Arquivos Infraestrutura Digital

Publicado em junho 23, 2025junho 23, 2025 por securitylgpd

O DESAFIO DA PROTEÇÃO DIGITAL NO BRASIL: O QUE OS ATAQUES CIBERNÉTICOS DIZEM SOBRE A NOSSA ESTRUTURA DE SEGURANÇA

Na última sexta-feira, 20 de junho de 2025, veio à tona a descoberta de um dos maiores vazamentos de credenciais da história da internet: mais de 16 bilhões de logins e senhas expostos, com 3,5 bilhões deles associados a usuários de língua portuguesa. O episódio, revelado por pesquisadores independentes, não se resume a números impressionantes — ele aponta diretamente para as limitações estruturais da segurança digital no país e levanta preocupações sobre nossa capacidade de resposta diante de ameaças dessa natureza.

O que mais chama atenção é o padrão técnico das informações vazadas: dados dispostos de forma organizada, no tradicional modelo URL-login-senha, que favorece ataques automatizados. Essas credenciais foram obtidas, em grande parte, por meio de métodos já conhecidos — como o uso de malwares e exploração de bases antigas — o que indica não só uma continuidade de práticas criminosas, mas também a sofisticação de ferramentas capazes de operar em múltiplas frentes simultaneamente.

Esse tipo de exposição não é uma novidade para o Brasil. Nosso país já ocupa posição de destaque negativo quando se trata de dados vazados, registrando mais de 7 bilhões de ocorrências. Ao mesmo tempo, os ataques cibernéticos têm se multiplicado rapidamente, com mais de 60 bilhões de tentativas detectadas somente no último ano. A combinação entre alta exposição e falta de barreiras eficazes cria um ambiente propício à ação de grupos mal-intencionados.

Parte relevante dessas ações é atribuída aos chamados infostealers — programas maliciosos voltados à captura silenciosa de dados sensíveis. Muitos deles têm origem em códigos de malware já conhecidos há mais de uma década, que passaram por mutações ao longo dos anos, ganhando novas funcionalidades. No Brasil, esse tipo de ataque responde por uma parcela expressiva dos incidentes registrados, afetando principalmente setores estratégicos como órgãos públicos, instituições financeiras e empresas de tecnologia.

Do ponto de vista jurídico, o país já possui arcabouço normativo relevante, com destaque para a Lei Geral de Proteção de Dados Pessoais. No entanto, a aplicação prática ainda enfrenta obstáculos. A limitação de valores para sanções administrativas, a baixa frequência de fiscalizações e o número reduzido de casos judicializados reduzem a efetividade das regras já estabelecidas. Mesmo decisões recentes que reconhecem a responsabilidade objetiva de empresas por vazamentos ainda precisam ser acompanhadas de medidas mais robustas de supervisão.

O impacto econômico dessas falhas de segurança também não pode ser ignorado. Relatórios recentes mostram que criminosos digitais movimentaram bilhões de dólares explorando vulnerabilidades em sistemas ao redor do mundo. No Brasil, a maturidade digital das empresas ainda é limitada: boa parte delas não possui equipes ou políticas específicas voltadas à proteção de dados. Isso amplia os riscos e abre espaço para prejuízos financeiros e institucionais.

Além disso, um estudo com abrangência nacional revelou que menos de um quarto das administrações públicas estaduais contam com profissionais capacitados para responder a incidentes de segurança em larga escala. Essa carência de preparo contribui para a propagação de ataques e dificulta respostas coordenadas que poderiam conter ou mitigar os danos.

Mais do que um evento isolado, o vazamento recentemente divulgado é reflexo de uma estrutura frágil, que exige revisão urgente. O Brasil tem a chance de transformar esse episódio em um ponto de virada — um momento para investir em proteção, ampliar a fiscalização e integrar esforços entre governo, empresas e sociedade. A legislação já avançou. A jurisprudência aponta caminhos promissores. Falta agora compromisso prático com a execução e a fiscalização de medidas que protejam a integridade digital dos brasileiros.

Publicado em junho 17, 2025junho 17, 2025 por securitylgpd

SOBERANIA DIGITAL: O QUE O BRASIL PRECISA FAZER PARA PROTEGER SEUS PRÓPRIOS DADOS?

A relação entre soberania digital e política de dados no Brasil tem se tornado cada vez mais complexa. A ausência de uma estratégia tecnológica articulada a um projeto de desenvolvimento econômico tem deixado o país em posição de dependência no que se refere ao controle e uso dos dados gerados internamente.

Nos últimos anos, a governança internacional da tecnologia passou a ser um campo de disputa entre grandes potências. Os Estados Unidos e a China consolidaram-se como polos dominantes, enquanto a União Europeia, diante da ausência de gigantes tecnológicos próprios, optou por exercer influência por meio da regulação. A legislação europeia sobre proteção de dados, por exemplo, influenciou diretamente normas adotadas em outras regiões, inclusive no Brasil.

