Admin1234: o governo da insegurança digital

Hackers e profissionais de cibersegurança estão se divertindo com o amadorismo espantoso do governo federal. Sob pseudônimos, compartilham informações a respeito dos ataques dos últimos dias. Em grupos e fóruns na deep web e até no Telegram, fazem troça com as trapalhadas do Ministério da Saúde e do Gabinete de Segurança Institucional, o GSI, para tentar consertar vulnerabilidades grosseiras nos sistemas do governo.

O nível de esculhambação é tamanho que alguns deles estão distribuindo logins de admin aparentemente válidos. Esse tipo de dado permite, ou ao menos facilita, o acesso indevido aos sistemas do governo. É como ter as chaves da casa de alguém.

O ConecteSUS, que reúne dados das vacinações dos brasileiros, segue fora do ar, quase quatro dias após a primeira invasão - ou incidente, como se diz no jargão anódino da tecnologia. Proliferam invasões em outros órgãos do governo. Para hackers, é uma espécie de video game barato. Um jogo. Virou competição de amadores.

Um servidor que trabalha na área de TI da Saúde entrou num desses fóruns para tentar entender o tamanho da bronca - estava preocupado com suas informações pessoais. Como não tem experiência em segurança de informação, apenas relatou aos chefes o que descobriu. Não recebeu qualquer orientação até agora. "O GSI diz que vai resolver. Estamos esperando", ele afirma.

Enquanto aguardam mais ataques, servidores e funcionários terceirizados da Esplanada que trabalham com segurança da informação trocam impressões sobre como reagir. Como de hábito, a colaboração é informal - prevalece a ordem superior para tratar com sigilo o que poderia ser resolvido se houvesse mais transparência.

Que o Ministério da Saúde é um queijo suíço digital todo mundo já sabia. Diga-se, todo mundo que conhece a área. Bastava alguém querer entrar lá e bagunçar o cafofo. Foi o que aconteceu.

A reação dos responsáveis no governo é previsível. Repete o que se costuma fazer em casos semelhantes. Negam, minimizam, usam jargões para confundir o público ("incidente") e tentam consertar o puxadinho. Até o próximo ataque. Melhor: incidente.

Esse modo de agir é proposital. Pouca gente entende o que está rolando e a maioria só espera que o "incidente" seja superado. Ninguém explica o que houve. A PF pede 30 dias para descobrir - um prazo risível para profissionais.

Não se explica qual era a vulnerabilidade e quais eram os responsáveis por ela. Não se diz qual era o problema nem qual foi a solução. Não se declina qual era o plano de contingência. Não se elucida a natureza e a extensão do dano.

Como ninguém entende do assunto, ninguém cobra. Como ninguém cobra, o risco de acontecer de novo é altíssimo. Ninguém é responsabilizado. Se há melhora substantiva, ninguém sabe.

O segredo é amigo da incompetência e parceiro da fuleiragem. Sem abrir o que houve, todo mundo mantém o emprego ou o contrato terceirizado. Com chefes que mal sabem usar um email e acham que VPN é um tipo de emenda parlamentar, o fracasso é garantido e a próxima invasão, uma certeza.