Fartamente noticiadas pelos meios de comunicação, as invasões no sistema do DataSUS não terão um desfecho esperado pela Polícia Federal e pelo GSI (Gabinete de Segurança Institucional). Mesmo após meses de apuração, ambas as instituições não deverão identificar o autor do hackeamento por falta de dados.
Responsável no Ministério da Saúde pela segurança cibernética do DataSUS, a empresa ISH Tecnologia S/A, com sede no Espírito Santo, não armazenou, de forma adequada, os chamados “logs”, que são dados essenciais para que o rastreamento do ataque seja feito pela corporação policial.
Nesta segunda (06), o Jornal de Brasília revelou que o Ministério da Saúde abrirá uma licitação para contratar uma nova empresa que fará a segurança cibernética do DataSUS.
Com 49 páginas, o processo de instrução elaborado pelo Departamento de Informática do DataSUS, ao qual a reportagem teve acesso com exclusividade, procura substituir o contrato vigente que encerrará em setembro.
Prestando serviço a, ao menos, sete ministérios, além do Sebrae Nacional, a ISH Tecnologia chegou à pasta da Saúde após aderir a uma ata de registro de preço na área de SOC (Security Operation Center – Centro de Operações de Segurança no português) promovido pelo Inep (Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira) em 2016.
Com a vitória no edital pelo menor preço, a companhia passou a prestar o serviço responsável por centralizar os dados voltados à segurança da informação, também ao DataSUS, que havia aderido ao pregão do Ministério da Educação.
Integrantes do GSI, que conversaram com a reportagem, contudo, ressaltaram que, ao prestar o serviço ao órgão do Ministério da Saúde, a ISH Tecnologia deixou de pagar todas as licenças necessárias para o uso adequado da ferramenta NetWitness Platform.
O artefato tecnológico é fornecido pela empresa norte-americana RSA e é com ela que a companhia brasileira faz a coleta do histórico de movimentações de usuários do sistema a ser protegido, no caso, o DataSUS.
A ferramenta disponibilizada pela RSA, dos EUA, é um SIEM (Security Information and Event Management). Ou seja, um instrumento tecnológico que concentra e promove a “orquestração” dos “logs”. No entanto, o serviço não é barato, já que, no caso específico do DataSUS, o número de eventos promovidos pelo sistema do ministério gira em torno de 38 mil a 42 mil informações por segundo.
Este número total de eventos faz com que a ISH tenha de armazenar cerca de seis a sete terabytes de informações por ano, gerando um custo anual elevado.
O não pagamento de todas as licenças, porém, teria se dado pela baixa margem financeira do contrato, já que a empresa teria abatido parte do valor necessário para vencer a licitação pelo menor preço.
Dessa forma, foi buscado um aditivo junto ao governo federal, o que não aconteceu e, com a falta adequada de fiscalização pelo Ministério da Saúde, a ISH acabou deixando de lado obrigações listadas em contrato.
Além do DataSUS e do Inep, a empresa ISH Tecnologia presta ou já prestou serviço a, ao menos, outros 10 órgãos situados na Esplanada dos Ministérios, como, por exemplo os Ministérios da Economia, Justiça e Segurança pública, entre outros.
Segundo dados do Portal da Transparência, a ISH Tecnologia S/A já recebeu pouco mais de R$ 205 milhões do governo brasileiro.
Procurada pela reportagem, a empresa ISH Tecnologia afirmou que “os contratos entre a ISH e seus clientes são regidos por cláusulas de confidencialidade” e que, por essa razão, não pode disponibilizar detalhes sobre o caso.
“No mercado desde 1996, a ISH Tecnologia destaca-se desde sua fundação por uma relação de confiança com seus clientes e parceiros, o que garantiu, ano após ano, um crescimento constante da empresa, que hoje emprega mais de 500 profissionais brasileiros”, declarou a companhia em nota.
O Ministério da Saúde não respondeu aos questionamentos feitos pelo Jornal de Brasília, o espaço permanece aberto para eventuais manifestações.