Centralização de dados e serviços traz vulnerabilidade de um ponto único de falha

Esse ponto de falha facilita a atuação de hackers, que podem concentrar suas investidas a uma única porta de entrada

Compartilhar:

*Por Thaís Covolato 

 

Um ataque hacker paralisou a distribuição de 45% do total de combustível necessário para abastecer a Costa Leste dos Estados Unidos, após um oleoduto que atravessa o país precisar ter sua operação temporariamente suspensa para conter a ameaça. O ataque foi do tipo ransomware.

 

Outro ataque cibernético, em fevereiro, tentou contaminar uma usina de água na Flórida, também nos Estados Unidos, pela invasão ao sistema de controle da estação de tratamento e alteração dos níveis de hidróxido de sódio na água. Um técnico da usina percebeu uma movimentação estranha no cursor do mouse, na tela do sistema, e conseguiu realizar a correção antes que a água fosse contaminada.

 

Exemplos do tipo demonstram a vulnerabilidade dos sistemas, até mesmo em um país como os Estados Unidos, que investe cerca de U$ 10 bilhões em segurança cibernética, de acordo com o orçamento aprovado para o seu Departamento de Defesa em 2021. Em comparação, o Brasil investiu cerca de R$ 22 milhões em defesa cibernética em 2020, de acordo com levantamento elaborado pelo Tribunal de Contas da União (TCU) sobre a governança e gestão de segurança da informação e de segurança cibernética da administração pública federal.

 

Os casos também demonstram a importância da descentralização das bases e das infraestruturas de distribuição. Em ambas as situações citadas acima, apesar dos prejuízos, o país não foi prejudicado como um todo, graças a pulverização de operadoras e a distribuição dos prestadores dos serviços. Dessa forma, mesmo com a operação do oleoduto paralisada, outras operadoras puderam suprir a demanda da região.

 

No Brasil, há uma tendência inversa. Os serviços públicos estão sendo centralizados em plataforma única que, além de concentrar o cardápio de soluções, é o único portal de acesso do cidadão para relacionamento com o Governo.  Em caso de um ataque cibernético de qualquer tipo, no qual for necessário tirar o site do ar para limitar os prejuízos e combater a invasão, todos os serviços públicos disponibilizados por aquele canal também ficarão inoperantes.

 

A centralização dos serviços e das bases de dados consiste no que especialistas chamam de ponto único de falha. Além dos altos investimentos necessários em segurança cibernética e disponibilidade, para manter a plataforma centralizadora e os demais sistemas e bases conectados e acessíveis para o cidadão a todo momento, os prejuízos também se multiplicam. Este ponto centralizado facilita a atuação de hackers, que podem concentrar suas investidas a uma única porta de entrada. Mais do que isso, o ataque a um só portal é suficiente para deixar fora do ar todos os serviços que o utilizam como forma de acesso e todas as bases de dados a ele vinculadas, vulnerabilizando todos os órgãos da administração pública.

 

Quando há também a centralização das bases de dados e das informações de Estado e dos cidadãos, coloca-se em risco a soberania nacional e a privacidade e segurança de todos os cidadãos.

 

Nos últimos seis meses, os cidadãos brasileiros foram surpreendidos com vazamentos de dados de bases públicas, como do Ministério da Saúde e de alguns Departamentos de Trânsito estaduais. O Poupatempo e o DATAPREV também tiveram o nome citado em alguns casos, embora tenham negado a hipótese de vazamento de dados de suas bases. Tudo isso sem contar o megavazamento de dados de mais de 220 milhões de CPFs, entre outras informações pessoais sensíveis, noticiado em janeiro deste ano, cuja origem ainda não foi identificada.

 

Dados, uma vez vazados, podem ser copiados e multiplicados infinitas vezes, criando uma situação irreversível.

 

O cruzamento desses dados, sejam eles obtidos ilegalmente em vazamentos ou pela centralização e unificação de bases, permite que se detectem padrões, regras de associação, sequenciamentos, relacionamentos sistemáticos, variáveis e a criação de novos subconjuntos de informações através de um procedimento chamado “mineração de dados”. Dessas bases centralizadas, é possível, portanto, a extração de novas informações que não estavam ali anteriormente, demonstrando um risco direto e irreparável à privacidade, intimidade e liberdade individual dos cidadãos.

 

Em uma sociedade digital interconectada, cada vez mais precisaremos proteger a nossa identidade digital, ponto de contato virtual com o nosso exercício civil de direitos, deveres e responsabilidades. Podemos até não ter nada a esconder, mas isso não quer dizer que o Estado – ou qualquer um que tenha acesso devido ou indevido às bases de dados – pode acessar mais informações do que o necessário. E esse é um princípio básico de qualquer lei de proteção de dados.

 

*Thaís Covolato é Coordenadora do Comitê de Identidades Digitais da Câmara Brasileira da Economia Digital. 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...