DataSUS e cibersegurança: novos ataques, mesmos problemas

O Brasil adentrou o ano de 2022 sentindo os efeitos de um ciberataque que afetou diversos sistemas mantidos pelo Ministério da Saúde, comprometendo sua disponibilidade. O incidente chamou atenção não apenas por sua gravidade, intensificada em virtude do contexto pandêmico, mas também pela morosidade e pela ineficiência das autoridades responsáveis por assegurar a normalização da situação. No post de hoje, busco refletir sobre as circunstâncias que envolveram as respostas ao episódio, bem como sobre a importância de medidas que abordem as causas estruturais da insegurança, para além da mera responsabilização individual.

O ataque ao DataSUS e a ineficiência da resposta do governo

Em 2021, comecei o ano escrevendo sobre o que era, até então, o maior vazamento de dados da história do Brasil, um incidente de segurança que afetou mais de 220 milhões de pessoas. Naquela ocasião, vi com certo otimismo a mobilização de instituições como a Autoridade Nacional de Proteção de Dados, a Secretaria Nacional do Consumidor e o Procon-SP. O vazamento representava um teste para a política pública de proteção de dados que o país vinha construindo ao longo da década passada.

Por consequência, começar 2022 tematizando novamente uma falha de segurança da informação envolvendo dados pessoais tratados pelo poder público é uma experiência um pouco frustrante, sobretudo dada a gravidade do caso. Adentramos o ano ainda sob os efeitos do ataque à rede interna do DataSUS em dezembro, que comprometeu o acesso a diversas plataformas mantidas pelo Ministério da Saúde, incluindo ConecteSUS, Painel CoronaVírus, o Open DataSUS e o E-SUS Notifica. Todas essas aplicações desempenham funções importantes no acompanhamento da pandemia, como a emissão do certificado de vacinação contra covid-19 e o monitoramento de dados epidemiológicos do país.

Em meio à alta de casos decorrentes da propagação da variante ômicron, os danos resultantes pela indisponibilidade dessas plataformas são inestimáveis. O E-SUS Notifica, por exemplo, é utilizado por municípios e entes privados para comunicação de casos positivos ao Ministério da Saúde. Sua indisponibilidade contribuiu para um apagão de dados epidemiológicos, o qual prejudicou diretamente as capacidades de resposta dos gestores públicos à evolução do quadro pandêmico no país.

Se o episódio reforçou a importância da proteção de dados pessoais no setor público, ele também evidenciou o quão lentamente estamos avançando na segurança dos dados tratados pelo Estado. Foi especialmente notória a ineficiência do governo federal na gestão dos incidentes: treze dias foram necessários para a normalização do acesso à plataforma ConecteSUS, por exemplo, e a reintegração dos sistemas atingidos ainda estava em processo mesmo um mês após os ataques.

Problemas sistêmicos demandam soluções sistêmicas

A morosidade na normalização dos sistemas afetados não é, no entanto, mero reflexo da inaptidão do governo federal na gestão do incidente. Ela é a expressão de uma redução progressiva do orçamento e do efetivo do DataSUS ao longo dos últimos anos, uma tendência cujo efeito geral é uma precarização da segurança dos sistemas e das informações neles tratadas. Frente à nossa crescente dependência da interface digital para a execução das políticas públicas, inclusive as de saúde, o país deveria priorizar uma ampliação do investimento em cibersegurança, não o oposto.

Apesar disso, os discursos do Ministro da Saúde, Marcelo Queiroga, e do diretor do DataSUS, Merched Cheheb, parecem minimizar ou se omitir em relação a tais problemas estruturais. Em vez disso, preferem centrar suas falas públicas na responsabilização penal dos atacantes maliciosos que perpetuaram a invasão. Trata-se de uma manobra política tipicamente neoliberal e já descrita pelo antropólogo Loic Wacquant: remediar as consequências indesejadas do sucateamento da máquina pública a partir de uma racionalidade individualista e punitivista, que pouco ou nada de efetivo faz em relação a suas causas sistêmicas.

