Semana passada, recebi uma ligação às 3 da manhã. Uma prefeitura que atendemos sofreu um ataque ransomware. Todos os sistemas travados, dados de cidadãos criptografados, pedido de resgate de 50 bitcoins.

A boa notícia? Eles tinham seguido nossas recomendações de segurança. Restauramos tudo em 6 horas, zero dado perdido, zero resgate pago. A má notícia? Isso está acontecendo com uma frequência assustadora.

Por que atacar órgãos públicos?

Você pode pensar: "mas por que hackers iriam atacar uma prefeitura ou secretaria?"

Três motivos principais:

**1. Dados valiosos**: CPF, RG, endereços, declarações financeiras. Tudo ouro no mercado negro.

**2. Pouco investimento em segurança**: Muitos órgãos públicos têm orçamento apertado e tecnologia legada. Alvos fáceis.

**3. Pressão para pagar**: Quando serviços essenciais param (emissão de certidões, atendimento à população), a pressão política para "resolver rápido" é enorme. Hackers sabem disso.

O caso que me marcou

Tribunal de uma capital brasileira (não vou dizer qual): ransomware criptografou processos judiciais. Anos de trabalho, provas digitais, tudo inacessível.

Eles não tinham backup adequado. Tentaram recuperar, não conseguiram. No fim, pagaram o resgate (off the record, claro). R$ 1,2 milhão em bitcoin. E mesmo assim perderam dados porque os criminosos não entregaram todas as chaves.

Poderia ter sido evitado com investimento de R$ 200 mil em infraestrutura básica de segurança.

Segurança não é sobre tecnologia, é sobre pessoas

O firewall mais caro do mundo não আওয়ামী se um servidor público cai em phishing.

Vi isso acontecer: email falso dizendo que o holerite estava disponível. O cara clicou, colocou senha do sistema, pronto - invasor dentro da rede. A partir daí foi um massacre.

**Treinamento é investimento, não custo.** Campanhas trimestrais de conscientização, phishing simulado, cultura de "quando na dúvida, pergunta". Isso salva instituições.

O mínimo que toda instituição pública precisa

Não vou te encher de siglas e tecnologias. Vou ser direto:

1. Firewall que realmente protege

Aquele firewall de 2010 não corta mais. Os ataques evoluíram. Você precisa de um Next-Generation Firewall (NGFW) que:

- Identifica aplicações (não só portas)

- Bloqueia malware em tempo real

- Tem inteligência contra ameaças atualizada

- Inspeciona tráfego criptografado

Marcas que recomendamos: Fortinet, Palo Alto, Check Point. Investimento: R$ 50-200 mil dependendo do porte.

2. Backup que funciona (de verdade)

História real: órgão federal tinha backup há 5 anos. Quando precisaram, descobriram que estava corrompido e ninguém testava.

**Regra simples**: 3 cópias, 2 mídias diferentes, 1 fora do local, testado mensalmente.

E por favor, uma cópia completamente offline (não conectada na rede). Ransomware moderno procura backups na rede e criptografa eles também.

3. Autenticação de dois fatores para tudo

Senha não protege mais nada. Senão você usar autenticação de dois fatores (MFA), considere suas contas vulneráveis.

Implementar MFA custa pouco (às vezes até gratuito com Google Authenticator) e bloqueia 99% dos ataques de senha.

4. Monitoramento 24/7

Ataques acontecem de madrugada, fim de semana, feriado. Quando ninguém está olhando.

Você precisa de um SOC (Security Operations Center) - pode ser terceirizado. Alguém vendo logs, alertas anormais, tentativas de invasão.

Já pegamos ataques em andamento às 4h da manhã porque o SOC identificou comportamento estranho e bloqueou na hora.

LGPD não é papo, é lei com multa pesada

Muita gente ainda acha que LGPD "não pega". Pega sim.

Vazou dados de cidadãos? Multa até R$ 50 milhões. E não é só dinheiro - tem o desgaste político, a exposição na mídia, processos individuais.

O básico da LGPD:

- Mapeie onde estão os dados pessoais

- Proteja com criptografia

- Limite quem acessa (least privilege)

- Tenha processo para quando alguém pedir exclusão de dados

- Documente tudo

Parece burocrático? É. Mas é obrigatório. E auditores estão ficando mais rigorosos.

Compliance não é opcional

Instrução Normativa GSI/PR nº 01/2008 exige várias medidas de segurança para órgãos federais. Estados e municípios têm suas próprias normativas.

Ignorar não é opção. Em licitações, conformidade virou requisito. Sem ISO 27001 ou similar, você nem concorre em muitas concorrências.

Quanto custa proteger adequadamente?

Vou ser transparente com números reais para um órgão médio (200-500 usuários):

**Investimento inicial**: R$ 300-600 mil

- Firewall NGFW: R$ 150 mil

- Sistema de backup: R$ 100 mil

- SIEM/SOC: R$ 80 mil

- Consultoria e implementação: R$ 70 mil

**Custo recorrente anual**: R$ 120-200 mil

- Licenças e atualizações: R$ 60 mil

- SOC gerenciado: R$ 40 mil

- Treinamentos: R$ 20 mil

Parece muito? Compare com o custo de um incidente: R$ 1-5 milhões (multas + danos + recuperação).

Por onde começar

Se você está lendo isso e pensando "precisamos melhorar urgente", aqui vai o caminho:

**1. Assessment de segurança** (2-4 semanas)

Entender o estado atual, gaps críticos, prioridades

**2. Quick wins** (1-2 meses)

MFA, backup testado, política de senhas, treinamento básico

**3. Infraestrutura core** (3-6 meses)

Firewall, segmentação de rede, SIEM, SOC

**4. Maturidade contínua** (ongoing)

Auditorias, melhorias, testes de penetração, compliance

Não precisa fazer tudo de uma vez. Comece pelo crítico, evolua gradualmente.

A Telequip já protegeu mais de 200 órgãos públicos

Tribunais, prefeituras, autarquias, secretarias estaduais. Cada um com sua complexidade específica.

Entendemos as restrições orçamentárias, os processos licitatórios, a burocracia. Não vendemos solução genérica - adaptamos para o seu contexto.

E olha, já vimos de tudo: dos mais maduros em segurança aos que ainda usam Windows Server 2008 sem patch. Sem julgamento. Vamos do ponto onde você está e construímos o caminho.

**[Quer um assessment gratuito da sua situação atual?](#contato)** Confidencial, sem compromisso. Só queremos que menos instituições passem pelo pesadelo de um ataque bem-sucedido.