Por que Brasil é alvo de hackers? Fiscalização fraca e competição explicam

O ataque cibernético a sistemas do Ministério da Saúde na madrugada desta sexta-feira (10), que tirou do ar os sites do órgão e o aplicativo ConecteSUS, não foi o primeiro. Nos últimos dois anos, órgãos públicos brasileiros foram alvo de cibercriminosos ao menos seis vezes. A repercussão do caso entre internautas levantou algumas questões: por que as ameaças virtuais são recorrentes? O Brasil é um alvo fácil para cibercriminosos?

Para especialistas em segurança digital ouvidos por Tilt, as respostas não são tão simples. Alguns acreditam que o Brasil é, sim, um alvo mais fraco para ataques virtuais em comparação com outros países. Mas outros dizem que o problema não é inerente ao país: falta melhor administração do dinheiro e fiscalização direcionada para a proteção de dados.

Relacionadas

Site da Saúde foi alvo de pichação virtual; incerteza sobre dados preocupa

Ataque cibernético ao Ministério da Saúde não foi o 1º; veja outros casos

Receba notícias de Tilt no WhatsApp e no Telegram

Pichação virtual

Arthur Igreja, professor e palestrante especialista em tecnologia, afirma que muitas empresas e governos são atacados, mas em termos de estatísticas, o número de ataques no Brasil é alto. "É maior que o de outros países", diz. Para ele, a falta de recursos existe, mas o problema vai além disso.

O Brasil e a China estão entre os mais atacados, por exemplo, pela técnica do defacement, uma espécie de pichação virtual em que os invasores tiram uma página ou sistema do ar e passam a exibir mensagens dos responsáveis pelo ataque na tela principal, de acordo com dados do Zone-H, um arquivo de sites que passam por esse tipo invasão.

Ao que tudo indica, essa foi a estratégia usada no caso de hoje envolvendo o Ministério da Saúde.

De acordo com a plataforma, no mínimo 20.147 ataques ao Brasil foram registrados no Zone-H desde 2019. A China, por sua vez, registra mais de 30 mil ataques no mesmo período. Estados Unidos têm cerca de 3.200 registros, assim como Argentina (3.301) e Índia (2.757).

Os números chamam a atenção. Contudo, Tiago Ferreira, sócio da empresa de segurança contra ataques cibernéticos Blaze Information Security, reforça que os dados não permitem afirmar categoricamente que o Brasil é "menos seguro" em termos gerais de cibersegurança do que outros países.

O motivo é que o Zone-H só leva em contas sites com endereço .gov e alvos especificamente de defacement, não outros tipos de ataques.

"Não temos ciência de nenhum estudo confiável que compare tecnicamente os níveis de segurança entre os diferentes governos", diz Ferreira.

Para Eduardo Shultze, pesquisador de inteligência cibernética da empresa Axur, que monitora há algum tempo o grupo que assumiu a autoria do ataque ao Ministério da Saúde, o que torna o Brasil um alvo preferencial para a estratégia de pichação virtual, em especial, é o seu tamanho.

"Como o país é muito grande, tem muita cidade e muito site de prefeitura, há uma competição entre grupos de hacktivismo para ver quem invade mais sites e consegue deixar lá sua mensagem", diz o pesquisador, em referência ao método de ataque usado contra o Ministério da Saúde.

Além disso, a burocracia de órgãos públicos muitas vezes atua a favor dos cibercriminosos. "A velocidade da segurança não é a mesma da burocracia, que torna o processo mais lento e faz com que os governos fiquem para trás", ressalta Fabio Ramos, executivo-chefe da Axur

Segundo ele, muitas vezes um processo licitatório é tão longo que, quando concluído, a solução ofertada está obsoleta.

Vazamentos constantes

Outro problema que assola a cibersegurança do estado brasileiro é o dos constantes vazamentos e exposições de dados pessoais. Além do megavazamento que expôs 220 milhões de brasileiros (incluindo falecidos) no começo do ano, já foram afetados os sistemas do Detran-RS (Departamento Estadual de Trânsito do Rio Grande do Sul) e da secretaria de saúde de Goiás.

