Nos últimos meses, o setor público vem sendo um dos principais alvos dos cibercriminosos que direcionam ataques contra Tribunais, Prefeituras e Governos estaduais, causando prejuízos e interrompendo serviços como aconteceu em 2021, envolvendo o Ministério da Saúde. Nesta semana, o Governo brasileiro foi novamente vítima do cibercrime, de acordo com uma publicação da DarkTracer no Twitter apontando que dados estariam à venda na Deep Web.
Procurado pela redação da Security Report, o Gabinete de Segurança Institucional da Presidência da República não confirmou o incidente e comunicou que não há registro e informação oficial sobre o assunto.
Na visão de Fábio Xavier, Diretor de TI no Tribunal de Contas do Estado de São Paulo, o governo vem sofrendo com esses ataques por conta da grande quantidade de dados dos cidadãos, além de informações cadastrais e relevantes sobre saúde, vida financeira e patrimônio. Para ele, esses dados são muito valorizados, uma vez que permitem uma série de crimes como fraude, roubo de identidade, extorsão e ameaça.
De acordo com Xavier, a transparência deve ser sempre a melhor estratégia, tanto do Governo quanto de empresas que encontram vulnerabilidades. “Por muito tempo se fez Segurança da Informação pela omissão de dados. Essa, definitivamente, não é uma boa estratégia. O melhor caminho é aquele pautado em transparência, orientação e proteção”, diz o executivo em entrevista à Security Report nesta quinta-feira (1).
Ele ressalta que os comunicados aos órgãos públicos sobre vulnerabilidades devem servir como alertas, sempre privilegiando a boa-fé. “Não são raras as vezes em que temos notícias ‘requentadas’, que acabam prejudicando mais do que ajudando”, analisa o Diretor de TI no TCE-SP, acrescentando que em um assunto delicado, a divulgação deve ser feita, privilegiando a transparência, mas com todas as informações verificadas.
A maturidade em SI no governo, continua Xavier, também é um ponto a ser levado em consideração, por ser inferior ao mercado privado. E isso se deve à diversos fatores, entre eles, o pouco comprometimento da alta administração com o tema e a falta de uma cultura de Segurança e proteção de dados. “O fator humano é frequentemente negligenciado e a cultura só pode ser construída quando as pessoas entendem que a Segurança é um aliado e não um dificultador”, acrescenta.
Xavier acrescenta ainda que como o grau de maturidade em Segurança da Informação no setor público ainda não é adequado, muitas instituições acabam perdidas pela falta de boas práticas em SI e privacidade. O melhor caminho, na visão do executivo, é trabalhar em uma jornada conhecida dos CISOs: tecnologia, processos e pessoas. “Existem iniciativas bem interessantes em diversos órgãos, intercâmbio de boas práticas e a profissionalização da área de SI no setor públicos. Com a LGPD, o nível de maturidade deve aumentar ainda mais, em uma velocidade maior”, finaliza.
