28 de maio de 2026
O Sinal de Alerta
No espaço de um único ano, os incidentes cibernéticos de importância nacional que tiveram como alvo o setor público do Reino Unido mais que dobraram – passando de 89 para 204. O ataque à Synnovis interrompeu a realização de exames de sangue em hospitais de Londres, forçou o cancelamento de mais de 10.000 consultas e 1.700 procedimentos eletivos e contribuiu para a morte de um paciente. A violação na Agência de Assistência Jurídica comprometeu dados pessoais confidenciais. O ataque de ransomware à British Library devastou uma das instituições culturais mais importantes do país. Uma atualização não maliciosa do software CrowdStrike derrubou milhares de serviços da noite para o dia.
Não se tratava de riscos abstratos, mas de falhas com consequências imediatas para os cidadãos. A própria avaliação do governo britânico é franca quanto ao que elas revelaram: uma abordagem fragmentada em matéria de segurança cibernética que exigia uma reforma fundamental e medidas imediatas.
O que o Plano Cibernético do Reino Unido realmente muda
O Governo do Reino Unido publicou o Plano de Ação Cibernética do Governo, apoiado por um investimento central de 210 milhões de libras. Desenvolvido pelo Departamento de Ciência, Inovação e Tecnologia (DSIT), ele substitui um modelo vagamente federado e orientado por diretrizes por algo muito mais centralizado e diretivo.
No centro disso tudo está uma nova Unidade Cibernética do Governo (GCU) responsável por definir padrões, coordenar a gestão de riscos e garantir um progresso mensurável em todos os departamentos. O Relatório sobre o Estado do Governo Digital já havia deixado a avaliação clara: o risco cibernético para o governo é extremamente alto, 28% do patrimônio digital opera com tecnologia legada e a meta original de resiliência para 2030 não é mais viável.
O plano será implementado em três fases:
- A Fase 1 (até abril de 2027) estabelece as bases: criação da GCU, implementação de estruturas de prestação de contas e publicação de um Plano de Resposta a Incidentes.
- A Fase 2 (2027–2029) amplia o modelo com a tomada de decisões baseada em dados e serviços de apoio centralizados.
- A Fase 3 (a partir de abril de 2029) passa a se concentrar na melhoria contínua e na garantia proativa da cadeia de suprimentos.
Os departamentos e seus fornecedores terão agora de comprovar a conformidade com estruturas de garantia estruturadas – principalmente GovAssure e a Estrutura de Avaliação Cibernética (CAF) do NCSC – e adotar o Secure by Design .
O papel da verificação de identidade
O prefácio ministerial define o tom, mencionando a verificação de identidade ao lado dos serviços de saúde e das prestações sociais como parte da “infraestrutura essencial da vida britânica moderna”. Mas é o que ocorre nos capítulos operacionais que mais importa para os provedores de identidade.
Em primeiro lugar, o Controle de Identidade e Acesso é um resultado fundamental no âmbito da Estrutura de Avaliação Cibernética – o padrão pelo qual todos os departamentos serão agora avaliados por meio do GovAssure. O Princípio B2 exige que os departamentos demonstrem que os usuários que acessam os serviços são “adequadamente verificados, autenticados e autorizados”. Não há dúvida: trata-se de um requisito de garantia mensurável com supervisão central.
Em segundo lugar, o plano identifica explicitamente a autenticação legada como uma vulnerabilidade sistêmica. O ambiente legado não se resume apenas a servidores antigos – inclui senhas, tokens de hardware e métodos de verificação baseados em conhecimento que ainda sustentam grande parte da infraestrutura de identidade do governo. A determinação de substituir sistemas frágeis se aplica diretamente a este caso.
Em terceiro lugar, o novo modelo de responsabilização da cadeia de suprimentos implica que os provedores de identidade que atendem ao governo enfrentarão um escrutínio cada vez maior. Os fornecedores que prestam serviços em grande escala podem ser designados como “estratégicos”, sujeitos a parcerias formais com a GCU e a expectativas de garantia direta.
