O Plenário do Conselho Nacional de Justiça (CNJ) aprovou na última semana a criação da Estratégia Nacional de Segurança Cibernética e da Informação do Poder Judiciário. Esse é o instrumento institucional que vai orientar a resposta dos órgãos da Justiça à crescente ameaça de ataques de hackers à infraestrutura virtual dos tribunais brasileiros. Ao implantar a política nacional contida no mesmo ato normativo, as cortes executarão uma ação conjunta para assegurar o princípio constitucional da segurança jurídica, preservar a continuidade do funcionamento do da Justiça e proteger as informações que constam dos 77 milhões de processos judiciais que tramitam no país, de acordo com a última contabilização do CNJ.
Para o presidente do CNJ e do Supremo Tribunal Federal (STF), ministro Luiz Fux, a Estratégia e a Política tornaram-se necessárias à medida que a Justiça atua cada vez mais no ambiente digital. “Torna-se imprescindível garantir a segurança cibernética do ecossistema digital do Poder Judiciário Brasileiro, estabelecendo processos de trabalho orientados para a boa gestão da segurança da informação, o que abrange o estabelecimento de protocolos de prevenção, de atuação em eventuais momentos de crise e, finalmente, de constante atualização e acompanhamento das regras de compliance às melhores práticas”, afirmou o ministro, que relatou o Ato Normativo nº 0003201-92.2021.2.00.0000.
A Estratégia Nacional de Segurança Cibernética e da Informação do Poder Judiciário (ENSEC-PJ) tem quatro objetivos principais: tornar a Justiça mais segura e inclusiva no ambiente digital; aumentar a resiliência às ameaças cibernéticas; estabelecer governança de segurança cibernética e fortalecer a gestão e coordenação integrada de ações de segurança cibernética nos órgãos do Judiciário; e permitir a manutenção e a continuidade dos serviços, ou o seu restabelecimento em menor tempo possível.
De acordo com o voto do ministro, aprovado por unanimidade na 87ª Sessão Virtual, encerrada na última sexta-feira (28/5), os ataques aos sistemas eletrônicos dos tribunais têm se tornado mais frequentes, “cada vez mais avançados e com alto potencial de prejuízo, cujo alcance e complexidade não têm precedentes”. Os impactos de ordem financeira, operacional e de reputação, segundo o ministro, demandam do Poder Judiciário uma resposta que minimize os danos dos eventuais ataques e reduza o tempo de não-funcionamento dos sistemas da Justiça.
Eixos
Para isso, também estão previstas na ENSEC-PJ quatro grandes pilares de atuação. O primeiro é fortalecer as ações de governança cibernética, com o estabelecimento de um Sistema de Gestão em Segurança da Informação baseado em riscos. A estratégia também prevê elevar o nível de segurança das infraestruturas críticas, dotando cada tribunal de uma Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), que será responsável por responder e tratar os incidentes de segurança cibernética, podendo recorrer a tecnologias e técnicas de inteligência na análise dos ataques.
Coordenação nacional
A resolução aprovada também institui um modelo centralizado de governança cibernética nacional, com a criação do Comitê Gestor de Segurança da Informação do Poder Judiciário (CGSI-PJ), órgão de assessoramento do CNJ na área. De acordo com o texto, o Comitê terá composição plural, com representantes dos tribunais superiores e dos tribunais de Justiça. Caberá ao órgão normatizar a criação do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Poder Judiciário (CPTRIC-PJ), que será um “canal oficial de ações preventivas e corretivas, em caso de ameaças ou de ataques cibernéticos”.
Ações
Finalmente, a Estratégia também contará com uma rede de cooperação do Judiciário para a segurança cibernética, com incumbências relacionadas à implantação efetiva da política de segurança da informação da Justiça brasileira. Estimular uma relação colaborativa entre as cortes no tratamento de incidentes e vulnerabilidades cibernéticas verificadas, realizar exercícios em conjunto com os tribunais, incentivar a criação das equipes em cada tribunal responsável por gerenciar crises causadas por ataques hackers são algumas das funções atribuídas à rede de cooperação.
A nova resolução revoga as normas anteriores sobre o mesmo tema e incorpora três protocolos já estabelecidos antes por meio de portarias: o Protocolo de Prevenção de Incidentes Cibernéticos no âmbito do Poder Judiciário (PPINC-PJ); o Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC-PJ); e o Protocolo de Investigação para Ilícitos Cibernéticos no âmbito do Poder Judiciário (PIILC-PJ).
A regulamentação também atualiza a segurança da informação no Poder Judiciário, conforme os instrumentos legais instituídos nacionalmente nos últimos anos, como a Lei de Acesso à Informação, o Marco Civil da Internet e a Lei Geral de Proteção de Dados Pessoais (LGPD).
Manuel Carlos Montenegro
Agência CNJ de Notícias