Mais um ataque hacker? Parece que todo dia agora surge na imprensa o relato de um incidente de segurança envolvendo instituições públicas. Especialmente no que diz respeito ao governo federal, 2021 foi um ano repleto de episódios que expuseram vulnerabilidades nos mais diversos ministérios. O apagão dos comprovantes de vacinação, obtidos no aplicativo ConecteSUS, foi apenas a cereja do bolo.

Não por outro motivo o país continua lá embaixo nos rankings globais de cibersegurança. Com mais de 200 milhões de habitantes e uma infraestrutura governamental de segurança de dados que deixa a desejar, o Brasil virou um alvo fácil e cobiçado para ataques virtuais.

Recente auditoria do Tribunal de Contas da União indicou que 74% dos órgãos da Administração Pública Federal não contam com políticas de backup.

O mesmo documento apontou que 66% desses órgãos não utilizam criptografia para aumentar a segurança dos dados armazenados.

O próprio governo federal reconheceu que o cenário preocupante. A Estratégia Nacional de Segurança Cibernética, publicada em 2020, menciona que “apenas 11% dos órgãos federais têm bom nível de governança em TI”.

Como resolver esse problema? Aqui vão quatro pontos de atenção que, se levados a sério, podem ajudar a fortalecer um ecossistema governamental de segurança de informação.

1. O debate de cibersegurança deve ser multissetorial, evitando em particular a confusão de atribuições e responsabilidades com as instituições militares.

A realização no Brasil de megaeventos como a Copa do Mundo e as Olimpíadas nos anos 2010 deixaram um legado militar na segurança da informação no país. Para conter (e eventualmente reprimir) ataques virtuais nos referidos eventos, equipamentos foram adquiridos, pessoas foram treinadas e todo um aparato normativo foi criado, terminando por reforçar esse vínculo entre instituições militares e segurança da informação no nível governamental.

Segundo relatório do Instituto Igarapé, a associação de segurança cibernética com assuntos, responsabilidades e competências de instituições militares é um dos principais desafios da cibersegurança no país.

De modo mais destacado, o Gabinete de Segurança Institucional (GSI) possui um papel de centralização das iniciativas governamentais sobre o tema e o GSI não possui um histórico de diálogo com os diferentes setores da sociedade para a construção de políticas de segurança digital.

A própria Estratégia Nacional, que ficou em consulta pública por menos de 30 dias, não avança no entendimento sobre qual papel podem a sociedade civil, o setor privado e a academia desempenhar para a consolidação de um ambiente de confiança no que diz respeito à segurança da informação.

Vale lembrar que em muitas situações são empresas especializadas em segurança da informação que diagnosticam um incidente, investigando a sua origem e repercussões.

A ausência de protocolos claros sobre como pode se dar esse intercâmbio de informações entre o setor privado e o setor público é mais uma evidência de que o Brasil tem muito a fazer para que se possa estabelecer um diálogo multissetorial sobre o tema.

2. É preciso investir mais em segurança da informação.

O Brasil investe pouco e vem investindo cada vez menos em cibersegurança.

No Orçamento da União, a implantação de sistema de defesa cibernética vem recebendo desembolsos decrescentes nos últimos anos. Eram R$ 15 milhões em 2019 e foram R$ 7 milhões em 2021, ano marcado por incidentes de segurança.

Em dezembro de 2019, ao aprovar relatório sobre o tema, a Comissão de Relações Exteriores do Senado soou o alarme de que o pouco investimento em cibersegurança poderia comprometer o desenvolvimento regular das mais diversas atividades.

O senador Esperidião Amin (PP-SC), na sessão de aprovação do relatório, afirmou:

“Os recursos [dedicados à cibersegurança] são ridículos. Nós estamos debochando do perigo, porque o Brasil não é tão desimportante assim. Pelo contrário, tem muitos recursos naturais e infraestrutura para ficar desatento a essa guerra permanente que se trava no mundo —uma guerra moderna, não militar, que atinge setores críticos da infraestrutura nacional como a logística, a energia elétrica, as telecomunicações e o abastecimento de água”.

