Segurança da Informação no Governo A Relevância Estratégica da Segurança da Informação no Setor Público A segurança da informação no setor público transcende a mera proteção de ativos tecnológicos; ela é um instrumento de garantia dos direitos fundamentais dos cidadãos, de continuidade dos serviços essenciais e de confiança na administração pública. Órgãos governamentais detêm enormes volumes de dados sensíveis: cadastros populacionais (CPF, identidade), informações fiscais (imposto de renda, IPTU, IPVA), prontuários médicos (SUS), dados previdenciários (INSS), sistemas eleitorais (TSE), entre outros. O comprometimento dessas informações – por vazamento, adulteração ou indisponibilidade – pode causar danos irreparáveis a milhões de pessoas e abalar a credibilidade do Estado. Além disso, o governo é alvo frequente de ataques cibernéticos sofisticados, incluindo espionagem internacional, ransomware (ex.: ataque ao Ministério da Saúde em 2021), ataques de negação de serviço (DDoS) contra portais de serviços e tentativas de invasão a sistemas críticos. Por isso, a segurança da informação no setor público é regida por um arcabouço normativo próprio, que inclui leis, decretos, instruções normativas e padrões técnicos, além de estar sujeita a controle externo por Tribunais de Contas e órgãos de fiscalização. Para concursos e vestibulares, é fundamental compreender os princípios de segurança aplicados ao governo, as principais normas (LGPD, Lei de Acesso, Marco Civil, IN nº 4/2019), as estruturas de governança (CISO, DPO, CTIR Gov) e as boas práticas para proteção de dados e sistemas. Pilares da Segurança da Informação no Contexto Governamental Os pilares clássicos – confidencialidade, integridade e disponibilidade (tríade CIA) – aplicam-se com particularidades ao setor público. 2.1. Confidencialidade Garantir que apenas pessoas autorizadas tenham acesso a informações sigilosas. No governo, a confidencialidade é regulada pela Lei de Acesso à Informação (LAI) e pela Lei de Sigilo (Lei nº 11.111/2005). Informações podem ser classificadas como: Ultrassecreta: prazo de sigilo de 25 anos (renovável por mais 25). Secreta: prazo de 15 anos. Reservada: prazo de 5 anos. Não classificada (pública): acesso livre. A classificação deve ser feita por autoridade competente e fundamentada em risco à segurança da sociedade ou do Estado. Dados pessoais (LGPD) também são confidenciais, com acesso restrito aos titulares e a quem tiver interesse legítimo. 2.2. Integridade Assegurar que os dados não sejam alterados indevidamente, seja por erro humano, falha de sistema ou ação maliciosa. No governo, a integridade é crítica para registros de óbitos, títulos eleitorais, notas fiscais, decisões judiciais, etc. Mecanismos: assinaturas digitais (ICP-Brasil), hash de arquivos, logs de auditoria, controles de acesso. 2.3. Disponibilidade Garantir que sistemas e dados estejam acessíveis quando necessários. No setor público, a indisponibilidade pode paralisar serviços essenciais (emissão de passaportes, consulta ao CPF, agendamento de vacinas). Exige redundância (clusters, data centers secundários), planos de continuidade de negócios (PCN) e proteção contra DDoS. 2.4. Autenticidade e Não Repúdio Autenticidade: Certeza de que a informação provém da fonte declarada. No governo, a assinatura digital baseada em certificado ICP-Brasil é amplamente utilizada (ex.: notas fiscais eletrônicas, processos eletrônicos no SEI). Não repúdio: Impedir que o autor negue a autoria de uma ação ou documento. Logs de acesso com timestamp e assinatura digital garantem não repúdio para transações críticas (ex.: envio de declaração de imposto de renda). Legislação Aplicável à Segurança da Informação no Governo 3.1. Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018 A LGPD impõe obrigações específicas aos órgãos públicos (arts. 23 a 26): Finalidade pública: O tratamento de dados pessoais deve ser realizado para o cumprimento de competência legal ou atribuição legal do serviço público. Não se exige consentimento do titular para dados necessários à prestação de serviços públicos (art. 23). Transparência ativa: Os órgãos devem divulgar em seus sítios eletrônicos informações sobre o tratamento de dados pessoais, incluindo as hipóteses legais, as medidas de segurança adotadas e os canais de atendimento ao titular (art. 23, §3º). Encarregado (DPO): Indicação de um encarregado (servidor ou comissão) para atuar como canal de comunicação com os titulares e com a ANPD (art. 41). Segurança e prevenção de incidentes: Adoção de medidas de segurança técnicas e administrativas (art. 46); comunicação de incidentes de segurança à ANPD e aos titulares (art. 48). 3.2. Lei de Acesso à Informação (LAI) – Lei nº 12.527/2011 A LAI estabelece que a informação pública deve ser acessível, salvo as hipóteses de sigilo previstas em lei. Em matéria de segurança da informação, a LAI: Determina que os órgãos protejam as informações sigilosas contra acessos não autorizados (art. 32). Obriga a criação de Política de Segurança da Informação (PSI) contendo regras sobre classificação, tratamento e guarda de informações (art. 32, §2º). Define que os sistemas de informação devem garantir a autenticidade e integridade das informações sujeitas a sigilo (art. 32, §3º). 3.3. Marco Civil da Internet (Lei nº 12.965/2014) Aplicável ao setor público no que tange à proteção de registros de conexão e de acesso a aplicações, neutralidade da rede e responsabilidade de provedores (arts. 10 a 19). Órgãos que operam provedores de acesso (ex.: Rede Governo) devem guardar registros de conexão por 1 ano e de acesso a aplicações por 6 meses, mantendo sigilo. 3.4. Instrução Normativa SEGES/ME nº 4/2019 (Governança de TI no SISP) A IN nº 4/2019 exige dos órgãos do SISP a implementação de uma Política de Segurança da Informação (PSI) que contemple, no mínimo: Controles de acesso lógico e físico. Gestão de incidentes de segurança. Classificação da informação. Gestão de continuidade de negócios. Segurança em contratações de TI. Plano de conscientização e treinamento. A PSI deve ser aprovada pelo Comitê de Governança Digital (CGD) e revisada anualmente. 3.5. Decreto nº 10.332/2020 (Estratégia de Governo Digital) Define como meta a implantação de Centros de Operações de Segurança (SOC) nos órgãos públicos, o fortalecimento do CTIR Gov e a adoção de padrões de segurança cibernética baseados em normas internacionais (ISO 27001, NIST). 3.6. Política Nacional de Segurança da Informação (PNSI) – Decreto nº 9.637/2018 Estabelece princípios e diretrizes para a segurança da informação em toda a administração pública federal, incluindo a obrigatoriedade de instituição de comitês de segurança e a realização periódica de auditorias. Ameaças e Vulnerabilidades Específicas do Setor Público | Ameaça | Exemplo no governo | Vulnerabilidade comum | |--------|--------------------|----------------------| | Ransomware | Ataque ao Ministério da Saúde (2021) – sistemas do SUS ficaram inoperantes | Falta de backup offline, patch management deficiente | | Phishing direcionado (spear phishing) | E-mail falso para servidor da Receita Federal solicitando credenciais de acesso ao SIAFI | Falta de treinamento de conscientização, ausência de MFA | | Ameaça interna (insider) | Servidor insatisfeito copia dados de CPFs para venda | Privilégios excessivos, falta de segregação de funções, logs insuficientes | | Ataque DDoS | Derrubada do portal do governo federal durante protestos | Infraestrutura de rede sem mitigação de DDoS | | Espionagem | Invasão a sistemas diplomáticos ou de defesa | Firewall mal configurado, vulnerabilidades não corrigidas | | Engenharia social | Ligação falsa de "suporte técnico" pedindo instalação de acesso remoto | Ausência de política de verificação de identidade | Controles e Medidas de Segurança no Setor Público 5.1. Controles de Acesso Autenticação forte: Obrigatório o uso de senhas fortes (12+ caracteres) e autenticação multifator (MFA) para acesso remoto, administradores e sistemas críticos (ex.: token criptográfico para SIAFI). Princípio do menor privilégio: Conceder apenas as permissões necessárias para cada função. Exemplo: um servidor do setor de licitações não precisa acessar o banco de dados da folha de pagamento. Segregação de funções: A mesma pessoa não pode, por exemplo, autorizar um pagamento e executá-lo. No sistema, papéis separados (autorizador, executor). Revisão periódica de acessos: A cada 6 meses, revisar e revogar acessos de servidores desligados ou que mudaram de função. 