Presidente da República Jair Bolsonaro conversa por telefone com o Primeiro-Ministro de Israel Benjamin Netanyahu. (Brasília – DF, 26/01/2019) ()
Dados

GSI quer obrigar autoridades a aumentar cibersegurança

carla@vortex.media lucas@vortex.media

O Departamento de Segurança da Informação, subordinado ao Gabinete de Segurança Institucional da Presidência da República, o GSI, quer finalizar até novembro o texto de um projeto de lei para aumentar a segurança cibernética do Executivo federal e obrigar as autoridades a seguir normas de proteção de dados. A fragilidade da cibersegurança em várias instâncias dos poderes ficou mais evidente desde junho. O procurador Deltan Dallagnol, coordenador da força-tarefa da Lava Jato, teve seu celular invadido e mensagens vazadas para a imprensa, publicadas primeiramente pelo site The Intercept Brasil. Em julho, foram divulgadas tentativas de invasão a telefones do presidente Jair Bolsonaro e do ministro da Justiça, Sergio Moro.

Por que isso importa?

Com o aumento no número de incidentes de segurança cibernética no governo brasileiro na última década, tornam-se cada vez mais necessárias políticas obrigatórias de proteção de dados do Estado brasileiro e conformidade de autoridades.

Nos últimos nove anos, houve um aumento de mais de 50% dos incidentes cibernéticos do governo federal. “Incidentes cibernéticos” abrangem, de acordo com o gabinete, falhas como vazamentos de informações, fraudes, vírus e vulnerabilidades de sistemas. Foram 9.731 incidentes apenas nos nove primeiros meses de 2019, de acordo com dados do Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo. Ainda assim, os integrantes do governo não são submetidos a nenhum treinamento obrigatório de segurança digital do GSI. Ao contrário. Muitos se recusam a adotar procedimentos e equipamentos que tornariam mais seguras suas comunicações oficiais.



Abuso de sítio: São um tipo específico de incidente ligado ao comprometimento de servidores web ou desfiguração do conteúdo de páginas da rede mundial de computadores.

Fraude: Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem utilizando má-fé.

Indisponibilidade: Notificações de indisponibilidade de serviços, ou seja informações que deveriam estar disponíveis naquele endereço não estão mais acessíveis através da rede.

Malware: Malware é o nome em inglês dado para códigos maliciosos especificamente desenvolvidos para executar ações danosas em um computador

Scan: Notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.

Vulnerabilidade DDoS: Notificações de ataques distribuídos de negação de serviço (DDoS – Distributed Denial of Service), onde o atacante utiliza um conjunto de computadores para tirar de operação um serviço, computador ou rede.

Vulnerabilidade SSL/TLS: Notificações de ataques visando especificamente vulnerabilidades nos protocolos SSL/TLS, que é o protocolo que garante a segurança do tráfego de dados entre dois computadores na internet



Para tentar mudar essa cultura, os responsáveis pela segurança institucional da presidência estão trabalhando na redação do texto do Projeto de Lei Geral de Segurança Cibernética. “Pretendemos terminar esse trabalho para que o governo envie o quanto antes ao Congresso”, disse ao Vortex o general da reserva Antônio Carlos de Oliveira Freitas, diretor do Departamento de Segurança de Informação.

Um decreto de dezembro de 2018 criou a Política Nacional de Segurança da Informação e determinou que se desenvolvessem planos estratégicos para detalhar os procedimentos. "Não existe alinhamento em ações de governança com relação à segurança cibernética entre o Executivo, o Legislativo e o Judiciário, entre Estados, Distrito Federal e municípios e entre esses e o setor privado. Por isso, é necessária uma lei", explica o general. O projeto de lei deve avançar na tentativa de:

  • implantar programas e políticas de segurança cibernética;
  • promover campanhas de conscientização em segurança cibernética em suas organizações;
  • promover ações de capacitação de seus funcionários no tema;
  • inserir o tema na grade curricular da educação básica para estimular a postura de defesa cibernética desde cedo na população;
  • tornar a adoção dessas políticas obrigatória para autoridades, embora não se tenha decidido sobre sanções a quem desobedecer.

“Trabalhamos com três frentes: primeiro queremos atingir ‘os cabeças’, as mais altas autoridades; depois o funcionalismo público como um todo e por fim temos a ambição de educar toda a população para que as pessoas consigam se proteger melhor”, disse o general Oliveira Freitas, convidado pessoalmente pelo ministro Augusto Heleno, titular do GSI, para tentar mitigar a vulnerabilidade dos órgãos da administração a ataques.

2.252
incidentes classificados como "vazamentos" foram registrados nos primeiros nove meses de 2019. Em 2011, foram 20.

