Com o aumento da digitalização de serviços públicos, os ataques hackers em plataformas do governo têm se tornado cada vez mais frequentes. Os incidentes podem causar interrupções nos serviços, vazamento de dados sensíveis e desconfiança em relação à segurança dos sistemas governamentais. No Brasil, vários órgãos e plataformas do governo já foram alvos de ataques cibernéticos, e o impacto varia conforme a gravidade e resposta às ameaças.
No final de julho, um “incidente grave de segurança cibernética”, nas palavras do próprio governo, travou o Sistema Eletrônico de Informações (SEI) e algumas funcionalidades do Processo Eletrônico Nacional, por onde tramitam processos de nove ministérios. A Polícia Federal (PF) e Agência Brasileira de Investigação (Abin) foram acionadas para investigar o incidente.
Na ocasião, os servidores receberam orientação para trocar senhas do Office e do Gov.br, especialmente aqueles que trabalham com o Siafi, sistema de administração financeira do governo federal, que sofreu uma tentativa de invasão em abril, onde criminosos tentaram movimentar ao menos R$ 15 milhões, conforme noticiou o jornal Folha de S.Paulo.
A ameaça aos ambientes digitais só vem crescendo nos últimos anos. Segundo levantamento da revista Veja, desde 2020, foram mais de 50 mil casos, incluindo registros de violações de segurança das redes federais e alertas de vulnerabilidades emitidos pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov). Nesse período, foram quase 5 mil ocorrências comprovadas de vazamento de dados confidenciais.
Muitos sistemas governamentais armazenam informações como CPF, histórico médico e financeiro. Um ataque que resulta no vazamento desses dados pode ter sérias implicações, incluindo roubo de identidade e fraude. Além disso, invasões a sistemas críticos, como plataformas de saúde, justiça ou previdência, podem interromper serviços essenciais, causando prejuízos à população.
Em novembro de 2020, o Superior Tribunal de Justiça (STJ) foi alvo de um ataque cibernético massivo que comprometeu a infraestrutura de TI da corte. Os hackers criptografaram os dados do tribunal, paralisando todos os processos judiciais por alguns dias. Foi reportado que o ataque tinha características de ransomware, no qual os cibercriminosos exigem um resgate para liberar os dados. Esse foi um dos incidentes mais graves já registrados contra o judiciário brasileiro.
Já em dezembro de 2021, uma invasão cibernética atingiu o Ministério da Saúde e impactou diretamente o sistema ConecteSUS, que armazena informações sobre a vacinação contra a COVID-19.
Gov.br
A plataforma Gov.br também tem sido alvo de incidentes cibernéticos, onde se concentra uma grande quantidade de informações sensíveis, tornando-se um atrativo para criminosos, como tentativas de exploração de vulnerabilidades que buscam acessar dados sigilosos. O governo brasileiro trabalha constantemente para aumentar as camadas de segurança, detectar essas tentativas e mitigar esses riscos.
Entre os tipos de incidentes cibernéticos estão os ataques de negação de serviço (DDoS), que sobrecarregam os servidores com uma quantidade massiva de tráfego, tornando os sites inacessíveis; exploração de vulnerabilidades nos sistemas da plataforma para obter acesso a dados pessoais dos usuários, como informações de CPF, dados bancários e outras informações sensíveis; ataques de phishing, onde são criados sites falsos ou enviados e-mails maliciosos simulando o Gov.br, com o objetivo de enganar os usuários para que insiram suas credenciais ou informações pessoais em páginas fraudulentas e incidentes de ransomware, onde hackers criptografam dados e exigem pagamento de resgate para liberá-los.
Diversos alertas foram publicados por entidades e especialistas em segurança digital em textos, entrevistas e artigos para a imprensa sobre o obsoleto sistema de login e senha e de outros meios inseguros de acesso diante da escalada de ataques cibernéticos, que estão sempre um passo à frente de qualquer sistema de atualização.
Em janeiro de 2023, a Associação das Autoridades de Registro do Brasil (AARB) publicou texto alertando sobre as vulnerabilidades de acesso ao Gov.br sem criptografia, além da fragilidade em se concentrar diversos serviços em um único portal. Em evento realizado no mesmo ano, especialistas reiteraram a segurança das assinaturas digitais qualificadas, que garantem o maior grau de segurança jurídica e de identificação.
“Centralizar a vida do cidadão em um único portal, como é o caso do Gov.br, pode até desburocratizar os processos, mas infelizmente lidamos com um alto grau de incidentes cibernéticos, além de impedir a autonomia do cidadão, que fica à mercê de um único sistema que, um dia, pode ser invadido ou parar por qualquer motivo técnico. O Brasil tem avançado no ranking global de governos digitais devido à ampliação do uso de tecnologia e automação nos serviços públicos, porém é preciso investir em cibersegurança e meios avançados de acesso como, por exemplo, a assinatura digital qualificada”, diz o presidente-executivo da AARB, Jorge Prates.
Recentemente, usuários relataram instabilidade no Gov.br no período da manhã da última terça-feira (22.10). De acordo com relatos publicados em redes sociais, o sistema de login da conta para acessar recursos governamentais estava inacessível. Já em 17 de setembro, instabilidades no site prejudicaram os processos licitatórios abertos no Portal de Compras do Governo Federal.
Em um dos seus alertas, o CTIR Gov recomendou a necessidade de execução de medidas proativas de segurança cibernética para mitigar os riscos de explorações bem-sucedidas, como o uso da combinação de certificados digitais do governo e aplicação de múltiplo fator de autenticação.
“O uso do certificado digital ICP-Brasil para acesso a sistemas continua sendo o meio mais seguro de autenticação, principalmente para dados sensíveis. Não fosse por isso, o CTIR Gov não recomendaria o seu uso para processos de login com privilégios elevados. Portanto, como medida de segurança, é importante o cidadão ter um certificado ICP-Brasil, porque sua emissão é feita por um agente credenciado e treinado a fim de garantir a veracidade, integridade e confiança da aplicação”, completa Prates.