O efeito combinado é significativo: o mecanismo de garantia e aquisição agora torna mais difícil justificar soluções de identidade fracas e mais fácil defender o uso de soluções modernas e resistentes a phishing. Para os provedores de identidade, essa é uma mudança mais significativa do que qualquer citação isolada em um prefácio.
Resiliência + Segurança: acompanhando as ameaças que não param
O plano define consistentemente seu objetivo como “segurança cibernética e resiliência”, tratando-os como elementos de igual importância. No entanto, a ênfase na resiliência é notável e representa o que o próprio plano denomina “uma mudança cultural e operacional na forma como o governo encara a resiliência”. Na prática, isso significa que o governo não se limita mais a perguntar “será que podemos impedir o ataque?”, mas também “será que podemos manter os serviços em funcionamento e garantir sua confiabilidade quando algo der errado?”.
Isso tem implicações específicas para a identidade. Considere dois cenários:
- O primeiro é a falha no serviço. Incidentes não maliciosos, como a interrupção da CrowdStrike, são citados ao lado de ataques de ransomware e de Estados-nação porque o resultado final para os cidadãos é o mesmo: os serviços ficam indisponíveis e a confiança se desgasta. Os sistemas de identidade que não conseguem demonstrar arquitetura distribuída, redundância e recuperação rápida são agora um ponto único de falha que o plano visa explicitamente.
- O segundo é o comprometimento da identidade. Cada vez mais, os ataques visam a confiança humana em vez de atingir diretamente a infraestrutura. Por exemplo, um diretor financeiro pode receber uma videochamada convincente que parece ter sido feita por um alto funcionário solicitando autorização para um pagamento de emergência. Verificações baseadas em conhecimento, reconhecimento de chamadas e autenticação tradicional podem parecer válidas. A falha aqui não é a segurança do perímetro — é a incapacidade de verificar se a pessoa por trás da interação é realmente quem afirma ser. Essa é uma lacuna de resiliência, não apenas de segurança.
Para as equipes de compras, isso redefine os critérios de avaliação. A questão já não é apenas “isso é seguro?”, mas “o que acontece quando algo dá errado — e ainda podemos confiar naqueles com quem estamos lidando?”. Os sistemas de identidade capazes de demonstrar monitoramento ativo de ameaças e recuperação rápida estarão em melhor posição para atender às expectativas do plano do que as ferramentas legadas que o plano identifica explicitamente como vulneráveis.
O que o Plano Cibernético do Reino Unido não faz
É importante ter clareza quanto ao escopo. Este plano é do governo, para o governo. Ele não estabelece novos requisitos diretamente para o setor privado ou para a infraestrutura crítica nacional – essa é a função do Projeto de Lei de Segurança Cibernética e Resiliência, apresentado no Parlamento no mesmo dia. O projeto de lei estende as obrigações de resiliência aos fornecedores que atendem ao governo nos setores de energia, água, saúde e centros de dados, mas suas implicações completas só ficarão claras à medida que ele for avançando.
Vários analistas do setor também questionaram se 210 milhões de libras são suficientes, dada a magnitude do desafio. A estratégia de 2021 destinou 2,6 bilhões de libras, e os problemas persistem.
Na prática: o que o Plano Cibernético do Reino Unido significa para você?
Apesar dessas ressalvas, a tendência é inconfundível — e não apenas para os órgãos governamentais. Qualquer organização na cadeia de suprimentos do setor público sentirá os efeitos. Três mudanças se destacam.
Padrões centralizados transformam o modelo de compras. Uma Unidade Cibernética do Governo que estabeleça padrões interministeriais cria as condições para serviços compartilhados e uma infraestrutura de identidade do tipo “criar uma vez, usar várias vezes”. Os dias das aquisições fragmentadas, realizadas departamento por departamento, estão contados.
