O Tribunal de Contas da União (TCU) fez um alerta preocupante sobre a crescente vulnerabilidade cibernética de 229 órgãos públicos federais, classificando o risco de vazamento de dados como “alarmante”. Apenas 14 desses órgãos implementaram mais de 70% das medidas de segurança recomendadas, enquanto 25 não responderam ao levantamento realizado pelo tribunal.

A auditoria abrangendo o período de 2023 a 2024 envolveu membros do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), que inclui a tecnologia dos ministérios e autarquias. O Ministério da Gestão e da Inovação lançou o Programa de Privacidade e Segurança da Informação (PPSI) em 2023, mas segundo o relatório do TCU, as diretrizes desse programa não estão sendo seguidas corretamente.

"Estamos enfrentando uma situação que está muito aquém do que é desejável. Embora o Brasil tenha avançado em certos rankings de cibersegurança, essa evolução é mais teórica do que prática", alerta Luca Belli, professor da FGV Direito Rio e Coordenador do Centro de Tecnologia e Sociedade.

A falta de treinamento adequado é uma das principais preocupações. Nenhuma organização analisada alcançou o nível mais alto em termos de cibersegurança; 6% foram classificadas como “em aprimoramento”, enquanto a maioria (69%) ficou nos níveis mais baixos, "inicial" e "básico". O relatório informou que 42% não implementaram programas de antivírus, 68% não têm processos para relatar incidentes e apenas 8% realçam a criptografia de dados.

A situação é ainda mais crítica quando observamos que apenas 9% dos funcionários foram treinados para evitar ataques de engenharia social. A falta de conscientização e educação digital tem gerado incidentes curiosos e preocupantes, como fraudes simples de senha e compartilhamento de credenciais. Renato Opice Blum, professor de direito digital da Faap, destaca a importância de simulações para preparar os funcionários contra essas ameaças.

Os ataques cibernéticos têm repercussões financeiras também. Em abril, um golpe de phishing desviou R$ 15 milhões do Sistema Integrado de Administração Financeira (SIAFI). Além disso, a empresa de segurança cibernética Mandiant revelou que bloqueou tentativas de phishing oriundas de um grupo hacker da Coreia do Norte, que tentavam enganar diplomatas brasileiros por meio de e-mails com temas de desnuclearização.

Além dos riscos de phishing, outras formas de ataques, como DDoS, também representam uma ameaça significativa. Um ataque ao Ministério do Desenvolvimento Social em março de 2023 deixou o serviço do Bolsa Família fora do ar, mostrando como os serviços públicos estão desprotegidos.

O impacto disso é profundo: a incapacidade de proteger informações sensíveis pode abalar a confiança da população no governo. Dados críticos, como aqueles a respeito da defesa nacional e relações internacionais, estão em risco.

Um novo desafio que o TCU identificou é a evolução da Inteligência Artificial (IA). Se as organizações públicas não se adaptarem, o risco de ataques se torna ainda maior. Especialistas acreditam que a IA pode ser utilizada para desenvolver tecnologias ainda mais sofisticadas para quebrar sistemas de segurança, algo que já está afetando até empresas do setor privado.

O TCU recomendou que o Ministério da Gestão melhore o PPSI e implemente controles mais eficazes. A pasta reconheceu a necessidade de aprimorar sua abordagem e destacou um aumento de 18% na maturidade de segurança desde o início do programa.

Vale também ressaltar que o relatório expõe uma violação da Lei Geral de Proteção de Dados (LGPD). Dados pessoais devem ser tratados com as devidas medidas de segurança, o que para muitos órgãos, continua sendo uma sugestão invés de uma obrigação.

Recentemente, outra auditoria do TCU revelou a ausência de uma entidade que centralize a segurança cibernética em todos os níveis governamentais. Isso se reflete na resolução do Senado, que reconheceu a fragmentação do tratamento do problema, apesar da existência de uma política nacional de cibersegurança.

Em tempos em que a tecnologia avança rapidamente e as ameaças se tornam cada vez mais complexas, as organizações públicas precisam urgentemente rever suas capas de proteção digital. Afinal, a segurança do país depende disso!