DOU 25/04/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05302025042500022
22
Nº 78, sexta-feira, 25 de abril de 2025
ISSN 1677-7069
Seção 3
EDITAL DE CHAMAMENTO PÚBLICO GUARDIÃO CIBERNÉTICO 7.0
RETIFICAÇÃO DA MINUTA
A União, por meio do Exército Brasileiro, neste ato representado pelo
Comando de Defesa Cibernética - ComDCiber, com esteio na Lei nº 14.133, de 1º de abril
de 2021; na Lei nº 13.019, de 31 de julho de 2014 e todas as suas alterações; no Decreto
nº 8.726, de 27 de abril de 2016; na Lei nº 12.527, de 18 de novembro de 2011; no
Decreto nº 7.845, de 14 de novembro de 2012; no Decreto nº 11.531, de 16 de maio de
2023; na Portaria do C Ex nº 1.448, de 10 de setembro de 2018; na Portaria C Ex nº
1.994, de 12 de junho de 2023; na Portaria DCT nº 112, de 21 de setembro de 2020; e
na Portaria DCT/C Ex nº 017, de 23 de fevereiro de 2023, torna público o presente Edital
de Chamamento Público com o intuito de selecionar pessoa(s) jurídica(s) de direito
público ou privado interessada(s) em apoiar o ComDCiber na preparação e execução do
Exercício Guardião Cibernético 7.0 (EGC 7.0).
1. OBJETO
1.1 O Exercício Guardião Cibernético é um treinamento de ações de proteção
cibernética a que tem por objetivo criar um ambiente realista onde as infraestruturas
críticas participantes precisam proteger seus sistemas de Tecnologia da Informação de
ataques cibernéticos, contribuindo para o crescimento da resiliência cibernética do Brasil,
por intermédio da atuação colaborativa das Forças Armadas, dos órgãos parceiros, da
academia e
das principais
infraestruturas críticas do
País, adotando
técnicas de
simulações construtiva e virtual.
1.2 O Decreto nº 11.200, de 15 de setembro de 2022, que aprova o Plano
Nacional de Segurança de Infraestruturas Críticas (PLANSIC), em sua ação estratégica
2.2.5, define que o Ministério de Defesa é o responsável por envolver, nos exercícios
guardião cibernético, as áreas prioritárias das infraestruturas críticas nacionais.
1.3 O presente Chamamento Público tem por finalidade selecionar pessoas
jurídicas de direito público ou privado, com ou sem fins lucrativos, interessadas em
propor e realizar ações de apoio ao ComDCiber durante a fase de planejamento e de
execução do EGC 7.0, sem o desembolso ou a transferência de recursos públicos
financeiros ou patrimoniais.
1.4 Respeitadas as diretrizes e condições deste Edital, os proponentes terão
liberdade para apresentar suas propostas, de modo a possibilitar a consecução de planos
de trabalho criados ou desenvolvidos pelos proponentes, que pode incluir a atuação em
uma ou mais áreas de apoio.
1.5 O presente Chamamento Público busca o melhor conhecimento das
soluções oferecidas pelas pessoas(s) jurídica(s) interessadas em participar do EGC 7.0, de
forma que as propostas apresentadas possam subsidiar e complementar as decisões do
ComDCiber, assegurando a prevalência dos princípios jurídicos fundamentais, em que é
imprescindível a observância de etapas e formalidades legais.
1.6 A contrapartida por parte
da Administração Militar consistirá na
autorização
para
que
cada
empresa participante
divulgue
a
sua
participação
e
colaboração nos diversos meios de publicidade, bem como na incorporação dos
conhecimentos técnicos da área de segurança cibernética gerados no evento. A
divulgação deve resguardar os dados dos envolvidos no exercício.
1.7 Isso posto, este Chamamento Público não tem por finalidade a seleção de
fornecedores visando à aquisição de bens ou a prestação de serviços em favor da
Administração Pública em troca de remuneração, tampouco a disponibilização de pessoal
para o aparelho administrativo do Estado.
2. JUSTIFICATIVAS
2.1 O ComDCiber detém a responsabilidade de assessorar o Comandante do
Exército e o Ministro de Estado da Defesa nas atividades do Setor Cibernético, obter e
empregar tecnologias, planejar, orientar e controlar atividades operacionais, doutrinárias
e de desenvolvimento das capacidades cibernéticas, no âmbito do Sistema Militar de
Defesa Cibernética (SMDC). 2.2 O Ministério da Defesa atribuiu ao ComDCiber a
realização anual do EGC para o incremento da capacidade de resiliência dos setores
estratégicos. O ComDCiber é o órgão central do SMDC e tem como uma de suas
competências apoiar a Segurança Cibernética Nacional.
