Informações sigilosas de órgãos públicos são vulneráveis

Informações reservadas e sigilosas de 5 em cada 10 órgãos da administração pública federal estão vulneráveis ao acesso de pessoas não autorizadas. E um percentual ainda maior de órgãos públicos não segue padrões internacionais contra interrupção dos serviços e perda de dados.

Essas são conclusões de um levantamento realizado pelo TCU (Tribunal de Contas da União) sobre a governança de tecnologia da informação numa amostra de 255 órgãos e entidades, como ministérios, autarquias, empresas estatais e agências reguladoras. A pesquisa também envolveu os Poderes Judiciário e Legislativo.

O TCU identificou gastos de pelo menos R$ 6 bilhões por ano da União com a compra de serviços e equipamentos de informática, mas a cifra pode alcançar R$ 15 bilhões em 2008, segundo levantamento de uma empresa de consultoria. Isso significa quase uma vez e meio o gasto do Bolsa Família.

Apesar do alto custo, a eficiência é considerada baixa. A auditoria do TCU também mostra que 88% dos órgãos não têm planejamento para casos de perda de dados decorrente de desastres ou sabotagens. Segundo o relatório, há risco de perda de dados, "inclusive históricos", além de vulnerabilidade a fraudes e paralisação de funções essenciais de governo.

"Ao considerar os efeitos da perda de informações como as relacionadas à vida, à saúde, à segurança e à história dos cidadãos brasileiros, não é aceitável correr riscos elevados que possam comprometer a própria finalidade das instituições governamentais", resume o relatório aprovado no plenário do TCU na quarta-feira.

De acordo com o relatório, a situação é "crítica" no que se refere à segurança da informação. Com a falta de controle de acesso em quase metade dos órgãos consultados, há risco, segundo o relatório, de "divulgação não autorizada de informação sigilosa ou reservada".

O tribunal não divulgou oficialmente a lista de órgãos consultados, nem quais deles admitiram falhas nos questionários distribuídos pelo tribunal. Segundo a Folha apurou, entre áreas consideradas mais problemáticas estão a rede Infoseg, da Secretaria Nacional de Segurança Pública, a folha de pagamentos de funcionários da União e a Infraero, estatal que administra aeroportos.

As conclusões da auditoria do TCU levaram em conta respostas dadas por órgãos como a Presidência da República, comandos do Exército e da Aeronáutica e a Petrobras.

"Não dá para falar em governança de tecnologia da informação, mas em desgovernança. A situação preocupa demais. Eu me sinto sentado em um barril de pólvora, prestes a explodir", disse o secretário de Fiscalização e Tecnologia de Informação do TCU, Cláudio Castello Branco, que citou o apagão da Telefônica, em São Paulo, no início de julho, como exemplo de vulnerabilidade dos sistemas.

Outra constatação do relatório é que 80% do setor público não classifica as informações, ou seja, não hierarquiza o acesso a elas de acordo com seu grau de confidencialidade.

Segundo os técnicos do TCU, cujas análises foram respaldadas por dois especialistas em segurança da informação consultados pela Folha, a ausência do procedimento em 4 de cada 5 órgãos federais analisados dificulta a responsabilização de funcionários que acessam informações reservadas sem autorização.

Cópia do relatório foi encaminhada para o GSI (Gabinete de Segurança Institucional) da Presidência da República, recomendando que o órgão estabelecesse normas às demais entidades da administração federal para que adaptassem suas políticas e procedimentos de segurança da informação.

O GSI informou à Folha que já tomou conhecimento das constatações da Secretaria de Fiscalização de Tecnologia de Informação do TCU e que, no último dia 13 de junho, publicou uma instrução normativa estabelecendo orientações a serem implementadas pelos órgãos ligados direta e indiretamente à administração pública federal.

Informações

A situação considerada "crítica" e "preocupante" pelos técnicos do TCU no que se refere à segurança de informações reservadas na administração pública já foi ainda pior. Quem afirma isso é um dos diretores do Gabinete de Segurança Institucional da Presidência da República.

Segundo o diretor interino do Departamento de Segurança da Informação e Comunicações do GSI, Macarino Garcia de Freitas, "a avaliação do TCU já foi bem melhor que a avaliação que nós tivemos". Ele se refere a uma pesquisa feita pelo órgão em 2004, embrião do surgimento, em maio de 2006, do departamento no qual ele trabalha atualmente.

Segundo ele, que disse já ter noção da magnitude dos números constatados pelo TCU, é necessário capacitação de servidores. De um universo de cerca de 900 mil funcionários da máquina federal, diz, 9.000 devem ter cursos na área para se capacitarem à condição de gestores, e 900, pelo menos um mestrado nessa área.

"Do jeito que estávamos, íamos chegar a esse valor daqui a 100 anos. Agora nós começamos a dinamizar esse processo", disse.

Uma das medidas mais recentes adotadas pelo GSI foi a edição de uma instrução normativa no último dia 13 de junho, definindo diretrizes que deverão ser seguidas pelos órgãos e entidades da administração pública federal. Freitas diz, no entanto, que desde 2004 o GSI vem realizando e promovendo workshops, cursos, seminários e congressos a respeito do tema.