Quantidade de ataques cibernéticos contra o governo aumenta; Tribunal de Contas da União vê risco de vazamento de dados

Por Redação O Sul | 2 de janeiro de 2025

No primeiro semestre de 2024, os casos já haviam superado o total de 2023. (Foto: Reprodução)

Apesar de um programa de segurança de informação ter sido estabelecido em 2023, uma auditoria do Tribunal de Contas da União constatou que os órgãos públicos federais estão vulneráveis a ataques hackers. Dados do Gabinete de Segurança Institucional, que incluem, além do governo, estados e municípios, indicam um aumento de ações do tipo no País. No primeiro semestre de 2024, os casos já haviam superado o total de 2023. Em dezembro, a quantidade ultrapassou o pico de 2020, com 8.692 ocorrências.

O tribunal alertou que o risco de vazamento de dados em 229 órgãos públicos federais é “particularmente alarmante”. Apenas 14 haviam implementado mais de 70% das medidas de segurança recomendadas (outros 25 não responderam aos questionamentos do TCU).

A auditoria foi feita de 2023 a 2024, com integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp), composto pelas unidades de tecnologia dos ministérios, da Presidência, das autarquias e fundações, e encabeçado pelo Ministério da Gestão e da Inovação. Em 2023, a pasta estabeleceu o Programa de Privacidade e Segurança da Informação (PPSI) para o governo federal. No entanto, conforme o relatório, ele não estaria sendo cumprido.

“Estamos diante de uma situação longe não do ideal, mas do mínimo. Apesar de o Brasil ter tido um avanço considerável subindo vários rankings regionais e globais de cibersegurança, foi um avanço regulatório. A prática é muito distante da teoria da lei”, avalia o professor da FGV Direito Rio e Coordenador do Centro de Tecnologia e Sociedade, Luca Belli.

Nenhuma das organizações avaliadas atingiu o nível mais alto da escala e apenas 6% foram classificadas como “em aprimoramento”, o segundo mais elevado. A maioria ficou entre os níveis mais baixos, o “inicial” (31%) e o “básico” (38%). Segundo o relatório, 42% dos órgãos não instalaram ou mantiveram programas de antivírus, 68% não estabeleceram processos para relatar incidentes e apenas 8% criptografam dados em dispositivos de usuário final.

Um dos principais problemas está na falta de treinamento do pessoal para evitar ataques de engenharia social (9%), exposição de dados (8%), reconhecer incidentes de segurança (8%) e outros crimes cibernéticos.

“O básico é que acaba gerando incidentes. Não são raros os casos em que se encontram senhas fracas ou compartilhamento de acesso. A prática de educação digital poderia ser melhor”, avalia Renato Opice Blum, professor de direito digital da Faap, que recomenda a realização de simulações.

A falta de preparo facilita ataques como os de phishing, quando usuários contribuem para criminosos terem acesso aos sistemas por links maliciosos, fornecimento de dados sensíveis ou instalação de um vírus. A estratégia abre caminho para ações de ransomware, programas que bloqueiam o acesso a dados e exigem resgates.

Em abril, R$ 15 milhões foram desviados por um phishing no Sistema Integrado de Administração Financeira (Siafi). Dois suspeitos foram presos em agosto. Em julho deste ano, a Mandiant, uma empresa de segurança cibernética subsidiária do Google, revelou ter bloqueado ataques de phishing de um grupo hacker norte-coreano contra diplomatas brasileiros. Um arquivo PDF com o tema de desnuclearização era usado para atrair os profissionais, que forneciam dados e credenciais em um login falso. Em nota, o Itamaraty disse adotar medidas na área, como treinamentos, cartilhas e simulações.

Os órgãos públicos estão vulneráveis a outros tipos de ataques. Em março de 2023, o Ministério do Desenvolvimento Social sofreu um ataque DDoS que paralisou o serviço do Bolsa Família, lembra o relatório. Nessas investidas, os criminosos sobrecarregam os servidores do alvo com milhares de acessos simultâneos, geralmente com o uso de robôs, e deixam o site fora do ar.

Para o TCU, a percepção de que os órgãos públicos são incapazes de proteger informações sob sua guarda pode abalar a confiança da população. “Dados sensíveis relacionados à defesa nacional, políticas econômicas e relações diplomáticas podem ser comprometidos, afetando diretamente a capacidade do Brasil de tomar decisões soberanas sem interferências externas”, acrescenta o tribunal.

O relatório do tribunal atribui a origem do problema a ausência de uma norma que preveja punição da alta administração pelas falhas e a inexistência do cargo de gestor de segurança da informação. A alta rotatividade dos funcionários de TI, a dificuldade de contratação de mão de obra especializada e a falta de recursos financeiros também são mencionados.

“Se continuar assim, os riscos vão aumentar, principalmente com a evolução da IA, que pode ser desenvolvida para quebrar códigos”, afirma Opice Blum. “Empresas já têm dificuldade, imagina com a administração pública, que depende de processos licitatórios, mais lentos.”

O TCU recomenda ao Ministério da Gestão que aprimore o PPSI e adote medidas de controle. A pasta disse analisar as orientações e destacou que, desde o início do programa, houve um aumento de 18% de maturidade na segurança dos órgãos. Até 2026, haverá mais sete ciclos de avaliação, acrescentou o ministério. A pasta também declarou ter capacitado mais de 7 mil pessoas em cursos na área. As informações são do jornal O Globo.

