Real digital e nuvem federal serão fiscalizados pelo TCU no segundo semestre

O Tribunal de Contas da União pretende fiscalizar no segundo semestre junto ao Banco Central, a implantação da moeda digital batizada por “Drex”. O objetivo é entender o processo e identificar possíveis riscos que possam comprometer questões de segurança, da proteção de dados, etc; e tentar resolvê-los ainda na fase da sua implementação. Em outra frente, o tribunal também irá se debruçar no processo de contratação e execução da nuvem federal sob a gestão da Secretaria de Governo Digital (SGD).

As duas fiscalizações fazem parte das quatro prioridades definidas para este ano pela Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado. Criada após a realização de uma reestruturação interna pelo TCU ocorrida em 2023, essa secretaria recentemente ganhou um novo secretário, o auditor Wesley Vaz. Que em entrevista ao blog procurou explicar os objetivos da agenda a ser executada pelo órgão ao longo de 2024. A estrutura comandada por Wesley engloba as seguintes unidades de auditorias:

Fiscalização

Wesley explicou que o objetivo do TCU é se antecipar no trabalho de identificação de riscos que possam ocorrer com a implementação da plataforma da nova moeda digital. O processo foi autorizado pelo ministro Jhonatan de Jesus, que ao final será o relator que avaliará os resultados da fiscalização. Há alguns anos o TCU mudou sua postura de “investigar e punir” para “investigar e orientar”; ainda durante a fase de elaboração, por exemplo, de um processo de compras ou a implantação de alguma política pública. “A gente quer acompanhar pari passu junto com o gestor, enquanto o processo vai acontecendo, ajudá-los a identificar riscos que acabem trazendo problemas para o projeto. Já estamos fazendo isso com o “gov.br” e a Indentificação Civil, por exemplo”, destacou.

O Drex é uma plataforma de serviços financeiros inteligentes que permitirão às instituições financeiras liquidarem transações comerciais através da tecnologia DLT – Distributed Ledger Technology. Por meio dela e através de um intermediário financeiro, inúmeras transações com ativos digitais serão feitas ao longo do dia e o proceso de transferência deles poderão ser realizadas dentro de padrões de segurança graças à tecnologia Blockchain. 

O Banco Central tem até um modelo de uso do Drex para explicar à população os banefícios da nova moeda digital. “Se você for comprar um carro, pode ficar com receio de pagar e o vendedor não passar a propriedade do veículo. Com o Drex, não importa quem vai fazer o primeiro movimento, pois o contrato só será concluído quando ambos acontecerem. Assim, o dinheiro e a propriedade do carro serão transferidos de forma simultânea. Se uma das partes falhar, o valor pago e o carro voltam para seus respectivos donos”, informa a Autoridade Monetária em sua página onde tudo é explicado sobre o Drex.

Chamado pelos técnicos do TCU por “acompanhamento ágil”, Wesley entende que ele somente dará certo se houver o envolvimento dos gestores. Dentro desse espírito de colaboração, os problemas que possam ser detectados ao longo do caminho poderão ter solução antes que a plataforma esteja em operação e num futuro tragam dores de cabeça por falhas de execução. Ou caso não possa ser regularizada a situação naquele momento, o gestor pelo menos terá um plano de ação para executar no futuro de forma a evitar problemas com o tribunal.

“Muitos dos riscos que apontamos são corrigidos durante a fiscalização e por conta disso, nos últimos trabalhos que realizamos, alguns dos Acórdãos do tribunal saíram com nenhum tipo de recomendação. Porque boa parte dos problemas foram resolvidos ainda no processo de elaboração”, explicou o secretário.

Nuvem federal

A contratação de serviços em nuvem pela Secretaria de Governo Digital (SGD), através da Central de Compras, também está no foco da fiscalização da Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado.

Wesley explicou que o objetivo é acompanhar o processo de contratação que vem ocorrendo com os 250 órgãos que compõem o SISP – Sistema de Administração dos Recursos de Tecnologia da Informação. A aprovação da fiscalização foi feita pelo ministro Antonio Anastasia, que deverá relatar no final o processo.

