A vulnerabilidade do sistema foi confirmada pelo presidente do INSS,
Alessandro Stefanutto.
BRASÍLIA, DF (FOLHAPRESS) - Dados
sigilosos de milhões de beneficiários do INSS (Instituto Nacional do Seguro
Social) ficaram expostos a usuários externos, que puderam acessar as
informações sem o devido controle do órgão. A descoberta levou ao desligamento
do chamado Suibe (Sistema Único de Informações de Benefícios) no início de maio
e paralisou a produção de estatísticas da Previdência Social. A vulnerabilidade
do sistema foi confirmada à Folha pelo presidente do INSS, Alessandro
Stefanutto. Segundo ele, o instituto acumulou um estoque de centenas de senhas
–o órgão não divulgou o número exato– concedidas a usuários externos ao longo
das últimas décadas e nunca revisou a autorização desses acessos. O Suibe não
permite conceder novos benefícios, mas contém informações de todos aqueles já
deferidos, inclusive dados cadastrais dos beneficiários, espécie do benefício
(se é uma aposentadoria ou auxílio-doença, por exemplo), valor devido e data de
concessão, entre outros. Ele é uma das principais fontes de dados para a
produção do Beps (Boletim Estatístico da Previdência Social), relatório mensal
detalhado das concessões e emissões de benefícios pagos pelo INSS. A edição
mais recente disponível é de fevereiro de 2024. Nas mãos de criminosos, esse
repositório se converte em um ativo valioso para direcionar potenciais ações
fraudulentas. O INSS diz não ter provas concretas de que houve vazamento de
dados do Suibe, mas o órgão acumula um histórico de reclamações de segurados
que souberam da concessão do benefício por meio de terceiros. Há relatos de
instituições que entram em contato para oferecer produtos financeiros, como
empréstimo consignado, antes mesmo de o beneficiário receber do INSS o
comunicado oficial sobre a concessão. "Uma fonte de vazamento,
provavelmente, era lá, porque as pessoas roubam a senha dos outros. Alguém
também decidiu ceder ao crime organizado. Daí vende isso para as financeiras,
provavelmente. Por isso o cara liga para vender empréstimo consignado. Arranjou
o telefone, arranjou tudo, porque lá tem dados cadastrais das pessoas",
afirma Stefanutto. Ele diz acreditar na relação, porque as reclamações na
ouvidoria envolvendo empréstimo consignado caíram a 405 em maio. Entre janeiro
e março, a média foi de 943 registros de ocorrência por mês. Em abril, o número
já havia recuado a 553. Usuários externos do Suibe são servidores de outros
ministérios ou representantes de órgãos que utilizam as informações da
Previdência para desenvolver alguma tarefa –por exemplo, a AGU (Advocacia-Geral
da União) recorre ao sistema para obter subsídios e defender a União em ações
judiciais.
O problema, segundo o presidente do INSS, é que não havia controle para
garantir a revogação da senha do usuário que deixasse o órgão ou a
administração pública. Os acessos também eram feitos por meio da entrada
simples de usuário e senha, sem duplo fator de autenticação nem uso de VPN
(ferramenta que limita o acesso a usuários de uma mesma rede privada, mais
segura). Ainda que o dono original da credencial não tenha tido a intenção de
fazer mau uso do acesso, a conclusão do INSS é que a governança desses dados
era frágil, deixando vulneráveis as informações de 39,5 milhões de
beneficiários. "Eu achava, honestamente, que isso estava numa governança
melhor. Não quer dizer, porque você tem um portão aberto, que a casa vai ser
roubada. Mas pode ser mais roubada do que com o portão fechado. O que eu fiz
foi fechar o portão. Mandei suspender todos [os usuários externos]. Tirei da
tomada, falei 'reorganizem'", afirma Stefanutto. A solução tecnológica do
Suibe é fornecida pela Dataprev, empresa de tecnologia do governo federal.
Procurada, ela disse que "informações sobre o Suibe devem ser solicitadas
ao INSS, órgão gestor do sistema". Segundo o presidente do INSS, o órgão
não tem controle sobre quais informações e de quais beneficiários os usuários
externos acessaram. O monitoramento é feito pelo volume de dados extraídos.
Quando esse volume é muito elevado, o sistema dispara um alerta, e o endereço
IP é bloqueado. "Quando vieram me mostrar isso naquele dia, [disseram]
'olha, hoje teve um IP que começou a querer puxar muito dado, foi bloqueado, já
foi resolvido', eu falei 'quantas senhas externas tem?", diz Stefanutto. A
resposta de que eram centenas motivou a ordem para suspender todos os acessos. O
presidente do órgão reconhece que nunca havia se perguntado antes sobre quem
tinha acesso ao repositório de dados. "Até então eu não sabia. Isso aí
deve estar num acervo construído ao longo de décadas", diz. "Um caso
fictício, mas que tem fundo de verdade: você sai do Ministério do Trabalho.
Você tinha a senha. Você é uma pessoa correta, mas aí foi para outro
ministério, pediu exoneração, aposentou, saiu. A pessoa não tem o cuidado, e
nem é culpa dela, o órgão que deveria comunicar. Quando você sai, alguém, por
algum motivo, intercepta a sua senha –porque ela é simples– fica usando,
baixando dados para outras coisas", afirma. O roubo de senhas foi o
artifício usado por fraudadores em outro episódio: a invasão do Siafi, sistema
de pagamentos da União. Criminosos acessaram a plataforma com senhas de
servidores no gov.br e desviaram pelo menos R$ 15 milhões, como revelou a
Folha. Até hoje, o caso segue sem solução. Segundo Stefanutto, o acesso ao
Suibe já foi restabelecido sob novas regras, que exigem acesso com VPN e uso de
certificado digital emitido pelo Serpro, empresa de tecnologia do governo
federal. O número de senhas também está restrito: foram autorizados 11 acessos,
requeridos por cinco órgãos: Polícia Federal, CGU (Controladoria-Geral da
União), TCU (Tribunal de Contas da União) e os ministérios do Desenvolvimento
Social e Agricultura. "Se o ministério precisar, vamos fazer um
procedimento formal e vai ficar guardado digitalmente. Aí eu tenho o controle e
o compromisso do ministério de que, se a pessoa sair, não pode derrubar só as
senhas internas. [Vai ter que derrubar] As senhas externas também", diz. O
presidente do INSS afirma ainda ter atuado para corrigir outras
vulnerabilidades, como a possibilidade de servidores do órgão acessarem o
sistema de concessão de benefícios apenas com usuário e senha. A instituição
também passou a cobrar o uso do certificado digital. "Claro que é grave.
Qualquer coisa que envolva a senha digital é grave. Deveria ter um controle
maior. E é isso que a gente fez: corrigiu", diz.( Fonte Economia ao Minuto
Noticias )
