Photo by Stockcake

Governo britânico cria super Government Cyber Unit

O governo britânico reconheceu que anos de políticas de cibersegurança não foram suficientes para proteger o setor público e anunciou um “reset” com o lançamento do Government Cyber Action Plan, que prevê uma mudança de ritmo e a criação de uma poderosa Government Cyber Unit até 2027. O próprio plano admite que o risco cibernético enfrentado pelo Estado é “criticicamente alto” e que incidentes como o ataque de ransomware à Synnovis — associado à morte de pelo menos um paciente na rede NHS — são sintomas de falhas sistêmicas, não casos isolados.

Da orientação voluntária ao modelo centralizado e obrigatório

No centro da nova estratégia está a transição de um modelo baseado em recomendações e guias não vinculantes para uma abordagem mais centralizada e mandatória. A futura Government Cyber Unit será responsável por definir a direção de políticas, coordenar atividades de implementação e servir como ponto único de responsabilização sobre risco cibernético em todo o governo, incluindo coordenação de resposta a incidentes de grande escala, exercícios regulares entre órgãos e melhor preparação para interrupções prolongadas.

Fornecedores estratégicos também enfrentarão exigências contratuais mais rígidas em segurança, refletindo a avaliação de que vulnerabilidades de terceiros representam ameaça crescente à continuidade de serviços públicos. Em paralelo, o governo anunciou a criação de uma Government Cyber Profession para atrair e reter talentos, após críticas a vagas com salários considerados incompatíveis com a responsabilidade dos cargos.

Conexão com o Cybersecurity and Resilience Bill (CSRB)

O anúncio ocorre no mesmo dia em que o Cybersecurity and Resilience Bill (CSRB), projeto de lei‑chave do governo na área, tem sua segunda leitura no Parlamento — primeira oportunidade para os MPs debaterem o mérito da proposta. Críticos apontam que o texto cria um sistema de “duas camadas”, com obrigações mais duras e sanções claras para empresas privadas que operam serviços essenciais, enquanto entidades públicas prestadoras dos mesmos serviços ficariam sujeitas a padrões menos exigentes.

Pesquisadores do think tank RUSI avaliam que o timing do Government Cyber Action Plan busca responder a parte dessas críticas, reforçando no papel que líderes seniores do setor público serão responsabilizados por resultados em cibersegurança e não poderão tratar o tema apenas como problema técnico. No entanto, destacam que o plano não deixa claro quais mecanismos concretos de enforcement serão aplicados se departamentos e agências não cumprirem os padrões definidos.

Legado de falhas e dívida técnica

O documento reconhece que as ameaças cresceram muito mais rápido do que as defesas do governo, com atores estatais e grupos criminosos cada vez mais sofisticados. Em 2024, a chefe da agência de inteligência GCHQ, Anne Keast-Butler, já havia alertado que o país enfrentava o ambiente de ameaça “mais contestado e complexo em décadas”, com um volume de ataques quatro vezes maior que no ano anterior.

Relatório do National Audit Office (NAO) citado no plano apontou deficiências graves em resiliência cibernética: 58 sistemas críticos avaliados em 2024 apresentavam lacunas significativas de segurança, e ao menos 228 sistemas legados tinham vulnerabilidades desconhecidas. Segundo o NAO, cerca de 28% do parque tecnológico governamental é considerado legado e, em março de 2024, departamentos não tinham planos totalmente financiados para mitigar riscos em mais da metade desses ativos, evidenciando um acúmulo de “dívida técnica” que aumenta a exposição ano após ano.

Gerir risco em vez de substituir tudo

O plano não propõe uma substituição em massa de sistemas, mas sim uma abordagem de gestão de risco, começando por maior visibilidade e inventário dos ativos digitais mais críticos. A ideia é mapear de forma clara quais sistemas legados existem, onde estão as principais vulnerabilidades e como priorizar intervenções, em vez de tentar modernizar tudo de uma vez em um cenário de recursos limitados.

Especialistas alertam, porém, que sem financiamento significativo o impacto será limitado: o NAO destacou que parte dos programas de melhoria em cibersegurança foi reduzida para abrir espaço a outras prioridades, e analistas apontam que o problema é tanto de TI quanto de segurança. Como resume o pesquisador Jamie MacColl, um plano de ação em cibersegurança não resolve, por si só, a falta de recursos para substituir infraestrutura legada; sem dinheiro novo e execução consistente, o risco é que a Government Cyber Unit tente “segurar um balde furado” sem conseguir tapar todas as brechas