+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Crescem os ataques cibernéticos contra órgãos públicos

Conformidade, Proteção e Privacidade de Dados

Incidentes relacionados à privacidade e à proteção de dados levaram o Governo Federal a constatar e registrar aumento de notificações de ataques cibernéticos e vulnerabilidades detectadas em seus sistemas de tecnologia da informação em janeiro deste ano. Ao todo, foram registrados 989 casos nos órgãos do Executivo, uma média 32 por dia. Este é o maior patamar para o mês de janeiro, nos últimos quatro anos da série histórica. Esses dados foram compilados pelo Gabinete de Segurança Institucional da Presidência da República (GSI) e, ressaltam a necessidade urgente de medidas robustas para fortalecer a segurança cibernética e proteger informações sensíveis.

É possível afirmar que a urgência de adequações à privacidade e à proteção de dados, capitaneados pela Lei Geral de Proteção de Dados (LGPD), Lei n.º 13.709, de 14 de agosto de 2018, também é uma agenda que não pode ser deixada de lado em órgãos estaduais e municipais.

Mais de metade (55%) dos incidentes registrados em janeiro ainda permaneciam sem solução pelos órgãos públicos federais até 2 de fevereiro, conforme a última atualização fornecida pelo GSI. Em contraste, as notificações de caráter preventivo, que alertam sobre possíveis fragilidades nos sistemas, resultaram na resolução de apenas 28% dos casos. Esses números destacam a necessidade de uma abordagem mais proativa e eficaz para lidar com os desafios em curso na segurança cibernética.

Os impactos dos ataques cibernéticos acarretam transtornos à Sociedade, com destaque para atrasos na prestação de serviços públicos essenciais. Um exemplo concreto ocorreu no fim de janeiro, quando o Instituto Nacional de Câncer (INCA), vinculado ao Ministério da Saúde, teve que suspender sessões de radioterapia devido a um ataque cibernético. A normalização do serviço ocorreu apenas três dias após a invasão ao sistema, que forçou o INCA a desligar todos os computadores e a recorrer a registros manuais. O caso está sendo investigado pela Polícia Federal, embora o órgão tenha optado por não comentar as apurações em curso. Essa situação evidencia a urgência de medidas mais robustas para proteger infraestruturas críticas contra ameaças cibernéticas.

Outra preocupação crescente diz respeito à utilização de informações obtidas em bases de dados de órgãos públicos para perpetrar ações de Engenharia Social, com destaque para golpes financeiros de maneira mais direcionada. Essas informações vão além dos dados cadastrais básicos, como CPF ou endereço, e podem incluir dados pessoais, como estado de saúde, acesso a benefícios sociais e até informações sobre a educação de familiares, como a escola em que estão matriculados. Essa amplitude de informações aumenta a possibilidade de personalização dos golpes, tornando-os mais eficazes e prejudiciais para os titulares de dados pessoais, cidadãos.

Os dados do GSI revelam que os incidentes relacionados a vazamentos de dados foram os mais comuns, totalizando 413 notificações de ataques cibernéticos. Esses episódios têm se tornado cada vez mais frequentes, conforme indicado pela análise da série histórica. Antigamente, eles eram superados por eventos como desfigurações de páginas do governo na internet ou notificações preventivas sobre vulnerabilidades em sistemas criptográficos, que poderiam comprometer a confidencialidade dos dados. Essa mudança destaca a crescente importância de medidas proativas para proteger a integridade dos dados governamentais e mitigar os riscos associados aos ataques cibernéticos.

Desatualização

Os principais desafios enfrentados pelos órgãos públicos incluem a dificuldade em manter a atualização de softwares e ferramentas de proteção, diante das constantes evoluções tecnológicas, além da morosidade burocrática do Estado. Além disso, há o desafio de atrair mão de obra qualificada em um setor altamente demandado e aquecido.

Especificamente em janeiro, o GSI relacionou o aumento de notificações ao recebimento e processamento duas novas fontes de dados. Uma da parceria internacional com a rede CSIRT Americas, cujos dados disponibilizados estão relacionados às credenciais vazadas na chamada Deep Web, e outra da parceria nacional com o Centro Integrado de Segurança Cibernética do Governo Digital, centro recém-criado pelo Ministério Gestão e Inovação.

Sanções por violar a lei

A negligência frente aos casos de vazamentos de dados já resultou nas primeiras sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) contra instituições públicas. Criada há quatro anos, essa autarquia tem a responsabilidade de garantir a proteção dos dados pessoais e supervisionar o cumprimento das normas na área. Essas medidas destacam a importância da conformidade com as regulamentações de proteção de dados e sinalizam a seriedade com que as violações serão tratadas pelas autoridades competentes.

Um exemplo emblemático foi o caso do Instituto Nacional do Seguro Social (INSS), que foi condenado no início do mês a publicar um comunicado sobre um vazamento de informações ocorrido entre agosto e setembro de 2022. A determinação inclui a exibição desse comunicado na primeira página do site do INSS, com uma permanência mínima de 60 dias. A ANPD considerou que o instituto infringiu a legislação ao não comunicar os incidentes de segurança à autoridade competente, ressaltando a importância da transparência e da comunicação adequada em casos de violações de dados.

Ao nível estadual, tanto a Secretaria de Saúde de Santa Catarina quanto a Assistência ao Servidor Público Estadual de São Paulo foram notificadas com advertências e prazo para implementar medidas corretivas. Ambos os órgãos foram penalizados por falhas na segurança dos sistemas de armazenamento e processamento de dados pessoais, evidenciando a importância da conformidade com as regulamentações de proteção de dados em todas as esferas governamentais. Essas ações visam garantir a integridade e a segurança das informações confiadas a essas instituições.

O Ministério da Saúde está atualmente sujeito a dois processos administrativos em andamento e pode enfrentar sanções semelhantes nos próximos meses. Além das advertências e da obrigatoriedade de publicar comunicados, a ANPD possui autoridade para impor multas e exigir o bloqueio ou suspensão do funcionamento de bases de dados. Essas medidas refletem a determinação das autoridades em garantir a conformidade com as regulamentações de proteção de dados e em responsabilizar as instituições que negligenciam a segurança da informação.

Segundo Renato Opice Blum, especialista em Direito Digital, destaca a prevalência global de vazamentos de dados, descrevendo-a como uma “epidemia”. Ele analisa que, no contexto brasileiro, as sanções aplicadas aos órgãos públicos refletem uma nova fase de fiscalização, impulsionada pela implementação da Lei Geral de Proteção de Dados (LGPD) em 2018. Blum antecipa que o próximo passo será a responsabilização pessoal dos servidores públicos, enfatizando a crescente importância da conformidade com as regulamentações de privacidade e segurança de dados. Essa perspectiva destaca a necessidade de uma abordagem mais rigorosa e responsável na gestão e proteção das informações em ambientes governamentais e empresariais.

O enfrentamento aos ataques cibernéticos recebeu um reforço significativo com a implementação da Política Nacional de Cibersegurança (PNCiber), que estabelece diretrizes gerais para lidar com as lacunas existentes no setor. Sancionada pelo Presidente Luiz Inácio Lula da Silva em 26 de dezembro, essa política instituiu um comitê composto por diversos órgãos para supervisionar e garantir a efetiva implementação das medidas propostas. Essa iniciativa representa um passo crucial na proteção da infraestrutura digital do país e na promoção de uma abordagem mais abrangente e coordenada na mitigação dos riscos cibernéticos.

Existem desafios consideráveis a enfrentar no médio e longo prazos. Uma análise conduzida pelo Tribunal de Contas da União (TCU) e divulgada em 2022 revelou que menos da metade das organizações públicas federais (44,3%) investe em cibersegurança. Além disso, a maioria dos órgãos (57%) ainda não implementou um processo formal de gestão de vulnerabilidades. Esses dados destacam a necessidade premente de um maior investimento e atenção à segurança cibernética dentro do setor público, a fim de proteger adequadamente os sistemas e dados sensíveis contra ameaças cada vez mais sofisticadas e frequentes.

Casos emblemáticos no setor público nos últimos anos evidenciam o impacto significativo das invasões cibernéticas. Por exemplo, o ataque cibernético ao Ministério da Saúde em 2021, durante a pandemia, resultou em prejuízos graves, afetando serviços essenciais como a emissão do Certificado Nacional de Vacinação contra a Covid e a atualização de dados fundamentais. Da mesma forma, em 2020, um ataque ao sistema do Superior Tribunal de Justiça (STJ) bloqueou a base de dados dos processos, causando a paralisação das atividades da Corte por vários dias. Esses incidentes destacam a vulnerabilidade dos órgãos governamentais e a necessidade urgente de fortalecer as medidas de segurança cibernética para proteger os sistemas e garantir a continuidade dos serviços públicos essenciais.

Cumpre destacar o Art. 23 desta Lei determina que tratamento de dados pessoais e dados pessoais sensíveis por pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, visando executar as competências legais ou cumprir as atribuições legais do serviço público, desde que seja indicado um Encarregado pelo Tratamento de Dados Pessoais.

Cabe destacar que o tema privacidade e proteção de dados, com destaque para a LGPD, é multidisciplinar e não está restrito ao Direito. Sendo assim, é imprescindível que o Encarregado pelo Tratamento de Dados Pessoais tenha, ao menos, competências técnicas, além do Direito, nas seguintes disciplinas: Privacidade, Proteção de Dados, Compliance, Tecnologia da Informação, Segurança
da Informação, Auditoria, Gestão de Processos, Gestão de Projetos e Governança (Institucional; de Tecnologia da Informação; e de Segurança da Informação).

Com base no exposto, convém que o Encarregado pelo Tratamento de Dados Pessoais, nas pessoas jurídicas, de direito público ou privado, tenha amplo acesso à estrutura organizacional; pronto apoio das unidades administrativas; seja informado em tempo célere sobre ataques cibernéticos; acompanhe os níveis de conformidade dos departamentos; instrua os gestores sobre os riscos a corrigir, ou seja, as lacunas que encontrar, a fim de que estes riscos sejam mitigados; tenha amplo apoio da alta administração; tenha diálogo com as autoridades competentes; e por fim, tenha autonomia e independência funcional.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Open chat
Olá 👋
Como podemos te ajudar?