Mesmo quando existe o investimento, o setor de cibersegurança apresenta complexidades únicas, dado que seus produtos e serviços podem servir a propósitos estratégicos nacionais.

Um caso que ganhou repercussão na imprensa mundial foi a descoberta de que a empresa Crypto AG, que vendeu por décadas equipamentos para criptografar comunicações para os mais diversos países, mantinha laços com o serviço de inteligência norte-americano. No Brasil, a Marinha, o Exército e o Itamaraty adquiriram equipamentos da empresa nos últimos 60 anos.

3. Cibersegurança não é apenas sobre tecnologia, mas também sobre pessoas.

Incidentes de segurança no governo podem surgir de falhas atribuídas a um(a) servidor(a) que caiu em golpe de engenharia social, descuidou das proteções devidas ou simplesmente permitiu que alguém usasse suas credenciais.

Nesses casos, fica claro que de nada adianta ter uma tecnologia de ponta se o elo fraco da cadeia de segurança for a pessoa responsável por sua operação.

Esse recado já havia ficado claro quando, em 2013, Edward Snowden, ex-funcionário da National Security Agency, dos Estados Unidos, revelou ao mundo um esquema global de espionagem. Mesmo a agência de inteligência norte-americana não conseguiu evitar que o fator humano pudesse criar uma brecha de segurança, que nada tinha a ver com a atualização dos sistemas de proteção, políticas de backup ou criptografia de dados.

Por isso é importante que funcionários públicos sejam capacitados em temas de segurança da informação, compreendendo que a adoção de medidas simples podem proteger os dados de milhões de brasileiros.

E caso identificado que o incidente partiu mesmo de um funcionário público, vale aqui lembrar que ele deve ser devidamente sancionado.

Pode parecer óbvio, mas uma cultura de segurança da informação é construída não apenas por treinamentos e conscientização, mas também pela punição daqueles que deveriam zelar pela mesma e atuam no sentido justamente contrário.

4. A comunicação sobre incidentes de segurança no governo precisa ser transparente e informativa.

Ninguém sabe ao certo o que realmente aconteceu com o ConecteSUS, que depois de dez dias do incidente continuava sem funcionar normalmente. Informações vindas do governo ora davam conta de que havia ocorrido apenas uma “pichação” no site do Ministério da Saúde e apagamento das informações de endereçamento. Pouco depois o Ministério informou que tinha conseguido “recuperar” os dados.

Mas de que dados estamos falando? Dados de endereçamento do site ou dados pessoais de todos os brasileiros que usam o aplicativo?

A falta de transparência sobre a natureza dos incidentes de segurança, sua extensão e medidas de recuperação adotadas têm sido o combustível para gerar mais desconfiança nas instituições públicas e aumentar o sentimento de insegurança.

O conjunto de informações desencontradas sobre os ataques ao governo federal acaba ainda fomentando toda sorte de especulações. Uns acham que é tudo trabalho interno de funcionários que se opõem ao governo e que procuram sabotar o presidente. Outros acreditam que é gente de dentro apagando dados que poderiam comprometer o governo.

Fato é que os sucessivos ataques expõem a fragilidade dos aspectos técnicos e humanos da segurança da informação no governo federal. Eles fragilizam as instituições, reforçam narrativas (com ou sem qualquer base) e fomentam situações de pânico ou desconfiança que podem ser exploradas por qualquer agente político mais adiante.

Os quatro pontos acima ajudam a compreender como a cibersegurança está cada vez mais no centro das preocupações de governos do mundo todo. Essa constatação caminha lado a lado com a crescente digitalização das mais diversas atividades.

O Brasil, se quiser realizar uma verdadeira transformação digital, precisa começar levando a segurança da informação a sério.