Fraude em Viracopos revela falhas nos sistemas de segurança

Fraude em Viracopos revela falhas nos sistemas de segurança

Captura de senhas envolve Técnicos em golpe de mais de R$ 100 milhões entre servidores clima é de preocupação.

     

A descoberta de fraude no sistema tributário, que envolveu funcionários da Receita Federal (RF) que trabalhavam no Aeroporto Internacional de Viracopos, nas Delegacias de Campinas e São Paulo, trouxe mais do que um prejuízo estimado em R$ 100 milhões aos cofres públicos. O golpe colocou em dúvida os sistemas de segurança utilizados pela Receita Federal. A facilidade com que fraudadores tiveram acesso às senhas de técnicos que trabalhavam nessas delegacias gerou preocupação para toda a categoria.
O golpe era simples. Servidores da Receita Federal, envolvidos no esquema, instalavam plugues, chamados de charutos, nos teclados e CPUs e com isso gravavam senhas digitadas por outros funcionários. Dessa forma os integrantes da quadrilha acompanhavam toda a movimentação dos processos e os nomes das empresas que mantinha débitos elevados com a Receita Federal. De posse dessas informações, eles repassavam os dados para que os outros envolvidos no esquema procurassem os empresários de importação e exportação para concluir a operação. A quadrilha cobrava 20% do valor que as empresas deviam ao fisco para baixar os débitos do sistema e para falsificar certidões negativas de débito fiscal. Foram identificadas 50 empresas e 11 pessoas envolvidas no esquema.
O temor dos Técnicos levou a diretoria do Sindicato Nacional dos Técnicos da Receita Federal (DEN/Sindtten) a se reunir, no dia 16 de setembro, com a Coordenação-Geral de Tecnologia e Segurança da Informação da Receita Federal (Cotec). O presidente do Sindtten, Reynaldo Puggi, destacou a apreensão dos colegas e o clima de insegurança criado nas delegacias após o episódio em Viracopos. O medo é que qualquer servidor possa ter sua senha capturada e utilizada para a realização de atos ilegais. “Essa situação coloca em risco os inocentes e éticos que poderão, um dia, ser chamados a responder por procedimentos administrativos disciplinares e criminais, tendo o ônus de provar a sua inocência, passando por toda sorte de constrangimentos”, ressaltou Puggi.
O Coordenador-Geral de Tecnologia e Segurança da Informação, Vítor Marcos Almeida Machado, adianta que medidas para ampliação da segurança nos sistemas da Receita Federal já vinham sendo tomadas, mesmo antes da divulgação do caso de fraude em Viracopos. De acordo com ele, desde o início de setembro, todos os servidores da RF têm acesso ao novo teclado virtual, o que por si só, já impede uma fraude como a última. Por esse sistema, as senhas são introduzidas no teclado virtual com auxílio do mouse, o que não permite a captura desses dados por meio de “charutos”. De acordo com Vitor Marcos, por questões de detalhes técnicos o teclado virtual não havia sido disponibilizado antes. A intenção, revela ele, era que o teclado aparecesse assim que o computador fosse ligado, e que por isso, houve uma prorrogação na implantação desse instrumento de controle de usuários. Ele admite, no entanto, que a utilização apenas dessa nova ferramenta não impede por completo novas fraudes. “Os fraudadores estão sempre um dia na frente, mas com certeza aumentamos a segurança de nossos sistemas de forma considerável. Há que se ter uma política de segurança que possa antecipar e introduzir novos elementos que impeçam ao máximo as fraudes, e isso nós mantemos na Receita”, diz.
Para a DEN/Sindtten, mesmo que a captura das senhas não tenha permitido o acesso ao sistema, a Cotec deveria incluir o controle físico diário dos equipamentos, como por exemplo, a instalação de lacres, e vistoria constante nas máquinas. O coordenador da Cotec Vitor Machado admite que essa medida poderia auxiliar, mas, ressalta que não evitaria novos problemas. Para ele, além do trabalho contínuo de aprimoramento tecnológico dos sistemas de segurança, é preciso que haja rigor no cumprimento das normas estabelecidas pela Receita Federal por todos servidores. “A obediência das medidas de segurança e a adoção de novas ferramentas diminuem consideravelmente o risco de fraude. Mas temos que admitir, que o fato de um funcionário da área estar envolvido no golpe, como ocorreu em Viracopos, torna mais difícil sua descoberta”, diz.

