Mais de quatro meses depois, inquérito sobre ataque hacker a órgãos federais ainda não foi concluído
Governo federal afirma que aguarda conclusão das investigações para adotar possíveis medidas punitivas à Embratel, contratada para manter o serviço de ambiente de nuvem atacado em dezembro. Ataque cibernético a dados do ministério da Saúde faz mais de 4 meses
O ataque cibernético que apagou o ambiente de nuvem de pelo menos cinco órgãos federais em 10 de dezembro ainda não teve as investigações concluídas pela Polícia Federal.
Além da Saúde, CGU, PRF e IFPR também confirmaram invasão por grupo hacker
Questionada pelo Jornal Nacional na última sexta-feira (8), a PF afirmou que “as diligências realizadas durante a investigação não podem ser divulgadas, sob pena de comprometer o sigilo indispensável ao bom andamento das investigações”, e que “continua tratando o caso com máxima prioridade e pretende concluir as investigações no prazo mais breve possível”.
Outros órgãos confirmaram que aguardam o fim do inquérito para decidir se aplicarão medidas de punição contra a Embratel, empresa contratada para oferecer o serviço. A Secretaria de Governo Digital, do Ministério da Economia, informou que “abriu processo administrativo para apurar responsabilidades, identificar danos e aplicar sanções”, e que “esse processo se encontra em fase de instrução, aguardando as conclusões a serem apresentadas pela Polícia Federal, cuja investigação criminal está em curso”.
Em nota, a Embratel afirmou que, “por se tratar de uma investigação que está em andamento e sob sigilo, informações técnicas específicas estão sendo compartilhadas apenas com as autoridades competentes”.
Procurado sobre o rumo das investigações, o Gabinete de Segurança Institucional (GSI), que em dezembro acompanhou e orientou os órgãos federais atacados, afirma que “não tem competência legal para realizar investigação sobre o tema demandado”, porque “atua na normatização da segurança da informação no âmbito da Administração Pública Federal”.
A reportagem também ouviu cinco dos órgãos afetados: o Ministério da Saúde, a Controladoria-Geral da União (CGU), o Instituto Federal do Paraná (IFPR), a Escola Nacional de Administração Pública (Enap) e a Polícia Rodoviária Federal (PRF).
A CGU, o IFPR e a Enap afirmaram que enviaram informações à Polícia Federal, mas que até agora não foram chamados a prestar depoimento formal. Nos três casos, os serviços já foram 100% restaurados.
O IFPR informou que, antes do ataque, seus usuários do ambiente de nuvem mantinham níveis de segurança com autenticação de dois fatores, mas que isso não foi capaz de prevenir o ataque porque ele partiu de uma conta da empresa que intermediava o serviço tanto para o IFPR quanto para outros órgãos. Em nota, o instituto federal afirmou que “a Polícia Federal foi oficiada e abriu inquérito policial”, e que atualmente aguarda os procedimentos e encaminhamentos com relação à investigação. “Por enquanto, nenhum representante do IFPR foi chamado a prestar depoimento.”
A Enap informou que nenhum de seus representantes prestou depoimento sobre o caso e que “até o momento não existe previsão” de depoimentos à Polícia Federal. A CGU também afirmou que “Não houve depoimento” à Polícia Federal. “Mas notificamos a Polícia Federal e o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) [vinculado ao Gabinete de Segurança Institucional] e houve repasse de informações a esses órgãos ainda em dezembro/2021.”
A Política Rodoviária Federal respondeu, em nota, que a investigação do caso está sendo conduzida sob sigilo pela Polícia Federal. “Portanto, não poderemos prestar quaisquer esclarecimentos no momento.”
Ataque hacker ao ConecteSUS: computação na nuvem é segura? Entenda
Governo criou novas recomendações de segurança
Apesar de não comentar sobre as investigações, a Embratel disse em nota que “foram utilizadas as melhores práticas na prestação dos serviços, restabelecidos conjuntamente com o cliente e com a AWS, fornecedora dos serviços em nuvem”.
