Governança de segurança e a transformação digital
Há algumas décadas a transformação digital tem sido uma das estratégias para desburocratização do Estado e aprimoramento do ambiente de negócios. No entanto, nos últimos cinco anos, recorrentes iniciativas de digitalização e modernização dos serviços públicos têm tomado forma, oferecendo aos cidadãos modos mais rápidos e simples de se relacionar com o Estado.
Destacam-se, neste período, os primeiros Decretos, ainda em 2016, que criavam a Política de Governança Digital no âmbito dos órgãos e das entidades da administração pública federal e a Plataforma de Cidadania Digital para oferta dos serviços públicos digitais (portal único “Gov.br”).
É claro que, de lá para cá, muitos avanços foram realizados em relação à tecnologia, conectividade e velocidade de conexão, levando os hábitos cotidianos de cada vez mais pessoas para os meios digitais, multiplicando as interações eletrônicas e o número de dados transacionados em rede. No âmbito da administração pública federal, hoje já são mais de 4 mil serviços públicos disponíveis online, dos quais 70% são totalmente digitais.
Para termos uma política pública efetiva e uma boa governança digital, esses esforços de digitalização devem ir além dos índices positivos, demonstrando também a preocupação e a implantação de mecanismos de segurança da informação para que os dados privados e sensíveis dos usuários – que são transacionados nesses serviços e solicitações – sejam protegidos contra exposições, acesso de pessoas não autorizadas, vazamentos, ataques cibernéticos, para citar alguns riscos.
O processo de transformação digital deve refletir a realidade atual da sociedade. Por isso, as ações de migração de serviços para o online não podem ser levianas em relação aos recentes vazamentos de dados identificados, que expuseram informações pessoais de mais de 220 milhões de brasileiros.
Levantamentos internacionais indicam que os principais alvos de ataques cibernéticos são os governos, como evidenciam diversos cibercrimes aplicados no país, como recentes ataques a bases de dados de órgãos públicos e sistemas de Tribunais de Justiça, além dos sites falsos que roubavam dados de servidores públicos federais capturando as informações dos usuários do aplicativo “SouGov.br”.
Nesse contexto, o Tribunal de Contas da União – TCU, em relatório de acompanhamento divulgado em agosto sobre as iniciativas estruturantes de transformação digital e os mecanismos de governança digital conduzidas pelo Governo Federal, identificou que enquanto as ações de simplificação e transformação digital avançam a passos largos na administração pública, a falta de uma governança de segurança da informação é flagrante.
Para elaboração do relatório, o TCU avaliou 12 Planos de Transformação Digital de diferentes órgãos, que são enviados às pastas responsáveis pela governança da transformação digital, e identificou que em apenas um deles constava seção em que haviam sido listados os riscos de segurança da informação, embora genéricos.
O trabalho dos auditores apontou que “os órgãos setoriais não estabelecem, de forma obrigatória e homogênea, as atividades de gestão dos riscos envolvidos, o que expõe os esforços de transformação digital a riscos que poderiam ser mapeados e mitigados caso fosse implantada uma sistemática padrão de gestão de riscos”.
O relatório final destaca, ainda, que um dos pilares da Estratégia de Governo Digital 2020-2022 é justamente a confiança à resposta do Estado aos riscos cibernéticos consequentes da transformação digital: “Um governo confiável, que respeita a liberdade e a privacidade dos cidadãos e assegura a resposta adequada aos riscos, ameaças e desafios que surgem com o uso das tecnologias digitais no Estado”.
No âmbito da segurança da informação, vale lembrar que o Brasil conta com uma infraestrutura robusta, estruturada e reconhecida internacionalmente por sua confiabilidade, segurança e revogabilidade de chaves criptográficas privadas. A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil é a raiz brasileira que encadeia os certificados digitais, logs criptográficos que vinculam um indivíduo (ou representante de uma empresa) a um par de chaves utilizado para que possa registrar sua manifestação de vontade através de assinaturas eletrônicas qualificadas, além de ser um importante mecanismo criptográfico que garante a integridade, autenticidade e o rastreio de transações eletrônicas.
Esta infraestrutura é composta por uma parceria público-privada, e diversos órgãos da administração pública federal estão habilitados para emitir estes certificados digitais aos servidores públicos. Caso fosse utilizado pelos prestadores dos serviços, alguns riscos e falhas de segurança poderiam ser combatidos de imediato, trazendo soluções como: permitir o acesso a informações apenas por pessoas autorizadas; rastreio e acompanhamento de logs de acesso; assinaturas eletrônicas de documentos que transitam internamente pelos órgãos, garantida a integridade e autenticidade das interações.
Além dos riscos possibilitados pela ausência de uso de assinaturas eletrônicas compativelmente seguras e confiáveis nessas solicitações, como o acesso indevido às informações e a falta de transparência nas transações, a centralização de informações, bases de dados e serviços também facilita a ocorrência de ataques cibernéticos pelo que é chamado de “ponto único de falha”, podendo gerar consequências de grande impacto e prejuízo financeiros, à exemplo da indisponibilidade completa dos serviços públicos, da perda de processos, do vazamento de informações, de retrabalho e da perda da confiança do cidadão no Estado.
A conclusão do TCU – órgão de controle externo do governo federal – frente a esta realidade é que “ao não realizar de maneira mais apropriada a gestão dos riscos existentes, a transformação digital pode implicar sujeição a vários eventos de risco, como a inefetividade da própria transformação, a ocorrência de problemas de funcionamento no serviço transformado ou mesmo uma maior exposição às consequências de ataques cibernéticos”. O Tribunal de Contas recomendou como solução a implementação de medidas de padronização, de normatização, de identificação de riscos e de capacitação e conscientização, acatadas pelas pastas responsáveis pela governança digital.
A criação de um ambiente eficiente para prestação dos seguros públicos eletrônicos depende do nível de segurança e confiança dos cidadãos conectados e prestadores de serviços. Para que esse objetivo seja atingido, é necessário que os responsáveis pela transformação digital em todos os setores levem em consideração o cenário atual de vulnerabilidade dos dados dos cidadãos e das bases públicas.
Os cidadãos conectados confiarão nas plataformas eletrônicas que utilizarem as melhores práticas e infraestruturas disponíveis para garantir a segurança da informação e que respeitarem a sua liberdade de escolha de como proteger os seus dados pessoais.
*Thaís Covolato – Coordenadora do Comitê de Identidades Digitais da Câmara Brasileira da Economia Digital (Camara-e.net), principal entidade multissetorial da América Latina e entidade brasileira de maior representatividade da Economia Digital, de acordo com a OCDE.