Compartilhe esta publicação
Segurança Cibernética Federal em risco?
Quando o assunto é segurança, todos estamos sujeitos aos riscos, e colocar em prática ações preventivas é a rotina ideal, mas quando esse assunto está na esfera Federal, a coisa muda de figura. Vamos entender o que está acontecendo.
O que é Cibersegurança
Segundo a Kaspersky, cibersegurança é a prática que protege computadores e servidores, dispositivos móveis, sistemas eletrônicos, redes e dados contra ataques maliciosos. Também é chamada de segurança da tecnologia da informação ou segurança de informações eletrônicas.
O termo é aplicável a uma variedade de contextos, desde negócios até computação móvel, e pode ser dividido em algumas categorias comuns. E é sobre isso que vamos falar agora a nível governamental.
À beira da crise
A cibersegurança governamental está em risco, ou melhor, em altíssimo risco. Palavras do relatório do TCU entregue ao Senado Federal. Os dados são dos estudos realizados nos anos de 2020 e 2021.
E não é para menos, os números não são só alarmantes, são catastróficos! Em geral, quem tem acesso ao serviço público, sabe que a situação é precária, mas não havia números reais, apenas constatação pública, até agora.
Imagem: TCU
Em outras palavras: "Não está fácil pra ninguém!" O TCU relata no site oficial que "a macroestrutura nacional responsável pela governança e gestão de Segurança da Informação e de Segurança Cibernética, apesar de atuante, não é adequada."
Traduzindo: A cibersegurança governamental está "jogada às traças"! E não estamos falando dos "computadores amarelos" com sistemas antigos, mas das práticas seguras quanto a dados e sistemas de cada organização do governo federal.
Os Números
-> 74,6% das organizações não possuem política de backup. Um dos maiores absurdos dessa lista. Backup é uma tarefa básica, essencial para a sobrevivência do sistema usado, sem ele, uma única falha deixa a organização inoperante e por tempo indeterminado.
-> 71,2% das organizações que hospedam seus sistemas em servidores próprios, não possuem plano de backup específico para seu principal sistema.
-> 66% das organizações que afirmam realizar backups, apesar de implementarem mecanismos de controle de acesso físico ao local de armazenamento, não os armazenam criptografados, o que acarreta risco de vazamento de dados, podendo causar enormes prejuízos, sobretudo se envolver informações sensíveis ou sigilosas.
-> 60,2% das organizações não mantêm suas cópias em, ao menos, um destino não acessível remotamente, o que acarreta risco de que, em ataque cibernético, os próprios arquivos dos backups acabem sendo corrompidos, excluídos ou criptografados pelo atacante ou malware, tornando igualmente sem efeito o processo de backup/restore da organização.
Por que é um cenário de risco para a administração Federal?
A digitalização dos sistemas públicos com certeza otimizaram o acesso aos serviços, porém isso tornou o governo e a sociedade dependentes das soluções tecnológicas de infraestrutura de TI.
O TCU relata além casos recentes de ataques cibernéticos, como o caso do Conecta-SUS que impediu a emissão do passaporte de vacinação e do sistema da Caixa, quando foi pagar o auxílio emergencial, que também o Superior Tribunal de Justiça (STJ) considerou ter sofrido “o pior ataque cibernético" da história.
Segundo o portal do governo, em 2021, 73,1% dos serviços públicos prestados pelo governo federal já eram totalmente digitais, e considerando os parcialmente digitais, esse percentual sobe para 86,7%.
E são esses números que mostram a dimensão dos riscos e os prejuízos que falhas de segurança e indisponibilidade de serviços podem acarretar.
A falta dos dados de uma organização pode fazer com que ela feche as portas, e o caos em um departamento governamental por esta causa é sem precedentes.
As Recomendações do TCU
Essa é a realidade da segurança cibernética e da informação do governo. De imediato, o TCU recomenda a normatização de procedimentos de segurança, e que sejam adotadas medidas básicas que garantam a continuidade de processos de negócio e prestação de serviços, em casos de incidente de segurança da informação.
É preciso ainda manutenção de controles internos, como os relacionados à implementação de procedimentos de backup. Para que fique claro, o backup está para as organizações, como o respirar para o ser humano. É preciso renovar sempre, e garantir a sua execução, caso contrário vem a óbito.
Quem deve fazer o quê
TCU sinalizou ao Gabinete de Segurança Institucional da Presidência da República, ao Conselho Nacional de Justiça (CNJ) e ao Conselho Nacional do Ministério Público (CNMP), a necessidade de edição de normativos, cada um no seu âmbito, para orientar os gestores e regulamentar a obrigatoriedade de que aprovem formalmente e mantenham atualizadas políticas gerais e planos específicos de backup.
Parecem medidas básicas e são mesmo. Porém será preciso partir daí, já que não há nada de concreto até o momento. O TCU aprovou a estratégia de segurança da informação e cibernética. É preciso agora, investimento e fiscalização para fazer acontecer.
Cultura de Segurança Digital
A realidade é crítica e as ações emergenciais, mas necessárias e a princípio bem sucedidas. A realização de ações e iniciativas específicas, incluindo acompanhamento ágil de controles críticos de segurança cibernética, para conscientizar os órgãos quanto à importância dessas questões é um primeiro passo bem acertado.
Imagem: DCStudio - freepik
A partir da execução dessas premissas, a fomentação da cultura de segurança da informação nos órgãos e entidades da Administração Pública federal deve ser aplicada de forma massiva.
A situação é séria, as autoridades responsáveis foram notificadas e a direção correta foi apontada. O TCU fez bem o seu trabalho, agora é fiscalizar a execução dessas diretrizes e contribuir para que mantenham processos bem definidos de governança e gestão de segurança da informação e cibernética. O objetivo é minimizar riscos e possíveis impactos de ataques e incidentes.
A fala do TCU no relatório é muito bem detalhada e a situação chega a ser assustadora, é visível que o caminho para a solução está acessível, mas que não será resolvido apertando um único botão.
São muitas organizações que funcionam de forma autônoma e precisam de um esforço sincronizado, que é possível, mas não é fácil. É preciso além de todo esse trabalho do TCU, dinheiro, (esse não é problema) e vontade de fazer. E que seja rápido!
Este artigo foi escrito por Reinaldo Coelho e publicado originalmente em Prensa.li.