Ataques cibernéticos contra órgãos do governo federal crescem em janeiro, puxados por vazamentos de dados

• Homicídio, tortura e fraude: PF indicia 39 policiais por operação que deixou 26 mortos em Varginha (MG)
• Saiba quem é: Justiça pede extradição ao Brasil de 'senhor das armas'

Do total de incidentes em janeiro, mais da metade (55%) ainda não havia sido resolvida pelos órgãos federais até 2 de fevereiro, data da última atualização feita pelo GSI. Já as notificações de caráter preventivo, com alertas sobre eventuais fragilidades dos sistemas, haviam levado à resolução do problema em apenas 28% dos casos.

Os ataques cibernéticos causam transtornos diversos à população, como atrasos na prestação de serviços públicos. No fim de janeiro, por exemplo, o Instituto Nacional do Câncer (Inca), vinculado ao Ministério da Saúde, chegou a suspender sessões de radioterapia por causa de um ataque. O serviço foi normalizado três dias após a invasão ao sistema, que obrigou o Inca a desligar todos os computadores e a fazer registros na mão. O caso é investigado pela Polícia Federal. O órgão informou que não comenta apurações em andamento.

Outra frente é a possibilidade de informações obtidas em bases de dados governamentais serem usadas em golpes financeiros aplicados por grupos criminosos de modo mais direcionado, explica o especialista em cibersegurança Felipe Galofaro, diretor da Elytron Security. Além de dados cadastrais, como CPF ou endereço, elas podem incluir, por exemplo, mais detalhes sobre situação de saúde, acesso a benefícios sociais e educação de filhos e outros parentes, como a escola em que estão matriculados.

— Fica mais fácil de personalizar o golpe e de a pessoa e seus familiares caírem nele, se você tem informações pessoais. Os cibercriminosos entenderam que dentro do governo conseguem muitas informações relevantes sobre os cidadãos e podem explorar fragilidades sobre aquela pessoa e causar algum prejuízo — explica Galofaro, lembrando que governos no mundo todo estão hoje entre os principais alvos dessas organizações.

• 'Vovozinho': Ex-apresentador de telejornal preso por tráfico de drogas em SP cobria casos de polícia na TV

Os números do GSI mostram que incidentes envolvendo vazamentos foram o tipo mais comum de notificação de ataques cibernéticos (413) e que esses episódios se tornaram mais comuns. Na série histórica, ficavam atrás, por exemplo, de desfigurações de páginas do governo na internet ou de notificações preventivas alertando sobre atualização de sistemas criptográficos vulneráveis a ataques contra a confidencialidade de dados.

Para pesquisadores do tema, entre os principais desafios do governo estão a dificuldade de manter a atualização de softwares e ferramentas de proteção, em meio às constantes evoluções tecnológicas e lentidão da burocracia do Estado, e atrair mão de obra qualificada em um setor aquecido e com alta demanda. Ubiratan Cascales, da Apura Cyber Intelligence, empresa brasileira especializada no setor, alerta que o governo federal precisa ter mais agilidade na proteção de sistemas. Hacker ativistas, inflados por questões geopolíticas, são uma preocupação adicional.

— Os impactos para os cidadãos de uma nação podem ser diversos, desde a limitação no fornecimento de serviços básicos, como água e luz, até a escassez e aumento dos combustíveis, como foi o caso do ataque cibernético ao maior oleoduto dos EUA em 2021, que fez governo declarar estado de emergência em 17 estados — lembra Cascales.

• Nardoni, Rugai, Richthofen: Como funciona o teste de Rorschach, feito por assassinos para obter liberdade

O GSI não forneceu ao GLOBO dados sobre os incidentes cibernéticos por órgão federal ou ministério por “questões éticas” e ressaltou que cabe a cada um “tornar essa informação pública ou não de acordo com suas políticas e diretrizes”. Também informou que “tem buscado incrementar ações preventivas, que auxiliam na redução da extensão de danos causados por ataques cibernéticos”.

Especificamente sobre janeiro, o gabinete relacionou o aumento de notificações ao recebimento e processamento duas novas fontes de dados. Uma da parceria internacional com a rede CSIRTAmericas, cujos dados disponibilizados estão relacionados às credenciais vazadas na chamada deep web, e outra da parceria nacional com o Centro Integrado de Segurança Cibernética do Governo Digital, centro recém-criado pelo Ministério Gestão e Inovação.

A omissão diante de casos de vazamentos de dados já tem levado às primeiras sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) contra instituições públicas. A autarquia foi criada há quatro anos e é responsável por zelar pela proteção de dados pessoais e fiscalizar o cumprimento da norma da área.

Foi o caso do Instituto Nacional do Seguro Social (INSS), condenado no início do mês a publicar um comunicado sobre vazamento de informações ocorrido entre agosto e setembro de 2022, na primeira página de seu site, com permanência de 60 dias. A ANPD entendeu que o instituto violou a legislação ao não comunicar incidentes de segurança ao órgão.

No âmbito estadual, receberam advertências com prazo para aplicar medidas corretivas a Secretaria de Saúde de Santa Catarina e a Assistência ao Servidor Público Estadual de São Paulo. Ambos foram punidos por negligenciar a segurança de sistemas de armazenamento e tratamento de dados pessoais.

O Ministério da Saúde é alvo de dois processos administrativos em tramitação e pode receber sanções semelhantes nos próximos meses. Além de advertências e publicações de comunicados, a ANPD pode aplicar multas e exigir bloqueio e suspensão do funcionamento de bases de dados.

Especialista em Direito Digital, o advogado Renato Opice Blum aponta que há, em todo o mundo, uma “epidemia de vazamentos de dados”. Ele avalia que, no caso do Brasil, a sanção a órgãos públicos é reflexo da entrada do país em uma fase de fiscalização após a Lei Geral de Proteção de Dados (LGPD), de 2018, entrar em vigor. O próximo passo será a responsabilização pessoal de servidores públicos encarregados da proteção de dados.

O combate aos ataques cibernéticos também ganhou o reforço de uma Política Nacional de Cibersegurança (PNCiber), com diretrizes gerais para enfrentar lacunas do setor, sancionada pelo presidente Luiz Inácio Lula da Silva em 26 de dezembro. Com a medida, foi criado um comitê, com diferentes órgãos, para acompanhar sua implementação.

— Há colaboração entre órgãos com a formalização de mais de um grupo de segurança. Toda iniciativa que traz esse tema para debate é correta e positiva — analisa Opice Blum, que alerta para a necessidade de se fortalecer uma cultura de proteção de dados e cibersegurança. — A percepção sobre a sua importância existe, mas as ações não são implementadas, mesmo na área corporativa.

Há desafios no médio e longo prazos. Uma análise feita pelo Tribunal de Contas da União (TCU), divulgada em 2022, apontou que menos da metade das organizações públicas federais (44,3%) investe em cibersegurança. A maioria (57%) dos órgão também ainda não estabeleceu um processo de gestão de vulnerabilidades.

Casos emblemáticos no setor público nos últimos anos mostram o impacto que as invasões podem ter. O ataque cibernético ao Ministério da Saúde, em 2021, na pandemia, prejudicou serviços como emissão do Certificado Nacional de Vacinação contra a Covid e a atualização de dados. Um ataque ao sistema do Superior Tribunal de Justiça (STJ) bloqueou, em 2020, a base de dados dos processos e paralisou os trabalhos da Corte por dias.