Pelo menos quatro órgãos além do Ministério da Saúde confirmaram ter sido vítimas de invasão na última sexta-feira (10), e o governo diz que, em alguns casos, houve ‘uso de perfis legítimos de administrador’.
Assista matéria na íntegra, clique aqui.
A Embratel, empresa que faz a intermediação do serviço de nuvem invadido na última sexta-feira (10), afirmou em nota à TV Globo nesta terça-feira (14) que “não há evidências, até o momento, de que o ataque tenha partido de funcionário ou ex-funcionário da Embratel”. No início da noite desta terça, cinco dias após a invasão, mais de um órgão seguia com parte dos sistemas indisponíveis, incluindo o ConecteSUS, do Ministério da Saúde, usado para emitir o certificado de vacinação contra a Covid-19.
Além da Saúde, a Controladoria Geral da União (CGU), a Polícia Rodoviária Federal (PRF) e o Instituto Federal do Paraná (IFPR) já tinham confirmado, até esta segunda (13), que tiveram seus sistemas na nuvem invadidos, com parte dos serviços temporariamente indisponibilizados. Nesta terça, a Escola Nacional de Administração Pública (Enap) também confirmou a invasão.
“Houve indisponibilidade temporária de serviços da Escola Virtual de Governo e Infogov (já restabelecidos) e Repositório Institucional, que em breve estará disponível ao usuário”, informou a Enap, em nota à TV Globo.
A reportagem questionou o Gabinete de Segurança Institucional da Presidência da República (GSI-PR), a Secretaria de Governo Digital (SGD), a Polícia Federal e a Embratel sobre quais órgãos sofreram invasão, mas nenhuma das instituições respondeu.
Ataques duraram várias horas
A Polícia Federal afirmou que “não se manifesta sobre investigações em andamento”. Mas, de acordo com as informações apuradas pela reportagem, a invasão durou várias horas ao longo da sexta-feira (10).
Os serviços do Ministério da Saúde saíram do ar na madrugada de sexta. Segundo a Enap, o ataque aos sistemas da escola ocorreu por volta das 16h40.
Já o Instituto Federal do Paraná disse que sofreu o ataque por volta das 17h40. A CGU, por sua vez, relatou que a invasão ocorreu por volta das 18h.
Responsabilidade pela segurança dos dados
Os três órgãos contrataram o serviço da Embratel. A empresa diz que “a administração dos ambientes de infraestrutura com serviço é realizada por cada órgão do governo que contrata o serviço” e que ela atua como “broker de Infraestrutura como Serviço (IaaS)”, fazendo uma intermediação entre os órgãos federais e a AWS. “Os dados dos clientes estão hospedados em nuvem pública da AWS”, afirmou a empresa.
Segundo a Embratel, sua função não inclui a segurança de dados. “Não fomos contratados para este serviço”, afirmou a empresa na noite de segunda sobre a segurança das informações. “O edital e a ata de registro de preços não incluíram serviços de segurança de dados de nossa empresa.”
Na terça à tarde, a Embratel disse que “sempre à disposição para ajudar o Ministério em demandas técnicas” e voltou a afirmar que “empresa não é responsável pela segurança dos dados ou pela gestão operacional do ambiente tecnológico do Ministério da Saúde e demais órgãos do Governo”.
Pelo menos no caso do contrato da CGU para usar o serviço de nuvem, uma das cláusulas diz que a contratada deverá adotar todas as medidas necessárias para assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações a serem tratadas na nuvem.
Na noite de terça, a Embratel emitiu mais uma nota, reiterando que “a Embratel não faz a gestão operacional do ambiente tecnológico dos órgãos do Governo indicados pela reportagem” e afirmando, ainda, que “não foi demandada para prestação de serviços de segurança para a CGU, oferecidos sob demanda conforme previsto em contrato, uma vez que podem existir outras soluções internas e de mercado contratadas pelo Governo”.
O que diz o governo federal
O Jornal Nacional procurou ainda a Secretaria de Governo Digital (SDG), que informou, em nota, que “a empresa contratada no pregão 29/2018 tem responsabilidades sobre a segurança e salvaguarda das informações sob sua custódia, em nuvem, conforme descrito no contrato”.
O pregão 29/2018 foi realizado no fim de 2018 com o objetivo de contratar uma empresa para prestar o serviço de “broker”, ou seja, de intermediação entre o governo federal e o serviço de nuvem. Nesse caso, o serviço é fornecido pela empresa americana AWS.
A empresa vencedora do pregão, chamada Primesys, é uma subsidiária comprada pela Embratel em 2005 e que posteriormente foi incorporada pela empresa.
