0
0
Esse ponto de falha facilita a atuação de hackers, que podem concentrar suas investidas a uma única porta de entrada
*Por Thaís Covolato
Um ataque hacker paralisou a distribuição de 45% do total de combustível necessário para abastecer a Costa Leste dos Estados Unidos, após um oleoduto que atravessa o país precisar ter sua operação temporariamente suspensa para conter a ameaça. O ataque foi do tipo ransomware.
Outro ataque cibernético, em fevereiro, tentou contaminar uma usina de água na Flórida, também nos Estados Unidos, pela invasão ao sistema de controle da estação de tratamento e alteração dos níveis de hidróxido de sódio na água. Um técnico da usina percebeu uma movimentação estranha no cursor do mouse, na tela do sistema, e conseguiu realizar a correção antes que a água fosse contaminada.
Exemplos do tipo demonstram a vulnerabilidade dos sistemas, até mesmo em um país como os Estados Unidos, que investe cerca de U$ 10 bilhões em segurança cibernética, de acordo com o orçamento aprovado para o seu Departamento de Defesa em 2021. Em comparação, o Brasil investiu cerca de R$ 22 milhões em defesa cibernética em 2020, de acordo com levantamento elaborado pelo Tribunal de Contas da União (TCU) sobre a governança e gestão de segurança da informação e de segurança cibernética da administração pública federal.
Os casos também demonstram a importância da descentralização das bases e das infraestruturas de distribuição. Em ambas as situações citadas acima, apesar dos prejuízos, o país não foi prejudicado como um todo, graças a pulverização de operadoras e a distribuição dos prestadores dos serviços. Dessa forma, mesmo com a operação do oleoduto paralisada, outras operadoras puderam suprir a demanda da região.
No Brasil, há uma tendência inversa. Os serviços públicos estão sendo centralizados em plataforma única que, além de concentrar o cardápio de soluções, é o único portal de acesso do cidadão para relacionamento com o Governo. Em caso de um ataque cibernético de qualquer tipo, no qual for necessário tirar o site do ar para limitar os prejuízos e combater a invasão, todos os serviços públicos disponibilizados por aquele canal também ficarão inoperantes.
A centralização dos serviços e das bases de dados consiste no que especialistas chamam de ponto único de falha. Além dos altos investimentos necessários em segurança cibernética e disponibilidade, para manter a plataforma centralizadora e os demais sistemas e bases conectados e acessíveis para o cidadão a todo momento, os prejuízos também se multiplicam. Este ponto centralizado facilita a atuação de hackers, que podem concentrar suas investidas a uma única porta de entrada. Mais do que isso, o ataque a um só portal é suficiente para deixar fora do ar todos os serviços que o utilizam como forma de acesso e todas as bases de dados a ele vinculadas, vulnerabilizando todos os órgãos da administração pública.
Quando há também a centralização das bases de dados e das informações de Estado e dos cidadãos, coloca-se em risco a soberania nacional e a privacidade e segurança de todos os cidadãos.
Nos últimos seis meses, os cidadãos brasileiros foram surpreendidos com vazamentos de dados de bases públicas, como do Ministério da Saúde e de alguns Departamentos de Trânsito estaduais. O Poupatempo e o DATAPREV também tiveram o nome citado em alguns casos, embora tenham negado a hipótese de vazamento de dados de suas bases. Tudo isso sem contar o megavazamento de dados de mais de 220 milhões de CPFs, entre outras informações pessoais sensíveis, noticiado em janeiro deste ano, cuja origem ainda não foi identificada.
Dados, uma vez vazados, podem ser copiados e multiplicados infinitas vezes, criando uma situação irreversível.
O cruzamento desses dados, sejam eles obtidos ilegalmente em vazamentos ou pela centralização e unificação de bases, permite que se detectem padrões, regras de associação, sequenciamentos, relacionamentos sistemáticos, variáveis e a criação de novos subconjuntos de informações através de um procedimento chamado “mineração de dados”. Dessas bases centralizadas, é possível, portanto, a extração de novas informações que não estavam ali anteriormente, demonstrando um risco direto e irreparável à privacidade, intimidade e liberdade individual dos cidadãos.
Em uma sociedade digital interconectada, cada vez mais precisaremos proteger a nossa identidade digital, ponto de contato virtual com o nosso exercício civil de direitos, deveres e responsabilidades. Podemos até não ter nada a esconder, mas isso não quer dizer que o Estado – ou qualquer um que tenha acesso devido ou indevido às bases de dados – pode acessar mais informações do que o necessário. E esse é um princípio básico de qualquer lei de proteção de dados.
*Thaís Covolato é Coordenadora do Comitê de Identidades Digitais da Câmara Brasileira da Economia Digital.
FONTE: SECURITY REPORT