Registro do governo de vazamento de dados em 2024 já é o dobro dos três anos anteriores

há 4 meses 42

O governo federal registrou uma disparada de registros de vazamento de dados em 2024. Foram 3.253 episódios neste ano, contra 1.615 somados de 2020 a 2023.

Os casos recentes incluem vazamento de informações do Conecte SUS e furto de informações de servidores públicos usadas em março e abril para desviar de ao menos R$ 15 milhões do sistema de pagamento da administração federal (o Siafi).

Os dados sobre ataques cibernéticos foram compilados pelo CTIR Gov (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo), órgão ligado ao GSI (Gabinete de Segurança Institucional).

Neste mês, por exemplo, o governo Lula sofreu um ataque hacker que atingiu plataformas de nove ministérios e dois órgãos da administração federal.

As informações integram o escopo monitorado pelo centro, sendo, em sua maioria, credenciais (login e senha) de sistemas dos três poderes e das chamadas infraestruturas críticas, como aeroportos e hidrelétricas.

O GSI não divulga a origem desses vazamentos para não indicar a criminosos quais domínios são mais vulneráveis. As informações apresentadas pelo ministério também não permitem apontar quantas pessoas tiveram dados expostos.

Ainda que seja difícil apontar uma causa exata, o diagnóstico de integrantes do governo é que os registros são impulsionados pela ampliação de parcerias do CTIR Gov com fóruns internacionais, como o First (Forum of Incident Response and Security Teams), e países como a Índia.

Com isso, há mais trocas de informações sobre dados encontrados por outras entidades ou países, aumentando os registros de vazamento de dados. Mas a avaliação é de que ainda há subnotificação e o número real é muito superior.

A tendência é de aumento do número de registros. A solução, segundo interlocutores do governo, é melhorar a difusão de informações sobre cibersegurança e proteções dos órgãos públicos.

Diretor do Data Privacy Brasil, Rafael Zanatta afirma que os impactos dos vazamentos podem não ser imediatos, o que dificulta a percepção do dano desses episódios. Para ele, é necessária a criação de um órgão especializado em cibersegurança com corpo técnico próprio, para evitar trocas de funcionários após mudanças de governo.

Zanatta defende a criação de uma espécie de Defesa Civil para atuar em ataques cibernéticos e orientar a população, por exemplo, sobre a necessidade de trocas de senhas ou aparelhos. "Se a pessoa não conseguir, ela poderia ir até um posto de atendimento na sua cidade e receber auxílio", disse.

Ele afirma que os investimentos em digitalização de serviços no Brasil não foram acompanhados por melhora da governança de dados. "Agora existe uma demanda para tapar esse buraco."

"O prêmio para quem ataca fica cada vez maior tanto do ponto de vista do dinheiro como do prestígio, pois no mundo hacker os ataques também são uma questão de prestígio", disse Zanatta.

Em nota, o MGI disse que implantou o Programa de Privacidade e Segurança da Informação nos órgãos federais. Segundo a pasta, o plano inclui medidas como "correções para reforçar a segurança dos sistemas, backup regular, auditorias e testes de penetração".

O ministério também destacou a importância de educar os profissionais para se proteger.

"À medida que mais dispositivos e serviços se conectam à internet, há mais oportunidades para os cibercriminosos. Para aumentar a segurança é essencial adotar medidas como [...] backup regular, auditorias e testes de penetração, [e] educar os colaboradores sobre comportamentos seguros na internet tanto no âmbito pessoal quanto profissional", disse.

Muitos desses vazamentos registrados pelo CTIR Gov ocorrem porque o usuário clica em link fraudulento que o induz a compartilhar dados pessoais, golpe conhecido como phishing. O GSI tem feito workshops e cursos para alertar servidores e as equipes de tecnologia do governo sobre esses ataques.

Mas, como um integrante do governo disse, aumento de segurança cibernética pode ser desconfortável, pois exige mudanças de rotina, como inserir a verificação de dois fatores ou token (ferramenta que gera senhas automaticamente) em dispositivos.

No caso do desvio do Siafi, por exemplo, após o ataque, o governo endureceu o acesso aos sistemas da União e montou uma força-tarefa para emitir certificados digitais pelo Serpro (estatal federal voltada ao processamento de dados), necessários para servidores que precisam autorizar pagamentos.

O episódio do Siafi tem notoriedade pelo volume de recursos desviados, mas especialistas do tema no governo apontam para o fato de que há casos com custo indireto muito alto também. Como, por exemplo, a invasão hacker no Instituto Nacional do Câncer.

No fim do ano passado, Lula assinou decreto que instituiu a Política Nacional de Cibersegurança, com diretrizes gerais. E então, um comitê para propor uma estratégia nacional; a definição de parâmetros de atuação internacional do Brasil no tema; e, principalmente, uma proposta de projeto de lei para a criação de um órgão para a governança da cibersegurança nacional.

Na avaliação de integrantes do governo, os cada vez mais frequentes episódios fortalecem a necessidade de criação do órgão.

Há ainda no governo uma avaliação de que as equipes de tecnologia da informação são enxutas. No concurso unificado, que ocorrerá em agosto, a carreira de analista de tecnologia da informação é a carreira com maior número de vagas, 300.

Leia o artigo completo