A forma como foi elaborada o processo de instrução da licitação que fará a contratação de uma empresa para prover a segurança cibernética do DataSUS beneficia a atual gestora do contrato.
O Termo de Referência, ao qual a reportagem teve acesso, possui 49 páginas e foi divulgado pelo Jornal de Brasília em 6 de junho. O novo edital deverá ser lançado neste mês para que todo o processo seja concluso antes do fim do atual contrato com a atual provedora do serviço, a ISH Tecnologia S/A, com validade até setembro.
Diferente de outras licitações, a que vem sendo construída pela pasta da Saúde reúne a contratação, no mesmo lote, do serviço de SOC (Security Operation Center) e de Brand Inteligence — serviço de software destinado a monitorar e gerenciar o mau uso de uma determinada marca nos meios digitais.
Normalmente, as contratações desses dois serviços ocorrem de forma separada, já que poucas empresas têm o domínio sobre ambas as tecnologias. Dessa forma, a ISH, que possui sede no Espírito Santo, acaba sendo beneficiada pela forma como o modelo de contratação foi construído.
Veja trecho do processo de instrução que estabelece a contratação de ambos os produtos:
Além de prestar assistência de segurança cibernética, a ISH lançou em 2021 um serviço de “proteção de riscos digitais”, como especifica o portal de seu produto, denominado ‘Mantis’ (Louva-a-deus no português). A ferramenta é justamente um Brand Inteligence.
A soma de ambos os produtos faz com que a companhia privada seja uma das mais aptas a vencer uma nova disputa licitatória, caso o edital siga com o modelo escolhido e que ainda está presente no processo de instrução.
Dessa forma, como a contratação ainda não foi lançada ao mercado, o Ministério da Saúde poderá alterar o Termo de Referência e recolocar os produtos em lotes distintos até o lançamento da licitação.
Falha na proteção
A atual prestadora do serviço, contudo, é a responsável por armazenar e defender os dados do DataSUS, mas o sistema chegou a ser invadido em 2020 e em 2021.
Até o momento, o hacker não foi descoberto pela Polícia Federal por falta de dados essenciais para a rastreabilidade do invasor.
O Jornal de Brasília relevou no dia 8 de junho que a empresa não armazenou, de forma adequada, os chamados “logs”, que são dados essenciais para que o invasor possa ser rastreado pelas autoridades brasileiras. A companhia havia deixado de pagar todas as licenças necessárias para o uso adequado da ferramenta NetWitness Platform.
O artefato tecnológico é fornecido pela empresa norte-americana RSA e é com ela que a companhia brasileira faz a coleta do histórico de movimentações de usuários no sistema a ser protegido que, no caso, é o DataSUS.
Procurado, o Ministério da Saúde não respondeu aos questionamentos da reportagem. A empresa ISH Tecnologia também não se pronunciou.