Teve até hacker ironizando o a segurança site do ministério da Saúde em duas ocasiões este ano. O mesmo ministério já havia sido vítima de um vazamento de senhas em 2020 e de exposição de dados de mais de 240 milhões de brasileiros (incluindo falecidos) em dezembro passado.

Segundo especialistas, órgãos públicos são muito visados em ciberataques por motivos como:

• Possibilidade de acesso a um vasto banco de dados;
• Rápida monetização de dados obtidos;
• Baixo investimento em segurança da informação por parte do governo.

Mas para Fabio Assolini, analista sênior de segurança da Kaspersky, sites de governo não são necessariamente os mais visados pelos cibercriminosos. Por tratarem de dados públicos, acabam recebendo mais atenção midiática que invasões a servidores de empresas. "Mas ambos podem ser críticos e trazer prejuízos para quem tem seus dados vazados", complementa.

Como melhorar a segurança digital

No caso específico do ataque sofrido pela Saúde, ainda não foi revelado o caminho que os invasores percorreram para tirar do ar os sites da pasta. O grupo autor da ação diz ter aplicado um ransomware —quando os dados são criptografados e "sequestrados", condicionando a devolução ao pagamento de um resgate—, mas o governo não confirmou.

De qualquer forma, os especialistas destacam que existem formas de diminuir o impacto de que mais essa ameaça virtual pode causar em sistemas de empresas e governos.

"Ataques de ransonware na grande maioria das vezes podem ser evitados através de um conjunto de ações proativas, como manter todos os sistemas atualizados, possuir uma política de senhas fortes, um rigoroso controle de acesso aos sistemas e programas de gestão vulnerabilidades", diz Ferreira.

O executivo também destaca a importância de que empresas e órgãos públicos mantenham uma cópia de segurança (backup) atualizada dos dados nos seus sistemas, para permitir que eles sejam restaurados caso haja uma invasão ou um sequestro de informações.

No caso de um defacement, as estratégias para impedir uma invasão passam por medidas simples, como adotar senhas fortes de acesso aos sistemas que seja difíceis de serem descobertas. Outro cuidado é ficar sempre em alerta com mensagens recebidas, elas podem esconder links maliciosos, que abrem brecha para a invasão.

"Pode ser que a senha [que permite o controle do sistema] seja muito fácil. Muitos ataques começam assim. Pode ter sido um email de phishing que alguém recebeu e acabou baixando um malware [programa malicioso]. Ou credenciais sendo vendidas [online]", diz Shultze, da Axur. "Mas ainda é cedo para dizer", acrescenta sobre o caso do Ministério da Saúde.

Políticas de proteção de dados mais rígidas

Todos os especialistas em cibersegurança ouvidos por Tilt concordam que invasões cibernéticas envolvendo o Ministério da Saúde e outros órgãos públicos poderiam ter sido facilmente evitadas com uma política de proteção digital mais rígida.

"Os dados são o novo petróleo do mundo e, consequentemente, a segurança deste tesouro é imprescindível", diz Andrew Martinez, presidente executivo da HackerSec. "Tanto as empresas como o governo precisam compreender a importância do investimento em cibersegurança para condução de um ambiente confiável e responsável, ainda mais com a LGPD."

Para Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética) e presidente executivo da Decript, dinheiro para investir em segurança digital e evitar ataques virtuais não é um problema para a administração federal. "Os contratos do governo para fornecimento de tecnologias e prestadores de serviço são milionários", diz.

O problema é saber investir corretamente. "O que falta é uma gestão correta e centralizada dos problemas de segurança digital de todos os órgãos do governo. Falta fiscalização do setor legislativo quanto ao bom uso do dinheiro público com políticas de segurança digital", diz Kin.