Uma das iniciativas do Governo Federal em desburocratizar e digitalizar os serviços pĂșblicos oferecidos aos cidadãos foi a criação do portal Gov.br, instituĂdo pelo Decreto nÂș 9.756, de 11 de abril de 2019. Desde a publicação do ato, foram implementados novos serviços e nĂveis de acesso diferenciados. A Lei 14.063, de 23 de setembro de 2020, regulamentou o uso de assinaturas eletrônicas em interações com entes pĂșblicos, em atos de pessoas jurĂdicas e em questões de saĂșde e estabeleceu trĂȘs tipos de assinaturas digitais: simples, avançada e qualificada.
A assinatura eletrônica simples permite identificar quem estĂĄ assinando e anexa ou associa seus dados a outros dados. A assinatura eletrônica avançada utiliza certificados não emitidos pela Infraestrutura de Chaves PĂșblicas Brasileira – ICP-Brasil ou outro meio de comprovação da autoria em forma eletrônica, desde que admitido pelas partes como vĂĄlido. É o caso da assinatura Gov.br. JĂĄ a assinatura eletrônica qualificada utiliza certificado digital ICP-Brasil, nos termos do § 1Âș do art. 10 da Medida Provisória nÂș 2.200-2, de 24 de agosto de 2001.
Recentemente, um novo pacote de aplicações integradas ao Portal e-CAC disponibilizou novas formas de acesso aos serviços digitais da Receita Federal com a conta Gov.br, que antes eram acessados exclusivamente mediante o uso de certificado digital. Agora MEIs, empresĂĄrios e procuradores, uma vez autenticados, jĂĄ podem acessar todas as informações e utilizar serviços em nome de suas empresas e clientes, independentemente da forma de acesso (CPF e senha, por exemplo).
Segundo o presidente-executivo da Associação das Autoridades de Registro do Brasil (AARB), Edmar AraĂșjo, hĂĄ risco na assinatura eletrônica avançada, como a inexistĂȘncia de obrigatoriedade de processos claros e credenciamento de empresas certificadoras pelo Estado. "Qualquer empresa ou mesmo pessoa pode disponibilizar sistema de assinaturas eletrônicas avançadas", diz. "É exatamente a ausĂȘncia do estado brasileiro neste universo de assinaturas eletrônicas avançadas que põe em risco a celebração de negócios jurĂdicos complexos, como a transferĂȘncia de veĂculos e a compra e venda de imóveis".
As assinaturas avançadas, apesar de seu reconhecimento pela legislação, tĂȘm limitações em relação às qualificadas, diz o empresĂĄrio e diretor da Associação, Bruno Linhares. "O forte arcabouço legal e técnico das assinaturas qualificadas não é utilizado na emissão das assinaturas avançadas, reduzindo o nĂvel de segurança alcançado".
Sequestro de dados
Outra preocupação é a concentração de grande quantidade de informações sensĂveis de milhares de pessoas e empresas. Em agosto de 2022, o Tribunal de Contas da União concluiu, em um levantamento, que mais da metade dos órgãos pĂșblicos federais estão vulnerĂĄveis a ciberataques. A apuração menciona o aumento de ataques de ransomware e nas atividades de botnets. O resultado da investigação do Tribunal estĂĄ no Acórdão 1768/22.
Reportagem da revista VEJA em junho de 2020 citou a vulnerabilidade dos sistemas pĂșblicos diante dos hackers. Segundo levantamento do Gabinete de Segurança Institucional (GSI), apenas em 2019, foram registrados 2.404 casos de invasão e tentativas de invasão aos computadores oficiais — uma média de seis incidentes por dia. Na opinião de especialistas ouvidos pelo portal UOL, os órgãos pĂșblicos viraram alvos recentes porque não recebem grandes investimentos em segurança da informação, dão acesso a um vasto banco de dados, e esses dados podem ser monetizados rapidamente.
Alguns órgãos importantes do governo jĂĄ foram vĂtimas de hackers, como os tribunais regionais federais das 1ÂȘ e 3ÂȘ regiões, STJ, STF e Tesouro Nacional. Todas as ações impediram o acesso aos sistemas e processos ou mesmo ficaram fora do ar em 13 estados, como no caso do TRF-1. O Ministério da SaĂșde foi o caso mais emblemĂĄtico. Em 2021, a emissão do certificado de vacinação ficou indisponĂvel por dias, pois o ConectSUS foi o principal sistema prejudicado.
"O levantamento do TCU e os casos que vieram a pĂșblico deveriam preocupar as autoridades e os especialistas em segurança da informação para o que pode vir acontecer não no futuro, mas a qualquer momento. Até ataques terroristas cibernéticos, que visam desestabilizar a infraestrutura deveriam dar o alerta", diz Bruno Linhares. "Os ataques de ransomware são muito preocupantes, mas não podemos esquecer que a derrubada de um sistema também traz sérios prejuĂzos, tendo em vista que a dependĂȘncia dos serviços centralizados em uma Ășnica ferramenta pode inviabilizar os negócios das empresas e a vida do cidadão. Em agosto de 2022, por exemplo, a Prefeitura do Rio de Janeiro sofreu um ataque hacker. Foram mais de dois meses com 37 sistemas fora do ar. Como se calcula um prejuĂzo deste para a população?", lembra Linhares.
Login Ășnico
O próprio Governo Federal, através do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos, recomendou, neste mĂȘs de janeiro, uma série de ações às autarquias e órgãos pĂșblicos para evitar vazamento de credenciais e senhas. Entre as medidas para mitigar os riscos estĂĄ a adesão ao projeto login Ășnico do Serpro no portal Gov.br.
"Como os próprios autores da recomendação reconhecem, sistemas baseados em login e senha são inseguros. Então, recomendam a adoção de uma mesma solução que visam combater. Exceto pelo acesso nĂvel ouro, o Gov.br mantém a mesma fragilidade e em casos de fraude nesse sistema teremos efeitos amplificados", diz o diretor da AARB.
"Não hĂĄ dĂșvida que a facilidade de acesso aos serviços digitais traz ganhos para a economia e na vida da população, mas é preciso que este avanço venha atrelado com a segurança. Infelizmente o mundo virtual também se tornou inseguro, mas temos ferramentas eficazes, seguras, com validade jurĂdica e não repĂșdio como o certificado digital ICP-Brasil", diz Edmar AraĂșjo.
Segundo ele, o custo-benefĂcio precisa ser calculado diante dos prejuĂzos com a falta de investimento em segurança. "Não é uma crĂtica que fazemos, e sim um alerta para que o poder pĂșblico, que concentra a vida de milhares de cidadãos, não seja pego de surpresa. É preciso ampliar os serviços com segurança e não ampliar os acessos baseados em login e senha, hĂĄ muito ultrapassados pelas novas ameaças", finaliza.