ORCU recentemente realizou um levantamento e concluiu que boa parte dos órgãos públicos federais do Brasil não estão com a proteção eletrônica adequada. Segundo as informações do Portal do TCU e do site Convergência Digital, a apuração identificou falhas importantes, desde o tratamento de ativos não autorizados à ausência de correção.
O TCU, destacou “O Brasil segue nas primeiras posições dos rankings internacionais no que tange à perpetração de ataques cibernéticos, ocupou a 8° posição do mundo em número de ataques a dispositivos da internet das coisas (IOT) no período de abril a junho de 2021 e o 5° lugar em ataques de sequestro de dados em meados de 2021”.
Segundo o resultado da investigação do Tribunal, podemos ver no Acórdão 1768/22 , “consideram-se altos os percentuais de organizações que não tratam adequadamente os ativos de hardware não autorizados, corrigindo-os ou removendo-os das suas redes, ou os softwares não autorizados detectados, desinstalando-os dos dispositivos e/ou bloqueando a sua execução. Para o TCU, tais medidas são básicas e mesmo assim a frequência desse tratamento é inferior à desejável.”
Ativos corporativos de tecnologia da informação podem ser definidos como todos os componentes de TI que a organização utiliza para proteger seus ativos de qualquer tipo (softwares e hardware). “A presença de ativos não autorizados é um risco em potencial, pois invasores podem se valer da presença desse tipo de hardware/software para perpetrar ataques, ampliando-se o universo de possíveis riscos aos quais permanece exposta a organização”, alertou o ministro-relator do Tribunal de Contas da União, Vital do Rêgo.
A auditora chamou atenção para as deficiências nos processos de gestão e de correção de vulnerabilidades. A maioria 57% das organizações ainda não estabeleceu um processo de gestão de vulnerabilidades. Tal controle é considerado crítico porque grande parte dos ataques vem de vulnerabilidades exploradas com sucesso.
Embora a gestão automatizada de correções de sistemas operacionais esteja sendo executada por 77,2% das organizações, esse processo de gestão de resposta a incidentes de segurança é deficiente. Menos da metade 47,5% dos entes fiscalizados mantém um processo adequado para recebimento de notificação de incidentes.
Concluiu o relator “No âmbito da administração pública, esse cenário é de extrema preocupação, conforme se observou no episódio do ‘apagão de dados’ do Ministério da Saúde ocorrido em plena pandemia mundial da Covid-19, afetando de maneira central o monitoramento dos casos de Covid. Dada a gravidade do ocorrido e a relevância da matéria para a população, penso que o assunto merece ser avaliado com maior profundidade, acompanhado e devidamente discutido por este Tribunal”.
Ano passado, os sites do Ministério da Saúde e do ConecteSUS ficaram fora do ar após um suposto ataque hacker. Já nas primeiras horas do dia, uma mensagem foi deixada pelo grupo invasor e dizia que “você sofreu um ransomware” e “50 TB de dados foram copiados e excluídos”.