TCU alerta para ameaças aos sistemas federais por vulnerabilidades cibernéticas

Nenhuma das 229 organizações vinculadas ao governo federal que integram o Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão protegidas contra ataques cibernéticos, desde os mais simples até os mais sofisticados, o que apresenta risco preocupante de vazamento de dados pessoais dos brasileiros, elevando a possibilidade de fraudes, sabotagens e até espionagem em dados sensíveis relacionados à defesa nacional, políticas econômicas e relações diplomáticas.

O alerta é do Tribunal de Contas da União (TCU) e consta em um acórdão de 41 páginas, elaborado após auditoria, na qual se identificou que nenhum destes setores está totalmente protegido. Outros 15 órgãos não responderam às indagações sobre segurança cibernética até a data limite determinada pelo TCU, em junho deste ano e, por esse motivo, não foram avaliados.

A segurança cibernética envolve práticas, tecnologias e processos para proteger sistemas, redes e dados contra acessos não autorizados, ataques digitais, danos e roubo de informações pessoais, de estruturas empresariais ou governamentais. Ela precisa abranger medidas preventivas, como barreira de segurança, criptografia e controle de acesso e ações reativas, como monitoramento, detecção de ameaças e resposta a incidentes, com o objetivo de garantir a integridade, confidencialidade e disponibilidade de informações e serviços digitais.

Preocupado com o que encontrou, o relator do processo, ministro Augusto Nardes, alertou que o Brasil “está entre os mais vulneráveis do planeta a ataques cibernéticos”, conjuntura que “expõe as organizações a riscos de vazamento de dados que podem levar a fraudes, sabotagens e espionagem à defesa nacional”, assim como em políticas econômicas e relações envolvendo outros países.

Internamente, o TCU recomendou à Secretaria de Apoio à Gestão de Processos que classifique os dados como sigilosas em grau reservado restringindo o acesso apenas para as autoridades, servidores do TCU e da respectiva organização auditada, “tendo em vista que a divulgação ostensiva destas informações pode colocar em risco a segurança das organizações”. Ao todo, o TCU realizou 505 recomendações e 100 determinações às organizações.

Na lista de estruturas onde foram encontrados riscos e debilidades à segurança cibernética estão:

• Agência Espacial Brasileira
• Banco Central do Brasil
• Comando da Marinha
• Conselho de Controle de Atividades Financeiras
• Infraero/Empresa Brasileira de Infraestrutura Aeroportuária
• Ministério da Defesa
• Secretaria de Governo Digital

“Ao avaliar a implementação de medidas de cibersegurança na administração pública federal, o TCU verificou que as organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns, como incidentes com programas maliciosos e vazamento de dados”, descreve o Tribunal de Contas.

O Sisp foi instituído em outubro de 2011 com o objetivo de organizar, controlar, supervisionar e coordenar os recursos de tecnologia da informação da administração. O órgão central é a Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos e sua atividade final é administrar recursos de tecnologia da informação no órgão.

O que diz o Ministério da Gestão

A Gazeta do Povo procurou o Ministério para comentar os alertas do TCU. A pasta informou que o governo federal trabalha para garantir a proteção de infraestruturas a partir do Programa de Privacidade e Segurança da Informação (PPSI), criado em 2023 e que está voltado para os cerca de 250 órgãos e entidades integrantes Sisp. Uma das iniciativas do programa é o Centro Integrado de Segurança Cibernética do Governo Digital (Cisc gov.br), que faz o monitoramento de riscos cibernéticos e emite alertas de segurança.

“O PPSI também disponibiliza para os órgãos da Administração Pública Federal o Framework de Privacidade e Segurança da Informação, que são um conjunto de controles, metodologias e ferramentas de apoio na implementação das melhores práticas de privacidade, segurança da informação e proteção de dados", informou o Ministério.

A pasta disse ainda que investe em treinamentos de segurança cibernética e que a capacidade do governo em monitorar e reportar incidentes cibernéticos melhorou devido às ações de "aumento de maturidade, monitoramento e alertas relacionados à cibersegurança, além do aumento de sinergia entre as equipes de tratamento e resposta a incidentes cibernéticos da administração pública federal".

