Há mais de tres anos os técnicos em Segurança da Informação do Serpro vêm alertando à sua diretoria, para as fragilidades no credenciamento de acesso ao Siaf (sistema de pagamentos do governo federal), através do “Acesso Gov”. Mas nada foi feito porque, segundo contam, as medidas necessárias acabariam encarecendo o valor do contrato de prestação de serviços da estatal. Isso ocorreu tanto no Ministério da Economia (Governo Bolsonaro) quanto agora no Ministério da Gestão (Governo Lula). A desculpa recorrente na área de vendas da empresa foi sempre a mesma, quando se tocava na necessidade de ampliar o valor do contrato de serviços de forma a garantir a segurança necessária: “o cliente não quer”.
O ataque hacker não ocorreu na intranet e na base de dados do Siafi dentro do Serpro, como chegou a sugerir ontem este blog diante das poucas informações que dispunha. O fato se deu na autenticação da plataforma “gov.br” que levou o invasor para dentro desse sistema, onde supostamente pode retirar dinheiro do caixa do Tesouro Nacional, questão que ainda está sendo investigada pela Polícia Federal.
Segundo contaram os técnicos do Serpro ao blog, a autenticação no Siafi ocorre quando o acesso é externo por meio da plataforma “gov.br”. O usuário passa pelo processo de autenticação e se habilita a entrar na intranet do Serpro onde está alocado o Siaf. Todo esse serviço de autenticação do gov.br também é feito pelo Serpro.
Foi justamente nesse processo de acesso ao gov.br que o hacker se aproveitou das brechas de segurança para acessar o Siafi e supostamente tirar dinheiro da conta do Tesouro Nacional. O governo alega que isso ainda está sendo investigado.
Segundo esses mesmos técnicos, existe a possibilidade do hacker ter criado um certificado digital dentro da estatal ou numa empresa que opera nesse mercado como Autoridade Certificadora. Esse certificado possibilitou ele se fazer passar por algum funcionário do Tesouro Nacional; já que a identidade de quem estava no sistema seria a do funcionário e não a dele. Burlando o acesso ao sistema ele pode manobrá-lo como quis. “Não houve quebra de segurança no Siafi, mas para chegar até ele o sujeito conseguiu quebrar todos os requisitos de segurança previstos”, destacou um funcionário do Serpro. Essa questão ainda está sendo avaliada, porque no acesso ao gov.br existe autenticação biométrica. Como ele conseguiu burlar esse sistema?
Todos os requisitos de segurança necessários estão previstos, sim, mas nem todos estão em operação no Serpro, através do serviço que presta no contrato com o Ministério d Gestão.
Os funcionários da área de Segurança alegam que vêm lutando para convencer a direção do Serpro para algumas falhas de autenticação detectadas há mais de três anos. Mas não encontraram o amparo para executar o serviço de correção por questões contratuais com o cliente; no caso, o Ministério da Gestão.
“Existe uma lógica sendo aplicada dentro da empresa há alguns anos, de que ela tem de dar lucro. E seus contratos não podem encarecer as contas dos clientes. Por conta disso, alguns serviços estão deixando de serem executados para não encarecer os custos a serem cobrados. “Aqui a frase mais utilizada pela área de vendas de serviços vinculada à Diretoria de Novos Clientes é: o cliente não quer”, afirmou um funcionário da estatal.
Da mesma forma, a Diretoria de Operações, mesmo sabendo dos problemas de falhas de segurança, acabou “lavando as mãos” para o problema e não executou o serviço, segundo este mesmo funcionário. Isto porque ainda persiste uma cultura dentro da estatal de que a empresa precisa apresentar lucro, não pode aumentar os custos operacionais. Até 2022 essa lógica tinha razão de ser, pois o Serpro estava em vias de ser privatizado e precisava apresentar um balanço no azul para atrair um bom comprador.
Mas e depois de 2022?