Segurança em risco: a ameaça crescente dos ataques de hackers a órgãos públicos
Cada vez mais comuns, eles evidenciam a necessidade de uma política de proteção
Há pouco mais de uma semana, um “incidente grave de segurança cibernética”, nas palavras do próprio governo, travou um sistema eletrônico por onde tramitam processos de nove ministérios — entre eles Fazenda, Previdência e Planejamento — e dois órgãos, o Conselho de Controle de Atividades Financeiras (Coaf) e a Casa da Moeda. O evento foi provocado pela ação de hackers que tentavam invadir os computadores para roubar dados pessoais e sigilosos da população. O sério ataque fez com que a administração levasse uma semana até restabelecer totalmente os serviços. Os autores do ato criminoso e a sua extensão ainda são investigados pela Polícia Federal e pela Agência Brasileira de Inteligência (Abin), mas uma coisa é possível dizer: é mais um na longa — e preocupante — rotina recente de atentados do tipo a órgãos de Estado.
O quadro de insegurança cibernética no país só vem piorando nos últimos anos. Desde 2020, foram mais de 50 000 casos, incluindo registros de violações de segurança das redes federais e alertas de vulnerabilidades emitidos pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (CTIR). Nesse período, foram quase 5 000 ocorrências comprovadas de vazamento de dados confidenciais, sendo 3 253 só neste ano (veja o quadro). Alguns dos ataques renderam prejuízos reais, como o roubo de dados bancários de quase 1 milhão de brasileiros em doze invasões ao cadastro nacional de chaves Pix. Em abril, criminosos invadiram o Siafi, sistema de pagamentos do governo, e desviaram ao menos 3,5 milhões de reais. Em 2021, o Ministério da Saúde protagonizou o vexame de ter os sistemas do SUS derrubados e os dados de vacinação “sequestrados” em plena pandemia pelos cibercriminosos globais do Lapsus$ (veja o quadro).
A crise de cibersegurança não se restringe ao Brasil. Em 2023, governos pelo mundo sofreram, em média, 1 598 ataques cibernéticos semanais, segundo a empresa Check Point Research. Uma tática frequente é o ataque DDoS, em que um site é acessado milhares de vezes por segundo até entrar em colapso. No ano passado, o Brasil sofreu 685 000 investidas do tipo. “É possível ‘alugar’ hordas de robôs na deep web para fazer ataques DDoS, incluindo eletrodomésticos inteligentes como geladeiras e lâmpadas”, diz Bruno Fraga, especialista em segurança da informação.
O governo reconhece o problema, tanto que deu um primeiro passo em dezembro de 2023 ao criar o Comitê Nacional de Cibersegurança (CNCiber). Vinculado ao Gabinete de Segurança Institucional (GSI), o grupo trabalha para elaborar uma política nacional que inclua treinamento de equipes, fiscalização da infraestrutura de prevenção e punição aos cibercriminosos. “É urgente criarmos uma agência central de cibersegurança para supervisionar investimentos e coordenar a resposta às crises”, avalia Patricia Peck, sócia fundadora do escritório especializado Peck Advogados.
A proposta agrada ao setor privado, que já prioriza o combate a cibercrimes e vê o governo como agente fundamental na criação de uma cultura de segurança. “O Brasil tem boas leis e regulações de proteção de dados, mas é preciso implementar o ensino de cibersegurança já na educação básica para construir uma camada humana de proteção, não apenas tecnológica”, defende Rony Vainzof, diretor de defesa e segurança da Fiesp e sócio fundador do escritório VLK Advogados.
A frequência e ousadia cada vez maiores dos ataques não deixam dúvidas quanto à urgência de colocar a cibersegurança como prioridade na pauta pública. Especialistas e empresários convergem sobre a importância de o poder público federal ser uma espécie de farol na busca da solução, mas, como de costume, as ações do governo vêm a reboque da crise. O cidadão indefeso, que tem boa parte de seus dados sob a guarda do poder público, espera uma solução urgente.
Publicado em VEJA de 2 de agosto de 2024, edição nº 2904