Na prática, porém, o que se vê é diferente. As estruturas públicas no Brasil têm enfrentado uma onda de ataques cibernéticos sem precedentes, com registros históricos especialmente nos meses de agosto e setembro deste ano, período em que a frequência foi oito vezes maior que no início do ano.

Órgãos importantes como o Supremo Tribunal Federal (STF), a Polícia Federal, a Agência Nacional de Telecomunicações (Anatel) e a Agência Nacional de Vigilância Sanitária (Anvisa) já foram alvos de tentativas de invasão e sobrecarga, resultando em interrupções temporárias de serviços.

Nenhuma organização implementou as 56 medidas de cibersegurança, diz TCU

Atualmente existem 254 organizações integrantes do Sisp, entre elas a Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos (SGD/MGI), que atua como órgão central do sistema. “Das 229 organizações que responderam às autoavaliações de controle em dezembro de 2023 e em junho de 2024, nenhuma implementou as 56 medidas de segurança analisadas na auditoria, somente 14 adotaram mais de 70% e apenas duas organizações já possuem mais de 90%”, descreve o TCU.

O Tribunal de Contas recomendou à SGD/MGI que aperfeiçoe o Programa de Privacidade e Segurança da Informação, gerenciando os riscos apontados no relatório de auditoria e adotando as medidas de controle que estiverem sob sua governabilidade.

Para o especialista em cibersegurança Guilherme Neves da ‎Doutornet, os dados são preocupantes a todos os brasileiros. Ele afirma que o Brasil é um dos países que mais sofre ataques hackers no mundo e quando há debilidades em sistemas públicos envolvendo dados sensíveis o grau de alerta é ainda maior. “Em não havendo proteção na esfera pública, parte do cuidado deve ser tomada pelas pessoas ao acessar seus dados em plataformas, como o gov.br”.

Para o especialista, os riscos vão desde fraudes com o acesso indevido a dados pessoais, empréstimos bancários, chegando a riscos à defesa e segurança nacional com informações sensíveis das Forças Armadas e dados suscetíveis a ataques nas mais diferentes plataformas e redes governamentais.

Segundo o TCU, a “auditoria constatou que as organizações do Sisp estão aquém do esperado no que se refere à implementação de medidas de segurança cibernética” e não há evidência de que alguma das organizações integrantes do Sisp alcance a totalidade do grupo de implementação das políticas de segurança cibernética, que fundamenta os controles.

“As organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns”, alerta o documento. Com relação ao nível de maturidade em segurança da informação do programa de proteção do governo, a auditoria constatou que nenhuma organização estaria no nível “aprimorado” e apenas 6% estariam “em aprimoramento”, enquanto 69% estão nos dois níveis mais baixos: inicial (31%) e básico (38%). O TCU não informou quais organizações são e quais foram os principais problemas encontrados.

Faltam leis, regras e normas à cibersegurança

O baixo desempenho, segundo o TCU, é pela falta de previsão normativa de responsabilidade da alta administração das organizações pela gestão dos riscos cibernéticos decorrentes da não implementação das medidas de segurança.

O TCU recomendou que cada uma das 254 organizações do Sisp adotem medidas para implementar controles de segurança cibernética considerando as políticas públicas que conduz, e que a gestão de riscos de ataques cibernéticos seja liderada explicitamente pela alta administração de cada organização.

Para o especialista Guilherme Neves, os dados em posse dos governos não estão seguros e falta regulamento com regras mínimas de segurança cibernética. Ele diz que deveria haver fiscalização periódica e de caráter punitivo, o que poderia ser feito pelo próprio TCU.

“Falta lei para controles básicos e uma avaliação de risco periódico. Existe uma Política Nacional de Segurança da Informação, mas é muito genérica, precisa haver estratégia, procedimentos, se não a lei é só filosófica”.

Usuário deve proteger seus dados, afirma especialista

Neves ainda alerta que é essencial que as pessoas se informem mais sobre cibersegurança e tenham atitudes seguras durante acesso ou disponibilização de suas informações pessoais.

