Um relatório da Controladoria-Geral da União (CGU) identificou vulnerabilidades cibernéticas e insatisfações de usuários entre os 242 aplicativos do governo federal que estão sob gestão da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia.
Entre no canal do Brasil Econômico no Telegram e fique por dentro de todas as notícias do dia. Siga também o perfil geral do Portal iG
Desde agosto de 2020 até então, o órgão era comandado por Caio Mario Paes de Andrade, cujo nome foi indicado pelo Palácio do Planalto e aprovado nesta segunda-feira (27) para assumir a presidência da Petrobras, além de uma cadeira no conselho da estatal.
Segundo o relatório da CGU, a digitalização de serviços do governo federal ocorrida de 2020 a 2021, motivada pela pandemia de coronavírus, "ampliou o acesso a serviços públicos pelas populações mais carentes, porém, pode também ter tornado a infraestrutura de TI do governo federal mais vulnerável a ataques cibernéticos".
De acordo com os auditores, foram identificadas "fragilidades" no "código-fonte dos aplicativos móveis, associadas à gestão das funcionalidades que permitem ao sistema Android franquear acesso a recursos e dados sensíveis dos equipamentos móveis, majorando o risco de vazamentos de dados".
Além disso, a CGU descobriu "brechas de segurança ou vulnerabilidades cibernéticas que ampliam a superfície de ataque" e "lacunas no atendimento das reclamações realizadas nos comentários feitos pelo cidadão para a melhoria da qualidade dos aplicativos".
Procurados, o Ministério da Economia e a Petrobras não responderam até o momento.
A maior parte das informações referentes às vulnerabilidades cibernéticas detectadas, contudo, foram suprimidas do relatório a pedido da Secretaria de Governo Digital em função da existência de sigilo. No entanto, as recomendações dos auditores ao órgão que era comandado por Paes de Andrade dão uma amostra da dimensão das vulnerabilidades encontradas entre os 242 aplicativos do governo federal.
Para reparar as falhas, a CGU pediu medidas "no sentido de sanear as fragilidades e impropriedades constatadas" com a adoção de "ferramenta automatizada para análise estática do código-fonte dos aplicativos com a finalidade de detectar vulnerabilidades cibernéticas capazes de comprometer o dispositivo móvel do cidadão ou de provocar o vazamento de dados sensíveis ou dados oficiais de governo, bem como expor informações sobre a infraestrutura das instituições do governo".
"A questão de cibersegurança no âmbito do governo federal infelizmente está à deriva", afirma o advogado Ronaldo Lemos, diretor do Instituto Tecnologia e Sociedade do Rio de Janeiro (ITS Rio). "A constatação da CGU infelizmente é mais uma indicação disso. As pessoas no Brasil não aguentam mais ser vítimas de golpes na internet. Esses golpes acontecem exatamente por conta dessa falta de segurança e dos vazamentos constantes de dados, que deveriam estar sendo protegidos pelo governo federal".
Reclamações ignoradas
Dos 242 aplicativos do governo federal, 128, ou seja, 52,9% do total, tiveram nota média abaixo de 3, de uma escala de 0 a 5. Outros 90, 37,2% do total, tiveram uma avaliação média igual ou maior que 3 e menor que 5. Apenas 24 (9,9%) tiveram nota igual a 5.
Dos 36.576 comentários feitos por cidadãos que usam os aplicativos do governo, a maioria faz avaliação abaixo da média 3 — 23.364 comentários nessa faixa. Outros 13.149 comentários avaliam os aplicativos com nota entre 3 e 5 e apenas 63 com nota igual a 5, aponta a CGU.
Os auditores encontraram 8.499 comentários sem resposta relacionados a 157 dos 242 aplicativos. No relatório, a CGU registra que "é oportuno mencionar a relevância de se monitorar comentários de clientes de aplicativos móveis, considerando a riqueza de informações que podem ser coletadas com quem utiliza diretamente o aplicativo".
"A CGU aponta muito claramente que a prática administrativa está precisando ser melhorada. Existe uma quantidade enorme de reclamações que simplesmente estão sendo ignoradas. Com certeza esses aplicativos precisam entrar numa política de maturidade em que se progrida com aquilo que é percebido pela população no que se refere à qualidade experimentada pelo usuário final", diz Rafael Timóteo, professor do programa de Pós-Graduação em Segurança Cibernética da Universidade de Brasília (UnB).
"Há muitas práticas recomendadas pela CGU que precisam ser absolutamente seguidas, e muito rapidamente. Há coisas a serem feitas, e tem de ser feitas de imediato. A segurança cibernética, em geral, é um processo cíclico, é preciso estar o tempo todo preocupado. Quando uma entidade externa de averiguação oficial vem e aponta problemas, é preciso reagir imediatamente, é o que se exige da Secretaria de Governo Digital".
A partir da constatação de que as reclamações dos usuários eram ignoradas, os auditores recomendaram à Secretaria de Governo Digial que estabelecesse como regra que "os comentários registrados nas lojas (Google Play e Apple Store) pelos clientes dos aplicativos móveis disponibilizados na conta única do Governo Federal sejam utilizados como um canal de relacionamento com os clientes, servindo ainda de base para a coleta de feedback em relação às necessidades de melhoria dos aplicativos".
A CGU também recomendou que fosse adotada uma rotina de monitoramento "visando identificar nas lojas da Google Play Store e Apple Store, periodicamente, eventuais comentários de clientes dos aplicativos móveis do Governo Federal que não tenham tido resposta por parte da equipe do órgão ou entidade".
Segundo o relatório da CGU, o aplicativo "Carteira de Trabalho Digital", por exemplo, possuía, em 12 de maio deste ano, mais de 13 milhões de usuários e um total de 400 comentários criticando sua eficácia. Todas as reclamações ficaram sem resposta.
Outro aplicativo do governo, o "e-SUS Território", que oferece apoio tecnológico a 54 mil agentes comunitários de Saúde, apresenta um total de 440 comentários, todos eles também sem resposta.
Além das reclamações, a CGU constatou a participação de pessoas não-autorizadas na administração dos aplicativos, o que pode majorar os riscos de vazamento de dados de brasileiros e expor os usuários a ataques de hackers, por exemplo.
Apesar de a CGU "entender como razoável atribuir a permissão de administrador para 2 pessoas da equipe técnica do órgão", segundo o relatório, foram identificados 36 aplicativos com mais de dois administradores.
A CGU também recomenda que cada aplicativo tenha o menor número possível de pessoas com a credencial de publicador, sob risco de que sejam publicadas versões corrompidas ou com algum tipo de malware. Mas, a despeito disso, ao analisarem uma amostra, os auditores identificaram 21 publicadores que, mesmo desligados das equipes de administração dos aplicativos, ainda detinham a credencial de publicador.
"O risco é tremendo. Se existe mais do que o necessário em termos de número de pessoas capazes de publicar o aplicativo, o risco é que seja publicado um aplicativo numa versão que contenha um bug ou um malware, um software malicioso", afirma Timóteo.
"Essas vulnerabilidades apontadas pela CGU são associadas a um risco tangível bastante grande. São aplicações de governo, como o Conecte SUS, que vêm sendo extremamente necessárias e atingem uma população muito grande. Um percentual de falhas muito pequeno num aplicativo desses atinge muita gente".