O Siafi, sistema de administração financeira do governo federal, usado para fazer pagamentos, foi alvo de uma invasão no mês de abril.

A Polícia Federal abriu inquérito para investigar o caso no começo do mês e atua no rastreio dos suspeitos com apoio da Abin. A investigação vinha sendo conduzida em segredo de Justiça, pelo menos até agora. 

Existe a suspeita de que os autores do ataque conseguiram emitir ordens bancárias e desviar recursos da União, revela o jornal Folha de São Paulo.

Conversando com jornalistas, o ministro da Fazenda, Fernando Haddad, disse que o problema não é do Siafi “em si”, mas sim de “autenticação de acesso”.

"É isso que está sendo apurado. Como é que alguém teve acesso tendo sido autenticado. Ou seja, não foi uma ação de um hacker que quebrou segurança, não foi isso. Foi um problema de autenticação”, garantiu Haddad.

Claro que um problema de autenticação é também um problema de política de segurança da informação, mas não vamos incomodar o ministro com essas minudências.

O Tesouro Nacional, órgão gestor do Siafi, confirmou em nota a "utilização indevida de credenciais obtidas de modo irregular" e disse que "as tentativas de realizar operações na plataforma foram identificadas". O Tesouro afirmou ainda que as ações "não causaram prejuízos à integridade do sistema".

Segundo fontes ouvidas pela Folha, o sistema de autenticação dos usuários por meio do portal gov.br sofreu um ataque. 

Com a falha de segurança, gestores habilitados para fazer movimentações financeiras tiveram seus acessos utilizados por terceiros sem autorização.

As apurações indicam que os invasores conseguiram acessar o Siafi utilizando o CPF e a senha do gov.br de gestores e ordenadores de despesas para operar a plataforma de pagamentos.

A suspeita é que os invasores coletaram os dados sem autorização via sistema de pesca de senhas (com uso de links maliciosos, por exemplo). 

Fontes ouvidas pela Folha falam de uma ação muito bem articulada, pois apenas alguns servidores têm nível de acesso elevado o suficiente para emitir ordens bancárias em nome da União. 

Além disso, técnicos ouvidos pela Folha observam que o Siafi é um sistema complexo, pouco intuitivo, e operá-lo requer conhecimento especializado sobre a plataforma.

CERTIFICADO DIGITAL

Depois da invasão, ou do roubo de credenciais, o Tesouro comunicou aos gestores e ordenadores de despesa que o acesso ao Siafi passaria a ser feito apenas por meio do certificado digital.

Mesmo assim, o governo detectou novas tentativas de invasão com a utilização de certificados digitais emitidos por empresas privadas. 

As apurações preliminares indicam que os invasores conseguiram emitir os certificados em nome dos servidores públicos habilitados no sistema de pagamentos.

Nesta segunda-feira, 22, quando o escândalo estourou na imprensa, o gestor do Siafi passou a exigir acesso com certificado digital emitido pelo Serpro, empresa pública federal do ramo de tecnologia.

O alerta sobre essa última mudança foi emitido na noite de sexta-feira, 19, às 19h52 —o sistema fecha às 20h e não opera nos fins de semana (é provável que o Tesouro tenha sido procurado pela Folha para um posicionamento com alguns dias de antecedência).

A nova regra passou a ser implementada nesta segunda.

O comunicado foi emitido pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov), em colaboração com o Centro Integrado de Segurança Cibernética do Governo Digital.