O vazamento de dados de mais de nove milhões de cidadãos de Pernambuco, divulgado no final de 2025 em fóruns de cibercrime e confirmado pela Secretaria Estadual de Saúde, trouxe à tona um problema que vai além do incidente em si: o desafio estrutural do Governo brasileiro diante do avanço do crime cibernético e como manter o setor maduro em termos de cultura de Segurança da Informação. Dados sensíveis como CPF, RG, e-mail, telefone e endereço, supostamente oriundas de bases federais ligadas a cadastros de saúde dos cidadãos foram expostos e reforçam a percepção de que todas as esferas governamentais (federal, estadual e municipal) se tornaram um dos alvos mais valiosos para o cibercrime.
Em comunicado oficial, a Secretaria de Saúde de Pernambuco informou que “os dados vazados não são de sistemas sob gestão estadual, mas de bases federais, e que se trata de informações antigas de residentes do estado. A pasta informou ainda que acionou o encarregado de proteção de dados (DPO) para conduzir o tratamento do incidente e articular com os demais níveis de governo a identificação da origem do vazamento.”
Mas o ponto mais sensível levantado pela comunidade de CISOs do Grupo Security Leaders está no desequilíbrio entre obrigações crescentes e capacidade real de execução. Enquanto normas, instruções e exigências de conformidade avançam, a realidade de muitos órgãos — sobretudo em estados e municípios — é marcada por orçamentos limitados, estruturas enxutas e carreiras pouco atrativas para profissionais de SI. A exigência de proteger infraestruturas críticas e grandes volumes de dados convive com dificuldades crônicas para contratar, reter e desenvolver profissionais capacitados.
Embora existam editais com salários competitivos, especialmente em tribunais, ministérios públicos e algumas autarquias federais, essa não é a regra no país. Em grande parte da administração pública, cargos de tecnologia seguem genéricos, com remuneração abaixo do mercado e critérios de progressão pouco claros. Na visão dos CISOs, o resultado desse cenário é uma alta rotatividade e dependência de poucos profissionais altamente qualificados, frequentemente sobrecarregados.
O paradoxo
Diante deste cenário, o Governo, responsável por definir políticas, normas e diretrizes de proteção de dados, enfrenta dificuldades internas para sustentar o nível de maturidade que ele próprio exige. A formação de especialistas é longa e custosa, e sua retenção ainda mais complexa se comparada com setor privado que oferece salários mais altos, flexibilidade e planos de carreira mais atrativo.
O Painel de Incidentes da Security Report acompanha de perto os ataques. Em 2025, o histórico de incidentes reportados aponta o setor público, especificamente as Prefeituras e Câmaras Municipais, com a maior frequência de ocorrências individuais de ataques. Houve meses com picos de 3 a 5 incidentes nesses órgãos.
Em muitos municípios, sequer existem cargos estruturados de Segurança da Informação, e a operação depende de equipes reduzidas ou de terceirizações para funções críticas. O que dificulta não só na prevenção de ameaças, mas na agilidade na detecção e resposta.
Entre os tipos de ataques mais frequentes postados pelo Painel de Incidentes, o destaque vai para:
.Ransomware: é o tipo mais crítico e comum em prefeituras, paralisando sistemas de saúde e fazenda;
.Phishing e Fraudes Financeiras: muito comum em prefeituras de pequeno porte, resultando em desvios diretos de recursos públicos;
.Ataques de Negação de Serviço: mais frequentes em órgãos federais, visando tirar sites do ar.
.Comprometimento de Credenciais/Redes Sociais: Houve um crescimento notável de invasões a perfis de Instagram e YouTube de câmaras e prefeituras para disseminação de golpes.