Os efeitos dessa lógica são tradicionalmente mais visíveis no âmbito da persecução penal tradicional, mas a tendência é que sejamos forçados a confrontá-los cada vez mais na arena da segurança da informação. Isso porque à medida que nossos sistemas se tornam mais complexos, eles também se tornam progressivamente mais vulneráveis, e atacantes maliciosos desenvolvem métodos cada vez mais sofisticados de exploração de suas falhas. Por essas razões, já é costumeiro falar de um “paradigma da resiliência” no campo da cibersegurança: a questão não é se nossos sistemas serão comprometidos, mas quando eles o serão, quais serão os danos e de que medidas (preventivas e reativas) podemos lançar mão quando vierem a cabo.

Nesse sentido, uma política efetiva de prevenção e mitigação de risco necessariamente envolve ampliação dos investimentos em cibersegurança, capacitação de pessoal, coordenação interinstitucional e implementação de medidas basilares de segurança. Tais medidas devem incluir a atualização regular de credenciais de autenticação, uso de autenticação em duas etapas, estabelecimento de rotinas habituais de backups seguros e revisão dos procedimentos de controle de acesso. Vale lembrar que a administração pública brasileira é uma das mais afetadas no mundo por vazamentos de senhas.

Precisamos efetivar os instrumentos normativos desenvolvidos

Se, por um lado, as respostas do governo federal aos incidentes suscitam desapontamento, por outro, nem tudo está perdido. No plano normativo, os últimos anos foram marcados por alguns avanços notáveis no que diz respeito à proteção de dados pessoais e à segurança das informações. A Lei Geral de Proteção de Dados, em vigor desde 2020, por exemplo, determina que os agentes de tratamento adotem medidas para proteger os dados pessoais de incidentes de segurança (art. 46). Além disso, o direito fundamental à proteção de dados pessoais já foi reconhecido pelo STF e está em vias de inclusão textual na Constituição Federal.

Em julho do ano passado, tivemos também a publicação do Decreto nº 10.748/2021, que institui a Rede Federal de Gestão de Incidentes Cibernéticos. A norma visa estimular a cooperação e a prevenção de riscos de segurança da informação no âmbito da administração pública federal, ampliando a resiliência de seus sistemas.  Similarmente, desde 2018 o país conta com uma Política Nacional de Segurança da Informação, estabelecida pelo Decreto nº 10.222/2020, e que se busca implementar por meio da Estratégia Nacional de Segurança da Informação e de outros planos nacionais.

Ainda que os avanços sejam parciais e gradativos, esses instrumentos representam um reconhecimento social crescente da importância adquirida pela segurança no período de digitalização acelerada que vivemos. O que os ataques recentes têm visibilizado é a ineficácia reservada a tais normativas, caso não se conectem a decisões orçamentárias e esforços políticos dos gestores para que o tema seja tratado com a prioridade que demanda.

É preciso fazer mais

Incidentes de segurança que afetam dados pessoais são uma parte incontornável da vida digitalizada: dados vazam, sistemas saem do ar e informações são acessadas por terceiros não-autorizados. Conforme apostamos mais e mais na tecnologia digital como infraestrutura do serviço público, essa infraestrutura se torna mais vulnerável a diversos tipos de ataques. Nesse contexto, a retórica punitivista e individualista recentemente observada na resposta do governo federal ao ataque ao DataSUS pouco ou nada contribui com uma melhora efetiva na segurança da população. 

Para terminar, quero recordar que o incidente de dezembro de 2021 sequer foi o primeiro que afetou a pasta da saúde no ano passado. Em fevereiro, quando o site do ministério foi afetado por uma ocorrência anterior, o atacante alterou a interface da plataforma a fim de exibir uma mensagem criticando sua segurança e fazendo um pedido: “Favor levar a sério os assuntos de segurança da informação. Bolsonaro !, dá um jeito aí !”. Ao escrever sobre o tema em fevereiro de 2022, me resta repetir o apelo, estendendo-os à totalidade do poder público: favor levar a sério os assuntos de segurança da informação. Autoridades, dêem um jeito aí.

Se interessou pelos temas de segurança da informação no poder público? Assista ao workshop organizado pelo IRIS no Fórum da Internet no Brasil de 2021 sobre o tema.

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.