A falha digital usada para justificar a falha nas vacinas

Ex-assessor de Pazuello, Elcio Franco afirmou que arquivos maliciosos nos sistemas do Ministério da Saúde prejudicaram negociações com a Pfizer. Episódio vem se somar aos indícios de que o governo ignorou a farmacêutica

O Nexo é um jornal independente sem publicidade financiado por assinaturas. Este conteúdo é exclusivo para nossos assinantes e está com acesso livre como uma cortesia para você experimentar o jornal digital mais premiado do Brasil. Apoie nosso jornalismo. Conheça nossos planos. Junte-se ao Nexo!

Um vírus infectou a rede de computadores do Ministério da Saúde e dificultou as negociações com a Pfizer para a compra de vacinas contra a covid-19. Essa foi a justificativa do coronel da reserva Elcio Franco, que atuou no órgão como assessor do ex-ministro Eduardo Pazuello, dada à farmacêutica americana, conforme emails revelados na segunda-feira (24) pela TV Globo.

“Informo que, em virtude de um problema de vírus em nossa rede do Ministério da Saúde, estamos com uma série de dificuldades de conexão em rede e abertura de emails, o que dificultou ou até impediu o acesso aos arquivos enviados até a presente data, assim como sua respectiva análise”, escreveu Franco em 10 de novembro de 2020, em mensagem enviada à Pfizer.

A farmacêutica fez o primeiro contato com o governo federal em março de 2020, na esteira do início da pandemia de covid-19, já sinalizando a gravidade da situação, com o anúncio de que a empresa buscava soluções para o problema.

Cinco meses depois, em agosto, a Pfizer entrou em contato com o governo, propondo a compra de doses da vacina, que já estava com o desenvolvimento encaminhado. Segundo o jornal Folha de S.Paulo, 10 emails foram ignorados entre 14 de agosto e 12 de setembro.

Em novembro, quando Franco afirmou que a rede foi infectada, a Pfizer tentava novamente vender doses da vacina para o Brasil. A falta de respostas dentro do prazo fez com que o imunizante fosse vendido para outros países interessados.

Além da Saúde, os emails da Pfizer para as negociações de compra de vacina foram enviados a outros setores do governo, como o Ministério da Economia e a própria Presidência da República. A farmacêutica também não obteve resposta por parte desses órgãos.

A suspeita de que houve um ataque no Ministério da Saúde se junta a outros episódios recentes que expuseram vulnerabilidades digitais de órgãos públicos do país e, em sua maioria, acarretaram em vazamentos massivos de dados. Especialistas afirmam que faltam medidas de cibersegurança por parte do governo diante de riscos graves. Em casos extremos, ciberataques podem gerar prejuízos bilionários e ameaçar o abastecimento de bens e serviços de um país.

O apagão de dados de novembro de 2020

À época das mensagens, o coronel comunicou à imprensa que havia indícios de que o órgão tinha enfrentado um ataque cibernético, que seria a principal causa de um “apagão de dados” na atualização dos números de casos e mortes por covid-19.

Era o segundo apagão de dados federais, aliás, na pandemia de covid-19. O primeiro havia ocorrido cinco meses antes, em junho de 2020, mas por uma decisão deliberada do Ministério da Saúde. Decisão da qual o governo acabou depois recuando.

Na ocasião do segundo apagão, detalhes de como o ataque ocorreu e os problemas que causou não foram fornecidos, sob alegação de que poderiam comprometer a integridade da segurança do ministério.

Quem cuida da segurança digital no Brasil

O principal órgão de atuação na segurança digital de órgãos públicos no Brasil é o GSI (Gabinete de Segurança Institucional), ligado à Presidência da República.

Dentro do gabinete, o tema é abordado por dois departamentos distintos: a Assessoria Especial de Segurança da Informação e a Abin (Agência Brasileira de Inteligência).

Ambos têm em suas competências monitorar sistemas digitais públicos, apurar incidentes e vulnerabilidades e elaborar diretrizes de segurança cibernética a serem seguidas pela administração pública federal. Estados e municípios têm jurisdição para seguirem suas próprias políticas na área.