Esse movimento global colocou em xeque o papel tradicional dos Estados como principais agentes reguladores. À medida que as corporações transnacionais ampliaram seu poder sobre fluxos de dados e infraestrutura digital, os Estados passaram a dividir espaço com empresas que operam, muitas vezes, com maior influência que governos nacionais. Essas companhias, apesar de privadas, se envolvem diretamente em questões públicas, operando como verdadeiros centros de poder global.

O Brasil, nesse contexto, ainda apresenta deficiências na construção de uma política nacional de dados. Há carência de incentivos para o desenvolvimento de infraestrutura local, como centros de dados e serviços de nuvem operados internamente. Apesar de existirem empresas nacionais com capacidade para atuar nesse setor, as políticas públicas têm favorecido a entrada de capital e tecnologia estrangeiros sem assegurar mecanismos de controle nacional.

Enquanto outras nações buscam preservar sua autonomia digital por meio de investimentos públicos e desenvolvimento tecnológico interno, a estratégia brasileira recente tem se orientado pela facilitação de investimentos externos, inclusive com propostas que priorizam atores já consolidados globalmente. Isso pode ampliar a dependência tecnológica do país e reduzir sua capacidade de autogerir os dados que circulam em seu território.

Além da infraestrutura física, existe um componente jurídico relevante: muitas das empresas que prestam serviços de armazenamento e processamento de dados no Brasil estão sujeitas a leis internacionais que permitem que governos estrangeiros solicitem acesso às informações armazenadas, mesmo que fora de seu território. Isso compromete a efetividade de legislações nacionais voltadas à proteção de dados.

Para que o país avance em direção a uma autonomia digital efetiva, seria necessário estruturar uma política pública integrada que promovesse o fortalecimento de soluções nacionais, o uso de software livre, a proteção da jurisdição sobre dados sensíveis e o investimento em infraestrutura própria. A conectividade existente, com redes de fibra óptica e tecnologia 5G já em funcionamento, oferece uma base sólida. Falta, no entanto, uma articulação estratégica que una esses recursos a um projeto nacional de soberania digital.

Diante das escolhas que vêm sendo feitas, cabe refletir sobre o papel do Brasil nesse novo mapa de poder tecnológico global. Persistir como mero consumidor de soluções externas ou como fornecedor de matéria-prima digital representa um risco à autonomia. Ao contrário, promover o desenvolvimento de uma economia digital robusta e inclusiva, com estímulo à inovação local e preservação dos interesses públicos, pode colocar o país em rota de maior protagonismo e independência.

Publicado em abril 29, 2024abril 29, 2024 por securitylgpd

FRAUDES FINANCEIRAS AMEAÇAM INTEGRIDADE DO SISTEMA GOVERNAMENTAL

O Sistema Integrado de Administração Financeira do Governo Federal (Siafi) recentemente se tornou alvo de ações fraudulentas, que levantaram sérias questões sobre a segurança de nossas infraestruturas digitais nacionais. Inicialmente, o desvio de R$ 3,5 milhões em fundos do Ministério responsável pela Gestão e Inovação em Recursos Públicos chamou a atenção para vulnerabilidades que talvez tenham sido subestimadas. Felizmente, uma rápida resposta resultou na recuperação de R$ 2 milhões desses recursos, embora o restante tenha sido sacado ou transferido antes de qualquer intervenção.

O episódio se agravou com uma segunda tentativa de movimentação fraudulenta envolvendo R$ 9 milhões, que, por sorte, foi frustrada graças à vigilância e aos mecanismos de segurança atuais. Este incidente ressalta não apenas a audácia dos cibercriminosos, mas também a perene batalha entre manter sistemas seguros e a inovação constante dos métodos de ataque.

Além dessas tentativas diretas de fraude, houve relatos de uma campanha de phishing direcionada a funcionários do governo. Mensagens suspeitas foram enviadas aos celulares dos funcionários, instruindo-os a clicar em um link para uma suposta atualização necessária para continuar a acessar o sistema com segurança. Esta tática, embora comum, destaca a necessidade de uma educação robusta em segurança cibernética para todos os envolvidos na gestão de recursos sensíveis.

Em resposta a esses incidentes, o governo alterou as regras de acesso ao sistema. Agora, um certificado digital, emitido exclusivamente por uma entidade governamental específica, é requerido para qualquer movimentação significativa de recursos. Esta mudança não é apenas uma medida de fortalecimento da segurança, mas também uma resposta necessária para restaurar a confiança no manejo dos recursos públicos.

