ConecteSUS: negligência e terceirização da segurança

Derrubado por hackers, site com informações sobre a vacinação está há 11 dias fora do ar. Especialistas apontam série de erros na contratação de serviços privados de infraestrutura tecnológica para hospedagem de dados públicos

.

Por Paulo Motoryn, no Brasil de Fato

O ataque cibernético que derrubou o site do Ministério da Saúde e o aplicativo ConecteSUS, que fornece o Certificado Nacional de Vacinação Covid-19, completou 11 dias nesta terça-feira (11) marcado pela falta de transparência por parte do governo federal. A constatação é de especialistas da área de tecnologia da informação ouvidos pela reportagem.

Os profissionais apontam que uma série de perguntas essenciais para compreensão do caso segue sem resposta. Apesar da falta de informações claras para análise do episódio, os especialistas afirmam que o ataque se deve a uma série de erros na contratação de serviços privados de infraestrutura tecnológica para hospedagem de dados públicos.

Em 2020, o Brasil de Fato mostrou que a aquisição de serviços de armazenamento de dados em nuvem é vista por profissionais da área como um risco à soberania brasileira. Os especialistas apontam que as capacidades das empresas estatais Serviço Federal de Processamento de Dados (Serpro) e Empresa de Tecnologia e Informações da Previdência (Dataprev) não são levadas em consideração nesse tipo de contratação.

O ataque aos dados da Saúde ocorreu justamente em uma infraestrutura de nuvem privada contratada da empresa Primesys, uma subsidiária da Embratel, em 2018 pelo Ministério do Planejamento (hoje, incorporado ao Ministério da Economia). Segundo informações da empresa, o acordo com o governo brasileiro não incluiu serviços de segurança, apenas de hospedagem.

Em nota, a Embratel explica: “O edital e a ata de registro de preços não incluíram serviços de segurança de dados de nossa empresa”. A empresa afirmou ainda que, “por questões contratuais”, não comenta temas relacionados a clientes e que está “apoiando os órgãos do governo nas suas necessidades técnicas”.

A contratação chegou a ficar paralisada durante meses após recurso por parte de empresas concorrentes no pregão, que depois foi rejeitado pelo ministério. O valor total do contrato pelos primeiros 30 meses foi de quase R$ 30 milhões, e incluíam serviços de computação em nuvem, serviços técnicos especializados e treinamento. Após a entrada em vigor do contrato, os órgãos federais passaram a poder contratar o serviço por meio da adesão à Ata de Registro de Preços.

A diretora da Open Knowledge Brasil, Fernando Campagnucci, faz críticas ao modelo utilizado pelo Executivo federal na contratação: “Licitações como essa precisam ser bem modeladas -o menor preço não deve ser a única régua aqui. Se a ideia é contratar infraestrutura como serviço, e se tem intermediária, as responsabilidades precisam ficar claras. O provedor é responsável por atualizações de segurança, por exemplo”.

“Mas é isso que queremos? Delegar completamente as decisões sobre infraestruturas públicas a terceiros — e o pior, neste caso, aparentemente deixar essa responsabilidade no limbo? “A falta de transparência sobre o plano de resposta a incidentes seria por que não existe um [plano de resposta a incidentes]?”, questiona Campagnucci.

Segundo ela, é provável que os dados da vacinação não tenham sido perdidos, como afirma o Ministério da Saúde. A especialista aponta, contudo, que não é possível fazer tal afirmação com certeza, pois há uma lacuna de informações a serem prestadas pelo governo.

“Deve haver redundância ou backup dos dados, mas não sabemos, não há transparência sobre a infraestrutura. E essa segurança pela ‘obscuridade’ é uma visão ultrapassada que obviamente não tem dado certo. A política de segurança e de guarda dos dados numa infraestrutura pública tem de ser objeto de discussão e transparência quanto qualquer outra”, conclui.

O especialista em segurança digital Fábio Rangel diz que o caso demonstra amadorismo do Executivo no tema, mas que não pode ser atribuído apenas ao governo do presidente Jair Bolsonaro (PL): “Não podemos dizer que é um problema da atual gestão do governo federal, pois esse tipo de contratação tem sido uma prática recorrente há alguns anos. O próprio serviço que levou ao apagão do ConecteSUS foi contratado em 2018”. 

“O que leva o ConecteSUS estar fora do ar é a contratação incompleta e incorreta do serviço da subsidiária da Embratel, sem inclusão de uma estratégia de segurança, mas o buraco é mais embaixo. Falta uma política de Estado que aponte para a soberania e que não ignore a capacidade estatal de proteger e administrar dados públicos”, aponta Rangel. 

Entenda o caso

A autoria do ataque cibernético foi assumida por “Lapsus$ Group”. O grupo disse que os dados dos sistemas foram copiados e excluídos. “Nos contatem caso queiram o retorno dos dados”, dizia a mensagem dos autores do ataque nas páginas do ministério.

O Ministério da Saúde afirma que o Gabinete de Segurança Institucional (GSI) e a Polícia Federal foram acionados pela pasta para apoiarem nas investigações sobre o caso. “O Departamento de Informática do SUS (Datasus) está atuando com a máxima agilidade para o restabelecimento das plataformas”.

Leia Também: