O incidente de segurança que afetou o site do Ministério da Saúde e o aplicativo ConecteSUS, responsável pelo Certificado Nacional de Vacinação Covid-19, completou 11 dias nesta terça-feira (11), destacando a falta de transparência do governo federal. Especialistas em tecnologia da informação apontam que diversas questões ainda não foram esclarecidas, indicando que o ataque foi resultado de falhas na contratação de serviços privados para hospedagem de dados públicos.
Em 2020, o Brasil de Fato revelou que a terceirização de armazenamento em nuvem era vista como um risco à soberania nacional. Profissionais ressaltam que as capacidades do Serviço Federal de Processamento de Dados (Serpro) e da Empresa de Tecnologia e Informações da Previdência (Dataprev) não são consideradas nessas contratações.
O incidente de segurança ocorreu em uma infraestrutura de nuvem privada fornecida pela empresa Primesys, subsidiária da Embratel, contratada em 2018 pelo Ministério do Planejamento (atualmente parte do Ministério da Economia). A Embratel esclareceu que o contrato não abrangia serviços de segurança, apenas hospedagem, e que não comentaria sobre clientes por questões contratuais.
O valor total do contrato era de cerca de R$ 30 milhões para os primeiros 30 meses, incluindo computação em nuvem, serviços técnicos e treinamento. A contratação enfrentou paralisações devido a recursos de empresas concorrentes, mas foi posteriormente retomada pelo ministério.
A diretora da Open Knowledge Brasil, Fernando Campagnucci, criticou o modelo de contratação do governo, destacando a importância de estabelecer clareza nas responsabilidades em serviços de infraestrutura. Ela questiona a falta de transparência e a ausência de um plano de resposta a incidentes por parte do governo.
O especialista em segurança digital Fábio Rangel aponta a falta de uma política de Estado voltada para a soberania e proteção de dados públicos como raiz dos problemas enfrentados. Ele sugere que é necessário repensar a terceirização de serviços e reforçar a capacidade estatal de gerir e proteger informações sensíveis.
O grupo “Lapsus$ Group” assumiu a autoria do ataque e afirmou ter copiado e excluído dados dos sistemas. O Ministério da Saúde acionou o Gabinete de Segurança Institucional (GSI) e a Polícia Federal para investigar o caso e está trabalhando para restabelecer as plataformas afetadas.
Entenda o caso:
O ataque cibernético ao Ministério da Saúde revela fragilidades na segurança de dados e destaca a necessidade de medidas efetivas para proteger informações sensíveis e garantir a continuidade dos serviços públicos. A transparência e a cooperação entre órgãos governamentais e especialistas em tecnologia são fundamentais para prevenir incidentes semelhantes no futuro.
Edição: Vivian Virissimo
Editora do blog ‘Meu SUS Digital’ é apaixonada por saúde pública e tecnologia, dedicada a fornecer conteúdo relevante e informativo sobre como a digitalização está transformando o Sistema Único de Saúde (SUS) no Brasil.
