Foto: Arte O Globo
O tribunal alertou que o risco de vazamento de dados em 229 órgãos públicos federais é “particularmente alarmante”. Apenas 14 haviam implementado mais de 70% das medidas de segurança recomendadas (outros 25 não responderam aos questionamentos do TCU).
A auditoria foi feita de 2023 a 2024, com integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp), composto pelas unidades de tecnologia dos ministérios, da Presidência, das autarquias e fundações, e encabeçado pelo Ministério da Gestão e da Inovação. Em 2023, a pasta estabeleceu o Programa de Privacidade e Segurança da Informação (PPSI) para o governo federal. No entanto, conforme o relatório, ele não estaria sendo cumprido.
— Estamos diante de uma situação longe não do ideal, mas do mínimo. Apesar de o Brasil ter tido um avanço considerável subindo vários rankings regionais e globais de cibersegurança, foi um avanço regulatório. A prática é muito distante da teoria da lei — avalia o professor da FGV Direito Rio e Coordenador do Centro de Tecnologia e Sociedade, Luca Belli.
Nenhuma das organizações avaliadas atingiu o nível mais alto da escala e apenas 6% foram classificadas como “em aprimoramento”, o segundo mais elevado. A maioria ficou entre os níveis mais baixos , o “inicial” (31%) e o “básico” (38%). Segundo o relatório, 42% dos órgãos não instalaram ou mantiveram programas de antivírus, 68% não estabeleceram processos para relatar incidentes e apenas 8% criptografam dados em dispositivos de usuário final.
Um dos principais problemas está na falta de treinamento do pessoal para evitar ataques de engenharia social (9%), exposição de dados (8%), reconhecer incidentes de segurança (8%) e outros crimes cibernéticos.
— O básico é que acaba gerando incidentes. Não são raros os casos em que se encontram senhas fracas ou compartilhamento de acesso. A prática de educação digital poderia ser melhor — avalia Renato Opice Blum, professor de direito digital da Faap, que recomenda a realização de simulações.
A falta de preparo facilita ataques como os de phishing, quando usuários contribuem para criminosos terem acesso aos sistemas por links maliciosos, fornecimento de dados sensíveis ou instalação de um vírus. A estratégia abre caminho para ações de ransomware, programas que bloqueiam o acesso a dados e exigem resgates.
Em abril, R$ 15 milhões foram desviados por um phishing no Sistema Integrado de Administração Financeira (Siafi). Dois suspeitos foram presos em agosto. Em julho deste ano, a Mandiant, uma empresa de segurança cibernética subsidiária do Google, revelou ter bloqueado ataques de phishing de um grupo hacker norte-coreano contra diplomatas brasileiros. Um arquivo PDF com o tema de desnuclearização era usado para atrair os profissionais, que forneciam dados e credenciais em um login falso. Em nota, o Itamaraty disse adotar medidas na área, como treinamentos, cartilhas e simulações.
Os órgãos públicos estão vulneráveis a outros tipos de ataques. Em março de 2023, o Ministério do Desenvolvimento Social sofreu um ataque DDoS que paralisou o serviço do Bolsa Família, lembra o relatório. Nessas investidas, os criminosos sobrecarregam os servidores do alvo com milhares de acessos simultâneos, geralmente com o uso de robôs, e deixam o site fora do ar.
Para o TCU, a percepção de que os órgãos públicos são incapazes de proteger informações sob sua guarda pode abalar a confiança da população. “Dados sensíveis relacionados à defesa nacional, políticas econômicas e relações diplomáticas podem ser comprometidos, afetando diretamente a capacidade do Brasil de tomar decisões soberanas sem interferências externas”, acrescenta o tribunal.
O relatório do tribunal atribui a origem do problema a ausência de uma norma que preveja punição da alta administração pelas falhas e a inexistência do cargo de gestor de segurança da informação. A alta rotatividade dos funcionários de TI, a dificuldade de contratação de mão de obra especializada e a falta de recursos financeiros também são mencionados.
— Se continuar assim, os riscos vão aumentar, principalmente com a evolução da IA, que pode ser desenvolvida para quebrar códigos — afirma Opice Blum. — Empresas já têm dificuldade, imagina com a administração pública, que depende de processos licitatórios, mais lentos.
O TCU recomenda ao Ministério da Gestão que aprimore o PPSI e adote medidas de controle. A pasta disse analisar as orientações e destacou que, desde o início do programa, houve um aumento de 18% de maturidade na segurança dos órgãos. Até 2026, haverá mais sete ciclos de avaliação, acrescentou o ministério.
Na avaliação de Belli, como grande parte das informações usadas na administração pública são dados pessoais, o relatório também expõe um descumprimento da Lei Geral de Proteção de Dados (LGPD):
— O processamento de dados conforme a segurança da informação, com adoção de medidas técnicas e administrativas, é uma obrigação, não uma sugestão.
A Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar a LGPD, disse que o relatório do TCU “evidencia o nível de maturidade dos órgãos públicos, os desafios e o quanto ainda necessita evoluir para atingir um nível adequado de segurança ”.
Em novembro, outra auditoria do TCU apontou a falta de uma entidade responsável pela segurança cibernética que oriente a União, estados, municípios e o Distrito Federal. Em 12 de dezembro, a Comissão de Relações Exteriores do Senado aprovou um relatório dizendo que apesar da Política Nacional de Cibersegurança instituída pelo presidente Lula, o tratamento do problema é fragmentado.
O Globo
As urnas são confiáveis e indefensável (acho que não).