As evidências de garantia tornam-se um pré-requisito para as aquisições. A transição para a conformidade com o GovAssure e o CAF significa que as equipes de compras esperarão cada vez mais que os fornecedores apresentem documentação de garantia pré-mapeada, demonstrando alinhamento com normas de certificação reconhecidas internacionalmente. Vale a pena levar isso em consideração desde o início do planejamento, e não apenas na fase de contratação.
Os prazos para a substituição de sistemas legados estão se tornando cada vez mais apertados. Com os métodos de autenticação vulneráveis explicitamente identificados como vulnerabilidades sistêmicas, as organizações que ainda dependem de senhas, tokens de hardware ou verificação baseada em conhecimento devem planejar seus roteiros de transição agora, sem esperar que as exigências da Fase 2 entrem em vigor. A substituição de sistemas legados é agora inevitável, e não apenas recomendada. Os departamentos que estiverem substituindo métodos de autenticação vulneráveis buscarão cada vez mais parceiros capazes de acelerar transições seguras e, ao mesmo tempo, reduzir o risco operacional. Sistemas de identidade que possam demonstrar resistência a phishing, resiliência operacional e monitoramento ativo de ameaças estarão mais alinhados com esses requisitos de migração.
Olhando para o futuro
O Plano de Ação Cibernética do Governo faz algo que as estratégias anteriores não faziam: integra a verificação de identidade à estrutura central de garantia do governo, vincula o desempenho cibernético à resiliência, em vez de apenas à conformidade, e cria um mecanismo centralizado de fiscalização com responsabilização efetiva.
O plano reflete uma mudança mais ampla na visão do governo: a resiliência cibernética não é mais avaliada apenas pela capacidade de impedir a entrada de invasores, mas também pela capacidade de manter a confiabilidade dos serviços essenciais durante interrupções. Nesse contexto, os sistemas de identidade passam a ser parte da infraestrutura operacional, e não apenas camadas de autenticação.
Para quem está planejando seu próximo ciclo de compras — seja no âmbito do governo ou em sua cadeia de suprimentos —, a questão já não é se se deve modernizar a autenticação, mas sim com que rapidez.
Os esforços políticos continuarão, sobretudo com o avanço do Projeto de Lei sobre Segurança Cibernética e Resiliência e a criação da própria GCU. Estaremos acompanhando ambos de perto.
Conheça nosso mais recente Relatório de Inteligência de Ameaças 2026 para obter informações sobre o cenário de ameaças em constante evolução, ou entre em contato para discutir como sua organização pode se alinhar às novas estruturas de garantia.
Perguntas frequentes sobre o Plano Cibernético do Reino Unido
P: O que o Plano de Ação Cibernética do Reino Unido significa para a verificação de identidade?
R: O plano torna o Controle de Identidade e Acesso um resultado fundamental de garantia no âmbito do Quadro de Avaliação Cibernética (CAF). Os departamentos devem agora demonstrar que os usuários são “adequadamente verificados, autenticados e autorizados” por meio das avaliações do GovAssure, e os métodos de autenticação tradicionais, como senhas e tokens de hardware, são explicitamente identificados como vulnerabilidades sistêmicas que exigem substituição.
P: O que é o GovAssure e como ele afeta os fornecedores do governo?
R: O GovAssure é a estrutura de garantia cibernética do governo do Reino Unido, utilizada para avaliar os departamentos em relação à Estrutura de Avaliação Cibernética do NCSC. De acordo com o Plano de Ação Cibernética de 2026, 90% dos principais departamentos governamentais devem garantir que suas cadeias de suprimentos estejam em conformidade com essas normas até a Fase 2 (2027–2029). Os fornecedores que prestam serviços de identidade em grande escala podem ser designados como “estratégicos”, sujeitos a parcerias formais com a Unidade Cibernética do Governo.
