O Tribunal de Contas da União publicou a segunda edição da Lista de Alto Risco (LAR), um levantamento que identifica 29 áreas críticas da administração pública federal com riscos significativos à eficiência, transparência e sustentabilidade de políticas públicas. Organizada em seis eixos temáticos – social, desenvolvimento sustentável, comunicações e energia, infraestrutura, gestão fiscal, e governança e gestão organizacional –, a lista se propõe a orientar gestores públicos na priorização de ações corretivas e no aprimoramento da gestão.
Entre as principais conclusões, o TCU destacou falhas em áreas como segurança da informação e cibernética, integridade em contratações públicas, sustentabilidade do Sistema Único de Saúde (SUS) e controle do desmatamento na Amazônia. No eixo de segurança cibernética, por exemplo, o relatório evidenciou que o Brasil está entre os países mais expostos a ataques, devido à baixa implementação de medidas preventivas. Já na área ambiental, apontou-se que a governança insuficiente e a falta de coordenação dificultam o combate ao desmatamento ilegal, comprometendo metas climáticas e a preservação da biodiversidade.
A análise sobre riscos de segurança da informação evidencia deficiências que ameaçam a soberania digital e a proteção de dados sensíveis. O relatório aponta que o Brasil possui a quarta maior superfície de ataque cibernético exposta no mundo, reflexo da implementação insuficiente de medidas de segurança no Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp).
Na primeira Lista de Alto Risco, há dois anos, o TCU já apontava riscos em segurança de dados, notadamente por identificar que 74,6% das organizações públicas não tinham política de backup aprovada formalmente e que entre aquelas que hospedavam seus sistemas em servidores/máquinas próprios 71,2% não tinham plano de backup específico para seu principal sistema.
Nesta nova LAR, o TCU aponta que entre os principais problemas estão a baixa adesão a boas práticas de segurança, como criptografia de dados e autenticação em dois fatores, além da falta de políticas integradas de governança. Também foram destacadas a ausência de capacitação técnica adequada e a escassez de investimentos estratégicos. O TCU alerta que essas fragilidades podem impactar diretamente a eficiência dos serviços públicos, aumentando o risco de vazamentos de dados, paralisações e comprometimento de sistemas críticos para a população e o governo.
Em um recorte que considera os ministérios, autarquias e fundações do Poder Executivo Federal, o TCU ressaltou que “o crescente número de incidentes de segurança da informação nos últimos anos representa séria ameaça à soberania digital do Brasil. Essa tendência, evidenciada pelo aumento de 3.402 incidentes, em 2022, para 5.302, em 2024, levanta preocupações sobre a capacidade de as organizações públicas protegerem seus dados (estratégicos e pessoais) e manterem a prestação de serviços à sociedade brasileira”.
As conclusões do TCU sobre cibersegurança são:
• a superfície de ataque no país está entre as mais vulneráveis do mundo, com tendência de aumento;
• o sucesso dos ataques cibernéticos direcionados às organizações e cidadãos brasileiros já causa danos significativos;
• as atividades de segurança cibernética no país são insuficientes para atender à demanda nacional;
• não há organização oficial no Brasil capaz de zelar pelo nível de maturidade da segurança cibernética e orientar a atividade no país;
• a Política Nacional de Cibersegurança (PNCiber), instituída pelo Decreto (Federal) 11.856/2023, tem alcance restrito ao âmbito do Poder Executivo Federal, o que é insuficiente para enfrentar a ameaça cibernética, que é nacional;
• a PNCiber não possui estrutura de coordenação com autoridade e prerrogativas suficientes para executar a política e orientar a atividade de segurança cibernética em todo o país;
• a falta de andamento ao anteprojeto de lei para instituir uma política nacional de
cibersegurança mais abrangente;
• a não priorização do tema segurança cibernética no Estado brasileiro, pois o orçamento autorizado para o tema nos últimos quatro anos foi insuficiente.
O TCU recomendou à Casa Civil da Presidência da República que adote medidas para a priorização do tema segurança cibernética, tendo em vista o impacto na soberania digital, na confiança no ambiente digital e na aceleração da transformação digital no Brasil. Para o TCU, o Gabinete de Segurança Institucional deve apoiar essa atividade.
Para que as organizações do Sisp reduzam o risco de ataques cibernéticos ao nível aceitável para as políticas públicas que executam, o TCU recomendou, individualmente, que elas adotem medidas para implementar os controles de segurança cibernética, utilizando como referencial as diretrizes expedidas pela Secretaria de Governo Digital, por meio do Programa de Privacidade e Segurança da Informação (PPSI). Além disso, o processo de gestão de riscos de correntes de ataques cibernéticos deve ser liderado explicitamente pela alta administração de cada organização
