A criação da Rede Federal de Gestão de Incidentes Cibernéticos, anunciada na última sexta-feira, pode ser muito mais uma reação do que uma ação profilática do governo. Segundo o RR apurou, a nova estrutura foi instituída a toque de caixa como uma resposta a quatros novos ataques cibernéticos que teriam sido identificados pelo Gabinete de Segurança Institucional (GSI) nos últimos dois meses. De acordo com a fonte da newsletter, os alvos teriam sido o INSS, a Receita Federal, o Banco Central e o TSE.

O RR conversou com o GSI através de uma troca de e-mails. Consultado sobre os eventuais ataques, o Gabinete de Segurança Institucional disse que “cada órgão é responsável pela segurança de seus ativos de informação” e que “tais questionamentos deveriam ser dirigidos aos respectivos órgãos”. Consultado sobre a eventual invasão e os danos causados, a Receita, por meio de sua assessoria, respondeu com um sucinto “Nada a comentar”. O INSS disse que “Não há confirmação desses ataques”. O BC, por sua vez, garantiu que “a informação não procede”.

Já o TSE afirmou que “não há registros de qualquer ataque recente aos seus sistemas”. Ressalte-se que, em novembro de 2020, houve uma tentativa de invasão do banco de dados do Tribunal, confirmada pelo próprio presidente da Corte, Luis Roberto Barroso. Já o INSS está na berlinda devido às denúncias de vazamento de dados de aposentados e pensionistas, usados para empréstimos consignados irregulares. Em junho, a Câmara dos Deputados realizou uma audiência pública para discutir a questão. Neste momento, um dos receios do GSI seria a hipótese da proximidade do calendário eleitoral estimular ataques cibernéticos diretamente contra a Presidência da República.

No diálogo com o RR, o órgão negou que esta tenha sido uma das preocupações que levaram à criação da Rede Federal. Porém, não custa lembrar que, em 2017, o então ministro do GSI, general Sergio Etchegoyen, recomendou ao presidente Michel Temer a aquisição de equipamentos capazes de interferir no funcionamento de dispositivos eletrônicos e, com isso, impedir gravações e escutas no Palácio do Planalto e no Palácio Jaburu – ver RR de 18 de maio de 2017. A orientação foi ignorada. Resultado: Temer acabou sendo gravado por Joesley Batista na garagem do Jaburu. O GSI rebate também a informação de que a Rede Federal foi instituída a toque de caixa como resposta a novos ataques cibernéticos: “Toda norma do GSI é fruto de estudo meticuloso, que inclui oitiva, no mínimo, de cada órgão da administração pública federal”.

É importante ressaltar que a nova estrutura será circunscrita ao Executivo Federal, ainda que, segundo o Gabinete de Segurança Institucional, “é facultado aos demais Poderes, bem como ao Poder Executivo nos níveis estadual e municipal, sua adesão à rede”. Há um dado curioso no decreto 10.748. O artigo 3 cita que um dos objetivos da Rede Federal é “divulgar informações sobre ataques cibernéticos”. Quer dizer que antes eles não eram revelados? Segundo o GSI, “as informações sobre ataques cibernéticos que já eram divulgadas na rede dizem respeito ao método do ataque e às suas características, para que os demais componentes da rede possam se defender.

Os alertas e as recomendações sobre ataques cibernéticos que são de caráter geral já são difundidas há anos na página eletrônica do CTIR Gov (https://ctir.gov.br/)”. A deterioração das condições de defesa cibernética do Estado brasileiro têm sido motivo de atenção por parte de diferentes esferas de Poder. No fim de 2020, o TCU produziu um relatório de mais de 200 páginas sobre segurança da informação na Administração Pública Federal. Entre uma série de fragilidades, o Tribunal demonstrou especial preocupação com o armazenamento de dados da máquina pública nas nuvens. Em janeiro deste ano, a CGU, por sua vez, identificou vulnerabilidades na estrutura de segurança digital do próprio INSS. Segundo o relatório, havia perfis de estagiários menores de idade, servidores aposentados e ex-funcionários terceirizados ainda com acesso válido à plataforma.