Por volta de 23h45 desta sexta-feira (19) as primeiras mensagens de alerta extremo começaram a chegar em celulares de Curitiba. Nas duas horas seguintes, celulares no Distrito Federal, São Paulo, Rio de Janeiro, Bahia, Pará, Mato Grosso e outros estados começaram a disparar com o texto “misantropia” e um forte sinal sonoro acordando muita gente na madrugada. Até que a plataforma foi tirada do ar.
Tudo indica que a credencial de um usuário com acesso total ao sistema IDAP (Interface de Divulgação de Alertas Públicos) operado pelo MIDR (Ministério da Integração e Desenvolvimento Regional) foi roubada pelo atacante para esse fim.
Esse incidente demonstra de novo como o país está à deriva na questão de cibersegurança. Um estudo feito nos EUA sobre a desmoralização de sistemas de alerta mostrou que isso tem um custo claro em vidas. Falsos alarmes em sistemas oficiais elevam as fatalidades esperadas em calamidades públicas em até 29% e o número de pessoas feridas em até 32%.
É o efeito chamado “cry wolf”: se alguém grita lobo sem razão, as pessoas passam a ignorar e até bloquear os alertas. O dano não é só um susto, mas o descrédito de um bem público que salva vidas
Para entender a dimensão do problema é fundamental compreender a cadeia de responsabilidade. O sistema de alerta é hoje coordenado pela Anatel, em conjunto com uma série de parceiros que incluem as prestadoras de serviço de celular, o Sindicato Nacional de Empresas de Telefonia Móvel, o MIDR e a Presidência da República.
A operação técnica na prática é feita pela ABR Telecom (Associação Brasileira de Recursos em Telecomunicações). Para enviar um alerta, um agente credenciado entra no site do IDAP, clica para selecionar a gravidade do alerta, seleciona o local de envio (estados, municípios, etc.), preenche a mensagem de texto e aperta o botão de envio.
A questão é que no Brasil há ao menos 180 instituições cadastradas para enviar alertas desse tipo no site do IDAP e ao menos 600 usuários com cadastro e poderes para acessar a ferramenta e enviar alertas para todo o Brasil, bastando digitar usuário e senha. Isso é receita para o desastre.
Em termos de comparação, os EUA têm um sistema semelhante. Só que para acessá-lo é necessário passar por um procedimento formal e por uma cadeia de autenticação criptográfica. Cada credenciado precisa assinar termo de responsabilidade individualizado e sua credencial dura por tempo limitado.
Além disso, desde um incidente no Havaí em 2018, as mensagens começaram a ter dupla supervisão. Antes de serem enviadas, são autenticadas por um supervisor. Só disparam com a autorização de duas hierarquias distintas.
Outro ponto é a centralização. O governo federal vem centralizando poderes sobre todas as questões tecnológicas do país. Isso é um risco: centralização e cibersegurança caminham em direções opostas (e também liberdades civis). Isso ficou claro ontem: foi preciso que cada estado se manifestasse para dizer que não foi responsável pelos alertas. O sistema gerido pela União atuou e falou indevidamente em nome dos entes federativos.
Nesse sentido, o alerta recebido entre sexta-feira e sábado talvez esteja entre os mais importantes já enviados pelo IDAP desde sua criação. Ele pode ser traduzido assim: em políticas tecnológicas o país está andando para o lado errado. E pior: dependemos de erros e desastres para perceber isso.
LINK PRESENTE: Gostou deste texto? Assinante pode liberar sete acessos gratuitos de qualquer link por dia. Basta clicar no F azul abaixo.
.gif)
Autor: Folha
