Este foi um ano cheio de episódios que mostraram como a segurança digital dos órgãos do governo federal é vulnerável. O apagão dos comprovantes de vacinação, obtidos no aplicativo ConecteSUS, foi apenas a cereja do bolo. O que rolou Segundo o colunista Carlos Affonso, de Tilt, o Brasil virou um alvo fácil e cobiçado para ataques virtuais. Uma auditoria recentedo Tribunal de Contas da União indicou que 74% dos órgãos da Administração Pública Federal não contam com políticas de backup. O mesmo documento apontou que 66% desses órgãos não utilizam criptografia para aumentar a segurança dos dados armazenados. Affonso apontou quatro pontos de atenção que, se levados a sério, podem ajudar a fortalecer um ecossistema governamental de segurança de informação. 1. Debate multissetorial A associação de segurança cibernética com assuntos, responsabilidades e competências de instituições militares é um dos principais desafios da cibersegurança no país. O Gabinete de Segurança Institucional (GSI) possui um papel de centralização das iniciativas governamentais sobre o tema e o GSI não possui um histórico de diálogo com os diferentes setores da sociedade para a construção de políticas de segurança digital. Em muitas situações são empresas especializadas em segurança da informação que diagnosticam um incidente, investigando a sua origem e repercussões. A ausência de protocolos claros sobre como pode se dar esse intercâmbio de informações entre o setor privado e o setor público é mais uma evidência de que o Brasil tem muito a fazer para que se possa estabelecer um diálogo multissetorial sobre o tema. 2. Investimentos em segurança da informação O Brasil investe pouco e vem investindo cada vez menos em cibersegurança. No Orçamento da União, a implantação de sistema de defesa cibernética vem recebendo desembolsos decrescentes nos últimos anos. Eram R$ 15 milhões em 2019 e foram R$ 7 milhões em 2021, ano marcado por incidentes de segurança. Além do corte de verbas, um caso que ganhou repercussão na imprensa mundial foi a descoberta de que a empresa Crypto AG, que vendeu por décadas equipamentos para criptografar comunicações para os mais diversos países, mantinha laços com o serviço de inteligência norte-americano. 3. Cibersegurança também é sobre pessoas Incidentes de segurança no governo podem surgir de falhas atribuídas a um(a) servidor(a) que caiu em golpe de engenharia social, descuidou das proteções devidas ou simplesmente permitiu que alguém usasse suas credenciais. Nesses casos, fica claro que de nada adianta ter uma tecnologia de ponta se o elo fraco da cadeia de segurança for a pessoa responsável por sua operação. É importante que funcionários públicos sejam capacitados em temas de segurança da informação, compreendendo que a adoção de medidas simples podem proteger os dados de milhões de brasileiros. E caso identificado que o incidente partiu mesmo de um funcionário público, vale aqui lembrar que ele deve ser devidamente sancionado. 4. Comunicação transparente e informativa Ninguém sabe ao certo o que realmente aconteceu com o ConecteSUS, que depois de dez dias do incidente continuava sem funcionar normalmente. Informações vindas do governo ora davam conta de que havia ocorrido apenas uma "pichação" no site do Ministério da Saúde e apagamento das informações de endereçamento. Pouco depois o Ministério informou que tinha conseguido "recuperar" os dados. Mas de que dados estamos falando? Dados de endereçamento do site ou dados pessoais de todos os brasileiros que usam o aplicativo? A falta de transparência sobre a natureza dos incidentes de segurança, sua extensão e medidas de recuperação adotadas têm sido o combustível para gerar mais desconfiança nas instituições públicas e aumentar o sentimento de insegurança. Por que isso é importante Os quatro pontos acima ajudam a compreender como a cibersegurança está cada vez mais no centro das preocupações de governos do mundo todo. Essa constatação caminha lado a lado com a crescente digitalização das mais diversas atividades. O Brasil, se quiser realizar uma verdadeira transformação digital, precisa começar levando a segurança da informação a sério. | 
Nenhum comentário:
Postar um comentário