Boletim Diário de Cibersegurança – BoletimSec
Exija sempre testes de intrusão (pentest) antes de contratar qualquer software, compreenda os riscos de integrar IA ao ciclo de desenvolvimento e saiba por que o Brasil ainda carece de um marco robusto de responsabilização em incidentes que afetam infraestruturas críticas. A seguir, os principais destaques em cibersegurança e o que eles significam, na prática, para empresas, governo e profissionais de tecnologia.
—
Novo Plano Nacional de Defesa Cibernética nos EUA sob a administração Trump
A administração Trump está concluindo um novo plano nacional voltado a reforçar a segurança cibernética dos Estados Unidos, em resposta ao aumento e à sofisticação dos ataques digitais. Embora o documento ainda não tenha sido divulgado oficialmente, autoridades anteciparam seus pontos centrais em um evento em Washington, indicando que ele será a base das ações federais na área pelos próximos anos.
Segundo Sean Cairncross, diretor nacional de cibersegurança, a estratégia se apoia em seis pilares principais. Entre eles estão a modernização acelerada dos sistemas do governo federal, o aumento da resiliência de infraestruturas críticas e a elevação do custo operacional para atacantes, de forma a tornar ofensivas digitais contra os EUA mais difíceis, caras e arriscadas.
Um dos eixos mais aguardados envolve a regulamentação da CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act), que obrigará empresas de setores considerados estratégicos a reportar incidentes cibernéticos em até 72 horas. A CISA, agência responsável por detalhar as regras, postergou a conclusão dessas normativas para maio de 2026, o que gera um período de transição em que organizações precisam se preparar antecipadamente para um cenário regulatório mais rígido.
O plano também prevê a criação de um centro nacional de inteligência dedicado a ameaças envolvendo inteligência artificial, batizado de AI‑ISAC. A proposta é unir setor público e iniciativa privada para compartilhar informações sobre riscos relacionados a sistemas de IA aplicados em infraestruturas críticas, como energia, saúde, finanças, transportes e telecomunicações.
Em paralelo, a Casa Branca desenvolve um arcabouço de política de segurança para IA, com diretrizes específicas para o uso responsável de sistemas de inteligência artificial em projetos e sistemas governamentais. O objetivo é encontrar um equilíbrio entre incentivo à inovação tecnológica e a necessidade de controles rigorosos, reduzindo riscos de vazamento de dados, uso indevido de algoritmos ou falhas em decisões automatizadas.
Outro ponto relevante é a proposta de substituir o antigo CIPAC (Critical Infrastructure Partnership Advisory Council) por uma nova estrutura chamada ANCHOR. Essa iniciativa busca tornar mais fluida e efetiva a articulação entre governo e empresas privadas na gestão de riscos, resposta a incidentes e garantia de continuidade operacional. A ideia é que o ANCHOR consiga aproximar ainda mais operadores de infraestrutura e órgãos reguladores, criando canais permanentes de cooperação.
Autoridades destacam que o plano não se limita à reação a ataques já em curso. Ele enfatiza a prevenção, a dissuasão de adversários estatais e não estatais e o fortalecimento da postura de segurança em toda a cadeia tecnológica, dos sistemas federais a ativos estratégicos em setores como energia elétrica, transportes, saúde, comunicações e serviços financeiros.
—
Varonis adquire AllTrue.ai para ampliar segurança em ambientes com IA
A Varonis Systems, empresa reconhecida por soluções de segurança centradas em dados, anunciou a compra da startup AllTrue.ai, especializada em governança, risco e segurança aplicadas à inteligência artificial, área frequentemente chamada de AI TRiSM. A aquisição tem como finalidade reforçar a proteção de ambientes corporativos que utilizam modelos e agentes de IA em tarefas críticas do dia a dia.
A AllTrue.ai desenvolve ferramentas que permitem às organizações mapear, monitorar e controlar o uso de sistemas de IA, incluindo agentes automatizados que acessam e manipulam informações sensíveis. Entre as funcionalidades centrais está a capacidade de identificar o uso de ferramentas de IA não aprovadas internamente — o chamado shadow AI — que tende a escapar dos controles tradicionais e pode representar ameaça séria à segurança, privacidade e conformidade regulatória.
O movimento acontece em um contexto de rápida expansão da IA generativa e de automações baseadas em modelos de linguagem, que vêm sendo incorporadas a fluxos de trabalho de todos os tamanhos, da área de atendimento ao cliente à análise de dados, desenvolvimento de código e tomada de decisão corporativa. A Varonis planeja incorporar a tecnologia da AllTrue.ai à sua plataforma, garantindo visibilidade granular sobre quais modelos estão em operação, quais dados acessam, onde são executados e como se comportam ao longo do tempo.
Fontes de mercado estimam que o valor do acordo esteja na faixa de 150 milhões de dólares. A Varonis não confirmou publicamente os detalhes financeiros, mas reforçou que o foco estratégico está em usar a expertise da AllTrue.ai para reforçar políticas de controle de acesso, aprimorar a análise de comportamento de agentes de IA e permitir a aplicação de restrições em tempo real, evitando abusos ou ações não previstas.
Para o CEO da Varonis, Yaki Faitelson, proteger dados em um cenário dominado por inteligência artificial exige ir além do monitoramento clássico de usuários humanos. É essencial ter observabilidade e governança ativa sobre cada solicitação e cada decisão tomada por modelos e agentes automatizados, especialmente à medida que essas soluções ganham autonomia e se integram a processos críticos de negócio.
A integração das plataformas promete oferecer, ainda, recursos para definir limites claros de atuação dos sistemas de IA: que tipos de dados podem ser acessados, quais ações são permitidas e em que contexto. Além disso, alertas em tempo real deverão ser disparados diante de comportamentos anômalos, acessos fora de padrão, tentativas de extração massiva de dados ou violações de políticas internas. Com isso, a Varonis sinaliza sua ambição de deixar de ser vista apenas como empresa de proteção de arquivos e sistemas legados, assumindo protagonismo na segurança de ambientes complexos, híbridos e fortemente apoiados em inteligência artificial.
—
CISA determina remoção de firewalls, roteadores e dispositivos obsoletos
A CISA emitiu uma nova diretiva operacional obrigando órgãos federais a identificar e remover, em prazos definidos, firewalls, roteadores, switches e outros equipamentos legados que não recebem mais atualizações de segurança ou apresentam vulnerabilidades críticas conhecidas. Esses dispositivos, muitas vezes negligenciados, vêm sendo explorados por atacantes como ponto de entrada privilegiado em redes governamentais e corporativas.
A determinação inclui a criação de inventários atualizados de ativos de rede, a priorização da substituição de equipamentos sem suporte e a implementação de controles temporários, como segmentação mais rígida, listas de controle de acesso e monitoramento intensivo de tráfego até a completa desativação dos dispositivos vulneráveis. A CISA deixa claro que tecnologia sem patch e fora de ciclo de vida aceitável será considerada risco inaceitável para redes de missão crítica.
Embora direcionada a órgãos federais, a medida funciona como recado direto ao setor privado: manter infraestrutura desatualizada e sem correções estruturais abre brecha para ataques de ransomware, espionagem, sequestro de sessões e monitoramento de tráfego criptografado. O ciclo de vida de hardware e software de rede passa a ser elemento central de qualquer estratégia séria de cibersegurança.
—
Por que sempre exigir pentest antes de contratar um software
Contratar um software sem realizar testes de intrusão independentes é, na prática, assumir riscos desconhecidos. O pentest (penetration test) simula o comportamento de um atacante real para identificar vulnerabilidades em aplicações, APIs, infraestrutura de nuvem e integrações com sistemas legados, antes que criminosos façam isso.
Ao exigir um pentest:
– A empresa obtém um diagnóstico técnico de falhas de segurança que não aparecem em apresentações comerciais ou em simples testes funcionais.
