Ana Carolina Moraes Melo/BB
Ana Carolina Moraes Melo/BB

Com quase mil ataques de hackers só neste ano, governo reforça segurança cibernética

Decreto estabelece diretrizes para que órgãos públicos se protejam melhor de invasões e ataques feitos pela internet

Tânia Monteiro, O Estado de S.Paulo

09 de março de 2020 | 05h00

BRASÍLIA – Um ataque cibernético noturno levou a Caixa Econômica Federal a tirar do ar, em agosto, os cadastros de FGTS, seguro-desemprego, Bolsa Família e aposentadoria que contêm informações pessoais de milhões de brasileiros. No Banco do Brasil, um hacker furtou, em dezembro, R$ 524 mil da conta da prefeitura de Iguape, no litoral paulista. Às pressas, a instituição financeira estornou o valor e montou ofensiva para dobrar a vigilância nas mais de 5 mil contas de cidades que recebem o dinheiro do Fundo de Participação dos Municípios (FPM). 

Nos últimos meses, invasores ainda tentaram entrar nos dados de mais de 30 milhões de contribuintes guardados pela Receita Federal. Se tivessem sucesso, conseguiriam informações guardadas por sigilo fiscal, como dados bancários. Nem mesmo o Exército escapou. Após vazar a informação de que, em um seminário de segurança cibernética, foi dito que a instituição era pouco atacada, houve um bombardeio de hackers tentando entrar no sistema. Oficiais dizem que o objetivo não era roubar informações, mas demonstrar que nenhum sistema é inviolável. 

Tentativas de invasões puseram o Operador Nacional do Sistema Elétrico (ONS) em alerta constante. Em novembro, o site do órgão sofreu um ataque. O ONS se adiantou para informar que o sistema de operação não havia sido atingido, descartando a possibilidade de apagão nas cidades. Um ataque coordenado aos sistemas internos do ONS poderia até mesmo deixar o País às escuras. 

Somente neste ano, os ataques cibernéticos à administração federal chegaram a quase mil. Em 2019, segundo o Gabinete de Segurança Institucional (GSI), órgão vinculado à Presidência da República, o número de tentativas de invasão foi de 10.913. Os criminosos buscam roubar dados, danificar sistemas de operação ou, até mesmo, desmoralizar governos. O GSI não divulga quantos ataques cada órgão sofreu para não estimular os hackers a invadir sistemas menos atingidos, como ocorreu com o Exército

No último dia 28 de fevereiro, hackers invadiram a prefeitura de Foz do Iguaçu e divulgaram dados pessoais do prefeito Chico Brasileiro. No dia seguinte, atacaram a página da assessoria de imprensa da cidade. Ao acessar a página do governo municipal na internet, os internautas encontravam uma mensagem dos invasores. “Seus técnicos de TI são muito ruins, acho melhor os senhores nos contratarem para poder identificar as falhas. Não adianta nada fechar uma falha e deixar outras abertas”, dizia o texto, assinado por Chaos Computer Club. 

Planejamento. Diante da ofensiva cada vez mais ousada de hackers aos sistemas operacionais e de informações de empresas de energia, ministérios, bancos federais e polícias, o Palácio do Planalto lançou diretrizes para uma Estratégia Nacional de Segurança Cibernética (E-Ciber). O objetivo é resguardar suas redes e ativar planos de contingência em caso de invasão. Até agora, o combate aos invasores é feito de forma isolada por órgãos públicos e pela iniciativa privada. 

Sob análise do GSI, um documento da Europol – a Agência Europeia para a Cooperação Policial – sugere que a falta de uma legislação nacional sobre segurança cibernética expôs o Brasil como alvo principal dos hackers na América Latina. O documento indica, ainda, que 54% dos ataques no Brasil têm origem no próprio País. O Estado apurou que os ataques que vem de fora do País são provenientes da China e, em segundo lugar, dos EUA. Interlocutores do governo dizem que o fato não significa que esses países estejam por trás desses ataques. Podem ser grupos de hackers que realizam ataques a partir desses locais. 

Documento. A origem dos ataques é variada e não há uma repressão coordenada nacionalmente contra os criminosos. A Polícia Federal montou, ainda em 2003, um setor para cuidar da repressão a crimes virtuais, mas, na avaliação de especialistas, a corporação só trata de problemas no “varejo”. 

O estudo da Europol, que apontou a falta de uma legislação nacional sobre o tema, foi incluído em um relatório de 55 páginas, anexado ao decreto do GSI que criou a Estratégia Nacional de Segurança Cibernética. O texto recomenda a elaboração de uma lei específica, com o objetivo de sustentar as diretrizes para o setor.

O relatório propõe a realização de parcerias entre União, Estados, Distrito Federal, municípios, Ministério Público, universidades e empresas privadas. Tudo para adotar programas e projetos de segurança cibernética.

