Após invasão hacker, governo reformula sistema de alertas da Defesa Civil

O Ministério do Desenvolvimento Regional adotou uma série de medidas emergenciais para reformular a segurança do Interface de Divulgação de Alertas Públicos (Idap), sistema oficial de alertas da Defesa Civil.

As mudanças foram implementadas após o disparo de falsos alertas de desastre para municípios de sete estados e do Distrito Federal.

Segundo apuração preliminar da Defesa Civil nacional, contas de agentes do Pará teriam sido utilizadas por hackers para enviar mensagens a celulares de milhões de brasileiros com alertas envolvendo termos como “misantropia” e “ataque alienígena”. O caso é investigado pela Polícia Federal.

Um documento obtido pelo Metrópoles indica que, para evitar novos incidentes, o governo decidiu bloquear totalmente o acesso externo ao sistema.

Neste primeiro momento, apenas a Defesa Civil nacional poderá acessar a plataforma, e exclusivamente por meio da rede interna do próprio ministério, o que, segundo o texto, impede acessos indevidos por hackers a partir de credenciais vazadas na Deep Web.

A Diretoria de Tecnologia da Informação também passou a exigir um novo fator de autenticação para o acesso ao sistema. Agora, será necessário que o usuário valide a entrada por meio de uma conta gov.br.

De acordo com a área técnica, ainda que credenciais sejam obtidas de forma indevida, um invasor não conseguiria acessar a plataforma sem o celular do usuário, já que o código de verificação é enviado ao aparelho.

Essas medidas foram implementadas e têm o objetivo de corrigir vulnerabilidades identificadas e evitar novas invasões. O governo, no entanto, prepara outras duas etapas para reforçar a segurança do sistema, com o lançamento de uma nova plataforma em julho.

A segunda fase do plano prevê o restabelecimento controlado do acesso para os estados. As Defesas Civis estaduais voltarão a utilizar a plataforma por meio de uma rede privada virtual (VPN), vinculada à Defesa Civil nacional.

As senhas de acesso deverão ser trocadas a cada seis meses, sem possibilidade de reutilização. A expectativa é de que a nova infraestrutura esteja totalmente implementada até esta quinta-feira (25/6).

Nos próximos dias, o envio de alertas do tipo Defesa Civil Alerta (DCA) também passará a exigir uma segunda validação por celular no momento da emissão. Paralelamente, o Centro Integrado de Segurança Cibernética do Governo Digital (CISC) deverá realizar testes de invasão para avaliar a robustez dos novos mecanismos.

“Dessa forma, vamos reduzir a significativamente a quantidade de pessoas que podem encontrar o sistema na internet, restringindo a apenas Defesas Civis com VPNs instaladas e usuários previamente cadastrados em nossa rede”, diz o documento.

Nova plataforma

A etapa final do plano prevê o lançamento de uma nova versão do Idap. O sistema, atualmente em fase final de desenvolvimento, deve ser implementado até o fim de julho.

De acordo com o documento, a plataforma terá maior capacidade de rastreamento das operações e “restrições adicionais sobre funcionalidades sensíveis”.

Entre as principais mudanças está a limitação da edição livre de mensagens, com o objetivo de reduzir o risco de disparo de alertas com textos “impróprios”, como os registrados entre a noite da última sexta-feira (19/6) e a madrugada de sábado (20/6).

Antes de entrar em operação, a nova versão passará por um processo de validação de segurança que envolverá a Secretaria de Governo Digital, o Gabinete de Segurança Institucional (GSI) e equipes especializadas em guerra cibernética.

“Essa etapa tem como objetivo entregar uma solução mais segura, validada institucionalmente e adequada à operação continuada do Sistema Defesa Civil Alerta.

Com todas as melhorias apresentadas, essa Diretoria acredita que invasões ao sistema não se repetirão, erros humanos serão mitigados e alertas serão enviados de forma segura”, diz o diretor substituto de Tecnologia da Informação, Henrique Kineipp.