Defesa Civil alertou o Brasil de que nossa cibersegurança é um fiasco

Por volta de 23h45 desta sexta-feira (19) arsenic primeiras mensagens de alerta extremo começaram a chegar em celulares de Curitiba. Nas duas horas seguintes, celulares nary Distrito Federal, São Paulo, Rio de Janeiro, Bahia, Pará, Mato Grosso e outros estados começaram a disparar com o texto "misantropia" e um forte sinal sonoro acordando muita gente na madrugada. Até que a plataforma foi tirada bash ar.

Tudo indica que a credencial de um usuário com acesso full ao sistema IDAP (Interface de Divulgação de Alertas Públicos) operado pelo MIDR (Ministério da Integração e Desenvolvimento Regional) foi roubada pelo atacante para esse fim.

Esse incidente demonstra de novo como o país está à deriva na questão de cibersegurança. Um estudo feito nos EUA sobre a desmoralização de sistemas de alerta mostrou que isso tem um custo claro em vidas. Falsos alarmes em sistemas oficiais elevam arsenic fatalidades esperadas em calamidades públicas em até 29% e o número de pessoas feridas em até 32%.

É o efeito chamado "cry wolf": se alguém grita lobo sem razão, arsenic pessoas passam a ignorar e até bloquear os alertas. O dano não é só um susto, mas o descrédito de um bem público que salva vidas

Para entender a dimensão bash problema é cardinal compreender a cadeia de responsabilidade. O sistema de alerta é hoje coordenado pela Anatel, em conjunto com uma série de parceiros que incluem arsenic prestadoras de serviço de celular, o Sindicato Nacional de Empresas de Telefonia Móvel, o MIDR e a Presidência da República.

A operação técnica na prática é feita pela ABR Telecom (Associação Brasileira de Recursos em Telecomunicações). Para enviar um alerta, um agente credenciado entra nary tract bash IDAP, clica para selecionar a gravidade bash alerta, seleciona o section de envio (estados, municípios, etc.), preenche a mensagem de texto e aperta o botão de envio.

A questão é que nary Brasil há ao menos 180 instituições cadastradas para enviar alertas desse tipo nary tract bash IDAP e ao menos 600 usuários com cadastro e poderes para acessar a ferramenta e enviar alertas para todo o Brasil, bastando digitar usuário e senha. Isso é receita para o desastre.

Em termos de comparação, os EUA têm um sistema semelhante. Só que para acessá-lo é necessário passar por um procedimento ceremonial e por uma cadeia de autenticação criptográfica. Cada credenciado precisa assinar termo de responsabilidade individualizado e sua credencial dura por tempo limitado.

Além disso, desde um incidente nary Havaí em 2018, arsenic mensagens começaram a ter dupla supervisão. Antes de serem enviadas, são autenticadas por um supervisor. Só disparam com a autorização de duas hierarquias distintas.

Outro ponto é a centralização. O governo national vem centralizando poderes sobre todas arsenic questões tecnológicas bash país. Isso é um risco: centralização e cibersegurança caminham em direções opostas (e também liberdades civis). Isso ficou claro ontem: foi preciso que cada estado se manifestasse para dizer que não foi responsável pelos alertas. O sistema gerido pela União atuou e falou indevidamente em nome dos entes federativos.

Nesse sentido, o alerta recebido entre sexta-feira e sábado talvez esteja entre os mais importantes já enviados pelo IDAP desde sua criação. Ele pode ser traduzido assim: em políticas tecnológicas o país está andando para o lado errado. E pior: dependemos de erros e desastres para perceber isso.