Acesso ao Gov.br sem criptografia e concentração de diversos serviços em um único portal preocupa diante de ataques hackers em órgãos públicos
Uma das iniciativas do Governo Federal em desburocratizar e digitalizar os serviços públicos oferecidos aos cidadãos foi a criação do portal Gov.br, instituído pelo Decreto nº 9.756, de 11 de abril de 2019, pela Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia. Desde a publicação do ato, foram implementados novos serviços e níveis de acesso diferenciados.
A Lei 14.063, de 23 de setembro de 2020, regulamentou o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde e estabeleceu três tipos de assinaturas digitais: simples, avançada e qualificada.
A assinatura eletrônica simples permite identificar quem está assinando e anexa ou associa seus dados a outros dados em formato eletrônico. A assinatura eletrônica avançada utiliza certificados não emitidos pela Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil ou outro meio de comprovação da autoria e da integridade de documentos em forma eletrônica, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento. É o caso da assinatura Gov.br. Já a assinatura eletrônica qualificada utiliza certificado digital ICP-Brasil, nos termos do § 1º do art. 10 da Medida Provisória nº 2.200-2, de 24 de agosto de 2001.
Entre os documentos que podem ser assinados no Gov.br, estão: contratos de prestação de serviço, de compra e venda; relatórios, cartas; formulários de benefícios, como: de vale-transporte, plano de saúde, seguro de vida; declarações de imposto de renda, de dependentes, e de aposentadoria; contrato de suspensão do trabalho; aviso e recibo de férias; termos de confidencialidade, entre outros. Também é possível acessar a Central de Protesto do Estado de São Paulo (Cenprot-SP), plataforma que reúne os serviços digitais de 420 cartórios paulistas.
Recentemente, no dia 9 de janeiro, um novo pacote de aplicações integradas ao Portal e-CAC disponibilizou novas formas de acesso a serviços digitais da Receita Federal com a conta Gov.br, que antes eram acessados exclusivamente mediante o uso de certificado digital. Agora, microempreendedores individuais, empresários e procuradores, uma vez autenticados, já podem acessar todas as informações e utilizar serviços em nome de suas empresas e clientes, independentemente da forma de acesso (CPF e senha, por exemplo).
Segundo o presidente-executivo da Associação das Autoridades de Registro do Brasil (AARB), Edmar Araújo, há risco na assinatura eletrônica avançada, como a inexistência de obrigatoriedade de processos claros e credenciamento de empresas certificadoras pelo Estado. “Qualquer empresa ou mesmo pessoa pode disponibilizar sistema de assinaturas eletrônicas avançadas”, diz. “É exatamente a ausência do estado brasileiro neste universo de assinaturas eletrônicas avançadas que põe em risco a celebração de negócios jurídicos complexos, como a transferência de veículos e a compra e venda de imóveis, muitas vezes os únicos patrimônios conquistados a duras penas pelo cidadão”.
As assinaturas avançadas, apesar de seu reconhecimento pela legislação, têm limitações em relação às qualificadas, diz o empresário e diretor da Associação, Bruno Linhares. “O forte arcabouço legal e técnico das assinaturas qualificadas não é utilizado na emissão das assinaturas avançadas, reduzindo o nível de segurança alcançado”.
Sequestro de dados
Outra preocupação é a concentração de grande quantidade de informações sensíveis de milhares de pessoas e empresas. Ataques de hackers exigindo resgate dos dados sequestrados (ransomware) são os mais comuns.
Em agosto de 2022, o Tribunal de Contas da União concluiu, em um levantamento, que mais da metade dos órgãos públicos federais estão vulneráveis a ciberataques. A apuração menciona o aumento de ataques de ransomware, em função da crescente utilização de modelo de comercialização em que criminosos se concentram na obtenção e venda do acesso inicial às redes a serem atacadas. Também se destacou no relatório os indicadores que apontam aumento na atividade de botnets (que podem ser usadas para executar ataques, roubar dados, enviar spam e permitir que o invasor acesse o dispositivo e sua conexão) para ataque a dispositivos IoT (Internet das coisas), o que pode se agravar com a chegada da tecnologia 5G. O resultado da investigação do Tribunal está no Acórdão 1768/22.
