Ataques hackers e instabilidades no Gov.br prejudicam a vida de milhões de empresas e cidadãos, que passaram a depender de um único meio de acesso para mais de 5 mil serviços públicos digitais
Com o aumento da digitalização de serviços públicos, os ataques hackers em plataformas do governo têm se tornado cada vez mais frequentes.
Os incidentes podem causar interrupções nos serviços, vazamento de dados sensíveis e desconfiança em relação à segurança dos sistemas governamentais.
No Brasil, vários órgãos e plataformas do governo já foram alvos de ataques cibernéticos, e o impacto varia conforme a gravidade e resposta às ameaças.
No final de julho, um “incidente grave de segurança cibernética”, nas palavras do próprio governo, travou o Sistema Eletrônico de Informações (SEI) e algumas funcionalidades do Processo Eletrônico Nacional, por onde tramitam processos de nove ministérios.
A Polícia Federal (PF) e Agência Brasileira de Investigação (Abin) foram acionadas para investigar o incidente.
Na ocasião, os servidores receberam orientação para trocar senhas do Office e do Gov.br, especialmente aqueles que trabalham com o Siafi, sistema de administração financeira do governo federal, que sofreu uma tentativa de invasão em abril, onde criminosos tentaram movimentar ao menos R$ 15 milhões, conforme noticiou o jornal Folha de S.Paulo.
A ameaça aos ambientes digitais só vem crescendo nos últimos anos. Segundo levantamento da revista Veja, desde 2020, foram mais de 50 mil casos, incluindo registros de violações de segurança das redes federais e alertas de vulnerabilidades emitidos pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov). Nesse período, foram quase 5 mil ocorrências comprovadas de vazamento de dados confidenciais.
Muitos sistemas governamentais armazenam informações como CPF, histórico médico e financeiro. Um ataque que resulta no vazamento desses dados pode ter sérias implicações, incluindo roubo de identidade e fraude.
Além disso, invasões a sistemas críticos, como plataformas de saúde, justiça ou previdência, podem interromper serviços essenciais, causando prejuízos à população.
Em novembro de 2020, o Superior Tribunal de Justiça (STJ) foi alvo de um ataque cibernético massivo que comprometeu a infraestrutura de TI da corte. Os hackers criptografaram os dados do tribunal, paralisando todos os processos judiciais por alguns dias.
Foi reportado que o ataque tinha características de ransomware, no qual os cibercriminosos exigem um resgate para liberar os dados. Esse foi um dos incidentes mais graves já registrados contra o judiciário brasileiro.
Já em dezembro de 2021, uma invasão cibernética atingiu o Ministério da Saúde e impactou diretamente o sistema ConecteSUS, que armazena informações sobre a vacinação contra a COVID-19. O ataque derrubou o site e comprometeu o acesso de milhões de brasileiros aos seus certificados de vacinação.
Em pleno primeiro turno das eleições municipais de 2020, o Tribunal Superior Eleitoral (TSE) também foi alvo de uma investida que causou instabilidade no sistema. Embora não tenha havido comprometimento dos resultados, o ataque gerou atrasos na apuração dos votos e aumentou as suspeitas de vulnerabilidades no sistema eleitoral.
Gov.br
A plataforma Gov.br também tem sido alvo de incidentes cibernéticos, onde se concentra uma grande quantidade de informações sensíveis, tornando-se um atrativo para criminosos, como tentativas de exploração de vulnerabilidades que buscam acessar dados sigilosos.
O governo brasileiro trabalha constantemente para aumentar as camadas de segurança, detectar essas tentativas e mitigar esses riscos.
Entre os tipos de incidentes cibernéticos estão os ataques de negação de serviço (DDoS), que sobrecarregam os servidores com uma quantidade massiva de tráfego, tornando os sites inacessíveis; exploração de vulnerabilidades nos sistemas da plataforma para obter acesso a dados pessoais dos usuários, como informações de CPF, dados bancários e outras informações sensíveis; ataques de phishing, onde são criados sites falsos ou enviados e-mails maliciosos simulando o Gov.br, com o objetivo de enganar os usuários para que insiram suas credenciais ou informações pessoais em páginas fraudulentas e incidentes de ransomware, onde hackers criptografam dados e exigem pagamento de resgate para liberá-los.
Diversos alertas foram publicados por entidades e especialistas em segurança digital em textos, entrevistas e artigos para a imprensa sobre o obsoleto sistema de login e senha e de outros meios inseguros de acesso diante da escalada de ataques cibernéticos, que estão sempre um passo à frente de qualquer sistema de atualização.
Em janeiro de 2023, a Associação das Autoridades de Registro do Brasil (AARB) publicou texto alertando sobre as vulnerabilidades de acesso ao Gov.br sem criptografia, além da fragilidade em se concentrar diversos serviços em um único portal.
Em evento realizado no mesmo ano, especialistas reiteraram a segurança das assinaturas digitais qualificadas, que garantem o maior grau de segurança jurídica e de identificação.
Recentemente, usuários relataram instabilidade no Gov.br no período da manhã da última terça-feira (22.10). De acordo com relatos publicados em redes sociais, o sistema de login da conta para acessar recursos governamentais estava inacessível. Já em 17 de setembro, instabilidades no site prejudicaram os processos licitatórios abertos no Portal de Compras do Governo Federal.
Em um dos seus alertas, o CTIR Gov recomendou a necessidade de execução de medidas proativas de segurança cibernética para mitigar os riscos de explorações bem-sucedidas, como o uso da combinação de certificados digitais do governo e aplicação de múltiplo fator de autenticação.
“O uso do certificado digital ICP-Brasil para acesso a sistemas continua sendo o meio mais seguro de autenticação, principalmente para dados sensíveis. Não fosse por isso, o CTIR Gov não recomendaria o seu uso para processos de login com privilégios elevados. Portanto, como medida de segurança, é importante o cidadão ter um certificado ICP-Brasil, porque sua emissão é feita por um agente credenciado e treinado a fim de garantir a veracidade, integridade e confiança da aplicação”, completa Prates.
Como se proteger
Proteger-se de sites falsos que se passam pelo Gov.br é essencial para evitar golpes e vazamentos de informações pessoais. Confira algumas dicas de proteção:
– Certifique-se de que o endereço do site começa com “https://www.gov.br”. Golpistas costumam criar endereços semelhantes, mas com pequenos erros, como trocas de letras ou números.
– Desconfie de links recebidos por e-mail ou mensagens: golpistas costumam enviar e-mails ou mensagens de WhatsApp com links falsos para capturar dados. Evite clicar diretamente em links que você recebeu. Acesse o site manualmente digitando o endereço no navegador.
– Phishing: muitas vezes, esses e-mails ou mensagens parecem legítimos, mas são tentativas de phishing para roubar informações pessoais.
– Use autenticação de dois fatores: no portal do Gov.br, ative a autenticação de dois fatores para adicionar uma camada extra de segurança. Isso impede que criminosos acessem sua conta mesmo se eles obtiverem sua senha.
– Prefira o acesso conta “Ouro” no Gov.br: esta conta é o nível mais alto de verificação e permite acesso a uma série de serviços digitais do governo com maior segurança. O certificado digital ICP-Brasil permite autenticar sua conta e elevar seu nível ao Ouro com maior segurança e menos burocracia. Também é possível fazer reconhecimento facial via aplicativo gov.br (validado pela base de dados da Justiça Eleitoral) e validação via Internet Banking.
– Verifique a origem de informações: sempre confirme se informações recebidas sobre serviços ou benefícios governamentais vêm de fontes oficiais. Utilize meios de comunicação confiáveis ou o portal Gov.br oficial para confirmar dados.
– Use softwares de segurança: mantenha seu antivírus atualizado e evite acessar sites governamentais de dispositivos desconhecidos ou públicos.
– Certifique-se de que o site não tenha erros gráficos ou de escrita: sites falsos muitas vezes contêm erros de gramática, formatação ou links quebrados. Se notar algo estranho, saia imediatamente.
– Denuncie sites suspeitos: caso encontre um site falso, denuncie imediatamente às autoridades competentes, como a Polícia Federal ou a Central de Atendimento ao Cidadão.
Sobre AARB
Fundada em 2014, a Associação das Autoridades de Registro do Brasil AARB é fruto dos anseios dos representantes das Autoridades de Registro da ICP-Brasil e tem por objetivo defender os interesses do segmento perante os poderes da república, sociedade civil organizada, bem como a massificação da certificação digital no País.
Entidade de direito privado e sem fins lucrativos, a AARB é mantida exclusivamente por seus associados. Além dos interesses mencionados, compete a AARB disseminar a cultura da tecnologia ICP-Brasil e agregar benefícios e vantagens aos seus associados.
Procure saber sobre o Selo de Ação Ética Na Certificação Digital. Esse Selo identifica as empresas que assumem o compromisso ético na sociedade entre seus pares, clientes e colaboradores.
Leia a coluna da AARB aqui no Crypto ID!
Novo documento pode aumentar a segurança na identificação do cidadão
Comitê Gestor discutirá propostas de modernização da ICP-Brasil no próximo dia 31
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outras