Estes eventos são um lembrete contundente de que a segurança cibernética deve ser uma prioridade incessante. As implicações de falhas de segurança são vastas, potencialmente afetando desde a eficiência administrativa até a integridade nacional. Embora a Polícia Federal e a Agência de Inteligência estejam investigando esses incidentes, e um dos suspeitos tenha sido identificado, a jornada para uma segurança digital mais robusta é contínua. A colaboração entre agências, a atualização constante das tecnologias de segurança e a formação contínua dos funcionários são essenciais para prevenir futuras infrações e garantir a proteção dos ativos nacionais.

Publicado em abril 1, 2024abril 1, 2024 por securitylgpd

AUDITORIA REVELA FALHAS NA SEGURANÇA CIBERNÉTICA DE ENTIDADES GOVERNAMENTAIS

Na recente sessão plenária realizada na última quarta-feira, uma auditoria detalhada foi apresentada pelo Tribunal de Contas, destacando vulnerabilidades críticas em sistemas de informação de diversas organizações governamentais federais. Esta análise focou na segurança de serviços essenciais como hospedagem web, sistemas de correio eletrônico e a resolução de nomes de domínio, evidenciando a possibilidade de exploração dessas falhas por agentes mal-intencionados.

O estudo revelou lacunas significativas nas configurações de segurança, indicando que as práticas correntes falham em atender aos padrões recomendados de proteção para infraestruturas digitais. Surpreendentemente, a maturidade em segurança da informação, em sua maioria, situa-se em patamares baixos a intermediários, sinalizando uma urgente necessidade de aprimoramento.

A metodologia aplicada nesta auditoria permitiu um exame abrangente de milhares de domínios, descobrindo que a prevalência de configurações inadequadas expõe não apenas as instituições, mas também seus usuários, a riscos significativos de ataques cibernéticos. Esses ataques têm o potencial de comprometer a confidencialidade e a integridade dos serviços digitais fornecidos ao público, afetando a continuidade e a eficácia das operações governamentais.

Identificaram-se sete riscos principais, entre eles a manipulação de tráfego de rede e o comprometimento de contas de usuários, que podem levar ao roubo, vazamento e perda de dados sensíveis, além da possível interrupção dos sistemas de entidades públicas. A análise apontou que uma grande proporção dos domínios avaliados apresenta alto risco para ataques, o que ressalta a crítica necessidade de ações corretivas.

Entre os fatores que contribuem para esse cenário estão a insuficiência de recursos, falta de pessoal qualificado e a ineficácia na aplicação de normativas de segurança. Além disso, a ausência de envolvimento direto da alta gestão nas estratégias de segurança foi identificada como uma barreira significativa para a implementação efetiva de controles robustos.

Este levantamento, conduzido com o objetivo de abranger a totalidade dos domínios governamentais, resultou na criação de um inventário preciso da situação da segurança cibernética nas várias esferas da administração pública. Tal esforço reflete a importância de adotar uma abordagem mais rigorosa e integrada para a gestão de riscos em segurança da informação, alinhada às melhores práticas internacionais.

O diagnóstico oferece uma visão clara dos desafios enfrentados e sublinha a necessidade urgente de medidas proativas para fortalecer a postura de segurança das instituições públicas. Para auxiliar neste processo, foram elaboradas recomendações específicas e um “Mapa de Riscos e Controles”, visando facilitar a compreensão dos controles de segurança necessários, os riscos associados à sua não implementação e os benefícios esperados com sua adoção.

A iniciativa de fiscalização tomada por este órgão visa essencialmente incentivar uma transformação positiva na maneira como os riscos de segurança da informação são percebidos e geridos no âmbito do governo, contribuindo para a construção de um ambiente digital mais seguro para todos os cidadãos.

Publicado em dezembro 14, 2023dezembro 14, 2023 por securitylgpd

DIREITO BRASILEIRO: SENADO APROVA PROJETO QUE IGUALA ASSINATURAS DIGITAIS COM FIRMA RECONHECIDA

A recente deliberação da Comissão de Comunicação e Direito Digital do Senado Brasileiro marca um avanço significativo na legislação digital do país. Nesta semana, foi aprovado um importante Projeto de Lei, identificado como PL 4187/2023, que estabelece a equivalência entre assinaturas digitais e o tradicional reconhecimento de firma por cartórios.

Este projeto, impulsionado majoritariamente por membros de um proeminente partido político, propõe que as assinaturas eletrônicas realizadas com certificados digitais validados pela Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) sejam equiparadas em termos de importância jurídica e confiabilidade ao reconhecimento de firma. O autor da proposta argumenta que as assinaturas eletrônicas certificadas pela ICP-Brasil já possuem um alto grau de reconhecimento jurídico e confiabilidade.

O relator do projeto, também pertencente ao mesmo partido, reforçou a necessidade dessa medida, destacando a inexistência de uma legislação que confira à assinatura digital a mesma validade jurídica que o reconhecimento de firma realizado em cartórios. Ele ressaltou que a aprovação do PL 4187/2023 vem para preencher essa lacuna legal, alinhando a legislação brasileira às necessidades da era digital.