A Secretaria de Governo Digital (SGD) afirmou que, desde o ataque, não tem pago a empresa pelo serviço de nuvem, e que desde 10 de dezembro já divulgou entre 235 órgãos federais três novos guias de segurança e proteção de dados.
Entre as recomendações está instituir regras como a empresa contratada para prestar o serviço dever “comunicar formalmente” os setores de gestão de pessoas e de acessos “o desligamento ou saída do usuário (…) para que as permissões de acesso à Rede Local sejam canceladas”, e “somente os técnicos do [Setor responsável pela Tecnologia da Informação], devidamente identificados e habilitados, terão senha com privilégio de administrador nos equipamentos locais e na rede”.
Além da SGD, em 19 de janeiro, o GSI publicou uma série de recomendações de “revisão de procedimentos e ações efetivas” sobre ameaças, “particularmente para ambiente de nuvem (cloud), gestão de pessoas e vazamento de credenciais”.
Entre as medidas está “exigir Multi-Fator de Autenticação (MFA) para prestadores de serviços, inclusive para sistema em nuvem, sempre atendendo os critérios de uma política de privilégios mínimos” e “emitir documento formal aos fornecedores de serviços de TI, em particular aos em nuvem, solicitando a mudança de sua senha mestra e implementação de camadas adicionais de segurança que mitiguem o risco de uso desta senha de alto privilégio para ações maliciosas”.
Ataque hacker tira do ar site do Ministério da Saúde e o ConecteSUS
Usuários sem dose no ConecteSUS
Além da falta de respostas oficiais sobre como foi possível uma invasão simultânea de diversos ambientes de nuvens diferentes, até agora a população sofre com os efeitos do ataque. O Ministério da Saúde foi um dos órgãos mais afetados pelo ataque, com a derrubada de diversos sistemas que eram armazenados na nuvem (leia a íntegra da nota no fim da reportagem). Um deles era usado por milhares de profissionais da saúde diariamente: o Sistema de Informações do Programa Nacional de Imunização (SI-PNI), Módulo Covid-19.
Como o registro de novas doses era feito via nuvem, os aplicadores da vacina em todo o país ficaram semanas sem acessar o sistema ou sem conseguir integrar com a rede federal os registros de seus sistemas próprios.
O gerente de projetos Eduardo Manera precisou entrar na Europa em fevereiro desse ano, mas não tinha o comprovante de vacinação contra a Covid-19 atualizado pelo governo federal, apesar de ter tomado a terceira dose em 23 de dezembro em Barueri, na Grande São Paulo.
“Como eu não estava munido de um documento oficial do governo brasileiro eu imaginei que pudesse haver algum problema na imigração. Felizmente não houve. As autoridades europeias aceitaram o meu cartão de vacinação do estado de São Paulo”. A Prefeitura de Barueri informou que “o município não tem como controlar o envio de dados entre o Vacivida e o ConecteSUS” e que os dados foram registrados corretamente pela UBS, e orientou Manera a usar a versão paulista do comprovante de vacinação.
Mas nem todos os estados têm sistemas próprios de registro informatizado das doses. A arquivista Kássia Ribeiro, de 32 anos, mora em Maceió e tomou a terceira dose em 21 de dezembro. Ela afirmou que, naquele dia, os profissionais da saúde estavam anotando todas as doses novas em fichas em papel.
Até hoje, a dela ainda não apareceu no ConecteSUS, o sistema federal onde os cidadãos podem acessar e emitir a carteira de vacinação, documento oficial emitido em português, espanhol e inglês, e que inclui um QR-Code para verificação das informações.
“Para eu poder voltar ao trabalho presencial eu tive que comprovar as vacinas e encaminhei tanto o cartão físico digitalizado quanto o que estava disponível no aplicativo apenas com as duas doses, para não ter nenhum tipo de problema”, explicou ela.
A enfermeira paraense Lenna Madureira, de 34 anos, tomou a decisão de procurar as autoridades para garantir que a terceira dose dela, aplicada também em 21 de dezembro. “Esperei em torno de um mês para ver se aparecia no sistema ConectSUS. Não apareceu. Então entrei em contato por e-mail com o Ministério da Saúde”, afirmou ela, que aguardava o documento para encaminhado à universidade em que faz o doutorado.