5.2. Criptografia Em trânsito: Todos os sistemas governamentais devem utilizar TLS 1.2 ou superior (HTTPS) para proteger dados trafegados na internet. Redes internas (VPN, rede Governo) também devem ser criptografadas. Em repouso: Discos de servidores (data centers), estações de trabalho e dispositivos móveis devem ser criptografados (BitLocker, LUKS, FileVault). Dados classificados como confidenciais ou superiores devem usar criptografia de arquivo ou TDE (Transparent Data Encryption) em bancos de dados. Backups criptografados: Arquivos de backup devem ser criptografados (AES-256) para evitar acesso indevido em caso de roubo de fitas ou discos. 5.3. Monitoramento e Detecção SOC (Security Operations Center): Central de monitoramento 24x7 que analisa logs, correlaciona eventos e dispara alertas. O CTIR Gov oferece serviço de SOC compartilhado para órgãos menores. SIEM (Security Information and Event Management): Ferramenta que coleta e analisa logs de firewalls, servidores, sistemas, aplicações. Ex.: Splunk, QRadar, Wazuh (código aberto). IDS/IPS: Sistemas de detecção/prevenção de intrusão na rede (ex.: Snort, Suricata) para identificar tráfego malicioso. Logs de auditoria: Registro de acessos a sistemas críticos, alterações de dados, ações de administradores, com retenção mínima de 5 anos (para dados fiscais e de saúde). Logs devem ser imutáveis (escrita apenas em anexo) e armazenados em local seguro. 5.4. Resposta a Incidentes Plano de resposta a incidentes de segurança: Documento que define procedimentos para detecção, contenção, erradicação, recuperação e análise pós-incidente. Deve ser testado periodicamente (simulações). CTIR Gov (Centro de Tratamento de Incidentes de Segurança para o Governo): Órgão central que coordena a resposta a incidentes cibernéticos em órgãos públicos federais. Mantém uma equipe 24x7 e divulga alertas de vulnerabilidades. Comunicação obrigatória (LGPD, art. 48): Em caso de incidente que cause risco ou dano relevante a dados pessoais, o órgão deve comunicar a ANPD e os titulares em prazo razoável. 5.5. Backup e Continuidade Política de backup: Definição de frequência (ex.: full semanal, diferencial diário, log a cada 15 min), retenção (ex.: 30 dias para logs, 5 anos para dados fiscais), e armazenamento off-site (data center secundário, nuvem). Plano de Continuidade de Negócios (PCN): Documento que descreve como o órgão manterá serviços críticos durante e após um desastre (incêndio, ataque, falha de energia). Inclui RTO (Recovery Time Objective) e RPO (Recovery Point Objective). Testes periódicos de restauração: Pelo menos uma vez por ano, restaurar backups em ambiente de teste para garantir que os dados são recuperáveis. 5.6. Segurança Física Controle de acesso a data centers: Biometria (impressão digital), cartão de proximidade, registro de visitantes, câmeras de vigilância, portas com sensores de abertura. Proteção contra incêndio: Sistemas de supressão de incêndio (gás inerte, sprinklers) em salas de servidores. Nobreaks e geradores: Para garantir energia elétrica ininterrupta. Descarte seguro de mídias: HDs e SSDs devem ser destruídos fisicamente (fragmentadora, trituradora) ou criptografados antes do descarte, conforme norma ABNT NBR 15.953. Governança e Responsabilidades 6.1. CISO (Chief Information Security Officer) O CISO (ou gestor de segurança da informação) é o responsável pela implementação e operação da PSI. Suas atribuições típicas: Coordenar a análise de riscos de segurança. Gerir incidentes de segurança. Promover treinamentos de conscientização. Monitorar a conformidade com políticas e normas. Reportar ao Comitê de Governança Digital (CGD). No governo, o CISO pode ser um servidor efetivo ou cargo comissionado, mas deve ter autoridade e recursos para atuar. 