Portal do governo traz riscos de segurança, alerta entidade

Uma das iniciativas do Governo Federal em desburocratizar e digitalizar os serviços públicos oferecidos aos cidadãos foi a criação do portal Gov.br, instituído pelo Decreto nº 9.756, de 11 de abril de 2019. Desde a publicação do ato, foram implementados novos serviços e níveis de acesso diferenciados. A Lei 14.063, de 23 de setembro de 2020, regulamentou o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde e estabeleceu três tipos de assinaturas digitais: simples, avançada e qualificada.

A assinatura eletrônica simples permite identificar quem está assinando e anexa ou associa seus dados a outros dados. A assinatura eletrônica avançada utiliza certificados não emitidos pela Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil ou outro meio de comprovação da autoria em forma eletrônica, desde que admitido pelas partes como válido. É o caso da assinatura Gov.br. Já a assinatura eletrônica qualificada utiliza certificado digital ICP-Brasil, nos termos do § 1º do art. 10 da Medida Provisória nº 2.200-2, de 24 de agosto de 2001.

Recentemente, um novo pacote de aplicações integradas ao Portal e-CAC disponibilizou novas formas de acesso aos serviços digitais da Receita Federal com a conta Gov.br, que antes eram acessados exclusivamente mediante o uso de certificado digital. Agora MEIs, empresários e procuradores, uma vez autenticados, já podem acessar todas as informações e utilizar serviços em nome de suas empresas e clientes, independentemente da forma de acesso (CPF e senha, por exemplo).

Segundo o presidente-executivo da Associação das Autoridades de Registro do Brasil (AARB), Edmar Araújo, há risco na assinatura eletrônica avançada, como a inexistência de obrigatoriedade de processos claros e credenciamento de empresas certificadoras pelo Estado. "Qualquer empresa ou mesmo pessoa pode disponibilizar sistema de assinaturas eletrônicas avançadas", diz. "É exatamente a ausência do estado brasileiro neste universo de assinaturas eletrônicas avançadas que põe em risco a celebração de negócios jurídicos complexos, como a transferência de veículos e a compra e venda de imóveis".

As assinaturas avançadas, apesar de seu reconhecimento pela legislação, têm limitações em relação às qualificadas, diz o empresário e diretor da Associação, Bruno Linhares. "O forte arcabouço legal e técnico das assinaturas qualificadas não é utilizado na emissão das assinaturas avançadas, reduzindo o nível de segurança alcançado".

Sequestro de dados

Outra preocupação é a concentração de grande quantidade de informações sensíveis de milhares de pessoas e empresas. Em agosto de 2022, o Tribunal de Contas da União concluiu, em um levantamento, que mais da metade dos órgãos públicos federais estão vulneráveis a ciberataques. A apuração menciona o aumento de ataques de ransomware e nas atividades de botnets. O resultado da investigação do Tribunal está no Acórdão 1768/22.

Reportagem da revista VEJA em junho de 2020 citou a vulnerabilidade dos sistemas públicos diante dos hackers. Segundo levantamento do Gabinete de Segurança Institucional (GSI), apenas em 2019, foram registrados 2.404 casos de invasão e tentativas de invasão aos computadores oficiais — uma média de seis incidentes por dia. Na opinião de especialistas ouvidos pelo portal UOL, os órgãos públicos viraram alvos recentes porque não recebem grandes investimentos em segurança da informação, dão acesso a um vasto banco de dados, e esses dados podem ser monetizados rapidamente.

Alguns órgãos importantes do governo já foram vítimas de hackers, como os tribunais regionais federais das 1ª e 3ª regiões, STJ, STF e Tesouro Nacional. Todas as ações impediram o acesso aos sistemas e processos ou mesmo ficaram fora do ar em 13 estados, como no caso do TRF-1. O Ministério da Saúde foi o caso mais emblemático. Em 2021, a emissão do certificado de vacinação ficou indisponível por dias, pois o ConectSUS foi o principal sistema prejudicado.

"O levantamento do TCU e os casos que vieram a público deveriam preocupar as autoridades e os especialistas em segurança da informação para o que pode vir acontecer não no futuro, mas a qualquer momento. Até ataques terroristas cibernéticos, que visam desestabilizar a infraestrutura deveriam dar o alerta", diz Bruno Linhares. "Os ataques de ransomware são muito preocupantes, mas não podemos esquecer que a derrubada de um sistema também traz sérios prejuízos, tendo em vista que a dependência dos serviços centralizados em uma única ferramenta pode inviabilizar os negócios das empresas e a vida do cidadão. Em agosto de 2022, por exemplo, a Prefeitura do Rio de Janeiro sofreu um ataque hacker. Foram mais de dois meses com 37 sistemas fora do ar. Como se calcula um prejuízo deste para a população?", lembra Linhares.

Login único

O próprio Governo Federal, através do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos, recomendou, neste mês de janeiro, uma série de ações às autarquias e órgãos públicos para evitar vazamento de credenciais e senhas. Entre as medidas para mitigar os riscos está a adesão ao projeto login único do Serpro no portal Gov.br.

"Como os próprios autores da recomendação reconhecem, sistemas baseados em login e senha são inseguros. Então, recomendam a adoção de uma mesma solução que visam combater. Exceto pelo acesso nível ouro, o Gov.br mantém a mesma fragilidade e em casos de fraude nesse sistema teremos efeitos amplificados", diz o diretor da AARB.

"Não há dúvida que a facilidade de acesso aos serviços digitais traz ganhos para a economia e na vida da população, mas é preciso que este avanço venha atrelado com a segurança. Infelizmente o mundo virtual também se tornou inseguro, mas temos ferramentas eficazes, seguras, com validade jurídica e não repúdio como o certificado digital ICP-Brasil", diz Edmar Araújo.

Segundo ele, o custo-benefício precisa ser calculado diante dos prejuízos com a falta de investimento em segurança. "Não é uma crítica que fazemos, e sim um alerta para que o poder público, que concentra a vida de milhares de cidadãos, não seja pego de surpresa. É preciso ampliar os serviços com segurança e não ampliar os acessos baseados em login e senha, há muito ultrapassados pelas novas ameaças", finaliza.