Na resposta, o órgão afirmou que “após o incidente sofrido no dia 10/12/21, o Ministério da Saúde vem restabelecendo de forma gradual os sistemas afetados”, pedindo para que ela verificasse “novamente seus dados em alguns dias”. Lenna afirma ter seguido a orientação. “Mas não foi o que aconteceu. Aí em fevereiro entrei em contato com a Secretaria Municipal de Saúde aqui de Belém, informando tudo o que aconteceu comigo. Depois de quatro semanas aproximadamente eu finalmente consegui a atualização no sistema do ConecteSUS.”
Por sua vez, João Pedro Pereira, professor de matemática em Brasília, disse que atualmente não planeja fazer nenhuma viagem internacional por enquanto. “Só a questão, mesmo, de ter que ficar carregado o comprovante de papel e morrendo de medo de perder ele, porque se perdesse ele, até para poder reclamar depois que a vacina não está aparecendo fica difícil.”
Ele chegou a procurar no posto em que tomou o reforço em 17 de dezembro. “O que eles me falaram é que os dados ficaram represados lá, porque o sistema ficou fora do ar durante um tempo por conta do ataque. Então eles disseram que acabou acumulando os dados lá, e esses lançamentos acabaram atrasando. Só que está até agora e eles não atualizaram”, afirmou ele.
Acompanhamento dos dados da pandemia
Outro serviço que ainda não voltou totalmente ao patamar de antes do ataque é o Opendatasus, a página na qual o Ministério da Saúde divulga bases de dados públicas que se tornaram ainda mais relevantes durante a pandemia, como o e-SUS, de notificação de casos leves de Covid-19, o Sivep-Gripe, de notificação de internações de casos graves da doença, e os dados de cada dose de vacina contra o novo coronavírus aplicada no Brasil.
Antes do ataque, havia um total de 18 conjuntos de dados. A página ficou fora do ar durante várias semanas e, até hoje, tem apenas 13 conjuntos de dados. Além disso, os dados do e-SUS e da vacinação, que eram atualizados diariamente, passaram a receber atualizações quinzenal e semanal, respectivamente.
Para Marcelo Gomes, epidemiologista da Fiocruz e coordenador do InfoGripe, a falta de consistência nas bases de dados “impacta, porque a gente fica com essa informação incompleta, descolada da realidade, do que de fato está acontecendo”. Segundo ele, “isso acaba gerando um impacto justamente nessas análises que vão embasar o nosso entendimento a respeito do nível de proteção que nós temos, e que nós precisamos de alguma forma alterar o nosso calendário vacinal para melhorar a nossa cobertura e o nosso nível de proteção”.
Após ser procurado pela TV Globo na noite desta segunda-feira (11) e questionado sobre as mudanças de atualizações no Opendatasus, sobre se representantes dos órgãos já foram ouvidos em depoimentos à Polícia Federal, e sobre as doses de vacina que até agora não apareceram no Opendatasus, o Ministério da Saúde alterou esses dois conjuntos de dados, que agora indicam que recebem atualizações diárias.
Em nota, informou que “as plataformas já foram restabelecidas após o ataque cibernético, sem prejuízo à população, e nenhum dado foi perdido. Já a atualização da vacinação da Covid-19 e influenza ocorre diariamente”. Disse ainda que “notificou as autoridades competentes logo que identificou o incidente e segue apoiando as investigações”.
Veja abaixo como a base de dados de vacinação era sistematizada no Opendatasus em três momentos: 5 de dezembro, cinco dias antes do ataque, em 26 de março, e na tarde desta terça (12):
Base de dados de vacinação no Opendatasus em 5 de dezembro
Reprodução
Base de dados de vacinação no Opendatasus em 26 de março
Reprodução
Sistematização da base de dados do OpenDataSUS
Reproduçãog1 > EconomiaRead More