Auditoria identificou que estagiários menores de idade, aposentados e perfis com Fs de falecidos têm o aos dados. INSS cita 'oportunidade de melhora' e diz que vem adotando mudanças. A Controladoria-Geral da União (CGU) identificou fragilidades na segurança da lista de os ao Cadastro Nacional de Informações Sociais, o CNIS, mantido pelo INSS.
Segundo relatório de auditoria, há perfis de estagiários menores de idade, aposentados, pessoas mortas e ex-funcionários terceirizados que ainda têm o válido à plataforma. A existência desses cadastros ativos, diz a CGU, "representa riscos no o aos dados deste sistema".
O CNIS é uma das principais bases de dados do governo federal e contém 35 bilhões de informações cadastrais e de trabalho dos brasileiros, incluindo vínculos empregatícios e remunerações.
O cadastro facilita a verificação de direitos a benefícios como aposentadorias e pensões. Segundo um decreto publicado em 2019, são replicados no cadastro até dados sobre veículos e carteiras de motorista ou financiamentos estudantis.
"A gestão dos controles de o ao Portal CNIS não se mostra adequada para assegurar que os perfis de o ao sistema sejam concedidos e mantidos mediante o atendimento dos critérios definidos normativamente e em nível e período de vigência necessários às atividades dos usuários", diz o documento publicado essa semana.
Em dezembro, falha do Ministério da Saúde expõs dados de 243 milhões de brasileiros
Lei de proteção de dados pessoais foi sancionada em 2020; veja o que ela diz
Os auditores da CGU pediram documentos e informações ao próprio INSS, além de verificar o funcionamento dos perfis de o à base de dados entre o fim de 2019 e o começo de 2020.
"Os testes substantivos aplicados sobre as listagens de perfis de o (...) demonstraram a efetiva ocorrência de concessões e de manutenções de perfis de o indevidos, o que comprova a fragilidade dos controles existentes e sinaliza a urgência da melhoria desses controles internos", concluíram.
Em nota, o INSS afirmou que o relatório indica "a possibilidade de melhora, o que é um processo evolutivo normal de qualquer sistema e base de dados."
Ainda segundo o órgão, até 2019 o CNIS era mantido por um consórcio de órgãos do governo. Hoje, o INSS diz que "vem implantando uma rotina de mudanças nos processos de seleção do o, com evolução do sistema, sem tornar inviável o o de consulta aos antigos representantes do consórcio, o que inviabilizaria a implementação de suas políticas públicas."
O INSS afirma ter estabelecido uma força-tarefa com especialistas em tecnologia da informação, neste mês, para "melhorar a estabilidade dos sistemas informatizados e otimizar a segurança das informações de toda a autarquia."
Menores, aposentados e falecidos
Um dos exemplos apontados no documento é a concessão de perfis de o a estagiários menores de idade. No período da auditoria, dos pouco mais de 100 mil perfis com o aos dados, 913 usuários se encaixavam nesse perfil. Em alguns casos, os adolescentes receberam o antes mesmo de formalizar o vínculo com o INSS.
Segundo os auditores, esses cadastros representam "riscos no o aos dados deste sistema. A possibilidade de concessão de o a menores carece da edição de norma que observe as responsabilidades civil e penal que poderão ser assumidas por estes usuários."
Outros problemas identificados pela CGU envolveram a concessão de os a pessoas com Fs inválidos – em alguns casos, por motivo de óbito. Os cadastros, nas palavras dos auditores, também representam uma "situação que fragiliza a segurança da informação".
Foram encontrados ainda perfis com permissão de o para pelo menos 601 servidores já aposentados. Nos os concedidos a funcionários terceirizados de empresas prestadoras de serviço, havia 705 contas de trabalhadores que já tinham sido desligados das firmas, mas seguiam com perfil no sistema.
Sobre o tema, o INSS afirmou que "o CNIS é um portal com diversos níveis de os e a maioria deles são apenas perfis de consultas cadastrais pontuais, muitas delas, informações públicas. Os perfis de o criados pelo INSS visam exatamente fazer essa distinção entre consulta e alteração."
Rastreabilidade
Outra fragilidade identificada pela CGU, no entanto, envolveu justamente esta rastreabilidade do que é feito por quem a o portal.
Segundo os auditores, os dados de registros apresentados pelo INSS "evidenciam que é possível rastrear o usuário que ou determinada funcionalidade do Portal CNIS, mas sem identificar que dados foram inseridos ou alterados, tampouco a hora local de realização do o".
Desta maneira, conclui o relatório, "não é possível vincular uma alteração de dados a um usuário, para fins de responsabilização" e "as ações que envolvem consulta, inserção ou alteração de informações no Portal CNIS não são rastreáveis, considerando que os dados apresentados pelo INSS não contêm todas as informações necessárias para a vinculação de uma transação ao usuário que a tenha realizado".
O INSS reconheceu o problema e disse que já vem atuando no caso.
"O portal CNIS recebe informações de diversas bases de dados, e essas informações, advém de vários órgãos, por isso a citada dificuldade de rastreabilidade da informação alterada em alguma localidade fora do INSS. Essa questão já foi apontada em Ação Civil Pública e está sendo acompanhada pela justiça há alguns anos", disse o órgão em nota.
