Infraestrutura Crítica: Por Que o Certificado 187-FZ Já Não Protege o Líder
Anteriormente visto como uma apólice de seguro jurídica, o certificado de conformidade com os requisitos da Lei Federal nº 187-FZ (Lei de Segurança da Infraestrutura da Informação Crítica - CII) pode agora se tornar uma prova de inação gerencial. Em um contexto de controle governamental mais rigoroso, crescentes ciberameaças e a transição para a responsabilidade criminal, uma abordagem formal à segurança da CII se transforma em um risco de gestão direto. Vamos analisar por que a era da "segurança em papel" chegou ao fim e quais decisões são agora críticas para os principais líderes.
O Fim da Era da "Segurança em Papel"
A fase inicial de implementação da Lei 187-FZ (2018–2023) foi marcada por entidades da CII buscando minimizar a categoria de importância de seus objetos para evitar medidas de proteção e controle caras. No entanto, de acordo com dados do FSTEC da Rússia, em 2026, quase dois terços dos objetos significativos da CII não atingem sequer o nível mínimo de cibersegurança, permanecendo vulneráveis a ameaças mais simples. A prática de ciberataques em 2024–2025 demonstrou que os atacantes ignoram as categorias de importância, e os atos de categorização com danos subestimados podem se transformar em um documento incriminador.
Mudança na Estrutura das Violações
A análise da prática administrativa do FSTEC em 2025 revelou uma predominância de violações relacionadas à não apresentação de informações (492 casos) e à não conformidade real da infraestrutura com os requisitos (111 casos). Isso aponta para uma tentativa sistêmica de se esconder do regulador e para lacunas reais na proteção. O problema principal, segundo o FSTEC, é o afastamento dos especialistas em segurança da informação dos processos de negócios estratégicos. Para uma proteção eficaz da CII, é essencial integrar a SI ao circuito de gestão estratégica e elevar o CISO a um nível de reporte direto ao principal executivo.
Responsabilidade Criminal: Novas Realidades para os Líderes
Até 2026, houve uma mudança fundamental da responsabilidade administrativa para a criminal. O Artigo 274.1 do Código Penal da Federação Russa ("Impacto Ilegal na CII"), anteriormente associado a hackers, agora também se aplica a insiders. Contudo, a principal ferramenta de impacto sobre os líderes é o Artigo 293 do Código Penal da Federação Russa ("Negligência"), cuja interpretação se tornou mais rigorosa. Em caso de ciberataque que resulte em consequências graves (por exemplo, interrupção do fornecimento de energia elétrica no inverno), a recusa do líder em alocar recursos para as medidas de proteção recomendadas pelo CISO pode ser interpretada como uma aceitação consciente do risco e levar a responsabilidade criminal (até 7 anos de prisão).
A Economia das Multas Baseadas no Faturamento
Até 2024, as baixas multas por vazamentos tornavam os investimentos em SI desvantajosos. A partir de 2026, foram introduzidas multas baseadas no faturamento: até 1,5 milhão de rublos por um vazamento inicial e de 1% a 3% da receita anual (até 500 milhões de rublos) por uma violação reincidente. Isso mudou fundamentalmente o ROI dos projetos de segurança da informação, transformando-a de um centro de custos em uma ferramenta de proteção do valor para o acionista. A multa pode ser atenuada se a empresa investir em SI anualmente pelo menos 0,1% da receita, realizar auditorias independentes e notificar prontamente os reguladores sobre incidentes.
Soberania Tecnológica e Ameaças na Cadeia de Suprimentos
Decretos Presidenciais e o Regulamento Governamental nº 1912 exigem uma transição acelerada para complexos de hardware e software (CHS) confiáveis de fabricação nacional, incluindo a substituição não apenas de software, mas também de hardware. Isso cria desafios relacionados à escassez de equipamentos nacionais de alto desempenho e à toxicidade jurídica da importação paralela. A pressa no desenvolvimento de software nacional também leva a um aumento de vulnerabilidades nas cadeias de suprimentos, onde malware penetra através de atualizações legítimas ou fornecedores, contornando certificados formais de conformidade.
Panorama de Ameaças 2026 e o Mito do "Circuito Isolado"
As ameaças dominantes tornaram-se os wipers e o software destrutivo, visando a destruição de dados e danos físicos ao equipamento, e não o resgate. Cerca de 70% dos incidentes investigados estão relacionados a grupos APT politicamente motivados e patrocinados pelo estado. A crença na proteção por "gap de ar" para sistemas de controle industrial (SCADA/ICS) é um mito. As estatísticas mostram a penetração de vírus em segmentos isolados através de mídias USB não verificadas, modems LTE conectados sem autorização ou laptops de fornecedores infectados. Sem um inventário completo e monitoramento contínuo, o isolamento permanece uma ilusão.
O Que o Líder Deve Fazer
A inação ou o formalismo não são mais uma posição neutra – eles agora constituem um crime. O líder precisa:
- Imersão Pessoal: SI é um Processo de Negócios. Introduzir relatórios mensais do CISO à diretoria. Recusar métricas técnicas ("1000 ataques refletidos"). Exigir métricas de risco de negócios: probabilidade de interrupção da produção por 24 horas, tempo de recuperação a partir de um backup a frio, lista de eventos inaceitáveis.
- Revisão da Categorização: A Verdade é Mais Barata que a Mentira. Iniciar uma revisão dos atos de categorização de 2023–2024. Se a categoria foi subestimada artificialmente – elevá-la voluntariamente. Isso exigirá despesas, mas, em caso de incidente, removerá a acusação de ocultação intencional. Reconhecer o problema antes da chegada do promotor é a melhor circunstância atenuante.
- Orçamento: O Padrão "0,1%". Fixar na política orçamentária uma norma de despesas para SI de no mínimo 0,1% da receita. Esta é uma apólice de seguro jurídica direta: mesmo em caso de incidente, a empresa demonstra que tomou todas as medidas cabíveis – e desfaz o componente de "negligência".
- Exercícios em Vez de Ilusões. Implementar a prática de exercícios cibernéticos regulares: simulados – para verificar a cadeia de tomada de decisões (quem notifica o FSB, quem decide sobre a interrupção), técnicos – Red Teaming por empreiteiros externos. O resultado é a identificação de tempos de resposta reais, e não "em papel".
- Controle da Cadeia de Suprimentos. Incluir nos contratos com fornecedores de software requisitos rigorosos de SI: resultados de varredura de código, certificados de níveis de confiança, existência de um SOC ou sistema de proteção certificado no fornecedor. DevSecOps no fornecedor não é uma recomendação, mas uma condição contratual.
Em Conclusão
O ano de 2026 marca um momento de verdade para a infraestrutura crítica russa. O período de adaptação terminou. O Estado não acredita mais em relatórios em papel e exige resiliência real. A segurança da CII deixou de ser uma disciplina técnica. É uma disciplina gerencial, jurídica e econômica ao mesmo tempo. E a principal conclusão para o CEO é formulada de forma extremamente dura: na nova realidade, é impossível delegar a responsabilidade pela segurança – só se pode compartilhar o destino pela sua ausência.
A soberania digital não é um termo da moda de apresentações. É a resposta à pergunta: quem gerencia a infraestrutura crítica do país – nós ou software estrangeiro? O líder que faz essa pergunta hoje tem a chance de dar a resposta certa. Aquele que adia, corre o risco de que a resposta seja dada pelo investigador.
Novidades — Cibercrime

