Portal único do governo traz riscos de segurança ao cidadão, alerta AARB
26 de janeiro de 2023Uma das iniciativas do Governo Federal em desburocratizar e digitalizar os serviços públicos oferecidos aos cidadãos foi a criação do portal Gov.br, instituído pelo Decreto nº 9.756, de 11 de abril de 2019, pela Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia. Desde a publicação do ato, foram implementados novos serviços e níveis de acesso diferenciados.
Por Fernando Olivan
A Lei 14.063, de 23 de setembro de 2020, regulamentou o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde e estabeleceu três tipos de assinaturas digitais: simples, avançada e qualificada.
A assinatura eletrônica simples permite identificar quem está assinando e anexa ou associa seus dados a outros dados em formato eletrônico. A assinatura eletrônica avançada utiliza certificados não emitidos pela Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil ou outro meio de comprovação da autoria e da integridade de documentos em forma eletrônica, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento. É o caso da assinatura Gov.br. Já a assinatura eletrônica qualificada utiliza certificado digital ICP-Brasil, nos termos do § 1º do art. 10 da Medida Provisória nº 2.200-2, de 24 de agosto de 2001.
Entre os documentos que podem ser assinados no Gov.br, estão: contratos de prestação de serviço, de compra e venda; relatórios, cartas; formulários de benefícios, como: de vale-transporte, plano de saúde, seguro de vida; declarações de imposto de renda, de dependentes, e de aposentadoria; contrato de suspensão do trabalho; aviso e recibo de férias; termos de confidencialidade, entre outros. Também é possível acessar a Central de Protesto do Estado de São Paulo (Cenprot-SP), plataforma que reúne os serviços digitais de 420 cartórios paulistas.
Recentemente, no dia 9 de janeiro, um novo pacote de aplicações integradas ao Portal e-CAC disponibilizou novas formas de acesso a serviços digitais da Receita Federal com a conta Gov.br, que antes eram acessados exclusivamente mediante o uso de certificado digital.
Agora, microempreendedores individuais, empresários e procuradores, uma vez autenticados, já podem acessar todas as informações e utilizar serviços em nome de suas empresas e clientes, independentemente da forma de acesso (CPF e senha, por exemplo).
Segundo o presidente-executivo da Associação das Autoridades de Registro do Brasil (AARB), Edmar Araújo, há risco na assinatura eletrônica avançada, como a inexistência de obrigatoriedade de processos claros e credenciamento de empresas certificadoras pelo Estado. “Qualquer empresa ou mesmo pessoa pode disponibilizar sistema de assinaturas eletrônicas avançadas”, diz. “É exatamente a ausência do estado brasileiro neste universo de assinaturas eletrônicas avançadas que põe em risco a celebração de negócios jurídicos complexos, como a transferência de veículos e a compra e venda de imóveis, muitas vezes os únicos patrimônios conquistados a duras penas pelo cidadão”.
As assinaturas avançadas, apesar de seu reconhecimento pela legislação, têm limitações em relação às qualificadas, diz o empresário e diretor da Associação, Bruno Linhares. “O forte arcabouço legal e técnico das assinaturas qualificadas não é utilizado na emissão das assinaturas avançadas, reduzindo o nível de segurança alcançado”.
Sequestro de dados
Outra preocupação é a concentração de grande quantidade de informações sensíveis de milhares de pessoas e empresas. Ataques de hackers exigindo resgate dos dados sequestrados (ransomware) são os mais comuns.
Em agosto de 2022, o Tribunal de Contas da União concluiu, em um levantamento, que mais da metade dos órgãos públicos federais estão vulneráveis a ciberataques. A apuração menciona o aumento de ataques de ransomware, em função da crescente utilização de modelo de comercialização em que criminosos se concentram na obtenção e venda do acesso inicial às redes a serem atacadas.
Também se destacou no relatório os indicadores que apontam aumento na atividade de botnets (que podem ser usadas para executar ataques, roubar dados, enviar spam e permitir que o invasor acesse o dispositivo e sua conexão) para ataque a dispositivos IoT (Internet das coisas), o que pode se agravar com a chegada da tecnologia 5G. O resultado da investigação do Tribunal está no Acórdão 1768/22.
Reportagem da revista VEJA em junho de 2020 citou a vulnerabilidade dos sistemas públicos diante dos hackers. Segundo levantamento do Gabinete de Segurança Institucional (GSI), apenas em 2019, foram registrados 2.404 casos de invasão e tentativas de invasão aos computadores oficiais — uma média de seis incidentes por dia.
Na opinião de especialistas ouvidos pelo portal UOL, os órgãos públicos viraram alvos recentes porque não recebem grandes investimentos em segurança da informação, dão acesso a um vasto banco de dados, e esses dados podem ser monetizados rapidamente.
