O número de ataques cibernéticos contra órgãos públicos no Brasil mais que triplicou em um ano e recolocou a Lei Geral de Proteção de Dados (LGPD) no centro do debate sobre segurança digital, continuidade de serviços e responsabilidade institucional. Dados do Gabinete de Segurança Institucional (GSI) apontam que as notificações saltaram de cerca de 1,5 mil por mês no início de 2025 para mais de 4,6 mil em 2026. Para a LC SEC, empresa brasileira especializada em cibersegurança e compliance, o cenário marca uma mudança de patamar e exige que o setor público avance do compliance formal para controles efetivos, resposta a incidentes e governança contínua.
O aumento das notificações ocorre em um contexto de ampliação da capacidade de detecção. O CTIR Gov informou que, desde janeiro de 2026, passou a consumir mais feeds de segurança e adotou uma nova taxonomia de classificação, o que elevou a visibilidade sobre incidentes. Ainda assim, casos recentes investigados pela Polícia Federal mostram que o risco já ultrapassa a esfera técnica e atinge dimensões jurídicas, operacionais e reputacionais, com potencial impacto direto sobre dados sensíveis, serviços essenciais e confiança institucional.
No cenário regulatório, a pressão tende a se intensificar. A Autoridade Nacional de Proteção de Dados (ANPD) incluiu o tratamento de dados pessoais pelo Poder Público entre as prioridades de fiscalização para 2026-2027. Além disso, o regulamento de incidentes de segurança determina que organizações comuniquem à autoridade e aos titulares sempre que houver risco ou dano relevante, além de manter registros detalhados por pelo menos cinco anos. Segundo Luiz Claudio, CEO e fundador da LC SEC, isso eleva o nível de exigência sobre os órgãos públicos: “Não basta mais declarar conformidade. É preciso demonstrar processo, rastreabilidade e capacidade real de resposta. Quando isso não existe, o incidente deixa de ser apenas técnico e passa a ser também uma falha de governança”.
Os dados de mercado reforçam a dimensão do problema. O relatório global da HPE Threat Labs apontou que o setor governamental foi o mais visado em 2025, com 274 campanhas registradas, à frente de finanças e tecnologia. No Brasil, o custo médio de uma violação de dados chegou a R$ 7,19 milhões no mesmo período, podendo alcançar R$ 8,92 milhões no setor financeiro, segundo a IBM. Já o Verizon DBIR 2025 indicou crescimento de 34% na exploração de vulnerabilidades e presença de ransomware em 44% das violações analisadas, evidenciando um ambiente mais agressivo e profissionalizado.
Esse contexto também desmonta uma percepção comum de que LGPD e cibersegurança são agendas separadas. Na prática, um incidente relevante conecta imediatamente as duas frentes. A legislação exige a adoção de medidas de proteção e a comunicação estruturada em caso de vazamentos, o que demanda integração entre tecnologia, jurídico, privacidade e gestão. “A discussão sobre privacidade não pode mais se limitar a políticas ou treinamentos pontuais. Ela precisa estar incorporada à operação, com controles vivos, monitoramento e evidências”, afirma o executivo.
Casos recentes reforçam a urgência do tema. Investigações conduzidas pela Polícia Federal, como operações que apuram o vazamento de dados sensíveis de autoridades a partir de acessos não autorizados a sistemas públicos, mostram que a exposição de informações governamentais tem efeitos concretos sobre segurança institucional, investigações e confiança da população.
Diante desse cenário, a LC SEC defende uma abordagem prática para elevar a maturidade de segurança no setor público, baseada em diagnóstico de riscos, implementação de SGSI, auditoria interna, testes de invasão, conscientização, threat intelligence e plano diretor de segurança. A empresa soma mais de uma década de atuação e mais de 150 projetos entregues, com experiência em frameworks como ISO 27001, ISO 42001, SOC 2, LGPD, PCI DSS, NIST e CIS Controls.
Para Luiz Claudio, o momento exige mudança estrutural na forma como o tema é tratado. “O Brasil não discute mais se haverá pressão sobre LGPD no setor público. A discussão agora é o nível de preparo de cada órgão para responder quando o próximo incidente acontecer. Segurança e privacidade precisam ser tratadas como capacidade operacional contínua, não como requisito pontual”, pontua.
Imagem: https://pt.vecteezy.com/arte-vetorial/15324234-lei-de-internet-concept-cyber-lei-como-lei-trabalhista-de-servicos-juridicos-digitais-advogado-em-fundo-desfocado-azul-escuro