2.3 O EGC 7.0 é um exercício de adestramento que envolve a proteção
cibernética, por meio da atuação colaborativa das Forças Armadas, dos Órgãos Parceiros
e das principais Infraestruturas Críticas Nacionais, e adota técnicas de simulações virtual
e construtiva. Na dinâmica do exercício, problemas cibernéticos simulados são
apresentados aos gerentes das áreas de tecnologia da informação (TI), jurídica e de
comunicação social das empresas participantes, que tomam suas decisões, a fim de
mitigar os problemas apresentados.
2.4 O exercício, por sua complexidade, demanda um grande volume de
trabalho técnico e intelectual para o planejamento de atividades, tais como: audiências,
reuniões, simulação construtiva, simulação virtual, montagem da infraestrutura de TI,
montagem da infraestrutura física e recepção de participantes e autoridades da
Administração Pública Federal.
2.5 O efetivo limitado de militares para a coordenação das diversas atividades
do exercício, aliada à complexidade do cenário técnico faz com que o ComDCiber
necessite da participação e colaboração de órgãos externos ao Comando.
2.6 Assim, devido à importância do exercício para o cenário cibernético
nacional, o ComDCiber busca parcerias nos setores público e privado para a consecução
dos objetivos previstos neste Chamamento Público.
3. PARTICIPAÇÃO NO CHAMAMENTO PÚBLICO
3.1 Sobre o instrumento de parceria
3.1.1 O ComDCiber celebrará Acordo
de Cooperação ou Acordo de
Cooperação Técnica, com a(s) pessoa(s) jurídica(s) selecionada(s), o qual terá a natureza
de parceria entre os setores público e privado em regime de mútua cooperação, para a
consecução de finalidades de interesse público e recíproco, sem o desembolso ou a
transferência
de recursos
públicos financeiros
ou
patrimoniais, observando-se os
requisitos previstos na Portaria Cmt Ex nº 1.448, de 10 de setembro de 2018 (EB 10-IG
01.016), 3ª Edição de 2018 e no Decreto nº 8.726, de 27 de abril de 2016, no que
couber.
3.1.2 O ComDCiber poderá celebrar Acordo de Cooperação ou Acordo de
Cooperação Técnica com todos os proponentes que atendam aos critérios e às condições
definidas neste Edital e que tenham seus planos de trabalho aprovados, na medida em
que as
ações propostas sejam
de competência
e do interesse
do ComDCiber,
notadamente ao planejamento e execução do EGC 7.0.
3.1.3 É importante que o proponente analise os modelos de Acordo de
Cooperação ou Acordo de Cooperação Técnica (aprovados pela AGU), anexos a este
edital e que serão utilizados para formalização dos acordos, antes de realizar a sua
proposta.
3.1.4 A seleção da proposta e a aprovação do plano de trabalho não gerarão
direito à celebração do Acordo de Cooperação ou do Acordo de Cooperação Técnica, cuja
assinatura ficará condicionada à sua viabilidade legal e às razões de conveniência e
oportunidade administrativa.
3.1.5 Para participar deste Edital o interessado deverá declarar que está
ciente e concorda com as disposições nele previstas, bem como se responsabiliza pela
veracidade e legitimidade das informações e documentos apresentados durante o
processo de seleção.
3.2 Vedação de ações e outras atividades
3.2.1 Não poderão ser executados, no âmbito do presente Edital: a) ações que
sejam de competência do ComDCiber, ou não relacionadas ao EGC 7.0; b) ações que
envolvam ou incluam, direta ou indiretamente, delegação das funções de regulação, de
fiscalização, de exercício do poder de polícia ou de outras atividades exclusivas de
Estado; e c) compartilhamento de dados ou informações de caráter sigiloso, incluindo
sigilo fiscal, empresarial e comercial dos participantes.
3.3 Da elegibilidade e das proibições de participação
3.3.1 Poderão participar deste Chamamento Público as pessoas jurídicas de
direito público e privado, com ou sem fins lucrativos, incluindo empresas e organizações
da sociedade civil, desde que seu ato constitutivo ou estatuto seja compatível com o
objeto do Acordo de Cooperação ou do Acordo de Cooperação Técnica a ser firmado,
observadas as proibições e demais condições previstas neste Edital.
