Dataprev nega vazamento, demite coordenador e esconde falhas em Segurança da Informação

A Dataprev emitiu hoje (03) uma nota oficial, na qual nega o vazamento informado pelo portal especializado Ciso Advisor. A notícia publicada ontem (02) pelo portal, dava conta de que um hacker colocou à venda na dark web 270 milhões de registros que estavam nos bancos de dados sob a guarda da estatal. “Não há registros de incidentes de segurança e nem indícios de vazamento de dados por ataques cibernéticos nos bancos e bases de informações sob a guarda da Dataprev“, declarou a direção da estatal em sua nota oficial.

Entretanto ontem (02), mesmo dia em que o Cisor Advisor anunciou o vazamento, o presidente da Dataprev, Gustavo Canuto, demitiu o Coordenador de Segurança da Informação, Gustavo Oliveira Hoyer, sem dar publicidade ao assunto.

Por que Gustavo Hoyer foi demitido pelo “xará” Gustavo Canuto?

Essa é uma resposta que somente Canuto poderia dar, mas dificilmente a direção da Dataprev costuma conversar com a imprensa.

Alguns indícios, entretanto, vem mostrando que a situação dentro da estatal não prima pela excelência em segurança da Informação que ela vem declarando em sua nota oficial. E tais problemas vem ocorrendo desde 2019 e não são decorrentes de ações ou eventuais omissões que possam ser creditadas ao coordenador que acaba de ser exonerado. Que parece estar mais para “bode expiatório”, até que provem o contrário.

A Dataprev já vinha sinalizando nos bastidores da TI de Brasília que tinha sérios problemas de segurança com os seus sistemas e seus bancos de dados. Em novembro, por exemplo, este site foi informado de que a Dataprev teria sido vítima de um ataque hacker e este ocorreu no mesmo período em que um criminoso criptografou todos os bancos de dados do Superior Tribunal de Justiça (STJ), considerado o maior ataque cibernético a um órgão público da história do Brasil.

Em consultas informais com fontes da empresa, este site obteve apenas a informação de que exista uma suspeita de ataque na época, mas nenhuma fonte consultada era capaz de cravar a informação sobre se o hacker teria obtido algum êxito. Apenas diziam saber internamente, que na época do ocorrido “a segurança da Dataprev teria conseguido evitar a invasão”.

Descontrole

Especulações à parte sobre ataque de hackers, negada pela empresa em sua nota oficial, o que é fato e não pode ser negado pela atual direção da Dataprev, sobretudo as das áreas operacionais, é que a empresa não está em conformidade com os melhores padrões em Segurança da Informação, nem tampouco com as determinações dadas por uma auditoria realizada no período 2018/2020 pela Controladoria Geral da União (CGU).

E a direção da Dataprev sabe disso desde 12 novembro de 2020 (mesmo período do suposto ataque hacker, que de concreto só existe a informação referente ao STJ). Houve trocas de correspondências entre funcionários e auditores da CGU, que demonstram uma preocupação do órgão de controle, pelo fato de a empresa não estar cumprindo prazos estabelecidos em auditoria, para informar as mudanças que fizeram para corrigir falhas de segurança da informação detectados pelos auditores dentro da estatal.

Essas reclamações chegaram na Dataprev através do ofício de número #791987, que supostamente está protocolado no sistema de auditoria e-AUD da Controladoria Geral da União, conforme uma correspondência que este site teve acesso. E o assunto indexado ao caso trata do descumprimento de algumas recomendações feitas pelos auditores à direção da empresa, após a “Auditoria 201800430” realizada pelo órgão de controle.

Em seu relatório, os auditores da CGU teriam deixado claro que a Dataprev necessitava fazer um “aperfeiçoamento do processo gestão de segurança da informação”. E apontavam uma série de achados que demonstravam as fragilidades da estatal nessa área. No ofício encaminhado para a estatal, a CGU reclama que a empresa não apresentou um “plano de ação”, no qual explicaria o que vinha fazendo para supostamente resolver 13 vulnerabilidades encontradas pelos auditores do órgão de controle.

Não apresentou o plano, assim como não informou as “melhorias” que fez para o processo de segurança da informação. A CGU queria saber em detalhes as 13 ações que foram tomadas pela área responsável e a data de conclusão do serviço. Sendo que 3 dessas deveriam ter sido concluídas em dezembro de 2019. As demais tinham prazo de conclusão em dezembro de 2020.

Internamente os funcionários responsáveis se mostravam preocupados em responder à CGU pois na boa fé chegaram a ganhar um novo prazo até 31 de janeiro deste ano. Não se sabe se chegaram a cumprir a determinação do órgão de controle.

Nota Oficial

Os itens 2 e 3 da nota oficial encaminhada pela Dataprev para contestar a reportagem do Cisor Advisor merecem maiores esclarecimentos da parte do veículo de comunicação. Pois a estatal alega não ter nenhum registro de ataque ou vazamento de dados de seus datacenter, sobretudo o “CV3”, situado no Cosme Velho (RJ), onde encontra-se armazenado o CNIS -Cadastro Nacional de Informações Sociais, que conteria os dados supostamente vazados na dark web, de acordo com a reportagem do portal especializado.

Porém, o item 4 da nota oficial – que trata dela contar com um “Centro de Operação de Segurança (Security Operation Center – SOC), a informação não condiz com a realidade na Dataprev.

Em 2019, ao assumir a presidência da Dataprev, a recém nomeada para presidente da estatal, Christiane Edington, mandou suspender o projeto de criação desse centro. A ordem dada por ela foi curiosamente cumprida por uma pessoa que circulava nas dependências da estatal, só que sequer havia tomado posse na Diretoria de Tecnologia da empresa.

Seu nome era Fabio Koreeda e sua nomeação para a diretoria ainda estava pendente na Casa Civil da Presidência da República. Apesar de Koreeda ainda não ter seu nome aprovado para a diretoria, isso não o impediu de circular em todas as dependências da Dataprev, mesmo em áreas críticas como a dos datacenter da empresa. Não era barrado por ninguém, porque conseguiu um crachá de diretor que inclusive tinha matrícula funcional. E este lhe conferia poderes de acesso que muitos funcionários não têm em determinadas dependências da empresa.

Koereeda não apenas suspendeu a criação do tal centro, mas alegou suspeitas de irregularidades e mandou abrir inquérito administrativo. O inquérito atingia a direção da Dataprev na gestão Leandro Magalhães, em 2018, ainda no Governo Temer. A Dataprev ainda não apresentou os resultados desse inquérito, porém agora usa o tal “Centro de Operação de Segurança (Security Operation Center – SOC)”, como exemplo de excelência em Segurança da Informação. Porém a unidade, por conta desse inquérito, nunca chegou à plenitude dos seus objetivos. Funciona precariamente quando poderia hoje ser , de fato, o maior centro de segurança cibernética do Brasil. Tudo porque sofre um inquérito administrativo instaurado por ordem de um diretor fantasma, que nunca assumiu o cargo.

Um dia espera-se que a ex-presidente da Dataprev, Christiane Edington, explique como deixou que uma pessoa estranha aos quadros da empresa circulasse até em áreas restritas, apenas por ser o portador de um crachá de diretor, cargo que nunca assumiu. E como ele ainda mandou abrir um inquérito administrativo sem ter poderes para isso.

Christiane poderia contribuir para esclarecer isso, já que ela deixou a presidência da Dataprev, mas alguns meses depois assumiu a presidência do Conselho de Administração dessa mesma estatal.