Um recente levantamento do Tribunal de Contas da União (TCU) concluiu que boa parte dos órgãos públicos federais do Brasil não estão com a proteção eletrônica adequada. De acordo com informações do Portal do TCU e do site Convergência Digital, a apuração identificou falhas importantes desde o tratamento de ativos não autorizados à ausência de correção de vulnerabilidades.
"O Brasil segue nas primeiras posições dos rankings internacionais no que tange à perpetração de ataques cibernéticos, ocupou a 8° posição do mundo em número de ataques a dispositivos da internet das coisas (IOT) no perÃodo de abril a junho de 2021 e o 5° lugar em ataques de sequestro de dados em meados de 2021", destacou o TCU.
De acordo com o resultado da investigação do Tribunal, que pode ser visto no Acórdão 1768/22, "consideram-se altos os percentuais de organizações que não tratam adequadamente os ativos de hardware não autorizados, corrigindo-os ou removendo-os das suas redes, ou os softwares não autorizados detectados, desinstalando-os dos dispositivos e/ou bloqueando a sua execução. Para o TCU, tais medidas são básicas e mesmo assim a frequência desse tratamento é inferior à desejável.
Ativos corporativos de tecnologia da informação podem ser definidos como todos os componentes de TI que a organização utiliza para proteger seus ativos de qualquer tipo (softwares e hardware). "A presença de ativos não autorizados é um risco em potencial, pois invasores podem se valer da presença desse tipo de hardware/software para perpetrar ataques, ampliando-se o universo de possÃveis riscos aos quais permanece exposta a organização", alertou o ministro-relator do Tribunal de Contas da União, Vital do Rêgo.
A auditora também chamou atenção para as deficiências nos processos de gestão e de correção de vulnerabilidades. Nesse caso, a maioria (57%) das organizações ainda não estabeleceu um processo de gestão de vulnerabilidades. Tal controle é considerado crÃtico porque grande parte dos ataques vem de vulnerabilidades exploradas com sucesso.
O documento ainda ressaltou que, embora a gestão automatizada de correções de sistemas operacionais esteja sendo executada por 77,2% das organizações, o processo de gestão de resposta a incidentes de segurança é deficiente. Menos da metade (47,5%) dos entes fiscalizados mantém um processo adequado para recebimento de notificação de incidentes.
"No âmbito da administração pública, esse cenário é de extrema preocupação, conforme se observou no episódio do "apagão de dados" do Ministério da Saúde ocorrido em plena pandemia mundial da Covid-19, afetando de maneira central o monitoramento dos casos de Covid. Dada a gravidade do ocorrido e a relevância da matéria para a população, penso que o assunto merece ser avaliado com maior profundidade, acompanhado e devidamente discutido por este Tribunal", concluiu o relator.
No final do ano passado, os sites do Ministério da Saúde e do ConecteSUS ficaram fora do ar após um suposto ataque hacker. Já nas primeiras horas do dia, uma mensagem foi deixada pelo grupo invasor e dizia que "você sofreu um ransomware" e "50 TB de dados foram copiados e excluÃdos".
Olhar Digital