A frágil palafita do nosso governo digital

Nosso governo nunca foi tão digital – e isso é excelente. Multiplicam-se as formas de acesso do cidadão ao governo pela internet. Mas essa transformação digital tem sido potencialmente perigosa, e a confiança no governo está em risco.

Crescemos rápido, deixando a estrutura para depois. Construímos um governo digital em mar revolto, e a falta de estrutura firme cobra seu preço. Em um mês quebramos dois tristes recordes: uma corte superior fora do ar e dados de saúde vazados de quase toda população brasileira. Ou prestamos atenção a isso, ou a confiança no governo pode ruir. Ou pior: pode ser que um dia o governo saia do ar, e não volte.

Os três principais desafios

Um dos desafios endêmicos conhecemos bem: a fragilidade de nossa segurança cibernética. Ocupamos hoje o 70º lugar no ranking de segurança digital. Somos um país de “baixa maturidade” no tema, nas palavras de quem entende do assunto, o general Antonio Carlos Freitas, do GSI, o Gabinete de Segurança Institucional da Presidência da República. Para entender como estamos mal, países com capacidade de investimento muito inferior à nossa, como o Paraguai, estão melhores que nós no ranking.

Outro desafio é nossa baixa resiliência cibernética. O Superior Tribunal Federal, o STF, sofreu um ataque cibernético e ficou 15 dias inoperante. Uma corte superior ficou de joelhos, por semanas, porque saiu do ar e não conseguiu voltar. Problemas similares pipocam, tanto que estamos sem números de Covid-19 atualizados, pois diversos sistemas de saúde estão inacessíveis depois de ataques realizados meses atrás. Ter resiliência é ser capaz de cair e levantar – e está claro que recentemente caímos e demoramos para sair do chão.

O terceiro desafio é fruto de nossa miopia de acesso. Há uma armadilha na interpretação do conceito de transformação digital. Estamos constantemente criando transformação digital do tipo “digital only”, na qual o governo se torna acessível apenas por meio da internet. O correto seria adotar a lente “digital first”, na qual a internet é o principal canal de acesso ao governo (mas nunca o único). Mas a troca de um modelo por outro é uma miopia recorrente.

Por exemplo: ao exigir matrícula em escola pública exclusivamente pela internet, o governo do Rio de Janeiro deixou até 70 mil vagas ociosas na rede de ensino; ao exigir o certificado digital para pequenos e médios negócios (certificado esse caro, e detido por apenas 2% da população), criamos regras que transformam a internet para criar mais burocracia e mais custos para o já altíssimo custo de negócios no país.

“Digital only” vs. “digital first”

A baixa segurança cibernética, a falta de resiliência e a acessibilidade miope tornam frágil a transformação brasileira do governo brasileiro. É como se construíssemos o governo digital em base de palafita. A casa está lá, mas basta uma enchente mais forte e tudo se esvai rio abaixo.

As bases da palafita, da nossa casa de tábuas, têm sido enfrentadas. O problema é a velocidade dos resultados produzidos frente ao tamanho do desafio já existente. Em fevereiro de 2020, o País ganhou finalmente um plano de cibersegurança nacional. Mesmo assim, em novembro, no e-SUS, atingimos o vazamento recorde de mais de 200 milhões de pessoas com dados expostos na internet. Pior: a falha de segurança no ministério da Saúde foi alertada – com meses de antecedência – pela Open Knowledge Foundation.

Outro exemplo: o CNJ – Conselho Nacional de Justiça instaurou um comitê de cibersegurança logo após o incidente com o STF, com o qual tenho a honra de colaborar. O trabalho no comitê é rápido e afirmativo, mas vejam o desafio que há pela frente: um comitêcriado em 2020 tem de correr atrás de desafios criados por uma plataforma criada em 2009 – a principal plataforma digital do Poder Judiciário, o PJe.

Como trocar a roda com o carro andando?

Medidas de melhorias existem, mas elas estão sendo tomadas em ritmo mais lento que os avanços em governo digital.

O governo se digitaliza rapidamente, basta fazer uma comparação entre o governo Temer e o atual. Segundo o ministério da Economia, no governo Temer, 32% dos serviços eram digitais, enquanto, no primeiro ano do governo Bolsonaro, atingimos a marca de 80% de serviços digitalizados. Outro caso ilustrativo é o aplicativo da Caixa, criado para pagar o auxílio emergencial. Trata-se do mais célere evento de bancarização de vulneráveis já visto no mundo, com quase 70 milhões de downloads gerados em poucas semanas.