6.2. DPO (Encarregado de Dados) – LGPD O DPO é o canal de comunicação com os titulares de dados e com a ANPD. No setor público, pode ser um servidor designado ou uma comissão. Suas funções incluem: Receber reclamações e solicitações de titulares (acesso, correção, eliminação). Orientar sobre a aplicação da LGPD. Reportar incidentes de segurança à ANPD. Manter registro de operações de tratamento de dados pessoais (art. 37). 6.3. Comitê de Governança Digital (CGD) O CGD aprova a PSI, acompanha a implementação, decide sobre investimentos em segurança e avalia relatórios de incidentes. Deve ser composto por dirigentes de áreas-fim e de TI. 6.4. CTIR Gov O Centro de Tratamento de Incidentes de Segurança para o Governo atua como CSIRT (Computer Security Incident Response Team) do governo federal. Oferece: Recebimento e análise de notificações de incidentes. Emissão de alertas e boletins de segurança. Coordenação de resposta a incidentes de grande escala. Capacitação de servidores. Exemplos Práticos de Segurança no Governo Brasileiro 7.1. Sistema de Votação Eletrônica (TSE) Hardware específico: Urnas eletrônicas com sistema operacional próprio (Linux), sem conectividade permanente à internet (apenas transmissão de resultados via rede privada). Criptografia e assinatura digital: Cada voto é criptografado e assinado digitalmente; os resultados são assinados pelos mesários e pelos partidos. Auditoria: Logs de votação, zerézima, testes de integridade, sorteio de urnas para verificação após a votação. Segurança física: Urnas armazenadas em cofres, transporte monitorado por forças armadas. 7.2. Receita Federal – e-CAC (Centro Virtual de Atendimento) Acesso por certificado digital (e-CPF, e-CNPJ): Garante autenticidade e não repúdio. Criptografia TLS: Todo o tráfego é criptografado. Controles de acesso: O cidadão vê apenas seus próprios dados; servidores têm perfis específicos (consulta, fiscalização, arrecadação). Logs de auditoria: Registro de todas as consultas e alterações, com retenção de 5 anos. 7.3. Sistema Único de Saúde (SUS) – ConecteSUS Prontuário eletrônico: Acesso por profissionais de saúde autorizados (CRM, senha, token). Registro de log de acesso. Proteção de dados sensíveis (LGPD): Dados de saúde são considerados sensíveis; o consentimento do paciente é exigido para compartilhamento fora da finalidade de tratamento. Backups descentralizados: Data centers regionais para garantir disponibilidade mesmo em caso de ataque a um centro. Jurisprudência Relevante sobre Segurança da Informação no Setor Público 8.1. STJ – REsp 1.730.422/SP (Dados públicos e LGPD) Processo: REsp 1.730.422/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 10/05/2022, DJe 17/05/2022. Caso: Discussão sobre a legalidade do portal "Consultar CPF" da Receita Federal, que disponibiliza informações cadastrais básicas (nome, situação do CPF, município). O autor alegava violação da privacidade. Decisão: O STJ entendeu que o acesso a dados cadastrais básicos por terceiros (empregadores, instituições financeiras) é legítimo quando há interesse legítimo e consentimento do titular (ou outra base legal). A publicidade desses dados deve ser balanceada com o direito à privacidade, exigindo-se transparência e necessidade. O tribunal destacou que o governo deve adotar medidas técnicas para evitar abusos (ex.: limitar consultas por IP, registrar logs). Importância: A decisão reafirma que o governo pode compartilhar dados públicos (cadastrais) desde que respeitados os princípios da LGPD e da LAI, e que a segurança da informação deve incluir mecanismos de controle e auditoria. 8.2. STJ – AgInt no AREsp 1.265.129/RJ (Responsabilidade civil por vazamento de dados em órgão público) Processo: AgInt no AREsp 1.265.129/RJ, relator Ministro Ricardo Villas Bôas Cueva, Segunda Turma, julgado em 25/10/2018, DJe 07/11/2018 (anterior à LGPD, mas ainda relevante). Caso: Vazamento de dados de contribuintes por funcionário de órgão público que vendeu informações sigilosas. Decisão: O STJ reconheceu a responsabilidade objetiva do Estado (art. 37, §6º, CF) por danos causados a terceiros decorrentes de ação de seus agentes, inclusive por vazamento de dados. A vítima não precisa provar culpa do agente, apenas o dano e o nexo causal. O Estado pode regredir contra o servidor que agiu dolosamente. Importância: A decisão, mesmo anterior à LGPD, estabeleceu precedente de que o governo responde civilmente por falhas de segurança que resultem em vazamento de dados. A LGPD (art. 43) reforça a responsabilidade objetiva do controlador (pessoa jurídica de direito público) por danos decorrentes de tratamento inadequado de dados. 