Cibersegurança e Ciberdefesa no Brasil Introdução: o ciberespaço como domínio estratégico O ciberespaço foi reconhecido pela Estratégia Nacional de Defesa (END) como um dos três setores estratégicos prioritários, ao lado do espacial e do nuclear, sob responsabilidade primária do Exército Brasileiro. Essa escolha não é fortuita: a dependência crescente de sistemas informatizados para a prestação de serviços públicos essenciais, a gestão de infraestruturas críticas (energia, água, telecomunicações, sistema financeiro) e a própria soberania nacional transformou o ambiente digital em um domínio operacional de conflito, com ataques de Estados, grupos criminosos e ativistas que podem paralisar hospitais, interromper o fornecimento de energia ou manipular processos eleitorais. A política brasileira, alinhada com a doutrina internacional, distingue três níveis de atuação no ciberespaço, cada qual com ator coordenador, arcabouço normativo e finalidades próprias. As três camadas conceituais: Segurança da Informação, Segurança Cibernética e Defesa Cibernética 2.1 Segurança da Informação (SI) É o gênero mais amplo. Refere-se à proteção da confidencialidade, integridade, disponibilidade, autenticidade e legalidade da informação, independentemente do suporte — físico ou digital. Abrange desde a proteção de arquivos em papel até sofisticados sistemas de criptografia. 2.2 Segurança Cibernética É a segurança da informação no ciberespaço. Tem como foco a proteção dos ativos digitais da administração pública, das empresas e dos cidadãos contra ameaças como invasões, roubo de dados, ataques de negação de serviço, ransomware e fraudes eletrônicas. A coordenação federal cabe ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR). 2.3 Defesa Cibernética É o emprego de capacidades cibernéticas para a defesa do território, da soberania e dos interesses nacionais. Trata-se de uma atividade militar, de natureza estratégica, que visa proteger as redes das Forças Armadas, as infraestruturas críticas nacionais e, se necessário, conduzir operações cibernéticas contra adversários que ameacem o Brasil. A coordenação cabe ao Ministério da Defesa, por intermédio do Comando de Defesa Cibernética (ComDCiber). Em resumo: a Segurança da Informação é o gênero; a Segurança Cibernética é a proteção civil no ciberespaço (GSI/PR); a Defesa Cibernética é a proteção militar e estratégica do Estado (MD/ComDCiber). Política Nacional de Segurança da Informação (PNSI) A Política Nacional de Segurança da Informação (PNSI) foi originalmente instituída pelo Decreto nº 9.637, de 26 de dezembro de 2018, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação em âmbito nacional. Seu art. 1º dispunha: "Fica instituída a Política Nacional de Segurança da Informação — PNSI, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação em âmbito nacional." O Decreto nº 9.637/2018 foi revogado pelo Decreto nº 12.572, de 2025, no contexto de uma reorganização mais ampla da governança da segurança da informação e cibernética promovida pelo governo federal. Contudo, sua estrutura conceitual e seus princípios permanecem influentes e são frequentemente objeto de questões de concurso. Seus princípios (art. 3º) incluíam: soberania nacional; respeito aos direitos humanos e garantias fundamentais, especialmente liberdade de expressão, proteção de dados pessoais, proteção da privacidade e acesso à informação; visão abrangente e sistêmica da segurança da informação; prevenção e tratamento de incidentes; articulação entre as ações de segurança cibernética, de defesa cibernética e de proteção de dados e ativos da informação; e o dever dos órgãos e agentes públicos de garantir o sigilo das informações imprescindíveis à segurança da sociedade e do Estado. Estratégia Nacional de Segurança Cibernética (E-Ciber) A Estratégia Nacional de Segurança Cibernética (E-Ciber), aprovada pelo Decreto nº 10.222, de 5 de fevereiro de 2020, igualmente revogado pelo Decreto nº 12.573, de 2025, foi o primeiro documento estratégico de alto nível dedicado exclusivamente à segurança cibernética no Brasil. Com horizonte original de 2020 a 2023, a E-Ciber estabeleceu como visão "tornar