O Gabinete de Segurança Institucional da Presidência da República (GSI-PR) já havia confirmado, em um alerta emitido aos órgãos federais, que “alguns casos de intrusão têm ocorrido com o uso de perfis legítimos de administrador, o que dispensa, ao atacante, ações para escalar privilégios”.
O alerta não especificou de quais órgãos seriam os perfis identificados, mas a primeira recomendação dada pelo GSI foi “bloquear imediatamente senhas de servidores e colaboradores que estejam afastados (em férias, licenças, demissão etc.) e usuários com inatividade superior a 3 meses”.
Questionado sobre quais órgãos foram afetados e se existe suspeita de envolvimento de algum perfil da intermediadora foi usado na invasão, o Departamento de Segurança da Informação (DSI) do GSI disse que “o fornecimento das informações solicitadas implicaria em comprometimento de segurança dos órgãos públicos que reportam, frequentemente, ao CTIR Gov [Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo], os incidentes cibernéticos, em caráter de confiança e de colaboração”.
O que é e para que serve o sistema de nuvem
O especialista Cyrano Rizzo explica que o sistema de nuvem é o armazenamento de dados fora do computador em servidores conectados à internet. Quando esse serviço é acessado, o usuário consegue enviar seus arquivos pela internet e deixá-los guardados em segurança em questão de segundos.
Segundo ele, a solução da nuvem serve para aumentar a qualidade e reduzir os cursos de uma operação. “Como você trabalha dentro de um ambiente compartilhado, o custo total daquele equipamento é fracionado, na parcela em que você utiliza, em detrimento do tempo. Então a computação em nuvem acaba sendo uma solução mais acessível e com um custo muito menor”, diz Rizzo.
“O grande impacto que tem é que, quando ela falha, quando essa computação em nuvem é afetada por algum motivo, isso vai impactar muito os usuários porque eles estão compartilhando esses mesmos recursos”, afirmou ele.
No caso de serviços de nuvem do poder público, os cuidados com a segurança precisam ser ainda maiores, ressaltou o especialista. “O foco de ataque é um pouco maior, porque existe a intenção.”
A advogada de direito digital Patrícia Peck ressalta ainda que ataques como o que ocorreu na última sexta “revela sim que estamos com nosso sistema vulnerável”. Segundo ela, o ambiente de nuvem dos órgãos federais deveria estar muito mais protegido.
“A invasão com a possibilidade de tornar indisponível toda essa rede e alcançar não só uma instituição, mas mais de uma, revela que o nosso nível de segurança cibernética está realmente aquém do que deveria, considerando a necessidade de garantir e proteger as informações dos cidadãos.”
Íntegra da nota da Embratel:
“Respondendo à solicitação do Jornal Nacional, informamos que cumprimos com todos os requisitos contratuais e adotamos as melhores práticas de mercado de segurança da informação para garantir a nossa atuação como broker, incluindo a segurança e salvaguarda das informações sob nossa custódia.
Conforme informamos anteriormente, a Embratel não faz a gestão operacional do ambiente tecnológico dos órgãos do Governo indicados pela reportagem e não foi demandada para prestação de serviços de segurança para a CGU, oferecidos sob demanda conforme previsto em contrato, uma vez que podem existir outras soluções internas e de mercado contratadas pelo Governo.”
Íntegra da nota da Secretaria de Governo Digital:
“A Secretaria de Governo Digital (SGD) do Ministério da Economia informa que orientou todos os órgãos da administração pública federal a reforçarem os mecanismos de prevenção a ataques cibernéticos e a comunicarem o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, à Polícia Federal e à Autoridade Nacional de Proteção de Dados (ANPD) caso tenham sofrido tentativas de ataques desde a última sexta-feira (10).
Neste momento, as equipes de segurança cibernética do governo federal estão voltadas ao restabelecimento de ambientes virtuais eventualmente indisponibilizados e a maior parte deles já foi recuperada.
A SGD esclarece que a empresa contratada no pregão 29/2018 tem responsabilidades sobre a segurança e salvaguarda das informações sob sua custódia, em nuvem, conforme descrito no contrato.
A Secretaria reitera que ataques cibernéticos são ações criminosas e que está auxiliando as investigações da Polícia Federal, em ação coordenada com o Gabinete de Segurança Institucional da Presidência da República. Medidas de proteção foram reforçadas para coibi-los.”
Por Ana Carolina Moreno, Malu Mazza, Sheila Natal e Wanda Alviano. Veiculado originalmente no Jornal Nacional.