📝 Transcrição do Episódio

(00:06 ) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 404, gravado em 13 de outubro de 2025. Eu sou o Guilherme Gular e, desta vez sozinho, vou trazer para vocês algumas das notícias que nos chamaram a atenção nas últimas semanas. Então, pegue o seu café e venha com a gente.
(00:27 ) Você já sabe que este é o nosso momento de conversarmos e falarmos sobre algumas das notícias que nos chamaram a atenção. Você também sabe que pode entrar em contato conosco pelo e-mail podcast@segurançalegal.com, no Mastodon, Instagram, Bluesky e YouTube. Se quiser, também pode nos assistir pelo YouTube. A grande maioria, na verdade, nos escuta pelo feed, mas também estamos no feed, que você pode assinar direto no site segurancalegal.com, e também no Spotify. Se quiser ouvir pelo Spotify, também estamos lá. E temos a nossa
(01:01 ) campanha de financiamento coletivo no apoia.se/segurançalegal. Você pode escolher a modalidade de apoio, e sempre conclamamos que você considere apoiar um projeto de divulgação de conhecimento e divulgação científica das áreas de segurança da informação, direito da tecnologia, proteção de dados e, mais recentemente, nos últimos um ou dois anos, temos falado muito mais sobre inteligência artificial.
(01:33 ) É o tema da vez, que se relaciona muito com os assuntos que tratamos aqui, sobretudo segurança da informação e proteção de dados pessoais. Vamos às notícias desta semana, começando com uma que achei bem interessante. Inclusive o Vinícius, que infelizmente não pôde estar conosco hoje, foi consultado por um órgão de imprensa. Depois temos que ver se a reportagem da qual ele participou já foi publicada. Mas, de qualquer
(02:04 ) forma, tivemos essa nova regra do Gabinete de Segurança Institucional para o tratamento de informações classificadas em nuvem. Estamos falando de uma instrução normativa do GSI, do Gabinete de Segurança Institucional, a Instrução Normativa número 8, publicada no dia 7 de outubro de 2025, que faz uma mudança bem importante no paradigma de tratamento de informações classificadas, ou seja, aquelas informações que exigem um grau diferenciado de segurança.
(02:45 ) O primeiro ponto que podemos destacar é a própria divisão desses dois mundos da cibersegurança: o mundo das empresas, o mundo privado, e o mundo dos Estados. Ou seja, a segurança é vista no âmbito do poder público, não só do poder público brasileiro, mas mundial. Por trás disso tudo, os pressupostos de cibersegurança e de segurança da informação continuam os mesmos. Ainda falamos sobre os atributos de segurança: confidencialidade, integridade, disponibilidade da
(03:26 ) informação, não repúdio, entre outros. O que ocorre é que, quando separamos os mundos público e privado, as necessidades são diferentes. Eu diria que as ameaças, as fontes de ameaça, são diferentes, porque quando olhamos para os atacantes envolvidos em ataques e violações nos mundos privado e público, as motivações deles são distintas. Vimos recentemente as invasões no sistema de pagamentos brasileiro. O objetivo ali do atacante,
(04:07 ) a fonte da ameaça, é justamente obter ganho financeiro. Quando falamos em Estados, por outro lado, nem sempre será isso. Posso ter, inclusive, motivações políticas, relacionadas aos regimes de um determinado Estado e acesso a informações por outros Estados para fins até comerciais.
(04:30 ) Vimos isso acontecer no Brasil quando, ainda no governo Obama, a presidente Dilma foi monitorada. Tem aquele caso que chamou bastante atenção. Então, temos um paradigma de ameaças totalmente diferente, envolvendo até questões de espionagem ou ciberespionagem. O primeiro ponto é essa divisão entre os dois mundos. E essa nova norma representa uma mudança de postura bem importante da administração pública brasileira ao se abrir para a nuvem,
(05:10 ) embora o Serpro já utilizasse, via seus próprios serviços, outros serviços de nuvem. Vemos essa abertura na linha de uma renovação. Vimos também em agosto deste ano, com o decreto 12.157/2, uma renovação da Política Nacional de Segurança da Informação. Então, além desse novo decreto que estabelece a nova PNSI, temos agora a possibilidade de tratar dados classificados nos graus reservado e secreto em nuvens privadas ou comunitárias em data centers exclusivamente localizados no
(05:54 ) Brasil, desde que esses provedores sejam habilitados pelo Estado para realizar o tratamento dessas informações e também sejam auditados. E, nessa linha, uma portaria, alguns dias antes dessa que falo agora, a Portaria do GSI número 37 de outubro de 2025, habilitou a Amazon, a AWS, para, abro aspas: “a busca do desenvolvimento e do aumento da maturidade em segurança da informação e cibernética, além da promoção da melhoria na cultura
(06:30 ) cibernética nacional”. Então, tudo indica que veremos a AWS como esse agente de nuvem para tratar essas informações classificadas do Estado brasileiro. Fica vedado, entre outras coisas que a instrução traz, o uso de nuvem pública ou nuvem híbrida. É interessante dizer que existe outra instrução normativa. Estou falando aqui sobre algumas normas, instruções e tudo mais, e pode cansá-los um pouco, mas a administração pública brasileira é cheia de normas de segurança da informação, não só para o tratamento de
(07:13 ) informações, mas para outras atividades também. Então, pode soar meio cansativo, mas é a característica da administração pública. Quando essa nova norma veda o uso de nuvem pública ou híbrida, o que é nuvem pública ou híbrida? Bom, há outra instrução normativa, a número 5 de 2021, que define o que é cada uma delas. Inclusive, essa instrução número cinco que acabei de me referir também foi modificada por esta nova instrução, a número