Maioria dos ataques ocorre por e-mail

Os primeiros dois meses de 2020 foram de tensão no governo. O Gabinete de Segurança Institucional  registrou uma onda de e-mails de phishing (tentativa de obter senhas), que levavam a páginas falsas de sites dos mais importantes ministérios. Hoje, o governo estima que 57% das tentativas de invasão cibernética no País começam com os e-mails de phishing. 

O problema ganhou destaque nos balanços das empresas. Na Itaipu Binacional, por exemplo, a previsão é de um desembolso de US$ 950 milhões para atualização tecnológica das unidades geradoras e segurança operacional, nos próximos 14 anos. O investimento global tende a tornar a empresa mais protegida de ataques e invasões. O pacote prevê um gasto específico para segurança cibernética, que focará na proteção de futuros sistemas digitais responsáveis pelo controle da usina. 

Neste ano, Itaipu gastará US$ 3 milhões na compra de aplicativos e softwares de segurança cibernética. A assessoria da empresa observa que esse gasto aumenta à medida que se adotam novas tecnologias. 

A empresa também firmou parcerias com o Exército e centros de pesquisas, organizou seminários técnicos e escalou equipes de vigilância permanente. Houve até celebração de contrato, em setembro de 2017, na sede do QG do Exército, em Brasília. O acordo previa R$ 1,5 milhão em atividades do Laboratório de Segurança Cibernética mantido nas dependências do Complexo de Itaipu. Dois anos depois de receber pedido de socorro, o próprio Exército foi alvo de ataques. 

Diretrizes. A implantação gradual da política de segurança cibernética é acompanhada com lupa por especialistas. Em um momento de discursos de tom autoritário, o GSI fez questão de garantir que o E-Ciber só estabelece diretrizes e formas de cooperação no combate a invasões, descartando qualquer controle de conteúdo dos sistemas. De acordo com o GSI, cada órgão integrante da rede continuará responsável pela segurança dos dados, sem interferências. 

“O governo não vai estabelecer uma central para controlar dados”, disse ao Estado o diretor do Departamento de Segurança da Informação do GSI, general Antonio Carlos de Oliveira Freitas. “Tudo será baseado na coordenação e cooperação, jamais controle ou comportamento invasivo.”

Estratégia nacional é marco importante, dizem especialista

Especialistas avaliam que a Estratégia Nacional de Segurança Cibernética (E-Ciber) é um marco importante por se antecipar a riscos, traçando diretrizes de prevenção. Ao mesmo tempo, porém, observam que o decreto, de 5 de fevereiro, não especifica metas. Diante desse diagnóstico, o argumento mais usado é o de que as etapas seguintes à edição do texto precisam ser acompanhadas para que eventuais ameaças a direitos fundamentais não entrem no radar. 

Na prática, como determinada por decreto de 2018, ainda no governo de Michel Temer, a Política Nacional de Segurança da Informação deve estabelecer, além da E-Ciber, planos complementares. É para esses planos que os estudiosos chamam a atenção. Professor de Regulação da Internet na FGV Direito Rio Luca Belli considera que a E-Ciber é vaga. “Ainda não é possível dizer que há risco às liberdades individuais. A estratégia identifica problemas e ações e cria um sistema nacional, mas não detalha as soluções.” A E-Ciber aponta preocupações para garantia da segurança cibernética do País por meio do desenvolvimento de áreas como pesquisa, educação e conscientização da sociedade. Na avaliação de Belli, porém, faltam definições sobre orçamentos, metas, prazos e responsáveis pelas ações. 

Consultora nas áreas de segurança cibernética e de privacidade, Barbara Marchiori trabalhou no programa de segurança cibernética da Organização dos Estados Americanos (OEA). Ela elogiou a organização do processo de formulação e o conteúdo da estratégia brasileira. Para ela, o texto não abre brecha para preocupações com violações de direitos. “O Brasil não está mal, se comparado a outros países. Não ter os planos não me preocupa. Mas é preciso acompanhar.” 

Doutor em Direito pela USP e diretor do InternetLab, Francisco Brito Cruz também observou lacunas na estratégia, mas disse que não seria possível resolvê-las por decreto. A entidade representada por ele pesquisa e promove o debate acadêmico e a produção de conhecimento nas áreas de Direito e Tecnologia. Para Cruz, o texto editado foi “técnico e eficaz” no diagnóstico. 

Uma das propostas da estratégia é criar um sistema nacional de segurança pelo qual empresas poderão fazer a adesão. O setor privado está preocupado com o tema. Ataques podem comprometer informações gerenciais ou violar propriedades. / COLABOROU VINÍCIUS VALFRÉ, de BRASÍLIA

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

Tendências:

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.