O governo federal registrou uma disparada de registros de vazamento de dados em 2024. Foram 3.253 episódios neste ano, contra 1.615 somados de 2020 a 2023.
Os casos recentes incluem vazamento de informações do Conecte SUS e furto de informações de servidores públicos usados em março e abril para desviar de ao menos R$ 15 milhões fazer sistema de pagamento da administração federal (o Siafi).
Os dados sobre ataques cibernéticos foram compilados pelo CTIR Gov (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo), órgão ligado ao GSI (Gabinete de Segurança Institucional).
Neste mês, por exemplo, o governo Lula sofreu um ataque hacker que atingiu plataformas de nove ministérios e dois órgãos da administração federal.
As informações integram o escopo monitorado pelo centro, sendo, em sua maioria, credenciais (login e senha) de sistemas dos três poderes e das chamadas infraestruturas críticas, como aeroportos e hidrelétricas.
O GSI não divulgar a origem desses vazamentos para não indicar os crimes cujos domínios são mais vulneráveis. As informações apresentadas pelo ministério também não permitem especificamente algumas pessoas tiveram dados expostos.
Ainda que seja difícil apontar uma causa exata, o diagnóstico de integrantes do governo é que os registros são impulsionados pela ampliação de parcerias do CTIR Gov com fóruns internacionais, como o First (Forum of Incident Response and Security Teams), e países como a Índia .
Com isso, há mais trocas de informações sobre dados encontrados por outras entidades ou países, aumentando os registros de vazamento de dados. Mas a avaliação é de que ainda há subnotificação e o número real é muito superior.
A tendência é de aumento do número de registros. A solução, segundo interlocutores do governo, é melhorar a difusão de informações sobre cibersegurança e proteções dos órgãos públicos.
Diretor do Data Privacy Brasil, Rafael Zanatta afirma que os impactos dos vazamentos podem não ser imediatos, o que dificulta a percepção dos danos desses episódios. Para ele, é necessária a criação de um órgão especializado em cibersegurança com corpo técnico próprio, para evitar trocas de funcionários após mudanças de governo.
Zanatta defende a criação de uma espécie de Defesa Civil para atuar em ataques cibernéticos e orientar a população, por exemplo, sobre a necessidade de trocas de senhas ou aparelhos. “Se uma pessoa não conseguir, ela poderia ir até um posto de atendimento em sua cidade e receber auxílio”, disse.
Ele afirma que os investimentos em digitalização de serviços no Brasil não foram acompanhados pela melhoria da governança de dados. “Agora existe uma demanda para tapar esse buraco.”
“O prêmio para quem ataca fica cada vez maior tanto do ponto de vista do dinheiro quanto do prestígio, pois no mundo hacker os ataques também são uma questão de prestígio”, disse Zanatta.
Em nota, o MGI disse que implantou o Programa de Privacidade e Segurança da Informação nos órgãos federais. Segundo a pasta, o plano inclui medidas como “correções para reforçar a segurança dos sistemas, backup regular, auditorias e testes de penetração”.
O ministério também destacou a importância de educar os profissionais para se protegerem.
“À medida que mais dispositivos e serviços se conectam à internet, há mais oportunidades para os cibercriminosos. Para aumentar a segurança é essencial adotar medidas como […] backup regular, auditorias e testes de penetração, [e] educar os colaboradores sobre comportamentos seguros na internet tanto no âmbito pessoal quanto profissional”, disse.
Muitos desses vazamentos registrados pelo CTIR Gov ocorrem porque o usuário clicou em link fraudulento que o induz a compartilhar dados pessoais, golpe conhecido como phishing. O GSI tem feito workshops e cursos para alertar servidores e as equipes de tecnologia do governo sobre esses ataques.
Mas, como um membro do governo disse, o aumento da segurança cibernética pode ser desconfortável, pois exige mudanças de rotina, como inserir a verificação de dois fatores ou token (ferramenta que gera senhas automaticamente) em dispositivos.
No caso do desvio do Siafi, por exemplo, após o ataque, o governo suportou o acesso aos sistemas da União e montou uma força-tarefa para emitir certificados digitais pelo Serpro (estatal federal voltado ao processamento de dados), necessário para servidores que precisam autorizar pagamentos.
O episódio do Siafi tem notoriedade pelo volume de recursos desviados, mas especialistas do tema no governo apontam para o fato de que há casos com custo indireto muito alto também. Como, por exemplo, um invasão hacker no Instituto Nacional do Câncer.
No fim do ano passado, Lula emitiu um decreto que instituiu uma Política Nacional de Cibersegurança, com diretrizes gerais. E então, um comitê para propor uma estratégia nacional; a definição de parâmetros de atuação internacional do Brasil no tema; e, principalmente, uma proposta de projeto de lei para a criação de um órgão para a governança da cibersegurança nacional.
Na avaliação dos membros do governo, cada vez mais episódios fortalecem a necessidade de criação do órgão.
Ainda não há governo uma avaliação de que as equipes de tecnologia da informação estão enxutas. No concurso unificado, que ocorrerá em agosto, a carreira de analista de tecnologia da informação é uma carreira com maior número de vagas, 300.