Mercado de TI: Empregadores Elevam o Padrão e Focam em Talentos Chave
O mercado de trabalho em Tecnologia da Informação (TI) em 2025 se tornou notavelmente complexo: as empresas enfrentam simultaneamente uma escassez de especialistas experientes e um excesso de talentos iniciantes. Em resposta, os empregadores estão elevando os requisitos para os candidatos e rev

O Renascimento do E-mail nos Negócios: Uma Resposta às Falhas dos Mensageiros
Diante das recentes falhas em mensageiros populares e da instabilidade da comunicação móvel na Rússia, observa-se um aumento significativo no uso do e-mail. O volume de e-mails comerciais enviados cresceu mais de um terço, indicando que as empresas estão novamente considerando o e-mail como um

Как низкие частоты связи помогают выполнить нацпроекты
В 2014 году в Российской Федерации был запущен Федеральный проект под названием «Устранение цифрового неравенства» (УЦН). В рамках этого масштабного проекта, ПАО «Ростелеком» получила задачу по обеспечению мобильной связью территорий, где она ранее отсутствовала. Это включало в себя малые насел

Bilhetes da Copa do Mundo de 2026: Isca para Cybercriminosos
A demanda por bilhetes para a Copa do Mundo de Futebol de 2026 tem se tornado um chamariz irresistível para cibercriminosos. Especialistas da Group-IB revelaram uma conexão entre uma das maiores campanhas de phishing em torno do evento e o grupo GHOST STADIUM. Esta descoberta aponta para uma e

GIGABYTE Revelará Ecossistema de IA e Mais na COMPUTEX 2026
A GIGABYTE se prepara para apresentar um ecossistema de inteligência artificial na próxima edição da COMPUTEX 2026. A empresa também exibirá uma vasta gama de produtos voltados para o consumidor em seu estande. Entre os destaques estarão as placas-mãe, placas de vídeo, componentes essenciais p

O Papel dos Agentes de IA na Evolução dos Sistemas de Pagamento
O avanço da inteligência artificial está a redefinir fundamentalmente o panorama das tecnologias financeiras, abrindo um leque de possibilidades sem precedentes. No contexto dos sistemas de pagamento, os agentes de IA representam um avanço significativo na automação das operações financeiras. E