O Information Technology Industry Council (ITI) aprecia a oportunidade de participar na consulta publica do CGI.br para regulamentar o Marco Civil. Nossas recomendações se destinam a garantir que a implementação do Marco Civil da Internet promova o crescimento contínuo da economia digital no Brasil para o benefício dos cidadãos e negócios Brasileiros.

O ITI é a principal voz, promotor, e líder de ideais nos Estados Unidos para a indústria global de tecnologia da informação e comunicação (ICT). Os membros da ITI abrangem as empresas líderes mundiais em tecnologia, muitas das quais fornecem produtos e serviços que incluem: soluções de e-mails, incluindo sistemas de tecnologia da informação (IT), redes de comunicações, servidores, e aplicativos de servidores e clientes. Ademais, nossos membros são empresas globais com investimentos, rede de suprimento e operações ao redor do mundo, incluindo economias chaves, tais como o Brasil. Os produtos e serviços destas empresas melhoram a eficiência e competividade das indústrias que vão muito além das ICT, desde produção avançada até diagnóstico industrial e de saúde.

Art.10, § 4: Proteção dos dados

O Art.10, § 4 da lei estabelece que os provedores devem informar os usuários acerca dos procedimentos e das medidas de segurança das redes que estes provedores adotam em seus serviços. Entendemos que o objetivo desta disposição visa permitir que os interessados tenham conhecimento que um determinado provedor encontra-se preparado na área de segurança. Todavia, o fato de se requerer aos provedores que divulguem suas medidas de segurança sem diretrizes estritas sobre quem terá acesso à informação e como ela será protegida introduz riscos que afetam a segurança da informação, em vez de aumentá-la. Informar os usuários sobre as medidas implementadas forneceria aos cibercriminosos a informação necessária para localizar e tornar vulneráveis os controles de segurança. Por estas razões, e baseado nas melhores práticas globais sobre segurança cibernética, sugerimos que sejam prestados os seguintes esclarecimentos sobre a abrangencia da aplicação da lei, através da sua regulamentação:

• Esclarecer que as descrições solicitadas sobre as medidas de segurança e confidencialidade de um provedor sejam de um nível suficientemente genérico para, assim, evitar que criminosos possam-se aproveitar de determinadas medidas ou ir contra elas.

• Esclarecer que não é necessário disponibilizar as atualizações das descrições de âmbito genérico / gerais dos provedores toda vez que estas forem modificadas, mas apenas em intervalos razoáveis (ex.: com uma frequência anual). Durante a gestão de riscos de segurança cibernética, pode acontecer que os provedores modifiquem ou atualizem constantemente suas práticas de segurança cibernética para enfrentar as ameaças de forma dinâmica.

O fato de se solicitar aos provedores que informem os usuários toda vez que realizem uma modificação apresenta três aspectos negativos. Em primeiro lugar, se os provedores tiverem que informar uma modificação antes de realizá-la, a sua capacidade de resposta frente às ameaças ativas poderia ser prejudicada. Em segundo lugar, os cibercriminosos saberiam quando um provedor realiza modificações, o que poderia dar-lhes pistas de onde atacar. Em terceiro lugar, o fato de forçar os provedores a dedicar o seu tempo para informar as medidas adotadas reduz a segurança ao desviar o foco dos recursos de segurança cibernética críticos, que deveriam estar concentrados em proteger e defender as redes e os dados pessoais. Portanto, a obrigação geral dos provedores deveria se limitar em manter suas descrições de âmbito genérico / gerais atualizadas e coerentes com suas práticas de segurança cibernética.

• Esclarecer para quem deveria ser dirigida a informação de âmbito genérico / geral. A informação de âmbito genérico / geral deveria ser dirigida a um público geral, através de um web site (semelhante à apresentação das políticas de privacidade).

• Esclarecer o significado de "padrões definidos em regulamento." A única referência existente nos dispositivos da lei é o Art. 3, Inciso V, que faz referência a “... medidas técnicas compatíveis com os padrões internacionais." Solicitamos que sejam implementadas regulamentações que esclareçam que os provedores podem decidir utilizar qualquer norma global, de cumprimento voluntário, baseada no consenso para a gestão do risco de segurança cibernética. Permitir uma margem de flexibilidade nessa escolha ajudará a melhorar a segurança cibernética, porque os provedores poderão escolher as normas de cumprimento voluntário que estiverem melhor alinhadas com seus riscos específicos. As práticas de segurança baseadas em padrões globais implementadas em toda a infraestrutura digital mundial permitem a interoperabilidade e a garantia das políticas e dos controles de segurança, a inovação nesta área, o uso efetivo dos recursos do setor privado e a rápida resposta aos desafios da segurança cibernética.

Face ao exposto, permitimo-nos recomendar que a regulamentação da lei esclareça que o Governo não implementará nenhum mecanismo obrigatório de verificação do cumprimento (tais como as auditorias) das normas de gestão de risco de segurança cibernética que a empresa decidir utilizar. Muitos provedores que adotam práticas de segurança contam com uma variedade de métodos para repassá-las aos seus clientes. A fim de verificar que os mecanismos de segurança dos provedores evoluem com rapidez respondendo às mudanças do entorno das ameaças, torna-se essencial que o mercado determine o momento de realizar as avaliações de conformidade sobre a gestão do risco de segurança cibernética, as empresas que deveriam levá-las a cabo e a forma apropriada de gerenciá-las. Finalmente, e muito importante, é fundamental contar com uma abordagem global. Existem normas sobre a forma apropriada de realizar uma avaliação de conformidade baseada no consenso global que estão implementadas em todo o mundo.