Alertas falsos expõem fragilidades na segurança de sistemas digitais do poder público

Os alertas falsos enviados pelo sistema da Defesa Civil para milhões de celulares no último fim de semana levantaram dúvidas sobre a segurança dos sistemas digitais usados pelo poder público.

O caso em que a mensagem misantropia apareceu indevidamente nos alertas na madrugada de sábado (20) levou o governo federal a desativar o sistema nacional enquanto a Polícia Federal investiga como os envios foram realizados.

Para José Milagre, perito digital e analista de cibersegurança, a ocorrência expõe uma realidade pouco conhecida fora do setor: ataques contra órgãos públicos são frequentes e nenhuma plataforma está completamente protegida contra tentativas de invasão.

“Não existe sistema inviolável. Existe sistema seguro do ponto de vista tecnológico e existe também uma manutenção da cibersegurança”, afirma.

O especialista explica que a segurança digital não depende apenas da tecnologia empregada. Treinamento de servidores, controle de acessos, monitoramento constante e políticas de governança também fazem parte da proteção de sistemas considerados críticos.

“Cibersegurança não reside exclusivamente em investir em tecnologia. Reside também em treinar o colaborador, criar ambientes de governança muito mais seguros e manter uma rotina diária de proteção”, diz.

Milagre afirma que os órgãos públicos se tornaram alvos atrativos para criminosos porque concentram grandes volumes de informações pessoais e sigilosas da população.

Dados fiscais, processos judiciais, registros administrativos e informações cadastrais podem ser explorados em golpes, fraudes ou outras atividades ilícitas.

“Os órgãos públicos são diariamente atacados e não apenas os do Poder Executivo. O Judiciário também sofre tentativas de invasão de processos judiciais, de documentos e de sistemas”, afirma.

Os números divulgados pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR.Gov), ligado ao GSI (Gabinete de Segurança Institucional), ajudam a dimensionar o problema.

Até o início de junho deste ano, o órgão registrou 6.774 incidentes cibernéticos que afetaram entidades da administração pública federal, além de cerca de 14 mil vulnerabilidades identificadas em sistemas governamentais.

Na avaliação do especialista, porém, os dados representam apenas uma parte do cenário. “Até achei pouco. Isso é subnotificado, sem dúvida nenhuma. Esses são os incidentes que foram identificados e as vulnerabilidades encontradas. Existem muito mais vulnerabilidades que ainda não foram identificadas”, afirma.

Ele explica que muitas falhas só são descobertas durante auditorias específicas ou depois que um ataque acontece. Como não existe uma estrutura única responsável por testar continuamente todos os sistemas utilizados pelos órgãos públicos, parte das vulnerabilidades permanece desconhecida.

O advogado especialista em crimes cibernéticos Luiz Augusto Filizzola D’Urso avalia que episódios como esse demonstram que a segurança digital não pode ser tratada como uma medida pontual.

Na avaliação dele, a proteção de estruturas críticas exige investimento permanente, treinamento de equipes e mudanças institucionais de comportamento.

“É um trabalho diário. Exige governança, compliance e uma cultura permanente de segurança para que os órgãos públicos alcancem um nível adequado de proteção”, diz.

D’Urso afirma que a necessidade de investimento costuma gerar debates, mas considera inevitável que governos direcionem recursos para o setor. “Quando um sistema essencial é afetado, quem sofre as consequências é o cidadão. Para manter esses serviços funcionando com segurança é preciso investir.”

Ao comentar o episódio da Defesa Civil, Milagre avalia que as informações divulgadas até agora indicam uma possível fragilidade importante. As investigações apontam que os alertas teriam sido enviados a partir de credenciais vinculadas a agentes autorizados a emitir avisos apenas para o Pará.

“O que chamou atenção foi a possibilidade de um acesso desse tipo gerar disparos de grande alcance”, afirma.

Entre a noite de sexta-feira e a madrugada de sábado, moradores de seis capitais —São Paulo, Rio de Janeiro, Salvador, Belo Horizonte, Curitiba e Rio Branco— além de municípios de São Paulo, Rio de Janeiro, Mato Grosso do Sul e Distrito Federal receberam mensagens falsas por meio da plataforma nacional da Defesa Civil.

Para ele, mesmo quando um invasor consegue obter credenciais válidas, sistemas essenciais deveriam possuir mecanismos adicionais capazes de limitar os danos.