Os ataques aos órgãos públicos e o que eles nos ensinam

Por Fabio Ferreira.

Os recentes cibercrimes trazem lições sobre o que precisa mudar com urgência

 

Em dezembro de 2021, diversos sistemas do Ministério da Saúde foram alvo de ciberataques de grande escala. O ransomware (sequestro e resgate de dados) atingiu, entre outros, a Rede Nacional de Dados em Saúde (RNDS), que reúne todas as informações registradas por estados e municípios em seus atendimentos na ponta do Sistema Único de Saúde (SUS).

Escrevo este artigo mais de um mês depois dos primeiros ataques e, até o momento, volumes imensos de dados ainda não foram recuperados – isso em meio a uma pandemia. Além de atrapalharem significativamente o monitoramento da Covid-19, os ataques fizeram com que informações sensíveis de milhões de brasileiros fossem parar em mãos desconhecidas, que podem dar a eles diversos usos perniciosos.

Até aqui, não há novidade: esses fatos foram amplamente noticiados na mídia nacional. O que pouco se comentou foi que não houve nenhuma grande ciência por parte dos hackers que cometeram o ataque.

Os cibercriminosos não precisaram de níveis muito altos de sofisticação para fazer um golpe desse porte. Foi um ataque de ransomware padrão. E pela demora em recuperar os dados, ficou claro que o Governo Federal não estava preparado para uma situação desse tipo.

Os ataques ao Ministério da Saúde levantaram muitas especulações, a maior parte delas carente de embasamento. Mas para além das teorias da conspiração, há constatações importantes a observar.

A primeira delas é que o meio corporativo foi mais impactado pela LGPD que o serviço público. Os ataques aos órgãos federais tiveram maior exposição midiática, mas ocorreram diversos outros crimes ou tentativas de crimes nas esferas estadual e municipal. Manaus (AM) e Vitória (ES) são duas das capitais cujos sistemas sofreram ataques significativos. Diversos municípios menores tiveram que lidar com situações que foram de uma aparente “trolagem” sem maiores consequências a roubo de mais de R$ 500 mil das contas públicas, como aconteceu em Euclides da Cunha Paulista (SP). Além, claro, de vazamentos de dados.

No primeiro semestre de 2021, ainda vimos diversos casos de empresas privadas sendo vítimas de cibercriminosos. Porém, a entrada em vigor da LGPD – e até mesmo esses ataques – teve grande impacto na preparação de uma arquitetura de segurança mais consistente, e maior esforço no aculturamento das equipes para adotar atitudes mais seguras.

A “virada de chave” que a LGPD e os ataques anteriores provocaram no setor privado parece não ter ocorrido em prefeituras, estados ou na União. Nessas instâncias, a vulnerabilidade e a baixa capacidade de recuperação de dados se tornaram evidentes.

Outra lição, essa mais urgente, é que, quanto maior a exposição de um tipo de dado na esfera pública, mais ele estará sujeito a ataques criminosos. Em plena pandemia do coronavírus e com os esforços para reforçar a imunização da população, não deveria surpreender que os dados da Saúde seriam um alvo preferencial de criminosos. Da mesma forma, as empresas privadas mais atacadas na primeira metade do ano passado têm todas projeção na esfera pública e operam dados sensíveis de seus clientes, como grandes redes de varejo e laboratórios de análises clínicas.

Não que empresas cujos serviços tenham menor projeção estejam isentas: elas simplesmente não são o alvo preferencial, mas certamente são um alvo. Se os dados são, como reza o clichê, o novo petróleo, eles são valiosos independentemente de onde se encontram. E quem os detém deve zelar por sua integridade.

Mesmo com toda a exposição que os crimes tiveram, a maioria das pessoas parece não ter dado importância ao fato de seus dados terem vazado.

A reação a esse tipo de crime é proporcional ao nível de conhecimento que cada um tem sobre o risco de ter seus dados expostos. Há um grupo que está realmente preocupado com o que foi exposto, porque sabe o quão sensíveis são as informações em questão. Porém, a maior parte da população não consegue fazer uma associação de causa e efeito dos elementos presentes nesse tipo de crime.

Dificilmente o cidadão comum entende que as ligações que ele recebe vieram de um vazamento de dados. Ele geralmente acredita, de forma bastante inocente, que é apenas o compartilhamento de dados de uma empresa com outra. Também não entende por que algumas informações sobre ele se tornaram indisponíveis em sistemas de saúde, e provavelmente nunca ouviu falar em engenharia social.

Por isso, sempre bato na tecla de que é preciso criar uma cultura de segurança, e esse aculturamento precisa chegar ao usuário e aos operadores mais elementares dos sistemas. Mesmo dentro de empresas, poucos têm discernimento sobre qual é seu papel na segurança da informação. É uma responsabilidade que deve ser assumida por todos, e não apenas pela TI ou pelos tomadores de decisão.

Esse desafio não é pequeno, especialmente nos órgãos públicos. Afinal, em um país com as dimensões do Brasil, estamos falando de uma geolocalização dispersa, e com diferentes níveis de escolaridade e conhecimento entre os servidores. Mas é preciso ser feito, e não pode esperar mais. Em um ano que promete ser politicamente sensível e sujeito a intempéries, não se pode criar um clima que favoreça criminosos ou aqueles que querem tumultuar.

 

Fabio Ferreira é CTO e sócio-consultor da Lozinsky Consultoria.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

Artigos Relacionados

As rotas do Ártico: meta estratégica prioritária

Por Edoardo Pacelli.

As longas filas da pobreza e o auxílio brasil

Por Wagner Balera.

Criança não é mãe e nem pode ser

Por Marcos Espínola.

Últimas Notícias

Ford Brasil: Centro global de exportação de serviços de engenharia

Projetos de ponta voltados ao futuro da mobilidade, como veículos elétricos, autônomos e conectados. 

Senado vai analisar vetos na Lei Aldir Blanc

Existe uma fila de 36 vetos aguardando votação dos senadores e deputados

Caixa: desconto de até 44% para regularizar penhor em atraso

As unidades com serviço de penhor disponível podem ser consultadas no site da Caixa

Índice de Preços ao Produtor (IPP) sobe 1,83% em maio

Das 24 atividades analisadas, 21 tiveram alta de preços

Acqio inclui transações via Pix em suas soluções de pagamento

Em abril os pagamentos feitos via Pix atingiram a marca histórica de 11,5%, no comércio eletrônico