Os órgãos públicos são constantes alvos de ataques hackers. O motivo deles serem tão procurados é pelo fato de lidarem com informações sensíveis e confidenciais ao atender grande parte da população.
Em suma, os criminosos cibernéticos procuram por informações valiosas, que podem ser utilizadas para aplicar outros crimes como phishing, extorsão ou para obter lucro. Os compradores ilegais de tais dados costumam pagar um valor elevado, que é muito atrativo para os invasores digitais.
Para lidar com o problema, é preciso que os órgãos públicos tenham um foco maior na sua segurança cibernética. Por tal motivo, é importante que os órgãos públicos invistam na sua tecnologia de segurança e conscientização sobre o tema da cibersegurança.
Ataques a órgãos públicos: casos recentes no Brasil
No Brasil tivemos casos recentes de ataques cibernéticos envolvendo a técnica de ransomware. Somente no ano de 2021, o Ministério da Saúde e o Ministério da Economia foram atacados, entre outras quatro instituições. Outros casos de ataque foram com o STJ (2020), STF (2021-2022).
No caso do Ministério da Saúde, em 10 de Dezembro de 2021, os criminosos tomaram acesso ao site e anunciaram na página inicial, que os dados internos dos sistemas foram copiados e excluídos. Foi pedido um resgate para que o governo tivesse os dados recuperados. No total, eram mais de 50 terabytes de dados excluídos.
Somente no dia 12 de janeiro de 2022 houve o restabelecimento total dos sistemas afetados pelo ataque hacker. Como resultado da invasão, não foi possível fazer a emissão do certificado de vacinação por alguns dias.
Mais medidas de segurança devem ter sido implantadas em seus sistemas, assim como em outros órgãos do estado, também vítimas de ataques nos últimos anos.
Porém, casos assim não terão um fim tão rápido e notícias do tipo vão continuar a surgir com o passar do tempo ao redor do mundo.
No Brasil, é obrigação de todos os órgãos públicos estar 100% adequados com a Lei Geral de Proteção de Dados. Acrescentada ainda a adoção de estratégias que minimizem os riscos de incidentes de segurança, levando em consideração que os mesmos órgãos podem ser atingidos com sanções administrativas.
Soluções de privacidade para órgãos públicos
A LGPD estabelece que os órgãos públicos devem proteger todos os dados pessoais que possuem e que também devem adotar medidas de segurança que visam à proteção destes, assim como outras empresas. Além disso, com a regulação da dosimetria, será mais fácil determinar o grau de danos em situações de incidentes daqui pra frente.
São diversas consequências das violações das regras de proteção de dados previstas pela LGPD e aplicáveis pela ANPD, que podem atingir os órgãos públicos.
De uma forma bem resumida, soluções de privacidade são um conjunto de medidas, políticas e tecnologias que visam assegurar a proteção dos dados pessoais. Exemplos de solução de privacidade são: criptografia de dados, implementação de medidas de segurança cibernética, adoção de políticas de dados transparentes, entre outras que regulam o uso correto do dado pessoal.
Para sua aplicação, as soluções podem ser oferecidas por empresas especializadas em cibersegurança e privacidade. A não-aplicação de uma solução de privacidade por órgãos públicos é uma série violação da lei e de regulamentos de proteção de dados pessoais, ao manter informações sensíveis e pessoais de cidadãos frágeis e expostas.
De acordo com o Guia Orientativo do Poder Público, os órgãos públicos “devem verificar se as informações coletadas são adequadas e necessárias para atender suas finalidades para as quais serão utilizadas”. A informação está presente na página 22 e no item 90.
No item 53, que tange ao princípio da necessidade, os órgãos públicos também devem verificar se as informações usualmente coletadas de cidadãos são de fato necessárias para as finalidades para quais serão utilizados, não se admitindo a prática de coleta indistinta de dados pessoais em particular de dados para os quais não se tenha identificado uma finalidade específica e legítima.
Monitoramento e testes são fundamentais
Concluindo: por serem alvos procurados por criminosos, devem ser realizadios diversos testes por profissionais que entendam do assunto, buscando assim, avaliar o nível de eficácia atual do seu sistema contra invasões cibernéticas.
Do mesmo modo, dentro do órgão público, assim como em qualquer outra empresa, os funcionários devem ter total comprometimento com o assunto.