o Brasil, até 2023, um país mais próspero e confiável no ambiente digital, com ações coordenadas e integradas de segurança cibernética". Entre seus treze objetivos estratégicos estavam: elevar o nível de proteção e resiliência do governo; estimular a adoção de práticas de segurança cibernética pela sociedade; fortalecer a atuação do Brasil na agenda internacional de segurança cibernética; e, de modo relevante, propor a criação de uma Agência Nacional de Segurança Cibernética (proposta que ainda está em discussão no Congresso Nacional). Política Nacional de Cibersegurança (PNCiber) — o marco vigente O Decreto nº 11.856, de 26 de dezembro de 2023, atualmente em vigor, instituiu a Política Nacional de Cibersegurança (PNCiber) e criou o Comitê Nacional de Cibersegurança (CNCiber). A PNCiber representa um salto qualitativo na governança cibernética brasileira, pois: Desvincula a segurança cibernética do guarda-chuva exclusivo da segurança da informação, conferindo-lhe identidade normativa própria. Amplia o espectro de atores envolvidos: o CNCiber é um órgão colegiado de assessoramento ao Presidente da República, composto por múltiplos ministérios — Casa Civil, Defesa, Justiça e Segurança Pública, Relações Exteriores, Gestão e Inovação, Ciência e Tecnologia, Comunicações, entre outros —, além de representantes da sociedade civil e do setor privado. Seus princípios (art. 2º) incluem: soberania nacional e priorização dos interesses nacionais; garantia dos direitos fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais e da privacidade; prevenção de incidentes e ataques cibernéticos, em particular contra infraestruturas críticas e serviços essenciais; resiliência das organizações; desenvolvimento tecnológico em segurança cibernética; e cooperação internacional. O art. 4º da PNCiber estabelece como seus instrumentos a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança. Estrutura de governança federal A governança cibernética brasileira é multifacetada e envolve diversos atores com competências específicas: GSI/PR — Gabinete de Segurança Institucional da Presidência da República: coordena a segurança da informação, a segurança cibernética e a segurança física da Presidência. Hospeda o Departamento de Segurança da Informação (DSI) e o CTIR.gov. CTIR.gov — Centro de Tratamento de Incidentes de Segurança de Redes de Governo: é o CSIRT (Computer Security Incident Response Team) federal, responsável por coordenar a resposta a incidentes nos órgãos da Administração Pública Federal, emitir alertas e recomendações, e cooperar com CSIRTs de outros países. Integra o FIRST (Forum of Incident Response and Security Teams), a rede mundial de CSIRTs. ANPD — Autoridade Nacional de Proteção de Dados: autarquia de natureza especial vinculada ao MGI, responsável por zelar pela proteção dos dados pessoais (LGPD). ANATEL — Agência Nacional de Telecomunicações: regulação das redes de telecomunicações e proteção de redes públicas. BACEN — Banco Central do Brasil: regulação da segurança cibernética no setor financeiro (Resolução CMN nº 4.893/2021 e normativos complementares). CGI.br / NIC.br: governança da internet no Brasil, com o CERT.br como CSIRT da comunidade brasileira. Defesa Cibernética e ComDCiber 7.1 Criação e estrutura O Comando de Defesa Cibernética (ComDCiber) foi criado em 2014, no âmbito do Exército Brasileiro, mas com responsabilidade conjunta sobre o setor cibernético militar. É um Comando Operacional Conjunto permanentemente ativado, subordinado ao Estado-Maior Conjunto das Forças Armadas (EMCFA). Suas principais atribuições incluem: Coordenação operacional cibernética das três Forças (Marinha, Exército e Aeronáutica); Defesa das redes militares contra ataques cibernéticos; Desenvolvimento e manutenção da doutrina de defesa cibernética; Capacitação de pessoal especializado; Coordenação do Exercício Guardião Cibernético (EGC), considerado o maior exercício simulado de defesa cibernética do hemisfério sul, realizado anualmente desde 2018. O ComDCiber comanda duas organizações militares principais: o Centro de Defesa Cibernética (CDCiber), responsável pela parte operacional, e a Escola Nacional de Defesa Cibernética (EsDCiber), voltada à formação e capacitação. 