por Fabio Ferreira
Em dezembro de 2021, diversos sistemas do Ministério da Saúde foram alvo de ciberataques de grande escala. O ransomware (sequestro
e resgate de dados) atingiu, entre outros, a Rede Nacional de Dados em
Saúde (RNDS), que reúne todas as informações registradas por estados e
municípios em seus atendimentos na ponta do Sistema Único de Saúde
(SUS).
Escrevo
este artigo mais de um mês depois dos primeiros ataques e, até o
momento, volumes imensos de dados ainda não foram recuperados – isso em
meio a uma pandemia. Além de atrapalharem significativamente o
monitoramento da covid-19, os ataques fizeram com que informações
sensíveis de milhões de brasileiros fossem parar em mãos desconhecidas,
que podem dar a eles diversos usos perniciosos.
Até
aqui, não há novidade: esses fatos foram amplamente noticiados na mídia
nacional. O que pouco se comentou foi que não houve nenhuma grande
ciência por parte dos hackers que cometeram o ataque.
Os
cibercriminosos não precisaram de níveis muito altos de sofisticação
para fazer um golpe desse porte. Foi um ataque de ransomware padrão. E
pela demora em recuperar os dados, ficou claro que o Governo Federal não
estava preparado para uma situação desse tipo.
LGPD e as lições aprendidas
Os
ataques ao Ministério da Saúde levantaram muitas especulações, a maior
parte delas carente de embasamento. Mas para além das teorias da
conspiração, há constatações importantes a observar.
A primeira delas é que o meio corporativo foi mais impactado pela LGPD que o serviço público.
Os ataques aos órgãos federais tiveram maior exposição midiática, mas
ocorreram diversos outros crimes ou tentativas de crimes nas esferas
estadual e municipal. Manaus (AM) e Vitória (ES) são duas das capitais
cujos sistemas sofreram ataques significativos. Diversos municípios
menores tiveram que lidar com situações que foram de uma aparente
“trolagem” sem maiores consequências a roubo de mais de R$ 500 mil das
contas públicas, como aconteceu em Euclides da Cunha Paulista (SP).
Além, claro, de vazamentos de dados.
No
primeiro semestre de 2021, ainda vimos diversos casos de empresas
privadas sendo vítimas de cibercriminosos. Porém, a entrada em vigor da
LGPD – e até mesmo esses ataques – tiveram grande impacto na preparação
de uma arquitetura de segurança mais consistente, e maior esforço no
aculturamento das equipes para adotar atitudes mais seguras.
A
“virada de chave” que a LGPD e os ataques anteriores provocaram no
setor privado parece não ter ocorrido em prefeituras, estados ou na
União. Nessas instâncias, a vulnerabilidade e a baixa capacidade de
recuperação de dados se tornaram evidentes.
Outra lição, essa mais urgente, é que, quanto maior a exposição de um tipo de dado na esfera pública, mais ele estará sujeito a ataques criminosos.
Em plena pandemia do coronavírus e com os esforços para reforçar a
imunização da população, não deveria surpreender que os dados da Saúde
seriam um alvo preferencial de criminosos. Da mesma forma, as empresas
privadas mais atacadas na primeira metade do ano passado têm todas
projeção na esfera pública e operam dados sensíveis de seus clientes,
como grandes redes de varejo e laboratórios de análises clínicas.
Não
que empresas cujos serviços tenham menor projeção estejam isentas: elas
simplesmente não são o alvo preferencial, mas certamente são um alvo. Se
os dados são, como reza o clichê, o novo petróleo, eles são valiosos
independentemente de onde se encontram. E quem os detém deve zelar por
sua integridade.
Cultura de segurança
Mesmo
com toda a exposição que os crimes tiveram, a maioria das pessoas
parece não ter dado importância ao fato de seus dados terem vazado.
A
reação a esse tipo de crime é proporcional ao nível de conhecimento que
cada um tem sobre o risco de ter seus dados expostos. Há um grupo que
está realmente preocupado com o que foi exposto, porque sabe o quão
sensíveis são as informações em questão. Porém, a maior parte da
população não consegue fazer uma associação de causa e efeito dos
elementos presentes nesse tipo de crime.
Dificilmente
o cidadão comum entende que as ligações que ele recebe vieram de um
vazamento de dados. Ele geralmente acredita, de forma bastante inocente,
que é apenas o compartilhamento de dados de uma empresa com outra.
Também não entende por que algumas informações sobre ele se tornaram
indisponíveis em sistemas de saúde, e provavelmente nunca ouviu falar em
engenharia social.
Por isso, sempre bato na tecla de que é preciso criar uma cultura de segurança,
e esse aculturamento precisa chegar ao usuário e aos operadores mais
elementares dos sistemas. Mesmo dentro de empresas, poucos têm
discernimento sobre qual é seu papel na segurança da informação. É uma
responsabilidade que deve ser assumida por todos, e não apenas pela TI
ou pelos tomadores de decisão.
Esse
desafio não é pequeno, especialmente nos órgãos públicos. Afinal, em um
país com as dimensões do Brasil, estamos falando de uma geolocalização
dispersa, e com diferentes níveis de escolaridade e conhecimento entre
os servidores. Mas é preciso ser feito, e não pode esperar mais. Em um
ano que promete ser politicamente sensível e sujeito a intempéries, não
se pode criar um clima que favoreça criminosos ou aqueles que querem
tumultuar.
Leia mais:
Por que o prejuízo do vazamento de dados é muito maior que o investimento em cibersegurança?
As empresas precisam se proteger contra a engenharia social – e não podem esperar para fazê-lo
Nenhum comentário:
Postar um comentário