Na última quarta-feira (27/03/2024), o Tribunal de Contas da União (TCU) divulgou os resultados de uma auditoria que analisou a segurança da informação em organizações públicas federais. Os achados revelaram um cenário alarmante, com a maioria dos índices de segurança apresentando níveis de maturidade baixos ou intermediários, expondo as instituições a riscos significativos de ataques cibernéticos.
As principais deficiências foram identificadas na configuração de controles recomendados para serviços de hospedagem web, e-mail e resolução de nomes (DNS). Segundo o relatório, estas fragilidades poderiam ser exploradas por hackers, colocando em risco não apenas a integridade dos sistemas, mas também a confidencialidade dos dados.
A auditoria, que abrangeu milhares de domínios, revelou que a maioria das organizações e seus clientes estão expostos a ataques cibernéticos. Essa vulnerabilidade pode comprometer a confiabilidade dos serviços digitais oferecidos à população pelo governo federal e entidades subnacionais.
Sete riscos foram identificados, destacando a possibilidade de manipulação de tráfego de rede, comprometimento de contas de usuários, roubo, vazamento e perda de dados, além de interrupção dos sistemas das organizações públicas. Tais problemas não apenas podem afetar programas e ações governamentais, mas também minar a confiança da população e acarretar em possíveis sanções legais.
Segundo o ministro-relator da auditoria, Aroldo Cedraz, a dimensão do trabalho foi significativa, avaliando 100% dos domínios identificados. Cedraz destacou a importância do levantamento, ressaltando que os domínios testados são utilizados por órgãos e entidades públicas dos três poderes, nas esferas federal, estadual e municipal.
As principais causas para a não implementação dos controles de segurança foram apontadas como a falta de recursos ou investimento, pessoal e capacitação. Além disso, há uma falta de efetividade na implementação das normas, sendo necessário o envolvimento da alta administração das organizações.
O TCU planeja informar o resultado da fiscalização a oito organizações representativas das diversas instituições avaliadas, buscando incentivar a adoção de medidas e a elaboração de estratégias para a gestão dos riscos identificados.
Para auxiliar os entes públicos, foi elaborado o “Mapa de Riscos e Controles”, que esclarece os controles de segurança avaliados, os riscos da não implementação, além dos custos e benefícios. O documento também fornece critérios e referências para a implementação de cada controle.
A Auditoria Especializada em Tecnologia da Informação (AudTI), que integra a Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado (SecexEstado), foi a unidade técnica responsável pela fiscalização, sob a relatoria do ministro Aroldo Cedraz.
Diante desses achados, fica evidente a necessidade urgente de aprimorar os sistemas de segurança da informação nas organizações públicas, garantindo a proteção dos dados e a confiabilidade dos serviços prestados à população.