Reportagem da revista VEJA em junho de 2020 citou a vulnerabilidade dos sistemas públicos diante dos hackers. Segundo levantamento do Gabinete de Segurança Institucional (GSI), apenas em 2019, foram registrados 2.404 casos de invasão e tentativas de invasão aos computadores oficiais — uma média de seis incidentes por dia.
Na opinião de especialistas ouvidos pelo portal UOL, os órgãos públicos viraram alvos recentes porque não recebem grandes investimentos em segurança da informação, dão acesso a um vasto banco de dados, e esses dados podem ser monetizados rapidamente.
Alguns órgãos importantes do governo já foram vítimas de hackers, como o Tribunal Regional Federal da 3ª Região (TRF-3), Superior Tribunal de Justiça, Supremo Tribunal Federal, Tribunal Regional Federal da 1ª Região (TRF-1) e Tesouro Nacional. Todas as ações impediram o acesso aos sistemas e processos ou mesmo ficaram fora do ar em 13 estados mais o Distrito Federal, como no caso do TRF-1.
O Ministério da Saúde foi o caso mais emblemático. Em 2021, a emissão do certificado de vacinação ficou indisponível por dias, pois o ConectSUS foi o principal sistema prejudicado.
“A imprensa, com algumas exceções, tem dado pouco destaque à vulnerabilidade dos sistemas do governo, em especial para os serviços disponibilizados pelo Gov.br e a coleta institucionalizada de contratos, documentos e dados importantes de pessoas e empresas pelo governo brasileiro. O levantamento do TCU e os casos que vieram a público deveriam preocupar as autoridades e os especialistas em segurança da informação para o que pode vir acontecer não no futuro, mas a qualquer momento”, alerta Bruno Linhares.
Até ataques terroristas cibernéticos, que visam desestabilizar a infraestrutura de alguma localidade ou de determinado órgão público, deveriam dar o alerta, diz. “Os ataques de ransomware são muito preocupantes, mas não podemos esquecer que a derrubada de um sistema também traz sérios prejuízos, tendo em vista que a dependência dos serviços centralizados em uma única ferramenta pode inviabilizar os negócios das empresas e a vida do cidadão, que pode precisar de um documento público em caráter de urgência. Por exemplo, em agosto de 2022 a Prefeitura do Rio do Janeiro sofreu um ataque hacker. Foram mais de dois meses com 37 sistemas fora do ar. Como se calcula um prejuízo deste para a população?”, lembra Linhares.
Login único
O próprio Governo Federal, através do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos, recomendou, neste mês de janeiro, uma série de ações às autarquias e órgãos públicos para evitar vazamento de credenciais e senhas. Entre as medidas para mitigar os riscos está a adesão ao projeto login único do Serpro no portal Gov.br.
“Como os próprios autores da recomendação reconhecem, sistemas baseados em login e senha são inseguros. Então, recomendam a adoção de uma mesma solução que visam combater. Exceto pelo acesso nível ouro, o Gov.br mantém a mesma fragilidade e em casos de fraude nesse sistema teremos efeitos amplificados”, diz o diretor da AARB.
“O Banco Mundial avaliou o Brasil como o 2º lugar no ranking em maturidade de governo digital entre 198 países. Não há dúvida que a facilidade de acesso aos serviços digitais traz ganhos para a economia e na vida da população, mas é preciso que este avanço venha atrelado com a segurança. Infelizmente o mundo virtual também se tornou inseguro, mas temos ferramentas eficazes, seguras, com validade jurídica e não repúdio como o certificado digital ICP-Brasil”, diz Edmar Araújo.
Segundo ele, o custo-benefício precisa ser calculado diante dos prejuízos com a falta de investimento em segurança. “Não é uma crítica que fazemos, e sim um alerta para que o poder público, que concentra a vida de milhares de cidadãos, não seja pego de surpresa. É preciso ampliar os serviços com segurança e não ampliar os acessos baseados em login e senha, há muito ultrapassados pelas novas ameaças”, finaliza.
Por Fernando Olivan