Por Redação O Sul | 2 de janeiro de 2025
Apesar de um programa de segurança de informação ter sido estabelecido em 2023, uma auditoria do Tribunal de Contas da União constatou que os órgãos públicos federais estão vulneráveis a ataques hackers. Dados do Gabinete de Segurança Institucional, que incluem, além do governo, estados e municípios, indicam um aumento de ações do tipo no País. No primeiro semestre de 2024, os casos já haviam superado o total de 2023. Em dezembro, a quantidade ultrapassou o pico de 2020, com 8.692 ocorrências.
O tribunal alertou que o risco de vazamento de dados em 229 órgãos públicos federais é “particularmente alarmante”. Apenas 14 haviam implementado mais de 70% das medidas de segurança recomendadas (outros 25 não responderam aos questionamentos do TCU).
A auditoria foi feita de 2023 a 2024, com integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp), composto pelas unidades de tecnologia dos ministérios, da Presidência, das autarquias e fundações, e encabeçado pelo Ministério da Gestão e da Inovação. Em 2023, a pasta estabeleceu o Programa de Privacidade e Segurança da Informação (PPSI) para o governo federal. No entanto, conforme o relatório, ele não estaria sendo cumprido.
“Estamos diante de uma situação longe não do ideal, mas do mínimo. Apesar de o Brasil ter tido um avanço considerável subindo vários rankings regionais e globais de cibersegurança, foi um avanço regulatório. A prática é muito distante da teoria da lei”, avalia o professor da FGV Direito Rio e Coordenador do Centro de Tecnologia e Sociedade, Luca Belli.
Nenhuma das organizações avaliadas atingiu o nível mais alto da escala e apenas 6% foram classificadas como “em aprimoramento”, o segundo mais elevado. A maioria ficou entre os níveis mais baixos, o “inicial” (31%) e o “básico” (38%). Segundo o relatório, 42% dos órgãos não instalaram ou mantiveram programas de antivírus, 68% não estabeleceram processos para relatar incidentes e apenas 8% criptografam dados em dispositivos de usuário final.
Um dos principais problemas está na falta de treinamento do pessoal para evitar ataques de engenharia social (9%), exposição de dados (8%), reconhecer incidentes de segurança (8%) e outros crimes cibernéticos.
“O básico é que acaba gerando incidentes. Não são raros os casos em que se encontram senhas fracas ou compartilhamento de acesso. A prática de educação digital poderia ser melhor”, avalia Renato Opice Blum, professor de direito digital da Faap, que recomenda a realização de simulações.
A falta de preparo facilita ataques como os de phishing, quando usuários contribuem para criminosos terem acesso aos sistemas por links maliciosos, fornecimento de dados sensíveis ou instalação de um vírus. A estratégia abre caminho para ações de ransomware, programas que bloqueiam o acesso a dados e exigem resgates.
Em abril, R$ 15 milhões foram desviados por um phishing no Sistema Integrado de Administração Financeira (Siafi). Dois suspeitos foram presos em agosto. Em julho deste ano, a Mandiant, uma empresa de segurança cibernética subsidiária do Google, revelou ter bloqueado ataques de phishing de um grupo hacker norte-coreano contra diplomatas brasileiros. Um arquivo PDF com o tema de desnuclearização era usado para atrair os profissionais, que forneciam dados e credenciais em um login falso. Em nota, o Itamaraty disse adotar medidas na área, como treinamentos, cartilhas e simulações.
Os órgãos públicos estão vulneráveis a outros tipos de ataques. Em março de 2023, o Ministério do Desenvolvimento Social sofreu um ataque DDoS que paralisou o serviço do Bolsa Família, lembra o relatório. Nessas investidas, os criminosos sobrecarregam os servidores do alvo com milhares de acessos simultâneos, geralmente com o uso de robôs, e deixam o site fora do ar.
Para o TCU, a percepção de que os órgãos públicos são incapazes de proteger informações sob sua guarda pode abalar a confiança da população. “Dados sensíveis relacionados à defesa nacional, políticas econômicas e relações diplomáticas podem ser comprometidos, afetando diretamente a capacidade do Brasil de tomar decisões soberanas sem interferências externas”, acrescenta o tribunal.
O relatório do tribunal atribui a origem do problema a ausência de uma norma que preveja punição da alta administração pelas falhas e a inexistência do cargo de gestor de segurança da informação. A alta rotatividade dos funcionários de TI, a dificuldade de contratação de mão de obra especializada e a falta de recursos financeiros também são mencionados.
“Se continuar assim, os riscos vão aumentar, principalmente com a evolução da IA, que pode ser desenvolvida para quebrar códigos”, afirma Opice Blum. “Empresas já têm dificuldade, imagina com a administração pública, que depende de processos licitatórios, mais lentos.”
O TCU recomenda ao Ministério da Gestão que aprimore o PPSI e adote medidas de controle. A pasta disse analisar as orientações e destacou que, desde o início do programa, houve um aumento de 18% de maturidade na segurança dos órgãos. Até 2026, haverá mais sete ciclos de avaliação, acrescentou o ministério. A pasta também declarou ter capacitado mais de 7 mil pessoas em cursos na área. As informações são do jornal O Globo.