8.3. TCU – Acórdão nº 2.110/2018 – Plenário (Segurança da Informação no SISP) Processo: TC 021.462/2017-8, relator Ministro Augusto Nardes, julgado em 29/08/2018. Caso: Auditoria de segurança da informação em órgãos do SISP (Sistema de Administração dos Recursos de Tecnologia da Informação). O TCU identificou fragilidades como ausência de Política de Segurança da Informação (PSI), falta de criptografia de dados sensíveis, ausência de gestão de incidentes e de continuidade. Decisão: O TCU determinou que todos os órgãos do SISP implementassem PSI conforme a IN nº 4/2019, adotassem criptografia para dados sigilosos, criassem planos de resposta a incidentes e de continuidade, e realizassem testes de vulnerabilidade periódicos. O Tribunal fixou prazos e estabeleceu indicadores de acompanhamento. Importância: O acórdão do TCU tornou vinculantes as diretrizes da IN nº 4/2019, sob pena de apontamento de irregularidade em contas e responsabilização de gestores. É uma das principais referências normativas em segurança da informação para o governo federal. Desafios Atuais e Tendências Computação em nuvem: Órgãos estão migrando para nuvem (AWS GovCloud, Azure Government), mas precisam garantir soberania de dados (dados armazenados no Brasil), criptografia e conformidade com LGPD. Trabalho remoto: A pandemia acelerou o home office; o acesso remoto a sistemas governamentais deve ser feito via VPN com MFA e controle de sessão. IoT e cidades inteligentes: Sensores (câmeras, semáforos, lixeiras) aumentam a superfície de ataque. Segurança deve ser considerada desde o projeto. Inteligência artificial e big data: Análise de grandes volumes de dados (ex.: detecção de fraudes fiscais) exige proteção contra ataques adversariais (poisoning, evasão). Computação quântica: Futuramente, poderá quebrar criptografia assimétrica atual (RSA, ECC). O governo brasileiro deve se preparar com criptografia pós-quântica. Quadro Comparativo: LGPD x LAI x IN 4/2019 – Obrigações de Segurança | Obrigação | LGPD (Lei 13.709) | LAI (Lei 12.527) | IN 4/2019 (SISP) | |-----------|--------------------|--------------------|-------------------| | Política de Segurança da Informação | Não explicita, mas base na avaliação de riscos (art. 46) | Exige para informações sigilosas (art. 32) | Exige PSI detalhada (art. 18) | | Criptografia | Recomendada (art. 46) | Para dados sigilosos | Obrigatória para dados sensíveis em trânsito e repouso | | Plano de Continuidade | Implícito (disponibilidade) | Não menciona | Exige PCN para serviços críticos (art. 25) | | Comunicação de incidentes | Obrigatória à ANPD e titulares (art. 48) | Não menciona | Obrigatória ao CTIR Gov | | Encarregado (DPO/CISO) | Exige DPO (art. 41) | Não menciona | Exige CISO (ou gestor de segurança) | | Auditoria periódica | Não explicita | Não menciona | Exige auditoria interna (art. 31) | Considerações Finais A segurança da informação no governo é uma responsabilidade complexa que envolve conformidade legal (LGPD, LAI, IN 4/2019), tecnologia (criptografia, monitoramento, backup), processos (PSI, PCN, gestão de incidentes) e pessoas (treinamento, conscientização, segregação de funções). Para concursos e vestibulares, o candidato deve ser capaz de identificar as principais ameaças ao setor público, conhecer os instrumentos normativos e de governança (CTIR Gov, CISO, DPO, CGD) e aplicar os princípios da tríade CIA a exemplos práticos (votação eletrônica, receita federal, SUS). O estudo deve incluir a análise de acórdãos do TCU e decisões do STJ que consolidaram a responsabilidade do Estado por vazamentos de dados.