No cenário atual, a tecnologia desempenha um papel crucial em todas as esferas do governo. Para além da eficiência, as soluções digitais agregam transparência e acessibilidade às políticas públicas, permitindo que a oferta de serviços ao cidadão seja mais ampla e eficaz. Em contrapartida, a adoção de tecnologias conectadas também demanda mais critério dos gestores, incumbidos de garantir a segurança e a integridade dos dados da instituição.
Não por acaso, as investidas de hackers contra organizações governamentais são cada vez mais comuns, sendo especialmente frequentes em circunstâncias críticas. Durante a pandemia da Covid-19, por exemplo, o número de ameaças digitais apresentou um crescimento recorde – e observamos, mais de uma vez, entidades públicas serem vítimas de incidentes cibernéticos.
Passado esse período, especialistas apontam que é hora de reorganizar os pilares da segurança corporativa, aprimorando as medidas de proteção já adotadas. Mais do que isso, também será necessário estimar o paradigma futuro da segurança digital no setor público, uma vez que esse não está livre dos efeitos advindos de novidades como a Inteligência Artificial, entre outros.
No artigo de hoje, fique por dentro do cenário atual da segurança digital no setor público e descubra as principais tendências apontadas por especialistas.
O cenário atual da segurança digital no setor público, no Brasil e no mundo
De acordo com um novo relatório da CloudSek, companhia especializada em segurança cibernética, os ciberataques contra governos cresceram 95% no segundo semestre de 2022. Realizado em comparação com o mesmo período do ano de 2021, o estudo mostra uma ampla evolução das ameaças digitais. Além de mais sofisticados e frequentes, os ataques também apresentam motivações até então pouco vistas, que vão além do retorno financeiro.
Com dados coletados em diversos países, a pesquisa mostra um aumento nos incidentes motivados por razões políticas, religiosas ou, até mesmo, econômicas. Divulgado no portal CISO Advisor, um trecho do relatório alerta: “operadores de ameaças começaram a desenvolver e anunciar serviços de infraestrutura criminosa dedicada, que podem ser comprados por governos ou indivíduos e usados para vários propósitos nefastos”.
Da mesma forma, dados coletados pela IBM apontam que o custo de uma violação cibernética no setor público também aumentou. Em março de 2021, o custo médio de um incidente era de US$ 1,93 milhão – já em março de 2022, o mesmo número saltou 7,25%, alcançando a média de US$ 2,07 milhões.
Em agosto de 2022, o Tribunal de Contas da União – TCU, a partir de uma extensa avaliação realizada nos órgãos públicos federais, concluiu que o quadro da segurança digital no setor público é alarmante. Como resposta, o órgão publicou uma cartilha, na qual dispôs recomendações para gestores, além de relembrar alguns episódios, como o ataque hacker sofrido pelo Ministério da Saúde, em dezembro de 2021.
Conforme destaca o G1, entre agosto de 2021 e março de 2022, a ação consultou 377 organizações públicas da administração federal. A partir de um formulário de autoavaliação, os gestores responderam sobre diversas condutas relativas a comportamentos de risco para a segurança digital. Ao final do estudo, constatou-se que a maioria das repartições tem pouca maturidade quanto aos controles de segurança, aumentando a suscetibilidade a acidentes ou ataques cibernéticos.
A seguir, confira uma lista das principais vulnerabilidades encontradas pelo tribunal:
- 55,7% não tratam adequadamente hardwares (equipamentos, como computadores, celulares, etc.) não autorizados pela administração do órgão, não os impedindo de se conectarem em suas redes;
- 44,8% não tratam os softwares (programas e aplicativos) não autorizados, não os impedindo de serem executados em seus dispositivos;
- 56,2% não mantêm um processo de avaliação e monitoramento dos hardwares e softwares, com vistas a eliminar, mitigar e/ou corrigir vulnerabilidades;
- 46,7% não mantêm um processo de correção de vulnerabilidades;
- 57,8% não mantêm um programa contínuo de treinamento em segurança aos funcionários;
- 47,2% não mantêm informações de contato para reporte de incidentes;
- 52,5% não mantêm um processo para recebimento de notificações de incidentes.
As recomendações do TCU para aprimorar a segurança digital no setor público
A partir dos dados mencionados, o órgão também reuniu uma série de orientações para as repartições públicas, reiterando a urgência em adotá-las.
Aqui, você pode acessar o documento na íntegra, no qual o tribunal fala sobre a importância de evitar o uso de equipamentos de TI não autorizados, bem como softwares; promover programas contínuos de avaliação e correção de vulnerabilidades; e conscientizar funcionários sobre boas práticas de segurança, entre outras.
Segurança digital no setor público: como implementar?
A partir de recomendações como a do Tribunal de Contas da União, é possível desenvolver uma série de práticas no sentido de reduzir a vulnerabilidade digital de um órgão ou instituição. Para tanto, é preciso considerar que, em toda interação com um equipamento digital conectado à internet, é possível identificar, pelo menos, quatro componentes principais: o usuário, os dados, os equipamentos e o perímetro.