Segundo o secretário do TCU, a decisão foi tomada em comum acordo com a Central de Compras, que entendeu ser necessário ter esse acompanhamento para dirimir algumas dúvidas que ainda existem entre os técnicos da SGD.

Uma fiscalização desse nível na Central de Compras somente será eficaz, se o TCU produzir números comparativos, dados concretos, sobre preços dos serviços contratados pela SGD, em relação aos mesmos praticados e ofertados ao mercado governamental pelas duas estatais de TI do governo: Serpro e Dataprev.

Este blog já escreveu sobre o assunto e através de um estudo pode constatar que as estatais costumam cobrar mais caro pelos mesmos serviços oferecidos pela nuvem da SGD. No Serpro, por exemplo, foi verificado que a sua multinuvem seria 515% mais cara que a da Secretaria de Governo Digital.

Segurança da Informação

Embora já tenha realizado um trabalho recente, o Tribunal de Contas da União através da secretaria comandada por Wesley Vaz, está decido a manter o foco nessa agenda para médio e longo prazo, com novas avaliações (fiscalizações) junto aos órgãos de governo. Dentro do tribunal esse tema até já ganhou o apelido de “Protege TI” e vem produzindo relatórios contundentes sobre a real situação do governo federal em suas redes e serviços de informática.

Segundo Wesley, a abordagem que o TCU vem dando para esse tema é eminentemente técnica. “Os trabalhos são tecnologicamente densos, a gente não está somente perguntando se tem política de segurança da informação ou se tem DPO (encarregado de proteção de dados). O que nós queremos saber é se os backlogs estão fechados, se o DNS está bem configurado, etc. É um trabalho muito técnico e será para avaliar frequentemente os aspectos de segurança da informação. Isso foi aprovado pelo tribunal”, destacou o secretário.

Essa decisão foi tomada, segundo Wesley Vaz, após inúmeras consultas feitas pelo TCU aos órgãos públicos, para identificar seus índices de governança. E ficou constatado falhas ou riscos em muitas das respostas dadas pelos próprios gestores, num claro indicativo de que a realidade descrita ali por eles pode não ser exatamente a que foi respondida nessas avaliações. “A gente consegue ver que isso é importante mas a prioridade necessária ainda não foi dada. Logo, queremos atuar”, afirmou.

O técnico do TCU evitou comentar sobre a criação da Agência de Cibersegurança, que vem sendo defendida pelo Gabinete de Segurança Institucional da Presidência da República. Entretanto deixou claro que o tribunal e a sua secretaria estarão acompanhando o processo caso ela seja implantada, para averiguar se estão dentro dos padrões de outras agências já existentes no mundo.

“Mas independentemente da estrutura que for criada, o que nós queremos saber é o seguinte com base na Estratégia Nacional de Cibersegurança: se tem vulnerabilidades ou não”, destacou Wesley. Segundo ele, ao longo deste ano o tribunal pretende inclusive realizar eventos para debater a situação.

Inteligência Artificial

Há ainda no campo das prioridades do TCU um acompanhamento da implantação da Inteligência Artificial no Brasil, através da Estratégia Nacional de Inteligência Artificial. Recentemente o tema gerou um estudo, que resultou num acórdão do tribunal, com o encaminhamento para o Congresso Nacional, do pensamento do órgão de controle sobre os riscos inerentes na implantação da EBIA.

O TCU se debruçou nas propostas legislativas e encaminhou seus pontos de vista em função das iniciativas políticas. O trabalho foi conduzido pelo relator, ministro Aroldo Cedraz. Dentre os riscos identificados pela Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI) destacam-se:

1 – dependência de importação de tecnologia em decorrência da estagnação do desenvolvimento da IA no Brasil;

2 – criação de barreiras para startups e empresas de menor porte;

3 – perda de competitividade dos produtos e serviços brasileiros no comércio exterior;

4 – impedimento ao desenvolvimento de IA por estabelecimento de direitos autorais de forma incompatível à nova realidade; e

5 – barreiras à transformação digital do Estado brasileiro e perda potencial de avanço na disponibilidade de mais e melhores serviços públicos aos cidadãos.