Pandemia cibernética: Por que há resistência às ferramentas de combate?
O ano de 2022 teve início com notícias sobre os desdobramentos do ataque cibernético que atingiu os sistemas no Ministério da Saúde a partir de 10 de dezembro de 2021. Ainda não foi confirmado se os dados pessoais dos cidadãos estão seguros ou se foram mais uma vez violados, mas apura-se que os criminosos tenham acessado os sistemas utilizando-se de informações de login e senha reais de servidores públicos.
O ataque ao Ministério da Saúde tirou do ar sistemas como o Painel Coronavírus, o e-SUS Notifica, o Sistema de Informação do Programa Nacional de Imunização (SI-PNI) e o Conecte SUS, aplicativo responsável pela emissão do Certificado Nacional de Vacinação Covid-19. Imediatamente, os impactos recaíram nos cidadãos: diversos municípios e Estados relataram o aumento das filas de vacinação e, em alguns casos, até a interrupção do atendimento vacinal. Mas os prejuízos podem ir além, já que ainda não se sabe a quais dados os criminosos tiveram acesso.
O Ministério da Saúde já havia sido alvo de um vazamento de dados entre novembro e dezembro de 2020, quando uma falha de segurança expôs senhas de acesso aos servidores da pasta, permitindo que informações sensíveis de cidadãos brasileiros, incluindo pessoas públicas, como o Presidente Jair Bolsonaro, governadores, deputados e senadores, ficassem indevidamente disponíveis para consulta. O aplicativo Conecte SUS também já havia sido objeto de denúncias, quando usuários relataram que seus dados biográficos haviam sido alterados no sistema, impedindo que pudessem completar o ciclo vacinal ou utilizar o comprovante de vacinação, obrigatório em algumas cidades.
Na época, colocou-se em debate os critérios de segurança utilizados para acesso dos servidores públicos aos sistemas eletrônicos da administração pública federal, uma vez que o uso de login e senha simples é uma das formas menos seguras de autenticação. A preocupação em implementar outras formas de acesso mais seguras aos sistemas públicos eletrônicos deve ser ainda maior quando se observa que um megavazamento que expôs mais de 10 milhões de senhas de e-mails brasileiros, em março, continha mais de 70 mil senhas da administração pública (domínios terminados em “gov.br”). Mesmo que essas senhas tenham sido cadastradas e vazadas de sites externos ao ecossistema da administração pública, é comum que uma mesma senha seja utilizada em mais de um site ou sistema, fragilizando a segurança das bases de dados públicas.
Na mesma semana dos ataques aos aplicativos do Ministério da Saúde, algumas páginas do portal Gov.br, que reúne todos os serviços eletrônicos da administração pública federal, ficaram fora do ar, como o site do Ministério da Economia. Em nota, o Gabinete de Segurança Institucional – GSI e o Ministro da Saúde Marcelo Queiroga admitiram que os sites do governo foram alvo de vários ataques hackers desde o dia 10 de dezembro, quando os primeiros aplicativos do Ministério da Saúde ficaram fora do ar.
Em face aos ataques aos sistemas do Governo Federal, o GSI publicou o Alerta 08/2021, em que aponta que “alguns casos de intrusão têm ocorrido com o uso de perfis legítimos de administrador, o que dispensa, ao atacante, ações para escalar privilégios” e recomenda o bloqueio imediato de senhas de servidores e colaboradores que estejam afastados ou com inatividade superior a 3 meses. Ou seja, os criminosos podem ter acessado os sistemas com informações de login e senha reais de servidores públicos ou colaboradores.
Esses recentes casos de vazamentos de dados e ataques cibernéticos ocorreram em meio às iniciativas do Governo Federal de prestação dos serviços públicos através da internet, centralizados no portal Gov.br. Nos últimos 24 meses, o Congresso Nacional aprovou matérias que tratam sobre a transformação digital dos serviços públicos, como a Lei de Governo Digital (Lei nº 14.129/2020), que trata sobre os princípios para aumento da eficiência pública por meio da transformação digital, e a Lei das Assinaturas Eletrônicas (Lei nº 14.063/2020), que estabelece três tipos de assinaturas eletrônicas com diferentes níveis de segurança para uso nas interações com entes públicos.
Um dos tipos tratados na Lei é a assinatura eletrônica qualificada, realizada com uso de certificado digital no padrão da infraestrutura de chaves públicas brasileira, emitido ao usuário após um processo auditável de confirmação de sua identidade, seguindo padrões internacionais de segurança e complexos requisitos criptográficos. O uso do certificado digital pelos servidores públicos no acesso aos sistemas da administração pública federal garantiria a autenticidade, integridade e rastreabilidade dos acessos. Isto é, que quem está realizando aquele acesso é realmente a pessoa que tem autorização para isso.
Exemplos dos riscos que podem ser mitigados com o uso da assinatura qualificada podem ser vistos no relatório de auditoria finalizado pela Controladoria Geral da União – CGU em janeiro, que identificou fragilidades na segurança da lista de acessos ao Cadastro Nacional de Informações Sociais, o CNIS, mantido pelo INSS. A CGU verificou que a base de dados com 35 bilhões de informações de brasileiros ainda permitia o acesso de perfis de estagiários menores de idade, pessoas mortas e ex-funcionários terceirizados. O relatório também concluiu que não era possível “vincular uma alteração de dados a um usuário, para fins de responsabilização”.
A transformação digital precisa levar em conta o cenário atual, onde os dados pessoais de cidadãos brasileiros foram vazados anteriormente e o Brasil se tornou um dos principais alvos de ataques cibernéticos. As ferramentas de segurança estão disponíveis, mas é necessário implementá-las e capacitar os usuários para utilizá-las da melhor forma.Para combater a pandemia de Covid-19, a sociedade se adaptou rapidamente a alguns cuidados necessários para evitar o contágio: usar máscara, lavar as mãos sempre que possível e evitar aglomerações. Mas parece que ainda não está preparada para combater a pandemia de ataques cibernéticos que ameaça a privacidades dos dados e a segurança dos cidadãos brasileiros.
*Thaís Covolato – Coordenadora do Comitê de Identidades Digitais da Câmara Brasileira da Economia Digital (Camara-e.net), principal entidade multissetorial da América Latina e entidade brasileira de maior representatividade da Economia Digital, de acordo com a OCDE.