No jargão da proteção digital, considera-se perímetro como o espaço, virtual ou geográfico, por onde os dados trafegam. Sob essa perspectiva, portanto, os equipamentos são responsáveis por processar os dados e os usuários, por sua vez, os gerenciam, definindo como eles trafegarão pelo perímetro.
Tendo tudo isso em vista, o objetivo da proteção digital é evitar que os dados saiam do perímetro definido. Nesse sentido, é necessário adotar medidas que alcancem todos os componentes dessa dinâmica, garantindo que esses contribuam, em conjunto, para evitar incidentes. A seguir, confira alguns exemplos:
Perímetro
O perímetro por onde os dados trafegam deve ser seguro e, para além disso, bem definido. Em termos práticos, isso significa que, além de investir em soluções de rede robustas, dotadas de recursos para combater as ameaças digitais, é importante que o caminho a ser percorrido pelos dados seja conhecido e, mais do que isso, respeitado pelos usuários.
Nesse sentido, conforme o próprio TCU aponta, é necessário avaliar se dispositivos, softwares ou, ainda, a conduta dos usuários, não abrem potenciais brechas no perímetro. Isso porque, em caso positivo, não só há o risco de as informações chegarem a locais indesejados, como a possibilidade de que agentes externos, mal-intencionados, tenham acesso à rede onde esses dados circulam.
Adicionalmente, no cenário atual, é especialmente difícil definir a extensão dessa rede. Isso porque, com cada vez mais empregados públicos trabalhando nos formatos híbrido ou remoto, o perímetro pode se estender às suas casas. Por sua vez, a situação é ainda mais complexa quando há o uso de dispositivos móveis, visto que é muito mais comum que esses se conectem a redes desconhecidas e desprotegidas.
Usuários
Segundo um relatório divulgado pela Verizon, operadora de telecomunicações nos EUA, 85% das violações de dados ocorridas em 2020 foram ocasionadas por falhas humanas. Tendo isso em vista, é especialmente importante adotar medidas que capacitem os usuários para evitar ou remediar as vulnerabilidades existentes – essa, inclusive, tende a ser a medida mais recomendada por especialistas, uma vez ser a que gera menos custos para ser implementada.
Para tanto, é importante investir em capacitação tecnológica e treinamentos, além de, sobretudo, reforçar e atualizar os conhecimentos com a ajuda de cartilhas e manuais de boas práticas. A maioria dos usuários desconhece, por exemplo, que o método de ataque eletrônico mais comum é o phishing, popularmente aplicado a partir de e-mails ou mensagens de WhatsApp.
No ataque, a vítima recebe uma mensagem falsa, muitas vezes acompanhada de um boleto para pagamento ou, em outros casos, da solicitação de alguma informação. A fim de convencer o usuário de que se trata de uma mensagem legítima, os criminosos utilizam diferentes recursos, incluindo endereços de e-mail, páginas de internet, linguajar e anexos que imitam, muitas vezes nos mínimos detalhes, os do remetente autêntico.
Equipamentos
Conforme visto até aqui, os usuários e o perímetro atuam em conjunto. Mas no cenário em que um ou ambos falham, os equipamentos, incluindo os seus recursos de software, podem ser a última fronteira para a proteção de dados. Atualmente, as soluções de TI mais modernas contam com recursos dedicados à segurança digital, oferecendo múltiplas camadas de defesa.
Por isso, para além de investir numa infraestrutura tecnológica robusta, é importante mantê-la atualizada, sempre seguindo as recomendações do fabricante. Em complemento, todo serviço de suporte ou assistência técnica deve ser especializado, garantindo o melhor resultado no endereçamento de falhas ou implementação de melhorias.
Aqui, é importante salientar que, da mesma forma que as medidas de segurança estão em constante evolução, o cenário das ameaças é altamente dinâmico. Por isso, é imprescindível contar com equipamentos modernos, uma vez que esses também se manterão devidamente protegidos ao longo de sua vida útil – seja pelos recursos oferecidos de fábrica, seja pelas atualizações fornecidas pelo fabricante.
Conforme visto ao longo desse artigo, a segurança digital no setor público é um tema que merece atenção, sobretudo se considerarmos o seu impacto sobre a qualidade dos serviços prestados ao cidadão. Nesse sentido, garantir a adoção das melhores estratégias tecnológicas passa por uma série de medidas, inclusive, contar com quem tem experiência no ramo.
Com 37 anos de atuação, a Mtec é especialista em soluções de tecnologia para o governo, além de manter o maior banco de Atas de Registro de Preços do mercado, garantindo uma ampla variedade de equipamentos. Em nosso portal, é possível encontrar soluções de tecnologia seguras e confiáveis, entre notebooks, desktops, estações de trabalho e acessórios para diferentes necessidades do setor público.
Adicionalmente, também prestamos suporte qualificado, com foco em sempre proporcionar a melhor experiência para quem conta conosco.