Os cibercrimes e as lições

Em dezembro de 2021, diversos sistemas do Ministério da Saúde foram alvo de ciberataques de grande escala. O ransomware (sequestro e resgate de dados) atingiu, entre outros, a Rede Nacional de Dados em Saúde (RNDS), que reúne todas as informações registradas por estados e municípios em seus atendimentos na ponta do Sistema Único de Saúde (SUS).

Mais de dois meses depois dos primeiros ataque, volumes imensos de dados ainda não foram recuperados – isso em meio a uma pandemia. Além de atrapalharem significativamente o monitoramento da Covid-19, os ataques fizeram com que informações sensíveis de milhões de brasileiros fossem parar em mãos desconhecidas, que podem dar a eles diversos usos perniciosos.

Até aqui, não há novidade: esses fatos foram amplamente noticiados na mídia nacional. O que pouco se comentou foi que não houve nenhuma grande ciência por parte dos hackers que cometeram o ataque. Os cibercriminosos não precisaram de níveis muito altos de sofisticação para fazer um golpe desse porte. Foi um ataque de ransomware padrão. E pela demora em recuperar os dados, ficou claro que o Governo Federal não estava preparado para uma situação desse tipo.

Para ara além das teorias da conspiração, há constatações importantes a observar nos ataques ao Ministério da Saúde. A primeira delas é que o meio corporativo foi mais impactado pela LGPD que o serviço público. Os ataques aos órgãos federais tiveram maior exposição midiática, mas ocorreram diversos outros crimes ou tentativas de crimes nas esferas estadual e municipal. Manaus (AM) e Vitória (ES) são duas das capitais cujos sistemas sofreram ataques significativos. Diversos municípios menores tiveram que lidar com situações que foram de uma aparente “trolagem” sem maiores consequências a roubo de mais de R$ 500 mil das contas públicas, como aconteceu em Euclides da Cunha Paulista (SP). Além, claro, de vazamentos de dados.

No primeiro semestre de 2021, ainda vimos diversos casos de empresas privadas sendo vítimas de cibercriminosos. Porém, a entrada em vigor da LGPD – e até mesmo esses ataques – tiveram grande impacto na preparação de uma arquitetura de segurança mais consistente, e maior esforço no aculturamento das equipes para adotar atitudes mais seguras.

A “virada de chave” que a LGPD e os ataques anteriores provocaram no setor privado parece não ter ocorrido em prefeituras, estados ou na União. Nessas instâncias, a vulnerabilidade e a baixa capacidade de recuperação de dados se tornaram evidentes.

Outra lição, essa mais urgente, é que, quanto maior a exposição de um tipo de dado na esfera pública, mais ele estará sujeito a ataques criminosos. Em plena pandemia do coronavírus e com os esforços para reforçar a imunização da população, não deveria surpreender que os dados da Saúde seriam um alvo preferencial de criminosos. Da mesma forma, as empresas privadas mais atacadas na primeira metade do ano passado têm todas projeção na esfera pública e operam dados sensíveis de seus clientes, como grandes redes de varejo e laboratórios de análises clínicas.

Não que empresas cujos serviços tenham menor projeção estejam isentas: elas simplesmente não são o alvo preferencial, mas certamente são um alvo.

O desafio não é pequeno, especialmente nos órgãos públicos. Mas não se pode esperar mais para se criar uma cultura de segurança. Em um ano que promete ser politicamente sensível e sujeito a intempéries, não se pode criar um clima que favoreça criminosos ou aqueles que querem tumultuar.

Fabio Ferreira, CTO e sócio-consultor da Lozinsky Consultoria; expert em infraestrutura tecnológica e sistemas