Os requisitos mínimos de segurança digital descritos pelo GSI indicam que órgãos da administração pública devem promover o fortalecimento da "cultura de segurança da informação, por meio de campanhas e ações regulares de sensibilização e disseminação de boas práticas, como palestras e workshops.” No entanto, não há nenhum treinamento obrigatório a que autoridades e servidores precisem se submeter, segundo o próprio gabinete. 

Nos Estados Unidos, uma legislação de 2002 exige que todos os servidores e funcionários terceirizados que trabalham no governo passem por treinamento anual de segurança da informação. O funcionário público pode ter suas credenciais de acesso revogadas caso não complete o treinamento básico. 

Tecnologia obsoleta

O governo tenta também, com o projeto de lei, tratar da falta de regras claras para punir quem desobedecer as orientações de segurança e da ausência de um sistema nacional de segurança digital. As sanções ainda não foram definidas. Há carências tecnológicas importantes e não existem recursos garantidos pelo orçamento da União para esse fim. Mas Oliveira Freitas diz que ainda este ano o departamento espera conseguir verbas para adquirir novas ferramentas de proteção. 

Atualmente, segundo o general, apenas duas empresas estão aptas para oferecer a tecnologia necessária para a manutenção dos equipamentos da administração federal. “Temos ainda muita coisa ainda manual. Estamos às vésperas de adquirir servidores mais modernos”, diz o diretor. O general explica que algumas das ferramentas necessárias são softwares com a missão de buscar e identificar incidentes. “Quando isso estiver pronto, no ano que vem, vamos multiplicar por mais de 100 a capacidade de busca e tratamento dessas fragilidades”, diz Oliveira Freitas.

"Temos uma deficiência bastante grande porque o hardware, os servidores são máquinas muito antigas, de oito anos atrás"

General Antônio Carlos de Oliveira Freitas, diretor do Departamento de Segurança de Informação

Nas duas pontas

Por não ser obrigatória nem prioritária, a proteção da transmissão de informações de Estado foi negligenciada em diferentes governos. Em 2013, foi revelado que a então presidente Dilma Rousseff tinha suas comunicações monitoradas pelo governo americano. Dilma não usava comunicação com criptografia. O presidente Bolsonaro insiste em um telefone celular comum, apesar de recomendações para a utilização do Terminal de Comunicação Segura, equipamento seguro com criptografia de Estado. Bolsonaro chegou a dizer que informações estratégicas não deveriam ser repassadas por telefone, mas pessoalmente. Nem mesmo o ministro responsável pela segurança da presidência, general Augusto Heleno, usa o aparelho. 

Após as tentativas de invasão de celulares de autoridades, aparelhos seguros foram solicitados ao GSI — o gabinete não divulga quantas pessoas pediram ou atualmente utilizam o TCS  por considerar essa uma informação sigilosa. 

O aparelho tem uma limitação importante: só permite trocas de mensagens e chamadas a partir de aplicativos com criptografia fornecida pelo Estado, não permitindo a instalação de aplicativos comerciais. Ou seja, nada de Whatsapp. Um TCS só se comunica de forma segura com outro TCS, o que restringe muito seu uso.

A Agência Brasileira de Inteligência, a Abin, trabalha na elaboração de um novo dispositivo que possa incluir, no mínimo, um aplicativo de trocas de mensagens mais popular. Ainda não há previsão de quando o recurso deve estar disponível. Há outras tecnologias em estudo que adaptem o celular comum a um sistema de segurança. Neste caso, no entanto, o uso de alguns aplicativos de mensagens ainda fica comprometido. 

Box de transparência

Como as autoridades se protegem?

A ideia para esta reportagem surgiu a partir de um questionamento oficial enviado pelo Vortex ao Gabinete de Segurança Institucional da Presidência da República acerca do treinamento de cibersegurança recebido por autoridades, especialmente sobre Terminal de Comunicação segura, dispositivo com criptografia de Estado. A partir disso, investigamos o que tem sido feito para melhorar a cultura de segurança digital no governo. A reportagem baseia-se primariamente em uma entrevista com o general da reserva Antônio Carlos de Oliveira Freitas, Diretor do Departamento de Segurança de Informação, e de dados do Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo. Também solicitamos informações via Lei de Acesso à Informação e para a assessoria de comunicação do Gabinete de Segurança Institucional da Presidência da República.

Veja abaixo os materiais de 11 treinamentos fornecidos pelo GSI repassados ao Vortex

Newsletter

Reportagens exclusivas e as notícias mais quentes na sua caixa de e-mail.

Valorizamos sua privacidade. Nunca enviaremos spam ou compartilharemos suas informações com terceiros.

Assine

O novo modo de fazer jornalismo de que o novo Brasil precisa.

Apoie o nosso jornalismo para que possamos ajudar a elevar a democracia.
Assine Vortex