Gabinete de Segurança Institucional (GSI)

O Estado de S. Paulo: Brasil se torna alvo de hackers com mais de 20 mil notificações ao ano

Sistema do TRF-1 foi invadido na noite de anteontem; em mensagem enviada ao 'Estadão', hacker negou motivação política e disse ter agido por 'diversão'

Vinícius Valfré, Tânia Monteiro e Patrik Camporez, O Estado de S.Paulo

BRASÍLIA - Um ataque hacker ao Tribunal Regional Federal da 1.ª Região tirou do ar ontem o sistema do maior tribunal do País. Foi a quarta grande instituição federal a ser atacada em menos de um mês. Ao todo, foram mais de 20 mil notificações registradas por órgãos públicos em 2020, até este mês, segundo monitoramento do Gabinete de Segurança Institucional (GSI) da Presidência.

Embora a invasão da maior Corte federal de segunda instância não tenha provocado bloqueio ou vazamento de informações sensíveis, ela ajuda a alimentar desconfianças sobre a segurança de dados do Judiciário. No dia 15, data do primeiro turno das eleições municipais, um ataque hacker ao Tribunal Superior Eleitoral (TSE) não chegou a prejudicar o resultado das urnas, mas foi usado por bolsonaristas para impulsionar uma campanha de desinformação.

LEIA TAMBÉM

Grupo hacker suspeito de invadir TSE reivindica ataque a 61 sites no País em 2020

O TSE reforçou seu sistema de segurança digital para o segundo turno, que ocorre amanhã. Toda a ação até agora, incluindo o uso das redes sociais para divulgar notícias falsas sobre fraudes nas eleições, está sendo investigada pela Polícia Federal e pelo Ministério Público Federal (MPF).

Em mensagem enviada pelo Twitter ao Estadão, o hacker identificado como M1keSecurity, que notificou anteontem à noite a invasão ao próprio TRF-1 e postou a figura de um diabo para comemorar o sucesso da ação, afirmou ser ligado ao CyberTeam. Ele negou motivação política e disse ter agido por “diversão”. Liderado por um jovem de 19 anos conhecido como Zambrius, que está em prisão domiciliar em Portugal, o grupo também reivindicou a investida contra o TSE e o Ministério da Saúde. 

Notificações

A onda de ataques cibernéticos a instituições está confirmada em números. De janeiro até o último dia 11, o núcleo do GSI que monitora questões referentes à cibersegurança registrou 21.963 notificações desse tipo no País, do governo e de fora do governo. Em todo o ano passado, foram 23.674 registros.

Mesmo com a manutenção do ritmo de notificações ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, vinculado ao GSI – gabinete comandado pelo general Augusto Heleno –, o alerta crítico está no crescimento das vulnerabilidades encontradas em sistemas tecnológicos. De um ano a outro, as brechas que permitem a exploração maliciosa nos sistemas e nas redes de computadores saltaram de 1.201 para 2.239.

Nem o Exército conseguiu barrar todas as investidas. Em maio, hackers divulgaram exames médicos feitos pelo presidente Jair Bolsonaro entre junho de 2019 e janeiro deste ano no Hospital das Forças Armadas. O ataque mais grave de que se tem notícia foi contra o Superior Tribunal de Justiça (STJ), no dia 3. Os criminosos criptografaram arquivos e pediram pagamento em criptomoedas para devolvê-los. 

No dia 5, foi a vez do Ministério da Saúde. A publicidade da contagem dos casos de covid-19 ficou provisoriamente prejudicada. Logo depois veio a ação contra a Justiça Eleitoral.

Investigadores envolvidos nas apurações dos ataques ao Judiciário admitem a “onda de invasões” e atribuem o fenômeno a uma tentativa de “testar as instituições”. Observam, porém, que apenas bases de dados antigas e com pouca relevância foram acessadas, fazendo com que núcleos centrais de informação continuem intactos. Na prática, grupos hackers costumam alardear invasões para se mostrar importantes. Muitos querem ser chamados para esse tipo de crime, obtendo para tanto benefícios financeiros.

Legislação

As invasões também são desafio para grandes corporações. Para especialistas, no entanto, as vulnerabilidades dos órgãos públicos são explicadas por certo grau de desleixo com sistemas de segurança, lentidão para fazer frente às ameaças e, ainda, por uma legislação passível de avanços.

“Precisamos de uma lei com a política nacional de segurança cibernética. Este projeto está em elaboração e essa nova lei, considerada absolutamente necessária, tem por objetivo, entre outras coisas, atribuir responsabilidades a quem violar a segurança cibernética”, afirmou o diretor do Departamento de Segurança da Informação do GSI, general Antonio Carlos de Oliveira Freitas

Na avaliação da SaferNet Brasil, que colabora com o Ministério Público Federal no monitoramento da desinformação nestas eleições, órgãos públicos costumam falhar no que é elementar: segurança digital. “Geralmente se falha no básico, com falhas de configuração nos servidores, políticas de atualização inexistentes, autenticações falhas e bugs (defeitos) de softwares”, disse o presidente da entidade, Thiago Tavares.

Após a invasão ao STJ, o presidente do Supremo Tribunal FederalLuiz Fux, determinou a criação de um “comitê cibernético” para preparar medidas de proteção à Justiça. Uma das críticas de especialistas é o fato de o Judiciário não ter um centro permanente, nesse modelo, para monitorar e reagir a incidentes. 

“Estamos todos preocupados. Me parece mais um vandalismo, mas, e se fosse algo mais profissional, para apagar ou inserir dados? Ficamos sem saber qual o grau de vulnerabilidade que o sistema apresenta”, afirmou o advogado Marcelo Bessa, integrante do Instituto de Garantias Penais (IGP).

Leia mais: