Dias após ataque hacker, sistema ConecteSUS permanece fora do ar
Desde que o site e os sistemas do Ministério da Saúde foram alvos de ataques cibernéticos na última sexta-feira (10), o sistema ainda não se restabeleceu e não tem previsão para voltar ao normal. Um dos mais graves a ficar inacessível é o aplicativo ConecteSUS, que reúne as informações sobre a vacinação da população e outros dados de saúde dos cidadãos, que está fora do ar há cinco dias.
O ataque que deixou milhões de brasileiros sem acesso ao certificado digital de vacinação afetou também outros órgãos do governo federal.
Polícia Rodoviária Federal (PRF), Instituto Federal do Paraná (IFPR), Controladoria-geral da União (CGU) e Escola Nacional de Administração Pública (Enap) são alguns órgãos do governo federal que confirmaram ter sofrido ataques hacker na sexta. Até a quarta-feira (15), alguns serviços continuavam indisponíveis.
Todos eles usam o mesmo sistema de nuvem, fornecido pela empresa americana AWS, que tem a Embratel como intermediária. Esse não é o único sistema de nuvem disponível para as instituições federais. A adesão é opcional. A CGU assinou o contrato em outubro de 2019.
Uma das cláusulas diz que a contratada deverá adotar todas as medidas necessárias para assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações a serem tratadas na nuvem.
O sistema de nuvem é o armazenamento de dados fora do computador, em servidores conectados à internet. Quando esse serviço é acessado, o usuário consegue enviar seus arquivos pela internet e deixá-los guardados em segurança em questão de segundos.
Qualquer grande instituição – seja empresa ou órgão público – tem um protocolo de segurança da informação que obedece um sistema de camadas. De acordo com o cargo do funcionário, ele pode ter mais ou menos acesso a dados sensíveis ou sigilosos.
O Gabinete de Segurança Institucional (GSI) emitiu um alerta informando que “alguns casos de intrusão têm ocorrido com perfis legítimos”, o que dá a entender que o ataque aconteceu a partir de login e senha de funcionários do governo.
Segundo o órgão, o grupo hacker deve ter usado uma brecha para acessar o sistema com login e senha de um funcionário do governo. “Alguns casos de intrusão têm ocorrido com o uso de perfis legítimos de administrador, o que dispensa, ao atacante, ações para escalar privilégios”, afirma o órgão da Presidência.
A invasão dos hackers ao sistema foi utilizada pelo governo para adiar a exigência da comprovação de vacinação para a entrada de estrangeiros no Brasil. A medida, no entanto, foi barrada após decisão do ministro do STF, Luis Barros, que determinou que o governo acate a decisão da Anvisa sobre o passaporte sanitário.
Para Luiza Leite, advogada especialista em Direito Digital, o governo demonstra uma deficiência nos mecanismos de segurança e falta de cuidado do governo no processo de adequação com a Lei Geral de Proteção de Dados.
“O que percebemos é que todos esses acessos indevidos aos ambientes tecnológicos dessas entidades, bem como a incapacidade demonstrada para lidar com incidentes de proteção de dados, demonstram uma clara deficiência nos mecanismos de Segurança da Informação utilizados pelo governo”, comentou a advogada Luiza Leite, CEO da startup Dados Legais.
Este não é o primeiro o ataque que acontece nos últimos tempos nas redes federais: em novembro do ano passado o STJ sofreu ataque hacker, que forçou o tribunal a suspender as sessões e tirar o site do ar; em setembro deste ano, o site da Anvisa também foi alvo de hackers. O ataque foi do tipo defacement, ou seja, modificação de estética da página web), sem alteração de dados ou impacto nos demais sistemas da Anvisa; além disso, existem páginas criminosas que reúnem dados vazados do CadSUS e INSS e os vendem livremente na internet.