemente sobre a gestão de dados sensíveis, tanto públicos quanto pessoais. A experiência Jair Bolsonaro ainda está viva: em seu mandato, o GSI foi menos um órgão de Estado e mais um braço de apoio ao próprio Bolsonaro. Lula deu sinal verde para o Gabinete de Segurança Institucional tocar o assunto, atuando, inclusive, na formulação de um projeto de lei com a instituição da nova Política Nacional de Cibersegurança, que será encaminhado ao Congresso.

No entanto, entre colaboradores mais próximos do presidente, como o ministro da Casa Civil, Rui Costa, há quem defenda que a formulação da Estratégia Nacional de Cibersegurança seja transferida para a alçada de outra área do governo, como o Ministério da Gestão e da Inovação em Serviços Públicos, de Esther Dweck. A Pasta já responde por assuntos correlatos, por meio da Secretaria de Governo Digital, que, entre outras atribuições, é responsável pela segurança da informação dentro da estrutura de Estado e por políticas de proteção a dados pessoais.  Há também entraves de ordem orçamentária para a criação da nova agência. Ainda não existe qualquer definição de onde sairão os recursos necessários para a implantação da estrutura da ANCiber, um custo estimado em aproximadamente R$ 500 milhões.

Entre polêmicas e obstáculos, um ponto não se discute: o país precisa para ontem de uma nova política de cibersegurança. O Brasil é uma República “hackeada”, vide os seguidos ataques a sistemas de órgãos de governo. No último mês de maio, por meio da Operação Lutcha, a Polícia Federal desbaratou uma “ciber quadrilha” que invadiu os sistemas do INSS, causando um prejuízo da ordem de R$ 1 bilhão. Em agosto de 2022, um grupo de hackers denominado Everest teria roubado mais de três terabytes em informações sigilosas de órgãos da gestão federal.

A facção chegou a anunciar a venda dos dados sequestrados na deepweb. Em dezembro de 2021, a fragilidade de defesa cibernética do Estado teve o seu auge, ao menos na extensão do número de alvos. Um ataque hacker sincronizado e de grandes proporções atingiu simultaneamente os Ministérios da Economia e da Saúde e mais de 20 órgãos da gestão federal, segundo investigações da Polícia Federal à época.  

A proteção de dados tem sido uma corrida inglória para os países em geral. O setor de governo é atualmente a segunda maior vítima de crimes cibernéticos, atrás apenas do segmento industrial e à frente da área financeira. Em média, são mais de 1,5 mil ataques por semana. O Brasil supera a marca global. Entre dezembro de 2022 e maio de 2023, o governo brasileiro sofreu uma média de 2,4 mil invasões ou tentativas de invasões, segundo relatório de inteligência de ameaças da israelense Check Point Software.