7.2 Doutrina Militar de Defesa Cibernética (MD31-M-07) A doutrina brasileira de defesa cibernética estabelece cinco objetivos: Defender as redes militares; Impedir ações cibernéticas adversas contra infraestruturas críticas nacionais; Conduzir operações cibernéticas; Contribuir para a Segurança Cibernética Nacional; Integrar-se a operações conjuntas e combinadas. Quanto às operações, a doutrina distingue três tipos, conhecidos pela sigla DEO: Operações Defensivas: proteção das próprias redes e ativos de informação. Incluem monitoramento contínuo, detecção de intrusões e resposta a incidentes. Operações Exploratórias: coleta de informações e reconhecimento no ciberespaço adversário, visando identificar vulnerabilidades e capacidades do oponente. Operações Ofensivas: ações destinadas a indisponibilizar, degradar, interromper ou destruir capacidades cibernéticas adversárias. São as mais sensíveis do ponto de vista político e jurídico, exigindo autorização do mais alto nível. Marco normativo internacional 8.1 Convenção de Budapeste sobre o Crime Cibernético (2001) A Convenção sobre o Crime Cibernético, aberta à assinatura em Budapeste em 23 de novembro de 2001, é o primeiro tratado internacional dedicado ao combate aos crimes cometidos por meio da internet e de outras redes informáticas. O Brasil aderiu em 2021 (Decreto Legislativo nº 37/2021), depositou o instrumento de ratificação em 30 de novembro de 2022 e a promulgou pelo Decreto nº 11.491, de 12 de abril de 2023, entrando em vigor para o país em 1º de março de 2023. A Convenção criminaliza condutas como: acesso ilegal a sistemas informáticos; interceptação ilegal de dados; interferência em dados e sistemas; falsidade informática; e fraude informática. Além disso, estabelece mecanismos de cooperação internacional, como a preservação expedita de dados armazenados (art. 16) e a assistência mútua em investigações (art. 25). A adesão do Brasil foi considerada um marco, pois alinhou a legislação brasileira aos padrões internacionais de investigação e persecução penal de cibercrimes, facilitando a cooperação com outros países signatários. 8.2 Tallinn Manual 1.0 (2013) e 2.0 (2017) Produzidos pelo CCDCOE (NATO Cooperative Cyber Defence Centre of Excellence), os manuais de Tallinn são estudos acadêmicos — sem força vinculante — que analisam como o direito internacional existente se aplica ao ciberconflito. O Tallinn Manual 1.0 focou em conflitos armados cibernéticos; o 2.0 ampliou a análise para operações abaixo do limiar do conflito armado. 8.3 OEWG/GGE da ONU A Assembleia Geral da ONU mantém dois processos paralelos sobre normas de comportamento responsável dos Estados no ciberespaço: o Grupo de Peritos Governamentais (GGE) e o Grupo de Trabalho Aberto (OEWG) . O Brasil participa ativamente de ambos, defendendo a aplicação do direito internacional ao ciberespaço, a proteção de infraestruturas críticas e a construção de um ambiente cibernético pacífico, seguro e aberto. Resposta a incidentes: o modelo federativo brasileiro O Brasil adota um modelo federativo e multissetorial de resposta a incidentes cibernéticos, com múltiplos CSIRTs/CERTs: CTIR.gov (GSI/PR): governo federal; CERT.br (NIC.br/CGI.br): comunidade brasileira, atuando como CSIRT de última instância (CSIRT of last resort) para incidentes que não se enquadram em outras jurisdições; CSIRTs setoriais: Defesa (CDCiber/ComDCiber), financeiro (BACEN), telecomunicações (ANATEL), energia (ONS), entre outros; CSIRTs estaduais e de grandes universidades e provedores. O FIRST (Forum of Incident Response and Security Teams) é a rede mundial que conecta esses CSIRTs, permitindo a troca ágil de informações sobre ameaças e vulnerabilidades. Jurisprudência relevante 10.1 Constitucionalidade parcial do artigo 19 do Marco Civil da Internet — RE 1.037.396/SP (Tema 987 de Repercussão Geral) O Supremo Tribunal Federal, no julgamento do RE 1.037.396/SP (Rel. Min. Dias Toffoli, Plenário, julgado em 26/06/2025, DJe de 05/11/2025), examinou a constitucionalidade do art. 19 da Lei nº 12.965/2014 (Marco Civil da Internet), que