País tem recorde de ataques de hackers, com invasão de sistemas do governo e venda de senhas de servidores

País tem recorde de ataques de hackers, com invasão de sistemas do governo e venda de senhas de servidores

Compartilhe

Ocorrida há mais de dez dias, a invasão ao ConecteSUS, Painel Coronavírus e DataSUS expôs mais as fragilidades da rede da União do que a habilidade dos criminosos.

Sem investimento em tecnologia de informação, o governo federal, responsável por guardar dados sigilosos de milhões de brasileiros, vive uma “ciberinsegurança”. Ocorrida há mais de dez dias, a invasão de hackers ao ConecteSUS, Painel Coronavírus e DataSUS — que monitoram a evolução da pandemia e da vacinação no país — expôs mais as fragilidades da rede da União do que a habilidade dos criminosos. Isso foi constatado em uma auditoria do Tribunal de Contas da União (TCU) que, em maio, identificou que 74% dos órgãos da administração federal não têm uma política padrão de backup e 66% das instituições não armazenam arquivos criptografados. Com a consolidação do home office e o processo de digitalização do serviço público, o Brasil virou um terreno fértil para ataques virtuais, informa O Globo.

De acordo com o GSI, em 2020 o país bateu o recorde de ocorrências cibernéticas, com 24.300 registradas. Os bancos de dados da Saúde derrubados ainda não foram completamente restabelecidos, o que sugere, de acordo com especialistas, que o problema é mais complexo e que os invasores podem ter tido acesso à nuvem (arquivo virtual dos dados) dessas instituições. No início, as autoridades tentaram minimizar a gravidade da invasão e a classificaram como “pichação virtual”. Mas relatórios internos do Gabinete de Segurança Institucional (GSI) e do TCU mostram que a realidade dos sistemas públicos propicia o crime: senhas fracas, ausência de criptografia e de ferramentas de duplo fator de autenticação, baixos investimentos em antivírus e em equipes de Tecnologia da Informação.

Quanto mais aberto e acessível o serviço oferecido pelo sistema aos usuários, maiores são os riscos sem investimento tecnológico.

—Quando ocorre a migração de dados para a nuvem é como se terceirizassem a segurança. E há um dilema: quanto mais eficiente for o sistema, mais aberto e de fácil acesso, menos seguro ele será — diz o diretor da empresa de segurança cibernética Harpia, Filipe Soares, que já trabalhou por mais de dez anos na Abin.

Os hackers descobriram nessas fragilidades um mercado rentável. O GLOBO teve acesso a prints de um fórum hacker de origem russa com pelo menos sete anúncios de venda de logins e senhas de usuários do Ministério da Saúde, da Controladoria Geral da União (CGU) e da Agência Brasileira de Informação (Abin). Uma das principais linhas de investigação do GSI e Polícia Federal é que a nuvem da pasta da Saúde teria sido invadida por um “perfil legítimo de administrador”. Tanto é que uma das primeiras providências foi a suspensão das credenciais de funcionários terceirizados, licença ou férias.

Um dos suspeitos é o grupo hacker Lapsu$, que reivindicou a autoria do ataque. O grupo de origem russa é relativamente novo e com baixa reputação em fóruns hackers, que costumam ranquear os ataques cibernéticos dependendo do dano provocado — além dos proveitos financeiros, os cibercriminosos gostam de exibir os seus feitos na internet. Nos últimos dois anos, o Lapsu$ disse ser responsável ofensivas virtuais contra a empresa de games Eletronic Arts e a Apple Music, segundo informações levantadas por Soares. Portanto, este seria o primeiro ataque do grupo a uma entidade brasileira.

Mercado paralelo

Não é difícil encontrar oferta de datacenters ou pen-drives com dados confidenciais de brasileiros, de R$ 300 a R$ 1.500, em fóruns na dark web ou em lojinhas escondidas na Praça da Sé, centro de São Paulo. As informações armazenadas nos sistemas do Ministério da Saúde são valiosíssimas por terem os registros atualizados de mais de 200 milhões de cidadãos, com os nomes do pai e mãe, identidade, CPF, número do celular e o endereço, tendo em vista que a maioria teve que se cadastrar recentemente para se vacinar contra a Covid. Com esses dados em mãos, os criminosos conseguem abrir contas no banco, fazer empréstimos, cartões de crédito e até se filiar a algum partido político.

Os ataques de cibercriminosos mais graves contra o setor público brasileiro aconteceram no Superior Tribunal de Justiça (STJ), em novembro de 2020, e na Secretaria do Tesouro Nacional, em agosto deste ano. Ambos ainda são investigados. No primeiro, os hackers teriam entrado no sistema, criptografado as informações e pedido um resgate em bitcoins para liberá-las. Como a instituição não pagou, o grupo hacker apagou os arquivos levando os funcionários do STJ a recorrerem ao último backup do sistema, que precisou ser atualizado posteriormente. No segundo, há a possibilidade de os criminosos terem tido acesso a informações super sigilosas da economia do país. Há duas semanas, o sistema interno da Polícia Rodoviária Federal foi derrubado. O órgão informou que houve um “incidente de segurança”, mas sem vazamentos. No mercado privado, a fornecedora de carne JBS fez um comunicado oficial, em junho, dizendo que pagou R$ 55 milhões a cibercriminosos para recuperar seus dados após um sequestro virtual (ou ransomware).

Ambientes interligados merecem atenção especial. É o caso, por exemplo, do Sistema Eletrônico de Informações, mantido pelo governo, por meio de mais de 5.500 prefeituras.

— Não adianta proteger só o seu perímetro. Para um ataque hacker, basta entrar pela porta dos fundos — avalia a advogada Patrícia Peck, presidente da comissão de proteção de dados da OAB-SP e integrante do Conselho Nacional de Proteção de Dados Pessoais e Privacidade (CNPD). — O Brasil não fez o seu dever de casa.

A falta de prioridade com a cibersegurança fica evidente nos gastos do Orçamento da União. A despeito da escalada das invasões hackers, os investimentos pagos em 2021 para a “implantação de sistema de defesa cibernética” nacional caiu nos últimos três anos. De R$ 15 milhões em 2019 e R$ 12 milhões em 2020, os desembolsos foram reduzidos a R$ 7 milhões até dezembro deste ano.

— Se 2021 foi o ano do apagão digital, 2022 deveria ser o da segurança virtual sobretudo devido às eleições — observa a advogada.

Procurado, o Gabinete de Segurança Institucional não respondeu até o fechamento desta edição.

 

Compartilhe

%d blogueiros gostam disto: