Como se cria um apagão de dados

Qualquer criança consegue invadir este excremento digital, causar lentidão e até estragos maiores”, alertou um hacker em 29 de janeiro de 2021, após invadir a rede do Ministério da Saúde. “Favor levar a sério os assuntos de segurança da informação. Bolsonaro, dá um jeito aí”, acrescentou no recado estampado no FormSUS, um serviço do DataSUS para a criação de formulários. A recomendação, tudo indica, foi solenemente ignorada pelo governo. Passados pouco mais de dez meses, uma nova invasão derrubou o Painel Coronavírus, o e-SUS Notifica, o Sistema de Informação do Programa Nacional de Imunização (SI-PNI) e o Conecte SUS, com as referências da vacinação contra a Covid-19. “Os dados internos dos sistemas foram copiados e excluídos. 50 TB de dados está (sic) em nossas mãos. Nos contate caso queiram o retorno dos dados”, dizia a mensagem assinada pelo ­Lapsus$ Group, autor do ataque cibernético.

O resultado não poderia ser mais desastroso. Por mais de um mês, o País ficou no escuro, sem saber a real situação da pandemia. Sem dados oficiais, os brasileiros participaram das festas de Natal e réveillon ignorando o avanço da variante Ômicron, responsável por 95,9% das amostras de Coronavírus que passaram por análise genética da Fiocruz na segunda quinzena de janeiro. Na semana encerrada em 8 de fevereiro, o Brasil registrou a média diária de 823 mortes por Covid, alta de 123% em 14 dias, segundo o consórcio de veículos de imprensa, que coleta dados diretamente das secretarias estaduais de Saúde. De fato, não dá para confiar nas informações do governo federal, inerte diante dos ataques de hackers.

Desde o início da gestão de Jair Bolsonaro, foram identificadas ao menos sete graves falhas de segurança nos sistemas do Ministério da Saúde. Em abril de 2019, houve o vazamento de dados pessoais de 2,4 milhões de usuários do Sistema Único de Saúde. Em dezembro de 2020, foi descoberta uma falha que expunha as informações de 243 milhões de brasileiros cadastrados no SUS, incluindo cidadãos falecidos há tempos. Diante da escalada de problemas, qualquer gestor público minimamente responsável ampliaria os investimentos na área de Tecnologia da Informação para prevenir novos ataques, mas ocorreu exatamente o oposto.

Entre 2018 e 2021, o governo cortou pela metade os gastos no Departamento de Informática do SUS, o DataSUS. Em valores corrigidos pelo IPCA, indicador oficial de inflação do País, o volume de recursos despencou de 287 milhões para 136 milhões de reais, revela uma recente reportagem do site Poder 360, que compilou dados do Painel do Orçamento Federal. As despesas globais do Ministério da Saúde com a área de TI caíram 39% no mesmo período, de 469 milhões para 286 milhões de reais.

As empresas privadas investem 8,2% do faturamento em TI. A pasta aplicou mísero 0,17% do seu orçamento em 2021

“Os ataques só foram possíveis graças a práticas de segurança obsoletas e tecnologias defasadas. Neste último apagão, o hacker conseguiu o login e a senha de um funcionário da pasta. Espantosamente, não havia um sistema de verificação em duas etapas, como os existentes em qualquer e-mail ou aplicativo hoje em dia. Ou seja, o usuário digita a sua senha e depois recebe um código pelo celular para confirmar se é ele mesmo”, observa o médico sanitarista Giliate Coelho Neto, mestre em Saúde Coletiva pela Unifesp e ex-diretor do DataSUS. “O Ministério da Saúde tem um orçamento próximo de 170 bilhões de reais, comparável ao faturamento de uma grande empresa multinacional. Nada justifica uma prática tão amadora.”

Em entrevista ao programa Direto da Redação, transmitido ao vivo pelo canal de CartaCapital no YouTube na segunda-feira 7, Coelho Neto acrescenta que as empresas brasileiras investem, em média, 8,2% do seu faturamento em Tecnologia da Informação, segundo pesquisa divulgada pela Fundação Getulio Vargas em 2020. Os 136 milhões de reais aplicados no DataSUS correspondem, porém, a mísero 0,08% dos 171,4 bilhões de reais efetivamente gastos pelo Ministério da Saúde em 2021. Ainda que se considerem as despesas globais com TI, a situação de penúria é evidente: os 286 milhões de reais gastos representam apenas 0,17% dos recursos da pasta, ou 48 vezes menos que o porcentual investido pela iniciativa privada.

Essa política de sucateamento resulta em dois graves problemas, alerta o especialista. “De um lado, haverá menor eficiência dos sistemas do SUS para o planejamento das políticas públicas e estratégias de promoção da saúde. De outro, haverá maior dificuldade para realizar ações de controle, transparência e fiscalização desse montante gigante de recursos”, diz Coelho Neto. Em bom português, quanto menor for o investimento em tecnologia, maior o risco de corrupção.

O ex-diretor do DataSUS alerta, ainda, para o déficit de profissionais qualificados para atuar no setor, com sólidos conhecimentos não apenas na área de tecnologia, mas também na administração pública. “Não é feito um concurso para analista de TI desde 2015, meu último ano à frente do departamento”, relembra. De lá para cá, ao menos um terço dos profissionais concursados se desligou do governo. “Estamos falando de uma carreira muito valorizada no mercado. Muitos servidores acabam migrando para a iniciativa privada em busca de salários mais vantajosos ou de melhores condições de trabalho. Só ficam os militantes da saúde mesmo.”

A maioria dos brasileiros não percebe o risco, mas o vazamento de dados sobre a sua saúde também pode trazer enormes prejuízos. “Com base nas informações disponíveis no SUS, uma empresa tem condições de estimar o risco de um cidadão desenvolver doença cardíaca ou câncer e negar, por exemplo, uma oportunidade de emprego ou um financiamento bancário”, alerta Coelho Neto. “Precisamos ter clareza de que esses dados são muito valiosos, mas estão sendo protegidos por amadores e negacionistas.” •

PUBLICADO NA EDIÇÃO Nº 1195 DE CARTACAPITAL, EM 16 DE FEVEREIRO DE 2022.

Este texto aparece na edição impressa de CartaCapital sob o título “Como se cria um apagão de dados”