Menu
Brasil

Falta de dados impede rastreamento de hacker que invadiu o DataSUS

Mesmo após meses de apuração, Polícia Federal e GSI não deverão identificar o autor do hackeamento do Ministério da Saúde

Lucas Valença

08/06/2022 4h54

Fartamente noticiadas pelos meios de comunicação, as invasões no sistema do DataSUS não terão um desfecho esperado pela Polícia Federal e pelo GSI (Gabinete de Segurança Institucional). Mesmo após meses de apuração, ambas as instituições não deverão identificar o autor do hackeamento por falta de dados.

Responsável no Ministério da Saúde pela segurança cibernética do DataSUS, a empresa ISH Tecnologia S/A, com sede no Espírito Santo, não armazenou, de forma adequada, os chamados “logs”, que são dados essenciais para que o rastreamento do ataque seja feito pela corporação policial.

Nesta segunda (06), o Jornal de Brasília revelou que o Ministério da Saúde abrirá uma licitação para contratar uma nova empresa que fará a segurança cibernética do DataSUS.

Com 49 páginas, o processo de instrução elaborado pelo Departamento de Informática do DataSUS, ao qual a reportagem teve acesso com exclusividade, procura substituir o contrato vigente que encerrará em setembro.

Prestando serviço a, ao menos, sete ministérios, além do Sebrae Nacional, a ISH Tecnologia chegou à pasta da Saúde após aderir a uma ata de registro de preço na área de SOC (Security Operation Center – Centro de Operações de Segurança no português) promovido pelo Inep (Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira) em 2016.

Com a vitória no edital pelo menor preço, a companhia passou a prestar o serviço responsável por centralizar os dados voltados à segurança da informação, também ao DataSUS, que havia aderido ao pregão do Ministério da Educação.

Integrantes do GSI, que conversaram com a reportagem, contudo, ressaltaram que, ao prestar o serviço ao órgão do Ministério da Saúde, a ISH Tecnologia deixou de pagar todas as licenças necessárias para o uso adequado da ferramenta NetWitness Platform.

O artefato tecnológico é fornecido pela empresa norte-americana RSA e é com ela que a companhia brasileira faz a coleta do histórico de movimentações de usuários do sistema a ser protegido, no caso, o DataSUS.

A ferramenta disponibilizada pela RSA, dos EUA, é um SIEM (Security Information and Event Management). Ou seja, um instrumento tecnológico que concentra e promove a “orquestração” dos “logs”. No entanto, o serviço não é barato, já que, no caso específico do DataSUS, o número de eventos promovidos pelo sistema do ministério gira em torno de 38 mil a 42 mil informações por segundo.

Este número total de eventos faz com que a ISH tenha de armazenar cerca de seis a sete terabytes de informações por ano, gerando um custo anual elevado.

O não pagamento de todas as licenças, porém, teria se dado pela baixa margem financeira do contrato, já que a empresa teria abatido parte do valor necessário para vencer a licitação pelo menor preço.

Dessa forma, foi buscado um aditivo junto ao governo federal, o que não aconteceu e, com a falta adequada de fiscalização pelo Ministério da Saúde, a ISH acabou deixando de lado obrigações listadas em contrato.

Além do DataSUS e do Inep, a empresa ISH Tecnologia presta ou já prestou serviço a, ao menos, outros 10 órgãos situados na Esplanada dos Ministérios, como, por exemplo os Ministérios da Economia, Justiça e Segurança pública, entre outros.
Segundo dados do Portal da Transparência, a ISH Tecnologia S/A já recebeu pouco mais de R$ 205 milhões do governo brasileiro.

Procurada pela reportagem, a empresa ISH Tecnologia afirmou que “os contratos entre a ISH e seus clientes são regidos por cláusulas de confidencialidade” e que, por essa razão, não pode disponibilizar detalhes sobre o caso.

“No mercado desde 1996, a ISH Tecnologia destaca-se desde sua fundação por uma relação de confiança com seus clientes e parceiros, o que garantiu, ano após ano, um crescimento constante da empresa, que hoje emprega mais de 500 profissionais brasileiros”, declarou a companhia em nota.

O Ministério da Saúde não respondeu aos questionamentos feitos pelo Jornal de Brasília, o espaço permanece aberto para eventuais manifestações.

    Você também pode gostar

    Assine nossa newsletter e
    mantenha-se bem informado