O Tribunal de Contas da União (TCU) realizou, sob a relatoria do ministro Vital do Rêgo, auditoria com vistas a avaliar a efetividade dos procedimentos de backup das organizações públicas federais. De outubro de 2020 a abril de 2021, avaliou-se a efetividade dos procedimentos de backup de 422 instituições.
“Os riscos decorrentes de falhas na gestão da segurança da informação são de toda ordem e podem representar desde problemas relacionados à integridade de dados públicos e pessoais, passando pelo vazamento de informações sigilosas, confidenciais e pessoais, bem como podendo provocar impactos econômicos negativos em caso de indisponibilidade de serviços ou falhas em sistemas e bases de dados”, explicou o ministro-relator.
“Assim, a presente fiscalização teve por objetivo verificar a capacidade das organizações públicas federais de executar com consistência procedimentos de cópias de segurança (backups) e de recuperação de dados (restore), em especial sobre bases de dados e sistemas críticos”, detalhou o ministro do TCU Vital do Rêgo.
Achados de auditoria
O primeiro achado refere-se à inexistência de política de geração de cópias de segurança (backup e restore) aprovada formalmente na organização. Apesar de se tratar de um controle básico, metade das organizações respondentes (208 de 410: 50,7%) ainda não possuem tal documento. Das 202 que o elaboraram, quase metade (98 de 202: 48,5%) ainda não formalizaram essa política.
“A inexistência de política de backup leva à indefinição em relação ao escopo dos dados (bases de dados, sistemas de arquivos…) que deverão ser copiados, periodicidade (diária, semanal, mensal), quantidades de cópias, locais de armazenamento, tempos de retenção e outros requisitos que podem representar riscos à segurança da informação”, pontuou o ministro-relator do processo.
“O segundo achado é positivo e diz respeito à regularidade de realização do procedimento de cópias. As cópias de segurança (backups) da principal base de dados da organização são realizadas de forma regular e automática”, informou o ministro Vital do Rêgo.
Das organizações consultadas que afirmaram tratar diretamente alguma base de dados (376 organizações), 99,2% (373 organizações) executam backups completos dessa base com periodicidade. Sendo que 45,9% (171 de 373) fazem cópias diariamente ou mais de uma vez por dia. A execução periódica de cópias diminui o risco de perda de dados, uma vez que permite a recuperação dos dados em caso de falhas.
O terceiro achado, também considerado positivo, constatou que cópias de segurança (backups) integrais do principal sistema da organização são realizadas regularmente. De acordo com o que se apurou, de 372 organizações que afirmaram hospedar sistemas em servidores ou máquinas próprios, mais de 75% realizam esses backups diariamente, sendo que 84,4% realizam pelo menos semanalmente.
“Contudo, cumpre-me destacar uma informação negativa existente no relato desse achado, 33 organizações públicas (8,9% do total) informaram que não realizam backup de seu principal sistema, colocando-se em situação de total vulnerabilidade a falhas e ataques, o que é simplesmente inconcebível”, alertou o ministro-relator Vital do Rêgo.
Deliberação
O TCU recomendou ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR), ao Conselho Nacional de Justiça (CNJ) e ao Conselho Nacional do Ministério Público (CNMP) que editem normativos para, cada um no seu âmbito, orientar os gestores e regulamentar a obrigatoriedade de que aprovem formalmente e mantenham atualizadas políticas gerais e planos específicos de backup.
Contexto
“O ano de 2020, sob os efeitos da Covid-19, também ficou conhecido pela aceleração da revolução digital. Os riscos à saúde pública e as restrições de contato e de convívio social que se impuseram catalisaram esse processo, consolidando o mundo digital como palco central de significativas mudanças comportamentais”, contextualizou o ministro-relator Vital do Rêgo.
“A administração pública que, por sua vez, já vinha passando por sucessiva digitalização dos serviços públicos, viu-se, repentinamente, sob a necessidade de incorporar em larga escala novas rotinas e procedimentos para manter-se funcionando”, observou o membro do TCU.
“Com efeito, a segurança das informações e o fortalecimento da segurança cibernética, que já eram temas extremamente relevantes para a preservação dos serviços públicos, ganhou novo relevo após as mudanças econômicas e sociais trazidas pela pandemia”, ponderou o ministro da Corte de Contas.
O Superior Tribunal de Justiça (STJ) considerou ter sofrido “o pior ataque cibernético já empreendido contra uma instituição pública brasileira, em termos de dimensão e complexidade”. As atividades criminosas também causaram indisponibilidade de serviços de tecnologia da informação (TI) no Conselho Nacional de Justiça (CNJ), Controladoria-Geral da União (CGU), Ministério da Saúde (MS), Governo do Distrito Federal (GDF), entre outros.
De acordo com informações do portal do governo digital brasileiro, o Gov.br, o número de serviços digitais oferecidos pelo governo saltou de 737 em 2017 para 2.424 serviços em 2020, sendo que 62% dessa quantia eram considerados pelo governo como totalmente digitais. Desde então o número não parou de crescer. Atualmente, o portal do governo divulga que estão disponíveis on-line 3.909 serviços de 190 órgãos da administração pública.