CGU aponta fragilidade de segurança em base do INSS com bilhões de dados

CNIS contém 35 bilhões de informações cadastrais e de trabalho dos brasileiros, incluindo vínculos empregatícios e remunerações

A Controladoria-Geral da União (CGU) identificou fragilidades na segurança da lista de acessos ao Cadastro Nacional de Informações Sociais, o CNIS, mantido pelo INSS.

Segundo relatório de auditoria, há perfis de estagiários menores de idade, aposentados, pessoas mortas e ex-funcionários terceirizados que ainda têm acesso válido à plataforma. A existência desses cadastros ativos, diz a CGU, “representa riscos no acesso aos dados deste sistema”.

O CNIS é uma das principais bases de dados do governo federal e contém 35 bilhões de informações cadastrais e de trabalho dos brasileiros, incluindo vínculos empregatícios e remunerações.

O cadastro facilita a verificação de direitos a benefícios como aposentadorias e pensões. Segundo um decreto publicado em 2019, são replicados no cadastro até dados sobre veículos e carteiras de motorista ou financiamentos estudantis.

“A gestão dos controles de acesso ao Portal CNIS não se mostra adequada para assegurar que os perfis de acesso ao sistema sejam concedidos e mantidos mediante o atendimento dos critérios definidos normativamente e em nível e período de vigência necessários às atividades dos usuários”, diz o documento publicado essa semana.

Os auditores da CGU pediram documentos e informações ao próprio INSS, além de verificar o funcionamento dos perfis de acesso à base de dados entre o fim de 2019 e o começo de 2020.

“Os testes substantivos aplicados sobre as listagens de perfis de acesso (…) demonstraram a efetiva ocorrência de concessões e de manutenções de perfis de acesso indevidos, o que comprova a fragilidade dos controles existentes e sinaliza a urgência da melhoria desses controles internos”, concluíram.

Em nota, o INSS afirmou que o relatório indica “a possibilidade de melhora, o que é um processo evolutivo normal de qualquer sistema e base de dados.”

Ainda segundo o órgão, até 2019 o CNIS era mantido por um consórcio de órgãos do governo. Hoje, o INSS diz que “vem implantando uma rotina de mudanças nos processos de seleção do acesso, com evolução do sistema, sem tornar inviável o acesso de consulta aos antigos representantes do consórcio, o que inviabilizaria a implementação de suas políticas públicas.”

O INSS afirma ter estabelecido uma força-tarefa com especialistas em tecnologia da informação, neste mês, para “melhorar a estabilidade dos sistemas informatizados e otimizar a segurança das informações de toda a autarquia.”

Menores, aposentados e falecidos

Um dos exemplos apontados no documento é a concessão de perfis de acesso a estagiários menores de idade. No período da auditoria, dos pouco mais de 100 mil perfis com acesso aos dados, 913 usuários se encaixavam nesse perfil. Em alguns casos, os adolescentes receberam acesso antes mesmo de formalizar o vínculo com o INSS.

Segundo os auditores, esses cadastros representam “riscos no acesso aos dados deste sistema. A possibilidade de concessão de acesso a menores carece da edição de norma que observe as responsabilidades civil e penal que poderão ser assumidas por estes usuários.”

Outros problemas identificados pela CGU envolveram a concessão de acessos a pessoas com CPFs inválidos – em alguns casos, por motivo de óbito. Os cadastros, nas palavras dos auditores, também representam uma “situação que fragiliza a segurança da informação”.

Foram encontrados ainda perfis com permissão de acesso para pelo menos 601 servidores já aposentados. Nos acessos concedidos a funcionários terceirizados de empresas prestadoras de serviço, havia 705 contas de trabalhadores que já tinham sido desligados das firmas, mas seguiam com perfil no sistema.

Sobre o tema, o INSS afirmou que “o CNIS é um portal com diversos níveis de acessos e a maioria deles são apenas perfis de consultas cadastrais pontuais, muitas delas, informações públicas. Os perfis de acesso criados pelo INSS visam exatamente fazer essa distinção entre consulta e alteração.”

Rastreabilidade

Outra fragilidade identificada pela CGU, no entanto, envolveu justamente esta rastreabilidade do que é feito por quem acessa o portal.

Segundo os auditores, os dados de registros apresentados pelo INSS “evidenciam que é possível rastrear o usuário que acessou determinada funcionalidade do Portal CNIS, mas sem identificar que dados foram inseridos ou alterados, tampouco a hora local de realização do acesso”.

Desta maneira, conclui o relatório, “não é possível vincular uma alteração de dados a um usuário, para fins de responsabilização” e “as ações que envolvem consulta, inserção ou alteração de informações no Portal CNIS não são rastreáveis, considerando que os dados apresentados pelo INSS não contêm todas as informações necessárias para a vinculação de uma transação ao usuário que a tenha realizado”.

O INSS reconheceu o problema e disse que já vem atuando no caso.

“O portal CNIS recebe informações de diversas bases de dados, e essas informações, advém de vários órgãos, por isso a citada dificuldade de rastreabilidade da informação alterada em alguma localidade fora do INSS. Essa questão já foi apontada em Ação Civil Pública e está sendo acompanhada pela justiça há alguns anos”, disse o órgão em nota.

Do G1.