Especialistas alertam para ataques hacker, após invasão à sistemas da Prefeitura do RioFreepik

Os ataques cibernéticos que atingiram o datacenter da Prefeitura do Rio fizeram soar mais uma vez o alerta para os ataques  hackers no meio digital. Os serviços on-line da administração municipal estão fora do ar desde a madrugada de segunda-feira, 15, quando o sistema foi hackeado. O caso está sendo investigado pela Delegacia de Repressão aos Crimes de Informática (DRCI).
Essa não é a primeira vez que a situação acontece. Em 2021, sites do Governo Federal, entre eles o Ministério da Saúde, também foram atacados digitalmente. A Polícia Federal deflagrou na manhã desta terça-feira, 16, a Operação Dark Cloud para desmantelar a associação criminosa suspeita de realizar os ataques na ocasião.
O CEO da BigDataCorp, plataforma de dados digitais, Thoran Rodrigues, aponta que ainda há necessidade de apurar o que exatamente foi o ataque, informação que não foi divulgada, para saber como poderia ter sido evitado. No entanto, ele explica que há dois principais tipos de ataque que podem derrubar serviços e sistemas da seguinte forma: um ataque interno, uma invasão aos sistemas, ou um ação externa, uma sobrecarga.

Segundo o especialista, no caso de uma invasão dos sistemas, as recomendações já publicadas pelo O Dia são válidas: investir em prevenção com a adoção de medidas técnicas como backup gerenciado, antivírus, e-mails corporativos, firewall, elaboração de um inventário de todos os ativos de TI, de rede, de armazenamento e de IP, identificação de todos os usuários do Data Center e adotar uma sistema de gestão de acesso exclusivo. 
"É uma questão de segurança do ambiente, de você controlar quem tem ou não tem acesso aos servidores, e de descobrir como os invasores conseguiram acessar o datacenter para evitar invasões futuras. Além disso, é fundamental analisar se, durante o ataque, dados e informações foram roubadas ou deletadas", comentou.

No  caso, de um ataque externo (um DDoS, ou "denial of service"), Thoran diz que "a única forma de se evitar é ter redundâncias, capacidade de processamento escalável, e serviços de segurança na ponta de comunicação, que sejam capazes de identificar tráfego malicioso e bloquear esses acessos". 
"Nos dois casos, além das questões de segurança, é fundamental que seja feito uma análise "post-mortem" do ocorrido, para se identificar e tratar as falhas, e para tentar se identificar quem foi responsável por isso", completa o especialista.
Segundo a especialista em Direito Digital e sócia da Daniel Advogados, Paula Rodrigues, a Prefeitura "deve entender e confirmar quais dados foram impactados, bem como o universo de titulares afetados para a tomada de decisão de como dar seguimento às medidas necessárias para controle do incidente". Ela também avalia que a administração municipal precisa reforçar medidas técnicas de segurança utilizadas na proteção dos dados.
"Com a análise desses elementos, a instituição necessita avaliar a criticidade do incidente envolvendo dados pessoais para entender se possui obrigação legal de notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares de dados pessoais atingidos. Segundo a legislação brasileira, o controlador de dados pessoais deve comunicar os titulares caso o incidente gere risco ou dano relevante a eles”, diz Paula.
De forma geral, embora os sistemas tenham mecanismos de segurança, o fato de estarem disponíveis na internet já os expõem a algum nível de risco. "Quando você tem um sistema e quer torná-lo útil, você acaba expondo esse sistema na internet. Dessa forma, você tem problemas de segurança porque os mecanismos que te permitem acessar um serviço remoto por navegador ou aplicativo são os mesmos mecanismos que um hacker vai usar para tentar  quebrar a segurança e invadir um sistema", explica Alexandre Sztajnberg, coordenador do curso de Ciência da Computação da UERJ.
Apesar disso, algumas medidas de segurança podem ser adotadas, tais como: implementação de equipe de segurança treinada, adoção de políticas de segurança bem documentadas e treinamento para os usuários.
"Esse ponto é inclusive mencionado em livros e cartilhas. Não adianta ter mecanismos sofisticados de segurança ou uma política bem desenhada se o usuário não adere às práticas de segurança. Você pode ter a necessidade de senha, contra-senha, autenticação, duas ou três etapas, um certificado digital, biometria... Vários itens de segurança podem ser impostos para se ganhar acesso, diz Sztajnberg.
"E também para o usuário externo. Quando você abre o sistema para o usuário externo, você precisa tentar garantir que o usuário externo use com ética e com alguma segurança. Então você procura garantir que a senha que o usuário está utilizando é forte, usa conexões mais seguras com criptografia. Isso são medidas que a Prefeitura usa. E obviamente, os sistemas de computação, que terão seus serviços expostos, precisam de investimento. São sistemas que devem ser atualizados e ter equipamentos sofisticados de segurança, que podem fazer parte da infraestrutura. Não conheço a infraestrutura do IplanRio, então não sei dizer, mas de uma forma geral você pode ter vários equipamentos e configurações de softwares seguros", complementa o coordenador.
Para Thoran, é fundamental que a prefeitura seja transparente em relação ao caso. "Devem publicar um relatório detalhado, mesmo que tenham falhas vergonhosas dentro de casa. É a forma como as empresas mais maduras se comportam, e ajuda o resto do mercado a aprender com o que aconteceu", afirma.
Orientações da Prefeitura
A Prefeitura informou pediu a compreensão dos cariocas e ressaltou que os servidores da IplanRio trabalham para minimizar o impacto e fazer com que o sistema volte a sua normalidade o mais rápido possível.
De forma preventiva, a Prefeitura retirou do ar todos os seus serviços, como os sistemas fazendários de arrecadação de IPTU, de emissão de nota fiscal e de pagamento de ITBI. A orientação é que os contribuintes de ISS que utilizam o sistema da Nota Carioca emitam um Recibo Provisório de Serviço (RPS) virtualmente ou em papelarias. A substituição deve ser feita posteriormente. Para não prejudicar o contribuinte, a Secretaria Municipal de Fazenda e Planejamento informou que publicará uma resolução em que não vai considerar os dias de paralisação como dias úteis.

De acordo com a pasta, a arrecadação não deve ser afetada pelo período de paralisação. “Os vencimentos dos tributos ocorrem nos primeiros dias úteis do mês e o que for pago após esse período tem o mesmo valor até o último dia útil de agosto”, informa a nota.
*Colaborou a estagiária Rosamaria Santos, sob supervisão de Marlucio Luna