condicionava a responsabilização civil dos provedores de aplicações por danos decorrentes de conteúdo gerado por terceiros ao descumprimento de ordem judicial específica. O STF declarou a inconstitucionalidade parcial do dispositivo, reconhecendo que a exigência de prévia ordem judicial como regra geral absoluta é insuficiente para proteger bens jurídicos de elevada relevância constitucional, como os direitos da personalidade de crianças e adolescentes, o combate à desinformação que ameace o processo eleitoral e o regime democrático, e a proteção contra discursos de ódio e atos antidemocráticos. A Corte determinou que, nesses casos, os provedores de aplicação podem ser responsabilizados independentemente de ordem judicial, desde que notificados e instados a remover o conteúdo ilícito, sob pena de responsabilidade civil. A decisão tem impacto direto sobre a segurança cibernética e a defesa cibernética, pois estabelece que a proteção do ambiente digital contra condutas que ameacem a ordem constitucional não pode ficar refém de uma interpretação maximalista da liberdade de expressão, sinalizando que o Estado brasileiro reconhece a existência de ameaças cibernéticas de natureza política e social que exigem resposta proporcional. 10.2 Competência da Justiça Federal para crimes cibernéticos transnacionais — STJ, CC 197.032/AM O Superior Tribunal de Justiça, no julgamento do CC 197.032/AM (Rel. Min. Laurita Vaz, 3ª Seção, julgado em 14/06/2023, DJe de 21/06/2023), decidiu que compete à Justiça Federal processar e julgar o crime de extorsão cibernética (ransomware) quando a investigação apontar que o ataque partiu de servidores localizados no exterior e o Brasil é signatário da Convenção de Budapeste sobre o Crime Cibernético. O fundamento foi o art. 109, V, da Constituição Federal, que atribui à Justiça Federal a competência para julgar crimes previstos em tratado internacional que o Brasil se comprometeu a reprimir. A decisão é importante porque consolida que nem todo crime cometido pela internet é de competência da Justiça Federal — exige-se o preenchimento de uma das hipóteses do art. 109 da CF/88 — e que a Convenção de Budapeste, promulgada pelo Decreto nº 11.491/2023, é um desses tratados que podem atrair a competência federal quando o crime tiver repercussão transnacional. Para a prova Cibersegurança (coordenação: GSI/PR) ≠ Ciberdefesa (coordenação: MD/ComDCiber). Não confundir. PNSI: instituída pelo Decreto nº 9.637/2018 (revogado pelo Decreto nº 12.572/2025). Princípios: soberania nacional, proteção de direitos fundamentais, prevenção de incidentes, articulação entre segurança cibernética e defesa cibernética. E-Ciber: aprovada pelo Decreto nº 10.222/2020 (revogado pelo Decreto nº 12.573/2025). Visão: tornar o Brasil país próspero e confiável no ambiente digital. PNCiber: instituída pelo Decreto nº 11.856/2023 (vigente). Criou o CNCiber, comitê colegiado multissetorial. Seus instrumentos são a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança. ComDCiber (2014): Comando Operacional Conjunto permanentemente ativado, subordinado ao EMCFA, com o Exército como Força integradora. Comanda o CDCiber e a EsDCiber. Coordena o Exercício Guardião Cibernético (EGC). Operações cibernéticas militares: três tipos — Defensivas, Exploratórias, Ofensivas (DEO). Convenção de Budapeste (2001): Brasil aderiu em 2021 e promulgou pelo Decreto nº 11.491/2023, em vigor desde 1º/03/2023. Criminaliza acesso ilegal, interceptação, interferência, falsidade e fraude informática. CTIR.gov (governo federal) e CERT.br (comunidade brasileira): são CSIRTs distintos. O CERT.br é mantido pelo NIC.br/CGI.br. Jurisprudência: STF, RE 1.037.396/SP (Tema 987, 2025): declarou a inconstitucionalidade parcial do art. 19 do Marco Civil da Internet; admite responsabilização de provedores independentemente de ordem judicial em casos que envolvam direitos de crianças e adolescentes, ataques ao processo eleitoral e discursos antidemocráticos. STJ, CC 197.032/AM (2023): compete à Justiça Federal julgar crimes cibernéticos com repercussão transnacional sempre que o Brasil for signatário da Convenção de Budapeste (art. 109, V, CF).