Programa de certificação digital deve custar R$ 10 milhões

Até o fim do ano, deve entrar em operação o novo esquema de segurança eletrônica da Receita Federal (RF). Para ingressar nos sistemas o usuário-servidor terá que possuir um certificado digital. Esse conjunto de senhas eletrônicas criptografadas estará disponível em um cartão magnético ou num pequeno aparelho chamado de token, que deve ser conectado ao computador. Cada funcionário receberá uma espécie de identidade digital, que lhe garantirá acesso ao sistema.
O novo modelo de segurança, que está sendo implantado pelo Serviço Federal de Processamento de Dados (Serpro), foi orçado em aproximadamente R$ 10 milhões. De acordo com o Coordenador-Geral de Tecnologia e Segurança da Informação, Vítor Marcos Almeida Machado, é mais provável que a Receita Federal faça a opção pelo token, isso porque a escolha dos cartões exigiria a aquisição de leitoras magnéticas.  “Em pouco tempo ao invés da identificação no sistema ocorrer com uma série de senhas, que são passíveis de serem capturadas, usaremos apenas o certificado digital”, explica. A Receita Federal já abriu licitação para a compra dos novos equipamentos.
Testes com sistema semelhante estão sendo realizados em São Paulo, onde servidores já utilizam a certificação biométrica, que é um protótipo de identificador digital. Superintendentes e alguns delegados da Receita Federal também estão participando de experimentos com o certificado digital.
Na avaliação de Vitor Machado o uso da certificação e do teclado digital vão impedir fraudes como a ocorrida em Viracopos. Ele ressalta que apesar das críticas feitas ao sistema de segurança da Receita Federal, todas as irregularidades foram descobertas e registradas, o que vai permitir não apenas a recuperação dos valores baixados, mas também a identificação dos envolvidos. “Temos três questões relativas à segurança: existe insegurança derivada do comportamento dos servidores do acesso às dependências físicas da Receita Federal de pessoas estranhas ao ambiente, e por fim, existe insegurança de acesso aos bancos de dados, que no caso da Receita Federal são perfeitamente seguros e registram qualquer tentativa de invasão permitindo a restauração de uma irregularidade como foi o caso de Viracopos”, analisa.
O coordenador da Cotec garante que não há como essa senha digital ser capturada. Ele lembra que a certificação digital está sendo introduzida no mundo inteiro, e com esse instrumento implantado a Receita Federal estará protegida com um dos dispositivos mais modernos de segurança que existem na atualidade. O coordenador da Cotec ressalta ainda que os usuários do ReceitaNet, - programa da RF usado para encaminhar declarações de Imposto de Renda – podem ficar tranqüilos. Há 10 anos em operação, o sistema nunca sofreu qualquer tipo de violação, apesar das tentativas diárias de rackers.


Público

O uso da certificação digital também permitirá a ampliação dos serviços da Receita Federal. Atualmente, o contribuinte já pode obter uma cópia da declaração do Imposto de Renda diretamente no site da Receita Federal. Mas para acessar as informações é preciso possuir uma certificação digital, ou assinatura eletrônica. Inicialmente o serviço permitirá fazer cópias de declarações dos últimos cinco anos do Imposto de Renda e, também, do Imposto Territorial Rural (ITR). Para adquirir a certificação digital, o contribuinte deve acessar o menu Receita 222, no site www.receita.fazenda.gov.br. Pelo site, ele faz o registro e escolhe uma das instituições certificadoras credenciadas para criar assinaturas eletrônicas, que só podem ser feitas pessoalmente. De acordo com o coordenador de tecnologia da informação da Receita Federal, Donizzeti Vitor Rodrigues, o Receita 222 é um sistema seguro, que garante a autenticidade e a privacidade dos emissores e destinatários dos documentos eletrônicos.


