O Tribunal de Contas da União (TCU) lançou uma cartilha na semana passada para alertar a administração pública federal sobre o risco de falhas e ataques cibernéticos nos sistemas do governo.
No documento, institulado "Cinco controles de segurança cibernética para ontem", o órgão lembra que o Brasil foi o quinto país do mundo com maior incidência de ataques de ransomware ("sequestro" de dados). Os ataques dispararam em 2020 e aumentaram 90% em 2021.
A cartilha foi elaborada com base em uma fiscalização realizada pelo TCU entre agosto de 2021 e março de 2022 em 377 organizações públicas federais. Os resultados indicaram uma situação de alto risco para a segurança cibernética do setor público federal.
A fiscalização identificou vários pontos de atenção em relação à implementação dos controles avaliados, dentre os quais se destacam:
- 55,7% das organizações não tratam adequadamente os ativos de hardware não autorizados, não os impedindo de se conectarem em suas redes; e 44,8% não tratam os softwares não autorizados, não os impedindo de serem executados em seus dispositivos;
- 56,2% não mantém um processo de avaliação e monitoramento dos ativos de hardware e software , com vistas a eliminar, mitigar ou corrigir vulnerabilidades, bem como aprimorar configurações, controles e táticas de defesa; e 46,7% não mantêm um processo de correção de vulnerabilidades atuando para detectá-las e corrigi-las antes que possam ser exploradas por atacantes;
- 57,8% não mantém um programa contínuo de treinamento em segurança com vistas a mostrar aos colaboradores os riscos e ameaças aos quais os ativos e dados da organização estão sujeitos e a como agir para evitá-los ou mitigá-los;
- 47,2% ainda não mantém informações de contato para reporte de incidentes; e 52,5% ainda não mantém um processo para recebimento de notificações de incidentes.
O TCU ainda relembrou incidentes cibernéticos ocorridos em algumas organizações públicas federais, especialmente no Ministério da Saúde, em dezembro de 2021. O ataque prejudicou serviços como a emissão do Certificado Nacional de Vacinação contra a Covid-19 e a atualização de dados sobre a pandemia.
Recomendações
Na cartilha, o Tribunal de Contas da União recomenda 5 de 18 controles relacionados à segurança cibernética criados pela Center for Internet Security (CIS). São eles:
- Controle 1 – Inventário e controle de ativos corporativos: identificar e impedir a utilização de ativos de TI não autorizados/gerenciados como vetores de ataques cibernéticos;
- Controle 2 – Inventário e controle de ativos de software: identificar e impedir a utilização de softwares não autorizados/gerenciados como vetores de ataques cibernéticos;
- Controle 7 – Gestão contínua de vulnerabilidades: evitar a exploração de vulnerabilidades conhecidas nos ativos corporativos de TI;
- Controle 14 – Conscientização sobre segurança e treinamento de competências: reduzir a possibilidade de incidentes e ataques derivados do comportamento humano – engenharia social;
- Controle 17 – Gestão de respostas a incidentes: melhorar a capacidade de identificar potenciais ameaças e ataques, evitar que se espalhem e recuperar rapidamente dados e sistemas eventualmente corrompidos.