O ano de 2024 já registrou 3.253 episódios de vazamento de dados, um número alarmante que representa mais do que o dobro dos 1.615 casos somados nos quatro anos anteriores (2020 a 2023). Este aumento vertiginoso nos vazamentos levanta preocupações sobre a eficácia das medidas de segurança cibernética do governo federal.
Entre os casos recentes, destacam-se o vazamento de informações do Conecte SUS e o furto de dados de servidores públicos, que permitiram desviar pelo menos R$ 15 milhões do sistema de pagamento da administração federal, o Siafi. Esses dados são monitorados pelo CTIR Gov (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo), uma unidade vinculada ao Gabinete de Segurança Institucional (GSI).
Neste mês, um ataque hacker atingiu plataformas de nove ministérios e dois órgãos da administração federal, demonstrando a vulnerabilidade das infraestruturas críticas do país, como aeroportos e hidrelétricas. O GSI opta por não revelar a origem desses vazamentos para evitar que criminosos explorem as vulnerabilidades identificadas. Além disso, as informações fornecidas não especificam quantas pessoas foram afetadas.
Causas e Falhas na Segurança
Embora não se saiba exatamente o que está impulsionando esse aumento, há uma percepção no governo de que a ampliação das parcerias internacionais do CTIR Gov com fóruns como o First (Forum of Incident Response and Security Teams) e países como a Índia tem levado a um aumento nos registros de vazamentos. Essas parcerias facilitam a troca de informações sobre incidentes cibernéticos, mas também expõem a falta de uma estratégia robusta de proteção interna.
Rafael Zanatta, diretor do Data Privacy Brasil, alerta para o fato de que os impactos dos vazamentos podem demorar a se manifestar, dificultando a percepção dos danos reais. Ele sugere a criação de um órgão especializado em cibersegurança com um corpo técnico fixo, para garantir a continuidade das operações e proteção contra ataques cibernéticos.
Zanatta também defende a criação de uma Defesa Civil para cibersegurança, que poderia fornecer assistência direta à população em caso de ataques, como orientações sobre troca de senhas e substituição de dispositivos comprometidos.
Medidas e Reações do Governo
Em resposta aos recentes incidentes, o Ministério da Gestão e da Inovação (MGI) implementou o Programa de Privacidade e Segurança da Informação. O plano inclui medidas como correções de segurança, backups regulares, auditorias e testes de penetração. O ministério também está focado na educação dos funcionários sobre práticas seguras na internet.
A maioria dos vazamentos registrados pelo CTIR Gov ocorre devido a ataques de phishing, onde os usuários são enganados para compartilhar dados pessoais. O GSI tem realizado workshops para treinar servidores e equipes de tecnologia do governo sobre como evitar esses ataques. No entanto, a implementação de medidas de segurança cibernética pode ser desconfortável para os usuários, exigindo mudanças como a adoção de verificação em dois fatores e o uso de tokens de segurança.
Após o desvio de recursos do Siafi, o governo endureceu o acesso aos sistemas da União e criou uma força-tarefa para emitir certificados digitais pelo Serpro, que são necessários para a autorização de pagamentos.
A Necessidade de Reformas e Investimentos
O recente episódio do Siafi destacou não apenas o volume de recursos desviados, mas também os altos custos indiretos associados a ataques cibernéticos, como a invasão no Instituto Nacional do Câncer. No final do ano passado, o presidente Lula assinou um decreto que criou a Política Nacional de Cibersegurança, incluindo a proposta de um comitê para desenvolver uma estratégia nacional e uma proposta de lei para a criação de um órgão centralizado de governança em cibersegurança.
A crescente frequência dos vazamentos reforça a necessidade urgente de um órgão especializado em cibersegurança e a ampliação das equipes de tecnologia da informação. O próximo concurso unificado, que ocorrerá em agosto, oferecerá 300 vagas para a carreira de analista de tecnologia da informação, evidenciando a necessidade crítica de reforçar as capacidades técnicas do governo.