3.3.2 É proibida a participação de pessoa jurídica:
a) que não esteja regularmente constituída ou, se estrangeira, não esteja
autorizada a funcionar no território nacional;
b) suspensa ou impedida de participar de licitações ou certames públicos, de
contratar com a Administração Pública Federal ou de celebrar qualquer modalidade de
parceria com a Administração Pública Federal, ou ainda declarada inidônea para contratar
ou celebrar qualquer modalidade de parceria com a Administração Pública, incluindo a
pessoa jurídica que incorre em alguma das hipóteses previstas no: 1) art. 156, caput,
incisos III e IV, da Lei nº 14.133, de 1º de abril de 2021; ou 2) art. 39 da Lei nº 13.019,
de 31 de julho de 2014. c) irregular em qualquer das exigências deste Edital ou que não
disponha de capacidade técnica e gerencial para executar o objeto do Acordo de
Cooperação ou do Acordo de Cooperação Técnica.
3.4 Da contrapartida
3.4.1 O proponente poderá expor a sua logomarca, fazer propaganda do seu
material ou produto e terá uma área para exposição do seu portfólio.
3.4.2 As dimensões e localização das áreas serão levadas em consideração ao
somatório dos valores em reais do apoio prestado e conforme sistema de categorias:
nível 1, nível 2, nível 3 e nível 4, a partir dos critérios de avaliação, definidos no item
7.8 deste Edital.
4. DESCRIÇÃO GERAL DAS ÁREAS DE APOIO PRETENDIDAS
4.1 Áreas de Apoio Definidas: Para o EGC 7.0, as seguintes áreas de apoio são
estabelecidas para garantir a eficácia e o realismo do exercício:
4.1.1 Simulação Virtual - Ambientes Virtuais: O ambiente virtual fornecido
deve ser realista e conter incidentes que apresentem vulnerabilidades recentes. O foco
do ambiente virtual é treinar o time de segurança cibernética dos diversos setores
estratégicos participantes do evento.
4.1.2 Simulação Virtual - Infraestrutura: A plataforma da simulação virtual
(cyber range) deve dispor das configurações mínimas suficientes para suportar conexões
simultâneas de até 300 (trezentas) e que seja capaz de simular ao menos 10 (dez)
ambientes de redes corporativas, por intermédio de um conjunto de máquinas virtuais,
tais como controlador de domínio, sistema de gestão de eventos de segurança (SIEM),
sistema operacional Windows, sistema operacional Linux, servidor web, servidor de
correio eletrônico, servidor de arquivos, entre outros ativos que representem a rede de
dados de uma organização. Além disso, deve seguir as boas práticas de segurança e
resiliência, mantendo o princípio da disponibilidade, sendo instalado fisicamente nas
instalações da Escola Superior de Defesa (ESD) ou disponibilizado em nuvem.
4.1.2.1 Na simulação virtual, o ComDCiber realizará uma simulação de eventos
de segurança cibernética no ambiente virtualizado. As redes virtuais serão idealizadas e
planejadas por cada um dos setores estratégicos, com a cooperação do ComDCiber, a fim
de promover um maior realismo e uma maior produtividade. Nesse contexto, o ambiente
virtual de simulação deve permitir a alocação e configuração remota de máquinas virtuais
e aplicações, bem como possibilitar a integração com outros ativos virtuais e ativos
reais.
4.1.2.2 Fornecimento de máquinas virtuais com aplicações vulneráveis ou
configurações inadequadas, que permitam a exploração de falhas e a simulação de
ataques cibernéticos reais e recentes. Tais máquinas poderão ser utilizadas para compor
as redes virtualizadas.
4.1.2.3 O ambiente deve permitir a integração da rede virtual com ativos
físicos, por meio de redes privativas virtuais ou outra solução.
4.1.2.4 A integração dos sistemas é fator crítico de sucesso, devendo ser
concluída em até 30 (trinta) dias antes da execução do EGC 7.0, de forma a possibilitar
a execução de testes e possíveis ajustes no ambiente virtual.
4.1.3 Simulação Virtual - Sistemas de Controle Industriais (ICS):
4.1.3.1 Os sistemas de controle industriais (SCADA, CLP, DCS etc.) devem ser
capazes de se conectarem ao ambiente virtual simulado para fins de hardening. Essa
conexão permitirá testar e validar as configurações de segurança e desempenho das
infraestruturas críticas em um ambiente controlado e seguro.
