A invasão da plataforma “Interface de Divulgação de Alertas Públicos (Idap)”, utilizada pelo Defesa Civil Alerta, que levou o governo federal a retirar o sistema do ar na madrugada deste sábado (20), acendeu um sinal de alerta que o Tribunal de Contas da União (TCU) vem emitindo há pelo menos dois anos. O episódio, que resultou no disparo indevido de uma mensagem de alerta extremo para diversas regiões do país, não representa apenas uma falha isolada de segurança. Ele expõe uma vulnerabilidade estrutural em sistemas críticos da administração pública federal justamente no momento em que o país discute a criação de uma Lei Geral da Cibersegurança para proteger serviços considerados essenciais ao funcionamento do Estado.
Segundo informações divulgadas pela Secretaria Nacional de Proteção e Defesa Civil, a plataforma foi retirada do ar às 1h30 da madrugada após uma invasão que permitiu o envio remoto de uma mensagem por alguém alheio ao Sistema Nacional de Proteção e Defesa Civil. O alerta continha a palavra “misantropia”, termo associado ao ódio à humanidade, e a principal hipótese é a de um ataque hacker. A Polícia Federal foi acionada para investigar o caso e o sistema permanecerá desligado até que as condições de segurança sejam restabelecidas.
O incidente atinge um dos sistemas mais sensíveis da administração pública. O Defesa Civil Alerta foi criado para avisar a população sobre enchentes, deslizamentos, tempestades severas, rompimentos de barragens e outras situações de risco iminente. Sua eficácia depende diretamente da confiança dos cidadãos na autenticidade das mensagens emitidas. Quando essa credibilidade é colocada em dúvida, o problema deixa de ser apenas tecnológico e passa a envolver a própria capacidade do Estado de coordenar respostas a emergências.
A situação ocorre em um contexto no qual o TCU vem apontando fragilidades crescentes na proteção dos sistemas governamentais. Em auditoria concluída em 2024, o tribunal avaliou 229 organizações federais integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) e constatou que nenhuma delas havia implementado integralmente os controles mínimos de segurança cibernética considerados necessários para proteção adequada de seus ambientes digitais. O diagnóstico foi contundente: a administração pública federal encontrava-se abaixo do nível esperado de maturidade em segurança da informação.
O levantamento revelou que apenas 14 organizações haviam implementado mais de 70% dos controles avaliados e somente duas superavam 90% de aderência. Na prática, isso significa que a maioria dos órgãos públicos opera com lacunas conhecidas de proteção, justamente em um cenário de crescente sofisticação dos ataques cibernéticos.
O próprio TCU passou a classificar a segurança da informação e a segurança cibernética entre os temas de maior risco para a administração pública federal. Na avaliação dos auditores, falhas nessa área possuem potencial para comprometer a continuidade de serviços públicos, a integridade de bases de dados governamentais, a prestação de políticas públicas e a confiança da população nas plataformas digitais do Estado. O tema foi incluído pelo TCU em sua “Lista de Alto Risco”, por representar ameaça à continuidade de políticas públicas e serviços digitais essenciais.
O episódio da Defesa Civil também reforça uma preocupação presente em diversas auditorias recentes sobre governo digital. Nas últimas duas décadas, o governo brasileiro acelerou a digitalização de serviços públicos em áreas como arrecadação tributária, benefícios sociais, emissão de documentos, saúde, educação, segurança pública e comunicação de emergências. Entretanto, a evolução dos mecanismos de proteção não ocorreu necessariamente na mesma velocidade.
O resultado é um cenário em que plataformas cada vez mais estratégicas se tornam dependentes de sistemas conectados à internet e, consequentemente, mais expostas a ataques. A invasão do sistema de alertas demonstra como um único acesso indevido pode gerar consequências amplas. Além da disseminação de informações falsas, um invasor pode provocar pânico coletivo, deslocamentos desnecessários da população, prejuízos econômicos e, sobretudo, enfraquecer a confiança em alertas legítimos emitidos futuramente pelas autoridades.
CNCiber
A preocupação ganha dimensão ainda maior porque o sistema atacado se enquadra exatamente na categoria de infraestrutura crítica que o governo pretende proteger por meio da futura Lei Geral da Cibersegurança. A proposta atualmente em discussão no Comitê Nacional de Cibersegurança (CNCiber) classifica como serviços essenciais setores como telecomunicações, energia, sistema financeiro, defesa civil, governo digital, serviços satelitais, saúde, educação, transportes e infraestruturas digitais, incluindo centros de dados, serviços de nuvem, sistemas de nomes de domínio e serviços de certificação digital.
Os documentos produzidos pelo CNCiber mostram que a proposta surgiu justamente da percepção de que a transformação digital do país avançou sem que fosse criada uma estrutura nacional de coordenação de segurança cibernética capaz de acompanhar esse movimento. Os trabalhos envolveram representantes do Gabinete de Segurança Institucional, Ministério da Gestão e Inovação, Anatel, Banco Central, Ministério da Defesa, Ministério da Justiça, CGI.br, CPqD, FGV e entidades empresariais do setor tecnológico.
O texto da minuta estabelece princípios como soberania nacional, autonomia tecnológica e priorização dos interesses nacionais. Também prevê mecanismos de gestão de riscos, compartilhamento de informações sobre ameaças, fortalecimento da resiliência de infraestruturas críticas e estímulo ao desenvolvimento de tecnologias nacionais de cibersegurança.
Entretanto, uma das principais disputas identificadas durante a elaboração da proposta permanece sem solução. Os debates internos do CNCiber revelam divergências sobre qual órgão deverá assumir a função de Autoridade Nacional de Cibersegurança. Uma das versões discutidas previa a transformação da Anatel em Agência Nacional de Telecomunicações e Cibersegurança. Outras alternativas incluíam a criação de uma nova agência reguladora ou de uma estrutura específica vinculada ao governo federal. A minuta final optou por deixar essa definição em aberto.
Enquanto o debate institucional continua, os ataques não esperam. O incidente envolvendo o Defesa Civil Alerta mostra que a ameaça deixou de ser uma hipótese teórica discutida em grupos de trabalho e passou a se manifestar diretamente sobre sistemas dos quais dependem milhões de brasileiros.
A investigação da Polícia Federal deverá esclarecer como ocorreu a invasão e quais mecanismos de segurança foram eventualmente contornados. Mas o episódio já produziu uma consequência imediata: transformou em caso concreto os alertas que o TCU vem fazendo desde 2024 sobre a fragilidade da segurança digital do Estado brasileiro.
Mais do que uma falha operacional, o que ocorreu na madrugada deste sábado pode ser interpretado como um teste involuntário da capacidade nacional de proteção de infraestruturas críticas. E os sinais emitidos até agora sugerem que o país ainda enfrenta desafios significativos para garantir que sistemas essenciais permaneçam protegidos em um ambiente de ameaças cibernéticas cada vez mais sofisticadas.