O Nexo entrou em contato por email e telefone com o gabinete em busca de esclarecimentos sobre o possível ataque no Ministério da Saúde, mas não obteve respostas até a tarde de terça-feira (25). O jornal também tentou contato com o próprio Ministério da Saúde, sem respostas.

Infecção de rede é possível e comum

A infecção de uma rede inteira não só é possível, como também é algo corriqueiro. O caminho mais comum para isso acontecer é a partir da infecção de um modem ou de um roteador Wi-fi com um arquivo malicioso, que é distribuído para todos os dispositivos que estão instalados naquela determinada rede.

É um cenário relativamente simples de ser evitado, na maioria das vezes. A execução periódica de sistemas antivírus, a atualização dos softwares do modem/roteador e a limitação do acesso a sites e páginas consideradas suspeitas já é o suficiente para evitar uma contaminação massiva.

Essas práticas foram determinadas legalmente por uma portaria publicada pelo GSI em 2014, que também exige revisões periódicas das diretrizes, visando alinhá-las com os avanços tecnológicos.

Em 95% dos casos de ciberataque, a infecção se dá por erros humanos, como o acesso a um link suspeito ou um descuido com o armazenamento de uma senha pessoal. Como são poucas as informações disponíveis sobre o caso do Ministério da Saúde, não é possível determinar o que ocorreu.

O Nexo questionou o GSI se outros ministérios e secretarias passaram pelo mesmo problema na época do relato feito por Franco, mas não obteve esclarecimentos.

O estrago que uma infecção pode causar

Não se sabe qual tipo de vírus teria infectado o Ministério da Saúde, e nem como ele teria atingido toda a rede da pasta. Apesar da falta de informações, é consenso entre os especialistas em cibersegurança que uma infecção massiva poderia causar um estrago de grandes proporções.

Um relatório publicado pelo Fórum Econômico Mundial em 2020 colocou ataques cibernéticos e o comprometimento de estruturas de informação como um dos 10 maiores fatores de risco para o futuro da humanidade.

Em cenários completamente catastróficos, um ataque poderia comprometer a economia e o abastecimento de um país, com prejuízos bilionários.

Algo parecido aconteceu nos Estados Unidos no início de maio, quando um grupo hacker “sequestrou” milhares de dados da empresa Colonial, responsável pela administração do maior oleoduto do país, responsável por 45% da distribuição nacional de combustível. A partir de um vírus do tipo ransomware, a companhia perdeu o acesso às informações internas.

Após dias de negociações, a Colonial pagou cerca de US$ 5 milhões em bitcoins para ter os arquivos de volta. Durante as tratativas do “resgate”, parte dos estados americanos ficou sem receber novos barris de gasolina, causando uma alta nos preços. O sistema aéreo americano também foi prejudicado, com voos cancelados e escalas maiores pela falta de combustível.

Tivesse ocorrido no primeiro trimestre do ano auge do inverno do Hemisfério Norte – o ataque ao oleoduto poderia causar interrupção no abastecimento elétrico dos EUA e resultar em mortes por hipotermia, já que não haveria energia para os aquecedores, de acordo com uma análise publicada pelo colunista Nick Martin, da revista The New Republic.

O governo e a segurança digital

Tem crescido o número de ciberataques em órgãos oficiais do governo federal. Também em novembro de 2020, o Superior Tribunal de Justiça foi alvo de um “sequestro” de dados, o que levou o ministro Humberto Martins, presidente da corte, a interromper os trabalhos e acionar a Polícia Federal.

Um mês depois, uma falha no Ministério da Saúde expôs dados médicos de 243 milhões de brasileiros incluindo pessoas já mortas. Detalhes da vulnerabilidade não foram esclarecidos ao público na ocasião.

O Nexo verificou que, em 2020, o Gabinete de Segurança Institucional não fez investimentos para a implementação concreta ou reforço nos sistemas de segurança digital do governo.

