Um ataque cibernético ao Superior Tribunal de Justiça (STJ) revela problemas no modelo de contratação de serviços de TI, que prioriza preços baixos em detrimento da qualificação técnica, colocando a segurança digital em risco.
O Carnaval dos gestores de Segurança da Informação do Superior Tribunal de Justiça (STJ) foi interrompido por um ataque hacker realizado por um grupo que se autodenomina “Azael” (nome de origem hebraica que significa “Deus fez” ou “feito por Deus”). A extensão dos danos ainda é desconhecida, mas a página do tribunal permanece fora do ar, sendo espelhada pela Cloudflare para evitar ataques de negação de serviço (DDoS). O incidente reforça a crítica de que o modelo de contratação de TI na Administração Pública prioriza o custo em detrimento da qualidade técnica, aumentando os riscos de segurança.
Esse problema não se limita ao STJ. Outros órgãos públicos, como a Petrobras, a Caixa Econômica Federal e a BBTS Tecnologia, também seguem padrões de contratação semelhantes, o que pode gerar consequências graves no futuro.
Editais de Contratação: Preço Baixo, Qualidade Comprometida
As condições para a realização de novos editais de contratação de mão-de-obra especializada em Segurança da Informação são tão restritivas em termos de preço e salários que até mesmo empresas habituadas a participar desses processos têm evitado se candidatar. Um exemplo é o caso do STJ, que tem o Contrato n. 48/2023 com a empresa ISH Tecnologia prestes a expirar no dia 12 de março. A empresa sequer participou do pregão eletrônico 90009/2025, que oferece R$ 9,2 milhões para contratar uma equipe de nove profissionais.
O pregão, que será reaberto nesta quarta-feira de cinzas (5 de março), tem como objetivo contratar uma nova empresa para prestar serviços de operação de soluções de segurança da informação e defesa cibernética em regime de dedicação exclusiva. No entanto, especialistas alertam que o modelo de contratação adotado pelo STJ tende a repetir erros do passado, deixando o tribunal vulnerável a novos ataques.
Infraestrutura Complexa, Salários Fora da Realidade
O STJ espera que a empresa contratada gerencie uma infraestrutura robusta, incluindo mais de 4.000 estações de trabalho, 210 servidores de rede, 4.000 licenças de antivírus, 5.600 caixas de correio e uma ampla estrutura em nuvem. Os serviços descritos no edital incluem:
- Gestão de estações de trabalho e servidores Windows, com aplicação de políticas de segurança;
- Controle e melhoria do Active Directory;
- Gerenciamento dos produtos Microsoft 365 licenciados para o STJ;
- Ampliação do uso do Azure e do Intune;
- Expansão do uso do MS Defender.
No entanto, os salários propostos pelo tribunal estão aquém da realidade do mercado. Um analista sênior de Segurança da Informação, por exemplo, pode ganhar até R$ 32 mil no setor privado, mas o STJ oferece uma média de R$ 17 mil para todas as categorias. Além disso, os profissionais precisarão trabalhar em regime híbrido, o que desincentiva candidatos qualificados, já que o mercado prioriza o trabalho remoto.
Apagão de Talentos em Segurança da Informação
O Brasil enfrenta um apagão de profissionais qualificados em Segurança da Informação. Profissionais experientes, com salários na faixa de R$ 25 a 30 mil mensais e trabalhando em regime 100% remoto, dificilmente considerariam vagas com salários inferiores e regimes híbridos ou presenciais. Essa realidade torna ainda mais desafiador para órgãos públicos, como o STJ, atrair talentos capazes de lidar com ataques cibernéticos de média e alta complexidade.
No governo Lula 3, a falta de recursos para concursos públicos e a necessidade de enxugar orçamentos agravam o problema. Jovens talentos com certificações profissionais, que custam entre USD 900 e 4.000, esperam salários iniciais de R$ 12 a 17 mil, valores que o setor público não consegue oferecer.
Um Modelo que Precisar ser Revisto
O ataque ao STJ é mais um alerta sobre os riscos de um modelo de contratação que prioriza o custo em detrimento da qualidade. Enquanto órgãos públicos não ajustarem seus editais à realidade do mercado, continuarão vulneráveis a ataques cibernéticos. O caso do STJ, que já sofreu um ataque de ransomware em 2020, mostra que a falta de investimento em segurança digital pode ter consequências graves e duradouras.
—
Com informações de TecMundo
