Jornal de Brasília

Informação e Opinião

Política & Poder

Segurança cibernética: mais do mesmo no ministério da Saúde

Licitação que fará a contratação de uma empresa para prover a segurança cibernética do DataSUS beneficia a atual gestora

Por Lucas Valença 23/06/2022 5h30
Foto: Agência Brasil

A forma como foi elaborada o processo de instrução da licitação que fará a contratação de uma empresa para prover a segurança cibernética do DataSUS beneficia a atual gestora do contrato.

O Termo de Referência, ao qual a reportagem teve acesso, possui 49 páginas e foi divulgado pelo Jornal de Brasília em 6 de junho. O novo edital deverá ser lançado neste mês para que todo o processo seja concluso antes do fim do atual contrato com a atual provedora do serviço, a ISH Tecnologia S/A, com validade até setembro.

Diferente de outras licitações, a que vem sendo construída pela pasta da Saúde reúne a contratação, no mesmo lote, do serviço de SOC (Security Operation Center) e de Brand Inteligence — serviço de software destinado a monitorar e gerenciar o mau uso de uma determinada marca nos meios digitais.

Normalmente, as contratações desses dois serviços ocorrem de forma separada, já que poucas empresas têm o domínio sobre ambas as tecnologias. Dessa forma, a ISH, que possui sede no Espírito Santo, acaba sendo beneficiada pela forma como o modelo de contratação foi construído.

Veja trecho do processo de instrução que estabelece a contratação de ambos os produtos:

Além de prestar assistência de segurança cibernética, a ISH lançou em 2021 um serviço de “proteção de riscos digitais”, como especifica o portal de seu produto, denominado ‘Mantis’ (Louva-a-deus no português). A ferramenta é justamente um Brand Inteligence.

A soma de ambos os produtos faz com que a companhia privada seja uma das mais aptas a vencer uma nova disputa licitatória, caso o edital siga com o modelo escolhido e que ainda está presente no processo de instrução.

CONTINUA DEPOIS DA PUBLICIDADE

Dessa forma, como a contratação ainda não foi lançada ao mercado, o Ministério da Saúde poderá alterar o Termo de Referência e recolocar os produtos em lotes distintos até o lançamento da licitação.

Falha na proteção

A atual prestadora do serviço, contudo, é a responsável por armazenar e defender os dados do DataSUS, mas o sistema chegou a ser invadido em 2020 e em 2021.

Até o momento, o hacker não foi descoberto pela Polícia Federal por falta de dados essenciais para a rastreabilidade do invasor.

O Jornal de Brasília relevou no dia 8 de junho que a empresa não armazenou, de forma adequada, os chamados “logs”, que são dados essenciais para que o invasor possa ser rastreado pelas autoridades brasileiras. A companhia havia deixado de pagar todas as licenças necessárias para o uso adequado da ferramenta NetWitness Platform.

CONTINUA DEPOIS DA PUBLICIDADE

O artefato tecnológico é fornecido pela empresa norte-americana RSA e é com ela que a companhia brasileira faz a coleta do histórico de movimentações de usuários no sistema a ser protegido que, no caso, é o DataSUS.

Procurado, o Ministério da Saúde não respondeu aos questionamentos da reportagem. A empresa ISH Tecnologia também não se pronunciou.








Você pode gostar