Se não acelerarmos o ritmo de enfrentamento das fragilidades endêmicas da transformação digital, continuaremos em estado de emergência. E as três fragilidades centrais são: resiliência, governança e acessibilidade. As três precisam de atenção e apoio rápido.

1. Resiliência cibernética no centro do debate

Focamos muito no tema de segurança cibernética, desde o século passado, mas o foco na resiliência explica melhor qual é nosso objetivo final. Resiliência é o que nos faz voltar ao normal depois de um ataque ser feito. É como o bambu, que dobra, não quebra e volta logo ao prumo. O conceito de resiliência está na política nacional de maneira periférica, e isso tem que mudar. A falta de resiliência é o que fez o sistema do STF ser atacado e ficar semanas fora do ar.

Para avançar em resiliência, podemos nos inspirar no marco regulatório europeu. A União Europeia é uma das regiões líderes quando se trata desse assunto. Resiliente 100% ninguém é (o desafio é grande), mas existem por lá boas práticas que podem nos inspirar cá. Há inclusive colaboração técnica disponível para ser usada. Devemos ainda olhar para setores de infraestrutura no qual a resiliência é praticada, como o CERT.br e o sistema financeiro nacional.

E, claro, o governo deve usar o expertise das big techs do setor privado. Pense: nos últimos anos, quanto tempo você ficou sem acesso ao e-mail ou ao banco online? E quando ficou, quanto tempo depois o serviço foi normalizado?

2. Segurança cibernética multissetorial

Já no tema de segurança cibernética, precisamos ganhar eficiência – e usar a cabeça. É certo que precisamos subir no ranking de segurança cibernética mundial, então métrica de sucesso não falta para acompanhar os resultados atingidos. O que precisamos, mais do que tudo, é melhorar a colaboração entre os atores. É claro que o GSI, que tem a missão institucional de cuidar disso, deve continuar sendo o foco das atenções, até porque é assim que a banda toca no mundo todo. Mas falta adotarmos mecanismos de participação e governança colaborativa entre setores, entes da federação e os três poderes.

Podemos nos inspirar no modelo do Reino Unido, por exemplo. Lá o NCSC – National Cyber Security Centre criou uma rede de confiança com entidades do governo e do setor privado para todos serem rapidamente avisados sobre os ataques identificados. Para quem puder visitar a sede desta agência de segurança cibernética, no centro de Londres, vale reparar no simbolismo da arquitetura adotada: é uma agência de defesa nacional e tem janelas de todos os lados. É um caso claro de transparência e segurança tratados como elos complementares. Até porque a segurança de todos, sabe-se, sempre depende da força do elo mais fraco da corrente.

Os britânicos também podem nos inspirar na prática de receber denúncias de terceiros. O Brasil não tem programas estruturados para isso, e especialistas que tentaram ajudar o governo descrevem cenários de horror e perseguição a quem relata falhas cibernéticas (o hacker ético Gabriel Pato foi um dos perseguidos). Há governos estrangeiros que servem de inspiração, e possuem programas de denúncia de falhas que podemos adotar, como o exemplo da política criada pelo governo americano.

3. Transformação digital universal

Por fim, precisamos lembrar do foco no acesso. Um hospital sem sistema não pode deixar de atender pacientes, da mesma forma que a queda de uma torre de transmissão não pode causar apagão generalizado.

O modelo de serviço eletrônico do tipo “digital only” não permite que o governo opere se ficar sem internet, e isso é grave. Além do mais, vale lembrar que estamos no Brasil. Por aqui, um terço das pessoas ainda está fora da internet (sim, temos 47 milhões de desconectados em pleno 2020). E, no ranking mundial de internet barata, ocupamos o vexaminoso 45ª lugar (mesmo sendo o 6º maior mercado do planeta).

Então, sem universalizar a conectividade, e sem fazer dela apena um recurso a mais (em vez de algo único), a transformação digital tende a aumentar o abismo entre o cidadão de primeira classe e os demais, entre os negócios de primeira linha e os demais.

Não é para desacelerar a digitalização, mas…

A transformação digital do governo no Brasil é importante e prioritária. Mas as bases desse processo ainda estão bem frágeis. Sem foco em resiliência, sem fortalecer a segurança cibernética e sem universalizar acesso, a transformação digital tende a ruir a confiança no Estado.

Desacelerar a transformação digital não faz sentido também. O que precisamos é avançar a troca da roda com o carro andando, acelerando o enfrentamento aos nossos desafios para a transformação digital.”