CNJ aprova regras para tribunais e cria grupo de segurança cibernética

Um mês depois do ataque que deixou inoperantes os sistemas do Superior Tribunal de Justiça, o Conselho Nacional de Justiça aprovou três resoluções em sua mais recente reunião, em 15 de dezembro de 2020, com medidas relacionadas à segurança cibernética no Judiciário brasileiro. 

Uma delas determina a adoção de Protocolo de Prevenção a Incidentes Cibernéticos, outra institui o Protocolo de Gerenciamento de Crises Cibernéticas no Poder Judiciário, e a terceira prevê elaboração do Protocolo de Investigação para Ilícitos Cibernéticos.

“Ao caminharmos a passos largos para o Judiciário 100% digital, torna-se  imprescindível garantir a segurança cibernética do ecossistema digital do Poder Judiciário brasileiro, estabelecendo processos de trabalho orientados para a boa gestão da segurança da informação, o que abrange o estabelecimento de protocolos de prevenção, de atuação em eventuais momentos de crise e, finalmente, de constante atualização e acompanhamento das regras de compliance às melhores práticas”, afirmou o presidente do CNJ e do STF, Luiz Fux, que relatou as três novas normas. 

Adicionalmente é criado um Comitê de Segurança Cibernética do Poder Judiciário, formado por especialistas do próprio CNJ, STF, STJ, TSE, TST e STM, além da Justiça Federal, de tribunais estaduais e especialistas convidados do Comando de Defesa Cibernética do Exército, do Gabinete de Segurança Institucional da Presidência da República, da Polícia Federal, da Secretaria de Governo Digital do Ministério da Economia, bem como o advogado Ronaldo Lemos.

O Protocolo de Prevenção a Incidentes Cibernéticos (PPICiber/PJ) envolve diretrizes para a prevenção a incidentes cibernéticos, divididas em funções que expressem a gestão do risco organizacional e permitam a tomada de decisões adequadas para o enfrentamento de ameaças e a melhor gestão de práticas e de metodologias existentes.

Deverão ser formalmente instituídas Equipes de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), que poderão solicitar apoio multidisciplinar abrangendo as áreas de tecnologia da informação, jurídica, pesquisas judiciárias, comunicação, controle interno, entre outras necessárias para responder aos incidentes de segurança de maneira adequada.

O Protocolo de Gerenciamento de Crises Cibernéticas no Poder Judiciário (PGCC/PJ), estabelece o gerenciamento de crises por meio de respostas rápidas e eficientes a incidentes em que os ativos de informação do Poder Judiciário tenham a sua integridade, confidencialidade ou disponibilidade comprometidas em larga escala ou por longo período.

Já o Protocolo de Investigação para Ilícitos Cibernéticos estabelece os procedimentos básicos para coleta e preservação de evidências, bem como para comunicação dos fatos penalmente relevantes ao órgão de polícia judiciária com atribuição para o início da persecução penal.

O texto prevê que, assim que tome conhecimento de incidente de segurança em redes computacionais penalmente relevante, deverá o responsável pelo órgão do Poder Judiciário afetado comunicá-lo de imediato ao órgão de polícia judiciária com atribuição para apurar os fatos. Se for considerada uma crise cibernética, o Comitê de Crise deverá ser acionado, conforme prevê o Protocolo de Gerenciamento de Crises Cibernéticas.

* Com informações do CNJ