Situação da TI do governo é dramática. Foto: Lucas Figueiredo/CBF
A nuvem da AWS, contratada por diferentes órgãos ao longo dos últimos dois anos, é a origem do grande ataque hacker ao governo federal que começou pelo Ministério da Saúde no final de semana e vem ganhando tamanho desde então.
No momento, foram atacados também a Controladoria Geral da União, a Polícia Rodoviária Federal e o Instituto Federal do Paraná, segundo revela a Rede Globo.
Todos disseram que seus sistemas na nuvem da AWS, adquiridos por intermédio da Embratel, foram invadidos.
O ataque tirou do ar diversos serviços do Ministério da Saúde, incluindo o ConecteSUS, onde estão os dados dos comprovantes de vacinação.
O Ministério da Saúde disse que conseguiu recuperar os registros de vacinação perdidos no ataque. Na segunda, 13, o ministério desligou sua rede interna, deixando os funcionários sem e-mails enquanto fazia uma varredura.
Em nota, a PRF confirmou que o Sistema Eletrônico de Informações (SEI), segue fora do ar e que “equipes de técnicos da PRF estão trabalhando ininterruptamente para restaurar seus sistemas através dos back-ups, necessitando ainda de um prazo de 48h”.
O SEI é um sistema existente nos órgãos federais pelos quais os servidores emitem informações oficiais.
Já a CGU afirmou que teve seu serviço de nuvem atingido por uma invasão por volta das 17h40 de sexta. O órgão disse que mantém backup de todos os dados e que, na noite desta segunda-feira, estava com todos os serviços operacionais.
O IFPR, por sua vez, afirmou, na noite de sexta, que “o ambiente de nuvem do IFPR sofreu um grande ataque hoje [sexta] por volta das 18h”.
No sábado, a Diretoria de Tecnologia da Informação e Comunicação do instituto afirmou que “a AWS conseguiu recuperar boa parte dos arquivos durante a madrugada, agora é o trabalho manual de reconstruir todo o ambiente”, e que o ataque afetou somente os dados internos. Nesta segunda, a instituição disse que o serviço já estava perto da normalização.
Segundo um alerta do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (CTIR Gov), atualizado nesta segunda-feira, 11, “alguns dos casos de intrusão têm ocorrido com o uso de perfis legítimos de , o que dispensa, ao atacante, ações para escalar privilégios”.
Procurada pela TV Globo, a Embratel afirmou que cada órgão é responsável pela istração do ambiente de nuvem, e que atua apenas como “broker de Infraestrutura como Serviço”
Ainda de acordo com a Embratel, "o edital e a ata de registro de preços não incluíram serviços de segurança de dados de nossa empresa". A empresa afirmou, ainda que "por questões contratuais" não comenta temas relacionados a clientes e que está "apoiando os órgãos governo nas suas necessidades técnicas".
Segundo fontes no Serpro e na Polícia Federal ouvidas pelo site O Bastidor, as invasões se dão a partir de um repositório de senhas que permite o o ao broker da Embratel.
Ainda de acordo com o site, não se sabe se o o foi vazado por alguém ou obtidos por meio de uma falha de segurança na plataforma.
Responsabilidades (ou jogos de empurra) à parte, a debacle dentro do governo é um revés para a estratégia de migração de diferentes órgãos do governo para as grandes nuvens públicas, uma corrida na qual a AWS vinha liderando até agora.
O marco inicial dessa migração foi um grande pregão realizado pelo Ministério do Planejamento em 2018, vencido pela Primesys, uma subsidiária da Embratel, com uma oferta baseada na nuvem da AWS.
A Embratel levou o pregão com uma oferta de R$ 29,9 milhões, menos da metade do preço inicial, migrando inicialmente 10 órgãos públicos para a nuvem. Até abril do ano ado, outros 13 tinham aderido por meio da adesão à Ata de Registro de Preços.
Estavam previstas migrações para a AWS em órgãos tão diferentes como Ministério da Fazenda, Cade, Polícia Rodoviária Federal, Agência Nacional de Águas, Conselho Nacional de Justiça, INSS e o Jardim Botânico do Rio de Janeiro.
ESTRATÉGIA DEVE CONTINUAR
Mesmo que o problema se mostre ainda mais grave do que é até o momento, parece improvável que o curso de migração do governo para as nuvens públicas sofra uma reversão mais séria no médio e longo prazo.
Isso porque o governo vem aprofundando a aposta na abordagem desde a licitação inaugural do Planejamento, fazendo licitações cada vez maiores, visando usar a escala de compra para derrubar preços dos grandes fornecedores.
No final de 2020, o governo anunciou um novo edital para a contratação de nuvem pública, com um valor estimado de R$ 370,47 milhões para no mínimo dois fornecedores diferentes.
Mesmo que o governo consiga novamente reduzir o valor final pela metade, ele ainda estaria fazendo uma compra seis vezes maior para os 44 interessados iniciais.
Vale lembrar que não entram nessa conta as adesões nos 12 meses posteriores.
Outro ator importante da mudança de paradigmas é o Serpro, a maior estatal de TI do governo, que se converteu inclusive em um intermediário desse tipo de soluções para órgão de governo, atuando como um “cloud broker”.
A primeira parceira do Serpro nesse sentido foi justamente com a AWS, em junho de 2020, prevendo vendas de R$ 71,2 milhões.
Mais tarde, em meados deste 2021, foram fechados acordos com a Huawei, por R$ 23 milhões e depois com a Microsoft, pelo mesmo valor. Na semana ada, veio um acordo com a Oracle, por R$ 41,5 milhões.
Todos os contratos são por cinco anos e os valores são uma estimativa das vendas que o Serpro visa intermediar com clientes no setor público.
O modelo de atuação do Serpro prevê a composição do preço final a partir de duas contas: a unidade de serviço de nuvem, pertencente ao parceiro, e a unidade de serviço técnico, que é a parte do Serpro na equação.
O governo já fez uma aposta muito grande para recuar. E, por outro lado, quem garante que uma infraestrutura baseada em data centers próprios seria muito mais segura?
Maurício Renner 5wt6n
Editor at Baguete Diário