por Fabio Ferreira
Em dezembro de 2021, diversos sistemas do Ministério da Saúde foram alvo de ciberataques de grande escala. O ransomware (sequestro e resgate de dados) atingiu, entre outros, a Rede Nacional de Dados em Saúde (RNDS), que reúne todas as informações registradas por estados e municípios em seus atendimentos na ponta do Sistema Único de Saúde (SUS).
Escrevo este artigo mais de um mês depois dos primeiros ataques e, até o momento, volumes imensos de dados ainda não foram recuperados – isso em meio a uma pandemia. Além de atrapalharem significativamente o monitoramento da covid-19, os ataques fizeram com que informações sensíveis de milhões de brasileiros fossem parar em mãos desconhecidas, que podem dar a eles diversos usos perniciosos.
Até aqui, não há novidade: esses fatos foram amplamente noticiados na mídia nacional. O que pouco se comentou foi que não houve nenhuma grande ciência por parte dos hackers que cometeram o ataque.
Os cibercriminosos não precisaram de níveis muito altos de sofisticação para fazer um golpe desse porte. Foi um ataque de ransomware padrão. E pela demora em recuperar os dados, ficou claro que o Governo Federal não estava preparado para uma situação desse tipo.
Os ataques ao Ministério da Saúde levantaram muitas especulações, a maior parte delas carente de embasamento. Mas para além das teorias da conspiração, há constatações importantes a observar.
A primeira delas é que o meio corporativo foi mais impactado pela LGPD que o serviço público. Os ataques aos órgãos federais tiveram maior exposição midiática, mas ocorreram diversos outros crimes ou tentativas de crimes nas esferas estadual e municipal. Manaus (AM) e Vitória (ES) são duas das capitais cujos sistemas sofreram ataques significativos. Diversos municípios menores tiveram que lidar com situações que foram de uma aparente “trolagem” sem maiores consequências a roubo de mais de R$ 500 mil das contas públicas, como aconteceu em Euclides da Cunha Paulista (SP). Além, claro, de vazamentos de dados.
No primeiro semestre de 2021, ainda vimos diversos casos de empresas privadas sendo vítimas de cibercriminosos. Porém, a entrada em vigor da LGPD – e até mesmo esses ataques – tiveram grande impacto na preparação de uma arquitetura de segurança mais consistente, e maior esforço no aculturamento das equipes para adotar atitudes mais seguras.
A “virada de chave” que a LGPD e os ataques anteriores provocaram no setor privado parece não ter ocorrido em prefeituras, estados ou na União. Nessas instâncias, a vulnerabilidade e a baixa capacidade de recuperação de dados se tornaram evidentes.
Outra lição, essa mais urgente, é que, quanto maior a exposição de um tipo de dado na esfera pública, mais ele estará sujeito a ataques criminosos. Em plena pandemia do coronavírus e com os esforços para reforçar a imunização da população, não deveria surpreender que os dados da Saúde seriam um alvo preferencial de criminosos. Da mesma forma, as empresas privadas mais atacadas na primeira metade do ano passado têm todas projeção na esfera pública e operam dados sensíveis de seus clientes, como grandes redes de varejo e laboratórios de análises clínicas.
Não que empresas cujos serviços tenham menor projeção estejam isentas: elas simplesmente não são o alvo preferencial, mas certamente são um alvo. Se os dados são, como reza o clichê, o novo petróleo, eles são valiosos independentemente de onde se encontram. E quem os detém deve zelar por sua integridade.
Mesmo com toda a exposição que os crimes tiveram, a maioria das pessoas parece não ter dado importância ao fato de seus dados terem vazado.
A reação a esse tipo de crime é proporcional ao nível de conhecimento que cada um tem sobre o risco de ter seus dados expostos. Há um grupo que está realmente preocupado com o que foi exposto, porque sabe o quão sensíveis são as informações em questão. Porém, a maior parte da população não consegue fazer uma associação de causa e efeito dos elementos presentes nesse tipo de crime.
Dificilmente o cidadão comum entende que as ligações que ele recebe vieram de um vazamento de dados. Ele geralmente acredita, de forma bastante inocente, que é apenas o compartilhamento de dados de uma empresa com outra. Também não entende por que algumas informações sobre ele se tornaram indisponíveis em sistemas de saúde, e provavelmente nunca ouviu falar em engenharia social.
Por isso, sempre bato na tecla de que é preciso criar uma cultura de segurança, e esse aculturamento precisa chegar ao usuário e aos operadores mais elementares dos sistemas. Mesmo dentro de empresas, poucos têm discernimento sobre qual é seu papel na segurança da informação. É uma responsabilidade que deve ser assumida por todos, e não apenas pela TI ou pelos tomadores de decisão.
Esse desafio não é pequeno, especialmente nos órgãos públicos. Afinal, em um país com as dimensões do Brasil, estamos falando de uma geolocalização dispersa, e com diferentes níveis de escolaridade e conhecimento entre os servidores. Mas é preciso ser feito, e não pode esperar mais. Em um ano que promete ser politicamente sensível e sujeito a intempéries, não se pode criar um clima que favoreça criminosos ou aqueles que querem tumultuar.
Leia mais:
Por que o prejuízo do vazamento de dados é muito maior que o investimento em cibersegurança?
As empresas precisam se proteger contra a engenharia social – e não podem esperar para fazê-lo