Entenda um pouco mais sobre a certificação digital no Brasil

A certificação eletrônica garante autenticidade e a integridade de um documento eletrônico e, por conseqüência, segurança jurídica ao mesmo. A certificação mais comum e eficaz é aquela por meio da utilização de chaves públicas (assinatura digital por criptografia assimétrica). É, em síntese, uma codificação, garantida e atribuída por um certificador - que no caso dos documentos da Receita Federal (RF) é o Serviço Federal de Processamento de Dados (Serpro) - representada por um certificado que identifica a origem e protege o documento de qualquer alteração sem vestígios. Isso permite aos usuários que dispõem da assinatura digital a troca de documentos e informações pela rede com a devida segurança física e jurídica.
Em 28 de junho de 2001, foi editada a Medida Provisória 2.200/01, que instituiu a Infra-Estrutura de Chaves Públicas Brasileira (ICP-Brasil), disciplinando a questão da presunção de integridade, autenticidade e validade dos documentos eletrônicos. Dentre as principais disposições, se destaca a Autoridade Certificadora Raiz (AC Raiz), representada pelo Instituto Nacional de Tecnologia da Informação, o qual, de acordo com o Decreto 4.036 de 28 de novembro de 2001, passa a ser órgão vinculado diretamente à presidência da República.
O gerenciamento do sistema foi conferido ao Comitê Gestor que tem, dentre outras atribuições, as seguintes: medidas de implantação e funcionamento critérios e normas p/ licenciamento de ACs, ARs e outros práticas de certificação e regras da AC Raiz homologar, auditar e fiscalizar a AC Raiz diretrizes e normas p/ certificados regras operacionais p/ ACs e Ars definir níveis de certificação autorizar AC Raiz a emitir certificados ICP externas: negociar e aprovar acordos de certificação bilateral, cruzada e regras de cooperação intl.
Em 30 de novembro de 2001 foi criado o par de chaves criptográficas e o respectivo certificado digital da AC Raiz da Infra-Estrutura de Chaves Públicas Brasileira, ICP-Brasil. Desde então, é possível emitir certificados para as Autoridades Certificadoras, AC, que desejarem fazer parte da ICP-Brasil, respeitado o processo de credenciamento próprio.
Verifica-se, portanto, que o sistema de certificação digital, regulamentado pela ICP-Brasil, trouxe um grande avanço às transações eletrônicas, pois hoje é possível garantir a autenticidade e a veracidade dos documentos eletrônicos.
Após a publicação dessa MP, o documento eletrônico é equiparado ao documento físico, para todos os efeitos legais, desde que certificados por entidade credenciada a ICP-Brasil, trazendo desta forma, muito mais segurança ao mundo jurídico eletrônico.
O princípio da equivalência funcional é o principal argumento da tecnologia jurídica dos documentos virtuais. Por este conceito, o documento eletrônico cumpre as mesmas funções do documento em papel e não pode ser rejeitado pelo simples fato de se encontrar em meio magnético ou eletrônico.
O ordenamento jurídico preocupou-se em atribuir garantias ao documento comum em papel para que sua função seja considerada válida. Desta forma, o documento precisa conter a devida autenticidade, integridade e perenidade, para efeitos de prova eficaz. Com a certificação digital, todos estes requisitos são perfeitamente adequados ao documento virtual, e nessas condições recebe os mesmos efeitos probatórios, sob o manto do princípio da equivalência funcional.


Medida Provisória

A MP 2.200/01 assegura que as declarações constantes dos documentos em forma eletrônica, produzidos com a utilização de processo de certificação, presumem-se verdadeiros em relação aos signatários, da mesma forma que o Código Civil (artigo 10, parágrafo 1º da MP 2.200/01  e artigo 131 do Código Civil), inovando e preenchendo a lacuna legislativa existente.