Como a estrutura regulatória para a segurança cibernética está progredindo em todo o mundo?

A América Latina, assim como o resto do mundo, tem visto os dados se tornarem o principal alvo de ataques cibernéticos. O ransomware, que se refere ao sequestro de informações, e os vazamentos de dados se tornaram os principais crimes. Essas novas técnicas de roubo de informações geraram um risco crescente em termos de segurança digital para a região.

Os dados mostram que 62% das empresas latino-americanas sofreram uma violação de dados no último ano. De acordo com o Cenário de Ameaças da América Latina da Kaspersky, o phishing continua a ser o vetor mais importante para o roubo de dados pessoais e é o primeiro passo em incidentes cibernéticos que resultam em violações maciças de dados.

A atividade criminosa na região permaneceu estável, enquanto os ataques de malware contra computadores e dispositivos móveis registraram um aumento de 617% e 50% nas tentativas de ataques de phishing e cavalos de Troia bancários, respectivamente. Os setores governamental e financeiro foram os mais afetados, assim como os usuários da Internet.

Entre os países mais afetados estão o Brasil, com 134 milhões de tentativas de ataque, México (43 milhões), Peru (31,5 milhões), Colômbia (30,9 milhões), Equador (12,2 milhões), Chile (10,5 milhões) e Argentina (9,4 milhões). Em termos de setores, é relatado que 4 de cada 10 tentativas de phishing têm como alvo dados financeiros (42,8%), que se dividem em 28,40% de tópicos bancários, 9,40% de meios de pagamento, 2,70% de serviços financeiros e 2,30% de criptomoedas). Empresas de serviços de Internet (14,70%) e lojas on-line (14,70%) completam a classificação.

Nesse cenário, é cada vez mais necessário ter estruturas legislativas que não apenas definam os tipos de crimes, mas também permitam a criação de órgãos para investigá-los, encontrar os culpados e, além disso, incluir requisitos para que as organizações protejam os dados.

No México, onde os ataques cibernéticos a instituições governamentais, empresas e indivíduos têm aumentado nos últimos anos, ainda não existe uma lei propriamente dita. No entanto, após a invasão do Ministério da Defesa Nacional (Sedena), a Lei Federal de Segurança Cibernética tornou-se uma questão de urgência. O projeto de lei, que foi apresentado ao Congresso em 2023, inclui, entre outras coisas, a criação da Agência Nacional de Segurança Digital.

Até o momento, o país asteca é regido apenas por uma série de regulamentos, como a Lei Federal de Direitos Autorais (LFDA), a Lei Federal de Proteção de Dados Pessoais em Posse de Particulares (LFPDPPP), o Código Penal Federal (CPF) e a Estratégia Nacional de Segurança Cibernética 2017 (ENCS).

O que diz a lei no Peru, Colômbia e Chile.

A situação é diferente em outros países da América Latina, respondendo às necessidades dos tempos modernos. No Peru, em fevereiro, foi publicado o Regulamento da Lei de Defesa Cibernética, que busca proteger os interesses do país diante de ameaças ou ataques cibernéticos.

A regulamentação está incorporada à Secretaria de Governo e Transformação Digital (SGTD) do PCM, por meio do Centro Nacional de Segurança Digital, no que diz respeito à proteção de ativos críticos e recursos-chave. Dessa forma, busca-se garantir que os ativos nacionais críticos, os recursos-chave, as infraestruturas e os sistemas, como redes de telecomunicações, Internet, dispositivos, software, informações, protocolos de transporte, energia elétrica, processadores e controladores integrados e o ambiente digital em geral, continuem suas operações em caso de ataques cibernéticos.

A Colômbia, por sua vez, é afetada pelo aumento exponencial do crime cibernético em nível local. Isso foi agravado por um grande ataque que colocou em risco a segurança das instituições públicas e dos dados privados dos cidadãos, o que levou, em fevereiro deste ano, à aprovação no primeiro debate do projeto de lei que visa estabelecer a Agência Nacional de Segurança Digital. Seu objetivo é estabelecer uma única instituição que coordene e supervisione as políticas de segurança digital implementadas e que governe tanto as entidades públicas quanto as privadas.

Mas, sem dúvida, o passo mais importante nesse sentido foi dado no Chile. Em 8 de abril, a Lei de Estrutura de Segurança Cibernética foi publicada no Diário Oficial, estabelecendo uma nova governança para a segurança digital do país. Assim, o Chile se tornou o primeiro país da América Latina e do Caribe a ter uma Agência Nacional de Segurança Cibernética (ANCI).

Esse órgão tem poderes regulatórios, de supervisão e de sanção para todos os tipos de organizações. Além disso, suas funções incluirão assessoria na implementação de políticas e programas para combater esses crimes; solicitação de informações sobre esses tipos de incidentes às organizações afetadas; e estabelecimento de protocolos obrigatórios para entidades públicas e privadas.

Enquanto isso, o que está acontecendo na Europa?

A União Europeia tem uma regulamentação em vigor desde 2004, que vem sofrendo novas alterações para se adaptar às necessidades da constante evolução das tecnologias da informação, incluindo ameaças. De fato, na Espanha, o Ministério da Transformação Digital está liderando uma proposta para uma nova lei de segurança cibernética para o país.

Isso inclui, entre outras coisas, aprimorar o treinamento de especialistas e melhorar as respostas ao crescimento dos ataques cibernéticos, tanto industriais quanto pessoais. Isso fortalece a iniciativa privada, mas também o trabalho do Incibe (Instituto Nacional de Cibersegurança), que treina milhares de especialistas na área todos os anos.

A legislação é, sem dúvida, fundamental para uma resposta robusta a novos ataques cibernéticos. Embora a Inteligência Artificial esteja ajudando a detectar e responder às ameaças cibernéticas, seu uso maciço também contribuiu para o aumento do crime cibernético. Estratégias de segurança mais eficientes e sofisticadas precisam ser desenvolvidas, e a governança adequada é essencial.