Há pouco mais de uma semana, um “incidente grave de segurança cibernética”, nas palavras do próprio governo, travou um sistema eletrônico por onde tramitam processos de nove ministérios — entre eles Fazenda, Previdência e Planejamento — e dois órgãos, o Conselho de Controle de Atividades Financeiras (Coaf) e a Casa da Moeda. O evento foi provocado pela ação de hackers que tentavam invadir os computadores para roubar dados pessoais e sigilosos da população. O sério ataque fez com que a administração levasse uma semana até restabelecer totalmente os serviços. Os autores do ato criminoso e a sua extensão ainda são investigados pela Polícia Federal e pela Agência Brasileira de Inteligência (Abin), mas uma coisa é possível dizer: é mais um na longa — e preocupante — rotina recente de atentados do tipo a órgãos de Estado.
O quadro de insegurança cibernética no país só vem piorando nos últimos anos. Desde 2020, foram mais de 50 000 casos, incluindo registros de violações de segurança das redes federais e alertas de vulnerabilidades emitidos pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (CTIR). Nesse período, foram quase 5 000 ocorrências comprovadas de vazamento de dados confidenciais, sendo 3 253 só neste ano (veja o quadro). Alguns dos ataques renderam prejuízos reais, como o roubo de dados bancários de quase 1 milhão de brasileiros em doze invasões ao cadastro nacional de chaves Pix. Em abril, criminosos invadiram o Siafi, sistema de pagamentos do governo, e desviaram ao menos 3,5 milhões de reais. Em 2021, o Ministério da Saúde protagonizou o vexame de ter os sistemas do SUS derrubados e os dados de vacinação “sequestrados” em plena pandemia pelos cibercriminosos globais do Lapsus$ (veja o quadro).
A crise de cibersegurança não se restringe ao Brasil. Em 2023, governos pelo mundo sofreram, em média, 1 598 ataques cibernéticos semanais, segundo a empresa Check Point Research. Uma tática frequente é o ataque DDoS, em que um site é acessado milhares de vezes por segundo até entrar em colapso. No ano passado, o Brasil sofreu 685 000 investidas do tipo. “É possível ‘alugar’ hordas de robôs na deep web para fazer ataques DDoS, incluindo eletrodomésticos inteligentes como geladeiras e lâmpadas”, diz Bruno Fraga, especialista em segurança da informação.
O governo reconhece o problema, tanto que deu um primeiro passo em dezembro de 2023 ao criar o Comitê Nacional de Cibersegurança (CNCiber). Vinculado ao Gabinete de Segurança Institucional (GSI), o grupo trabalha para elaborar uma política nacional que inclua treinamento de equipes, fiscalização da infraestrutura de prevenção e punição aos cibercriminosos. “É urgente criarmos uma agência central de cibersegurança para supervisionar investimentos e coordenar a resposta às crises”, avalia Patricia Peck, sócia fundadora do escritório especializado Peck Advogados.
A proposta agrada ao setor privado, que já prioriza o combate a cibercrimes e vê o governo como agente fundamental na criação de uma cultura de segurança. “O Brasil tem boas leis e regulações de proteção de dados, mas é preciso implementar o ensino de cibersegurança já na educação básica para construir uma camada humana de proteção, não apenas tecnológica”, defende Rony Vainzof, diretor de defesa e segurança da Fiesp e sócio fundador do escritório VLK Advogados.
A frequência e ousadia cada vez maiores dos ataques não deixam dúvidas quanto à urgência de colocar a cibersegurança como prioridade na pauta pública. Especialistas e empresários convergem sobre a importância de o poder público federal ser uma espécie de farol na busca da solução, mas, como de costume, as ações do governo vêm a reboque da crise. O cidadão indefeso, que tem boa parte de seus dados sob a guarda do poder público, espera uma solução urgente.
Publicado em VEJA de 2 de agosto de 2024, edição nº 2904