Alguns órgãos importantes do governo já foram vítimas de hackers, como o Tribunal Regional Federal da 3ª Região (TRF-3), Superior Tribunal de Justiça, Supremo Tribunal Federal, Tribunal Regional Federal da 1ª Região (TRF-1) e Tesouro Nacional. Todas as ações impediram o acesso aos sistemas e processos ou mesmo ficaram fora do ar em 13 estados mais o Distrito Federal, como no caso do TRF-1.
O Ministério da Saúde foi o caso mais emblemático. Em 2021, a emissão do certificado de vacinação ficou indisponível por dias, pois o ConectSUS foi o principal sistema prejudicado.
“A imprensa, com algumas exceções, tem dado pouco destaque à vulnerabilidade dos sistemas do governo, em especial para os serviços disponibilizados pelo Gov.br e a coleta institucionalizada de contratos, documentos e dados importantes de pessoas e empresas pelo governo brasileiro. O levantamento do TCU e os casos que vieram a público deveriam preocupar as autoridades e os especialistas em segurança da informação para o que pode vir acontecer não no futuro, mas a qualquer momento”, alerta Bruno Linhares.
Até ataques terroristas cibernéticos, que visam desestabilizar a infraestrutura de alguma localidade ou de determinado órgão público, deveriam dar o alerta, diz.
“Os ataques de ransomware são muito preocupantes, mas não podemos esquecer que a derrubada de um sistema também traz sérios prejuízos, tendo em vista que a dependência dos serviços centralizados em uma única ferramenta pode inviabilizar os negócios das empresas e a vida do cidadão, que pode precisar de um documento público em caráter de urgência. Por exemplo, em agosto de 2022 a Prefeitura do Rio do Janeiro sofreu um ataque hacker. Foram mais de dois meses com 37 sistemas fora do ar. Como se calcula um prejuízo deste para a população?”, lembra Linhares.
Login único
O próprio Governo Federal, através do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos, recomendou, neste mês de janeiro, uma série de ações às autarquias e órgãos públicos para evitar vazamento de credenciais e senhas. Entre as medidas para mitigar os riscos está a adesão ao projeto login único do Serpro no portal Gov.br.
“Como os próprios autores da recomendação reconhecem, sistemas baseados em login e senha são inseguros. Então, recomendam a adoção de uma mesma solução que visam combater. Exceto pelo acesso nível ouro, o Gov.br mantém a mesma fragilidade e em casos de fraude nesse sistema teremos efeitos amplificados”, diz o diretor da AARB.
“O Banco Mundial avaliou o Brasil como o 2º lugar no ranking em maturidade de governo digital entre 198 países. Não há dúvida que a facilidade de acesso aos serviços digitais traz ganhos para a economia e na vida da população, mas é preciso que este avanço venha atrelado com a segurança. Infelizmente o mundo virtual também se tornou inseguro, mas temos ferramentas eficazes, seguras, com validade jurídica e não repúdio como o certificado digital ICP-Brasil”, diz Edmar Araújo.
Segundo ele, o custo-benefício precisa ser calculado diante dos prejuízos com a falta de investimento em segurança. “Não é uma crítica que fazemos, e sim um alerta para que o poder público, que concentra a vida de milhares de cidadãos, não seja pego de surpresa. É preciso ampliar os serviços com segurança e não ampliar os acessos baseados em login e senha, há muito ultrapassados pelas novas ameaças”, finaliza.
Artigo escrito pelo Jornalista Fernando Olivan
Fonte: AARB
LEGISLAÇÃO BRASILEIRA SOBRE IDENTIFICAÇÃO DIGITAL E DOCUMENTOS ELETRÔNICOS
No Brasil a validade de documentos eletrônicos está fundamentada na Lei 11.977/09 7 de julho de 2009, Medida Provisória 2.200-02 /2001 de agosto de 2001, Lei nº 13.874 de 20 de setembro de 2019, Lei 14.063 de 23 de setembro de 2020, Decreto nº 10.543, de 13 de novembro de 2020 e Lei nº 14.620, de 13 de julho de 2023.
Sobre AARB
Fundada em 2014, a Associação das Autoridades de Registro do Brasil AARB é fruto dos anseios dos representantes das Autoridades de Registro da ICP-Brasil e tem por objetivo defender os interesses do segmento perante os poderes da república, sociedade civil organizada, bem como a massificação da certificação digital no País.
Entidade de direito privado e sem fins lucrativos, a AARB é mantida exclusivamente por seus associados. Além dos interesses mencionados, compete a AARB disseminar a cultura da tecnologia ICP-Brasil e agregar benefícios e vantagens aos seus associados.
Procure saber sobre o Selo de Ação Ética Na Certificação Digital. Esse Selo identifica as empresas que assumem o compromisso ético na sociedade entre seus pares, clientes e colaboradores.
Leia a coluna da AARB aqui no Crypto ID!
GOVERNO E TECNOLOGIA
Aqui no Crypto ID você acompanha as principais ações do Governo Brasileiro e de outros Países relacionadas a privacidade, proteção de dados, serviços eletrônicos, formas de autenticação e identificação digital e Cibersegurança.
Acesse agora e conheça nossa coluna GovTech!
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