“Boa parte da proteção se resolve com isso, ter um comportamento seguro do próprio cidadão, ao acessar o gov.br faça isso nos três níveis de autenticação. Evita acessos indevidos e fraudes. Periodicamente as pessoas podem pedir ao governo que dados ele possui delas, assim podem verificar se há algum endereço diferente associado aos seus documentos, contas bancárias e outras ações que possam indicar fraudes”, descreve.

Sobre a não adequação dos sistemas governamentais, o especialista lembra que existem sistemas que vêm sendo aprimorados há décadas, mas de forma lenta e gradativa, sem acompanhar a evolução e agilidade necessários à segurança cibernética, sem atender as necessidades básicas e a evolução dos hackers.

“Nos Estados Unidos incidentes cibernéticos precisam ser relatados às autoridades até 24 horas após a ocorrência e podem resultar em prisão. No Brasil não acontece nada. Sem normas, nunca teremos um Estado seguro. Se não houver nada impositivo, nunca será tratado como prioridade pelo gestor”, completa.

Brasileiros estão submetidos a uma situação estarrecedora, avalia especialista

O advogado e especialista em Direito Digital e Proteção de dados Hélio Moraes alerta que os brasileiros estão submetidos a uma "situação estarrecedora" quanto à segurança cibernética e pelo que apresentou o TCU.

Porém, ele lembra que a Lei Geral de Proteção de Dados (LGPD) impacta significativamente à responsabilidade das entidades públicas em relação à segurança dos dados. “Da mesma maneira que entidades privadas, as entidades públicas devem adotar medidas rigorosas para proteger os dados pessoais que tratam, garantindo a privacidade e a segurança das informações dos cidadãos”.

O alerta vai além, tendo em vista que entidades públicas são os maiores detentores de dados pessoais, muitos sensíveis, como biometria e informações relacionadas à saúde, documentos estratégicos de segurança nacional.

“Quando avaliamos os resultados do relatório do TCU podemos ver que apenas 14 organizações públicas atingiram 70% do nível básico, aplicável para pequenas empresas, sendo que as entidades públicas são detentoras de um volume de dados pessoais e dados pessoais sensíveis muito significativos, sem contar os documentos estratégicos de segurança nacional”, alerta.

O advogado lembra que, quanto aos controles de softwares não autorizados, eles estão abaixo de 32% na melhor situação. “Em relação à autenticação multifator, uma medida simples de garantia de quem acessa os sistemas, em nenhuma hipótese supera 17% das organizações", acrescentou.

"Treinamentos e conscientização, que são sabidos como um elemento-chave para evitar ataques de engenharia social, tendo em vista que algumas estatísticas apontam altos índices para violação dos sistemas por esses mecanismos, em nenhuma hipótese superam 17% de implementação, com índices de 5% em algumas hipóteses”, descreve com preocupação.

Sobre backups automatizados, o especialista lembra que o índice apontado pelo TCU revela um percentual mais elevado, de 76%, mas mesmo assim é preocupante se pensar que 24% dos órgãos públicos, que podem envolver dados de saúde, políticas públicas, cadastros, informações judiciais, entre outros, estão mais vulneráveis a um ataque por não terem backup automatizado. “Falta então cumprir a regulamentação, fazer o básico, pois o Brasil é um dos maiores alvos de ataques cibernéticos mundiais”, reitera.

Para o advogado, a governança de dados pretende diminuir riscos associados aos ataques cibernéticos, que estão bastante elevados nas entidades públicas avaliadas e que estão muito aquém do esperado no que se refere à implementação de medidas de segurança cibernética.

A deficiência nessa governança pode levar ao sucesso dos ataques cibernéticos e, segundo o próprio TCU, “com danos em diversas dimensões por perda da confidencialidade, integridade e disponibilidade de informações e sistemas, paralisação de serviços prestados à sociedade, prejuízos à imagem das organizações públicas, perdas financeiras, vazamento de dados pessoais o que impacta negativamente a soberania digital, a confiança no ambiente digital e a aceleração da transformação digital do país”.

O especialista lembra que 7% das repartições públicas não responderam ao questionário e ficaram sem o índice de segurança da informação e que em 21% das entidades avaliadas sequer existem os gestores de segurança da informação. “Seria importante elevar bastante o nível de implementação de medidas que englobem a gestão de dados, controle de acesso, atualização de sistemas e conscientização dos colaboradores”, sugere.