Serpro deixou de comprar software que acompanharia comportamento de 151 milhões de contas gov.br

Quando a poeira baixar e o governo se sentar para discutir a invasão ao Siafi, que segundo a Folha de São Paulo ocorreu por meio de credenciais roubadas de ordenadores de despesas do Ministério da Gestão, a discussão terá que passar pelas falhas de segurança na plataforma gov.br. Foi por meio dela que os criminosos acessaram o sistema de pagamentos do governo federal. Depois desse episódio, ninguém poderá atestar que na atual conjuntura o gov.br é seguro. E não é, porque há uma nítida negligência da parte da direção do Serpro – a gestora da plataforma – que nos últimos anos vem deixando de investir em eficiência, suprimindo itens importantes na execução dos contratos de prestação de serviços de TI que assina.

Um exemplo claro dos erros cometidos por essa política vem ocorrendo desde outubro do ano passado. O Serpro tem empurrando com a barriga um processo de aquisição de uma solução OFD (Online Fraud Detection) em computação em nuvem. Entre as diversas funcionalidades este software visa detectar e prevenir fraudes ou abusos no acesso às contas da plataforma Acesso Gov.br. A ferramenta atua nos canais web e mobile da plataforma e ainda contaria com suporte especializado. Se ele detectar um comportamento estranho de um usuário no acesso à conta gov.br, ele começa a criar uma série “desafios” para forçar uma identificação maior da pessoa que está acessando. Se este usuário não conseguir responder a esses desafios ele bloqueia o acesso, por exemplo.

A solução OFD permite rastrear quando e quais as ações foram executadas, identificando o usuário que praticou essa movimentação. O armazenamento desses registros devem ficar sob a guarda do Serpro pelo período mínimo de 12 meses. O quantitativo de contas gov.br investigados por esse software deverá ser de 151,7 milhões de usuários. A ferramenta segue também todos os requisitos impostos pela Lei Geral de Proteção de Dados (LGPD).

Mas ainda não foi adquirida porque o Serpro fez exigências como a guarda dos dados ficar no Brasil. Não há nenhuma previsão de quando haverá o certame. Talvez agora com a “casa arrombada” a direção corra para resolver a questão.

O processo de compra deverá ser comandado pela Diretoria de Operações, mas curiosamente a audiência pública com os potenciais fornecedores foi conduzida pela Diretoria de Relações com os Clientes. O que demonstra também como as áreas do Serpro atuam de forma caótica na condução administrativa da empresa que, por sinal, ainda continua sem um diretor de Administração e Finanças. O cargo vem sendo ocupado interinamente pelo presidente da estatal, Alexandre Amorim.

Apesar de todos os benefícios, os técnicos do Serpro explicam que essa solução dificilmente teria impedido a invasão ao Siafi através do gov.br, porque ele teve um grau de sofisticação fora do comum. O que pressupõe que os criminosos contaram com ajuda interna no governo. Mas isso a Polícia Federal ainda esclarecerá.

Segundo eles a falha de segurança ocorreu no Autenticador do “Acesso Gov”, que também não sofre atualizações desde 2019. E na parte de biometria teriam “bugs” que não foram corrigidos e abrem uma brecha na confiança da autenticação do usuário. Mas a solução OFD é considerada mais um item do portfólio de serviços que poderia estar ajudado a área de segurança do governo a detectar comportamentos incomuns de usuários que acessam a plataforma.

Então por que ainda não adquiriu? Porque, segundo técnicos do Serpro, existe uma cultura dentro da empresa de que, quando o “cliente não quer”, a área de vendas não pondera sobre os riscos de tal decisão pelos gestores públicos. Desde que o contrato saia, o resto pouco importa.

Um argumento frágil para uma estatal que economizou em torno de R$ 1,5 bilhão dos recursos oçamentários destinados para investimentos durante os últimos seis anos. Dinheiro que estava sendo represado para remunerar aqueles que comprassem a empresa num processo de privatização.

*As informações sobre essa consulta pública podem ser acessadas no endereço: https://www.serpro.gov.br/consultas-publicas/sede/1023-2023