4.1.3.2 É desejável que haja a possibilidade de realizar demonstrações de
ataque a esses sistemas, independente do hardening feito pelos participantes, para
apresentações aos visitantes.
4.1.3.3 Os ativos utilizados na simulação serão empregados exclusivamente
durante a realização do exercício. Não há necessidade de fornecimento de material
permanente, uma vez que o foco está na simulação e na análise de ambientes
específicos.
4.1.3.4 Embora desejável, não há a necessidade de que os equipamentos ou
sistemas estejam fisicamente no local, desde que os efeitos cinéticos causados possam
ser visualizados por meio de uma câmera ou sistema de gerenciamento remoto.
4.1.3.5 Os sistemas de controle industrial (ICS/SCADA) serão integrados aos
ambientes virtuais dos setores estratégicos, representando, sempre que possível, a
atividade finalística de cada setor. Tal relação dependerá da quantidade e variedade dos
sistemas disponibilizados. A coordenação do EGC 7.0 é a responsável por definir qual
sistema se relacionará com qual setor.
4.1.4 Simulação Virtual - Outros Sistemas Integrados:
4.1.4.1 Os demais sistemas integrados devem ter aplicação vocacionada para
a segurança cibernética, viabilizando a melhoria do desempenho em temas como
proteção de dados, resposta a incidente, entre outros.
4.1.4.2 Os sistemas devem ser capazes de se conectarem ao ambiente virtual
simulado para fins de hardening. Essa conexão permitirá testar e validar as configurações
de segurança e desempenho das infraestruturas em um ambiente controlado e seguro.
4.1.4.3 É desejável que haja a possibilidade de realizar demonstrações de
ataque a esses sistemas, independente do hardening feito pelos participantes, para
apresentações aos visitantes.
4.1.5 Simulação Virtual - Exercício Capture the Flag (CTF):
4.1.5.1 Este exercício de proteção cibernética será um evento do tipo Capture
The Flag (CTF), projetado para promover
o aprendizado e o engajamento dos
participantes por meio de desafios variados, abrangendo tanto aspectos teóricos quanto
práticos da cibersegurança. Esta atividade é vocacionada para a sociedade brasileira, não
tendo relação direta com a Simulação Virtual dos itens 4.1.1, 4.1.2, 4.1.3 e 4.1.4,
promovida para os participantes dos Setores Estratégicos.
4.1.5.2 A competição será estruturada para suportar ao menos 1.000 (mil)
participantes simultâneos, garantindo escalabilidade e dinamismo na execução das
atividades.
4.1.5.3 O formato do exercício combinará perguntas, voltadas para a avaliação
de conhecimentos conceituais de cibersegurança, e desafios técnicos práticos, nos quais
os participantes interagirão com máquinas virtuais acessíveis remotamente. Essas
atividades
incluirão exploração
de vulnerabilidades,
análise forense,
criptografia,
engenharia reversa, entre outros assuntos de interesse da Defesa Cibernética nacional,
permitindo que os competidores desenvolvam habilidades técnicas essenciais.
4.1.5.4 A pontuação será atribuída com base na complexidade e na correta
resolução dos desafios, sendo utilizada para o ranqueamento dos participantes, de forma
que os três melhores colocados sejam premiados ao final do evento. Tal premiação
também deverá ser fornecida pela organização parceira, vencedora deste chamamento
público, contemplando preferencialmente a realização de cursos na área de segurança da
informação.
4.1.5.5 A plataforma que suporta o exercício deverá contar com um painel de
monitoramento em tempo real, permitindo à organização do evento acompanhar o
progresso dos participantes, avaliar métricas de desempenho e obter consciência
situacional sobre a evolução das atividades. Isso possibilitará ajustes estratégicos durante
a competição, garantindo uma experiência fluida para todos os envolvidos.
4.1.6 Sistema de Comando e Controle:
Existe a necessidade de um sistema de comando e controle que conecte as
diversas instalações onde serão realizadas atividades do EGC 7.0, com indicação da
política, do plano, do programa ou da ação correspondente. Para tanto se visualiza uma
solução de trabalho colaborativa em nuvem ou instalada on-premise, preferencialmente
que possua capacidade de videoconferência e chat.
4.1.7 Administrativo - Divulgação / Material de apoio para distribuição:
4.1.7.1 Por ocasião do credenciamento na abertura do evento, faz-se
necessária a distribuição de crachás e cordões personalizados além de outros materiais
para utilização no exercício, conforme descrito a seguir.
Fechar