– É possível avaliar se o fornecedor leva a sério temas como criptografia, controle de acesso, gestão de senhas, logs e autenticação multifator.
– Falhas descobertas podem ser corrigidas antes da entrada em produção, reduzindo o risco de incidentes, multas e danos à reputação.
– O contrato pode incluir cláusulas específicas sobre correção de vulnerabilidades detectadas, prazos de resposta e responsabilização.
Para sistemas que lidam com dados pessoais, informações financeiras, registros de saúde ou qualquer tipo de dado sensível, o pentest deixa de ser opcional e passa a ser requisito mínimo de diligência. Organizações maduras costumam solicitar testes recorrentes, não apenas na fase de contratação, mas também após grandes atualizações, integrações com terceiros ou mudanças de arquitetura.
—
Os riscos de integrar IA ao processo de desenvolvimento de software
A adoção de IA generativa e assistentes de código no desenvolvimento acelera tarefas, mas abre uma nova superfície de ataque, muitas vezes subestimada. Modelos de linguagem podem sugerir trechos de código inseguros, repetir vulnerabilidades presentes em conjuntos de treino, ou ainda introduzir padrões que violam boas práticas de segurança.
Entre os principais riscos estão:
– Código inseguro gerado automaticamente: funções sem validação adequada, ausência de sanitização de entrada, falhas em autenticação e autorização podem ser introduzidas de forma silenciosa.
– Dependência excessiva de recomendações da IA: desenvolvedores podem deixar de revisar criticamente o código, assumindo que a ferramenta “já sabe o que faz”.
– Vazamento de segredos e dados sensíveis: ao colar trechos de código com chaves, tokens ou dados reais em ferramentas de IA baseadas em nuvem, há risco de exposição não intencional de informações críticas.
– Conformidade e propriedade intelectual: parte do código sugerido pode ter origem em projetos licenciados sob termos que não são compatíveis com o uso pretendido, gerando conflitos legais.
Para mitigar esses riscos, é fundamental implementar políticas claras de uso de IA no desenvolvimento: proibir o envio de dados sensíveis para ferramentas externas, obrigar revisão humana de todo código gerado por IA, adotar scanners de segurança (SAST/DAST) integrados ao pipeline de CI/CD e registrar quais trechos foram produzidos com auxílio automatizado, facilitando auditorias futuras.
—
Brasil ainda sem marco robusto de responsabilização em incidentes cibernéticos críticos
Enquanto diversas economias caminham para regulamentações específicas de reporte obrigatório de incidentes e responsabilização em infraestruturas críticas, o Brasil segue com um arcabouço fragmentado e, em muitos casos, insuficiente. Há normas setoriais, diretrizes gerais de proteção de dados e resoluções de agências reguladoras, mas falta um marco nacional coeso para incidentes cibernéticos que afetem serviços essenciais.
Essa lacuna se manifesta em três frentes:
1. Obrigatoriedade e prazos de notificação
Não há, de forma ampla e uniforme, prazos rígidos e padronizados para que operadores de infraestrutura crítica comuniquem incidentes relevantes às autoridades competentes e ao público afetado.
2. Definição clara de responsabilidades
A fronteira entre erro operacional, falha de fornecedores, negligência e evento inevitável ainda é pouco clara. Isso dificulta apuração, sanções e reparação de danos.
3. Coordenação entre órgãos
Falta um modelo consolidado que integre defesa cibernética, segurança pública, reguladores setoriais e entidades privadas na resposta coordenada a incidentes de grande impacto.
Na prática, essa ausência de marco robusto gera incerteza jurídica para empresas, reduz incentivos para transparência e deixa a população mais vulnerável a interrupções de serviços como energia, transporte, telecomunicações, tratamento de água e serviços de saúde. Especialistas defendem a criação de uma legislação que estabeleça, de forma clara, critérios de criticidade, obrigações de prevenção, protocolos de resposta e regras de comunicação em massa.
—
Como empresas brasileiras podem se antecipar a uma regulação mais rígida
Mesmo sem um marco completo, organizações no Brasil podem adotar voluntariamente padrões elevados de cibersegurança, alinhados a boas práticas internacionais:
– Criar programas internos de gestão de riscos cibernéticos com suporte da alta direção.
– Estabelecer políticas formais de resposta a incidentes, com planos de contingência testados periodicamente.
– Implementar processos de notificação interna e, quando pertinente, externa, em prazos curtos, inspirados em referências globais.
– Exigir acordos de nível de segurança (SLAs de segurança) de fornecedores, incluindo testes de intrusão, auditorias e evidências de conformidade.
– Promover treinamento contínuo para equipes técnicas e para áreas de negócio, evitando que decisões estratégicas ignorem riscos digitais.
Organizações que se antecipam tendem a sofrer menos impacto quando novas regras entram em vigor, além de ganhar vantagem competitiva em mercados que valorizam segurança e conformidade.
—
Boas práticas para lidar com IA em ambientes corporativos
Com a expansão da IA em praticamente todas as áreas de negócio, empresas precisam estruturar um modelo de governança específico para essa tecnologia:
– Inventário de usos de IA: mapear todas as aplicações, modelos, agentes e integrações baseadas em IA existentes na organização.
– Políticas de dados claras: definir que tipos de dado podem ou não ser usados para treinar ou alimentar modelos, evitando violações de privacidade e segredos comerciais.
– Avaliação de risco por caso de uso: classificar cada aplicação de IA por impacto potencial e nível de criticidade, definindo controles proporcionais.
– Monitoramento contínuo: acompanhar a performance e o comportamento dos modelos ao longo do tempo, buscando vieses, erros sistemáticos e comportamentos inesperados.
– Comitê multidisciplinar: envolver jurídico, segurança da informação, tecnologia e áreas de negócio na tomada de decisão sobre implantação e manutenção de soluções de IA.
Essas medidas ajudam a manter benefícios de produtividade e inovação, sem perder de vista a segurança, a ética e o cumprimento de obrigações legais.
—
Integração segura entre desenvolvimento, IA e infraestrutura
A convergência entre desenvolvimento de software, uso de IA e gestão de infraestrutura crítica exige uma visão integrada de segurança. Não basta proteger apenas o código ou apenas a rede: é preciso tratar todo o ciclo, da concepção da aplicação ao seu deployment e operação.
Alguns princípios-chave:
– Adotar práticas de DevSecOps, inserindo controles de segurança desde o início do desenvolvimento.
– Usar ferramentas automatizadas de análise de código e dependências, complementadas por revisões manuais, especialmente quando há uso intenso de IA.
– Garantir segmentação e mínimos privilégios para serviços e agentes de IA, evitando que uma falha isolada comprometa todo o ambiente.
– Manter inventário atualizado de ativos físicos e virtuais, removendo sistematicamente tecnologias obsoletas e sem suporte, conforme orientações de agências como a CISA.
– Estabelecer rotinas de testes de intrusão que cubram não apenas aplicações tradicionais, mas também APIs, integrações de IA e componentes de terceiros.
Ao combinar essas abordagens, empresas e órgãos públicos constroem uma postura de segurança mais resiliente, preparada para enfrentar tanto ameaças tradicionais quanto os novos vetores trazidos pela inteligência artificial e pela dependência crescente de sistemas conectados.
—
Cibersegurança deixou de ser tema exclusivamente técnico e se tornou questão estratégica, regulatória e, em muitos casos, de continuidade de serviços essenciais. Exigir pentest, compreender os riscos da IA no desenvolvimento, pressionar por marcos regulatórios robustos e substituir infraestrutura obsoleta são passos complementares de uma mesma agenda: reduzir a superfície de ataque e aumentar a capacidade de resposta frente a um cenário de ameaças em constante evolução.