De acordo com dados públicos do Portal da Transparência, as licitações destinadas aos times de cibersegurança entre janeiro de 2020 e janeiro de 2021 somaram R$ 39,3 mil, com a maior parte do valor sendo destinada à inscrição de servidores em cursos de capacitação. A verificação foi feita a partir da análise de uma tabela que reuniu todas as licitações do GSI no ano de 2020, identificando aquelas destinadas aos departamentos de segurança da informação. Não há informações públicas disponíveis se o órgão iniciou ou deu andamentos a projetos internos na área que não necessitaram de gastos adicionais, e o gabinete também não respondeu a esse questionamento.

Ao mesmo tempo, o período foi o que mais registrou notificações de possíveis incidentes e vulnerabilidades nos sistemas do governo, segundo estatísticas divulgadas pelo CTIR (Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo): foram 24.302 ao todo, o maior número desde a criação do órgão, em 2004. Dessas, 7.804 foram confirmadas, o segundo maior número já registrado, ficando atrás apenas de 2016.

Os dados do CTIR englobam invasões, ataques que visam derrubar o site temporariamente e o chamado abuso de sítio, quando uma página é desfigurada pelos hackers.

Também entre janeiro de 2020 e janeiro de 2021, o GSI não firmou nenhum contrato de prestação de serviços por empresas terceirizadas para o departamento.

O Brasil e a segurança digital

Internacionalmente, o Brasil é reconhecido como deficitário na área. O país atualmente ocupa a 70ª posição no Índice Global de Cibersegurança da ONU (Organização das Nações Unidas), estando atrás de países menos desenvolvidos, como Nigéria, Cazaquistão e Uganda.

A pesquisa para a elaboração do índice é realizada anualmente, e mede o nível de comprometimento dos países com a segurança cibernética por meio de políticas públicas e ações estratégicas. Em 2017, no primeiro ano da análise, o Brasil estava na 38ª posição do ranking. A queda perante o cenário global indica que o tema foi deixado de lado ao longo dos anos.

Mesmo sem ações concretas em 2020 e 2021, o GSI e o governo federal prometem estratégias para melhorias na cibersegurança nacional.

Em fevereiro de 2020, o presidente Jair Bolsonaro assinou o decreto 10.222, que estabelece a Estratégia Nacional de Segurança Cibernética, a ser implementada até 2023.

O texto diz que o objetivo da iniciativa é “tornar o Brasil mais próspero e confiável no ambiente digital, aumentar a resiliência brasileira às ameaças cibernéticas e fortalecer a atuação brasileira em segurança cibernética no cenário internacional”, por meio da criação de diretrizes a serem seguidas nacionalmente (tirando a autonomia de estados e municípios) e da ampliação de legislação sobre o tema.

Especialistas em cibersegurança, contudo, veem problemas na estratégia. Em abril de 2021, o think tank Instituto Igarapé, que tem a segurança digital como uma de suas áreas de atuação, publicou uma análise do texto proposto pelo governo.

O principal problema, segundo o relatório, é a falta de clareza das propostas, que foram descritas em termos vagos, sem muitas linhas concretas de implementação, evidenciada ainda mais pela falta de um plano orçamentário para as ações.

O Instituto Igarapé também demonstrou incertezas sobre a capacidade do GSI em administrar uma gama tão abrangente de atividades além daquelas já exercidas. Uma expansão significativa no número de servidores seria necessária.

Ronaldo Lemos, advogado especializado em direito digital e diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro, criticou o texto em sua coluna no jornal Folha de S.Paulo.

“Há outro ponto negativo tragicômico. O texto inclui nas medidas recomendadas para aumentar a segurança digital no Brasil ‘ampliar o uso do certificado digital’. Não qualquer certificado, mas sim o vergonhoso certificado digital que é monopolizado pelo próprio governo federal e que custa até R$ 250 por ano para ser emitido”, escreveu.

“Aqui a recomendação não tem nada a ver com cibersegurança, mas sim tudo a ver com o lobby de quem vende esse sistema vergonhoso”, afirmou.

Por outro lado, tanto Lemos, quanto o relatório do Instituto Igarapé, elogiaram a iniciativa de se discutir o tema de forma ampla e de pensar na elaboração de políticas únicas de cibersegurança.

Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project.