TCU alerta: Mais de 70% dos órgãos federais não têm backup e correm risco alto cibernético

O Tribunal de Contas da União entregou ao Congresso Nacional uma primeira versão da Lista de Alto Risco (LAR) da Administração Pública Federal. Trata-se de uma análise de áreas que o TCU considera de alto risco para o país por apresentarem vulnerabilidade à fraude, desperdício, abuso de autoridade, má gestão ou necessidade de mudanças profundas para que os objetivos das políticas públicas possam ser cumpridos.

Nesta primeira publicação, foram consolidadas 29 áreas que representam um alto risco, por vulnerabilidade a fraude, desperdício, abuso de autoridade, má gestão ou necessidade de mudanças profundas para que os objetivos das políticas públicas possam ser cumpridos. E um dos destaques é a avaliação da Corte de Contas sobre a segurança cibernética do governo federal: para o TCU, a macroestrutura nacional responsável “apesar de atuante, não é adequada”. 

Alguns números foram destacados pelo TCU: 

– 74,6% das organizações (306 de 410) não possuem política de backup aprovada formalmente – documento básico, negociado entre as áreas de negócio (“donas” dos dados/sistemas) e a TI da organização, com vistas a disciplinar questões e procedimentos relacionados à execução das cópias de segurança (backups);

– 71,2% das organizações que hospedam seus sistemas em servidores/máquinas próprios (265 de 372) não possuem plano de backup específico para seu principal sistema;

– 66% das organizações que afirmam realizar backups (254 de 385), apesar de implementarem mecanismos de controle de acesso físico ao local de armazenamento desses arquivos, não os armazenam criptografados, o que acarreta risco de vazamento de dados da organização, podendo causar enormes prejuízos, sobretudo se envolver informações sensíveis e/ou sigilosas; e

– 60,2% das organizações (247 de 410) não mantêm suas cópias em, ao menos, um destino não acessível remotamente, o que acarreta risco de que, em ataque cibernético, os próprios arquivos dos backups acabem sendo corrompidos, excluídos e/ou criptografados pelo atacante ou malware, tornando igualmente sem efeito o processo de backup/restore da organização.

A Corte de Contas avalia que o processo de transformação digital da administração, ao mesmo tempo em que disponibilizou e otimizou acesso a serviços públicos, tornou o governo e a sociedade brasileira mais dependentes de soluções tecnológicas, baseadas em infraestrutura de TI. Como consequência, aumentou, também, a quantidade de incidentes de segurança da informação e ataques cibernéticos. Segundo o portal do governo digital brasileiro, em 2021, 73,1% dos serviços públicos prestados pelo governo federal já eram totalmente digitais, o que corresponde a 3.598 serviços. Considerando os parcialmente digitais, esse percentual chega a 86,7%. 

“Esses números por si só mostram a dimensão dos riscos e o prejuízo que falhas de segurança e indisponibilidade de serviços podem acarretar”, diz o TCU, ao lembrar de vários incidentes recentes: a indisponibilidade do Conecta-SUS, que impediu milhões de brasileiros de gerarem o passaporte de vacinação; e do sistema da Caixa, quando do pagamento do auxílio emergencial, o que gerou prejuízo para milhões de brasileiros. 

Problemas não restritos à administração direta. Ainda em 2021, o Superior Tribunal de Justiça (STJ) considerou ter sofrido “o pior ataque cibernético já empreendido contra uma instituição pública brasileira, em termos de dimensão e complexidade”. No mesmo período, as práticas criminosas também provocaram a indisponibilidade de serviços no Conselho Nacional de Justiça (CNJ), na Controladoria-Geral da União (CGU), no Ministério da Saúde (MS) e no Governo do Distrito Federal (GDF).