Lista de Alto Risco da administração pública Federal – 2022.

Dica do Prof. Marlon Borba

O Tribunal de Contas da União (TCU) constatou, em 2020, que a macroestrutura nacional responsável pela governança e gestão de Segurança da Informação e de Segurança Cibernética, apesar de atuante, não é adequada. O principal órgão responsável pela estrutura – o Gabinete de Segurança Institucional da Presidência da República (GSI/PR) – e arcabouço normativo vigente, em especial os decretos que orientam a atuação, não alcançam a Administração Pública como um todo, limitando-se, apenas, ao Poder Executivo federal.

Existe, portanto, carência de estrutura (órgão ou entidade) com autoridade ampla; atos normativos que regulem os temas em todo o território nacional, incluindo os setores público e privado; investimentos em segurança da informação e segurança cibernética, áreas de importância estratégica para o país.

Relativamente aos riscos e às vulnerabilidades em segurança da informação e segurança cibernética, o cenário atual merece atenção, especialmente quanto à real capacidade da Administração Pública federal de responder e tratar incidentes de segurança, tanto por parte de cada organização, individualmente, quanto por parte da rede formada pelas equipes de tratamento de incidentes e resposta a eles em redes computacionais – Equipes de Tratamento de Incidentes de Redes (ETIRs).

Em relação à defesa cibernética, o Comando de Defesa Cibernética (ComDCiber) do Exército Brasileiro, órgão central do Sistema Militar de Defesa Cibernética, tem sido bastante atuante, mas o investimento na área está aquém da sua importância estratégica para o país.

Em fiscalização iniciada em 2020, que avalia a suficiência e adequabilidade dos procedimentos de backup e restore de bases de dados e sistemas críticos de organizações da Administração Pública federal, o TCU constatou que:

74,6% das organizações (306 de 410) não possuem política de backup aprovada formalmente – documento básico, negociado entre as áreas de negócio (“donas” dos dados/sistemas) e a TI da organização, com vistas a disciplinar questões e procedimentos relacionados à execução das cópias de segurança (backups);
71,2% das organizações que hospedam seus sistemas em servidores/máquinas próprios (265 de 372) não possuem plano de backup específico para seu principal sistema;
66% das organizações que afirmam realizar backups (254 de 385), apesar de implementarem mecanismos de controle de acesso físico ao local de armazenamento desses arquivos, não os armazenam criptografados, o que acarreta risco de vazamento de dados da organização, podendo causar enormes prejuízos, sobretudo se envolver informações sensíveis e/ou sigilosas; e
60,2% das organizações (247 de 410) não mantêm suas cópias em, ao menos, um destino não acessível remotamente, o que acarreta risco de que, em ataque cibernético, os próprios arquivos dos backups acabem sendo corrompidos, excluídos e/ou criptografados pelo atacante ou malware, tornando igualmente sem efeito o processo de backup/restore da organização.
Em 2021, ao avaliar as práticas de segurança da informação no âmbito do perfil de governança e gestão de TI, o TCU também verificou que mais de 80% das organizações estão nos estágios iniciais de capacidade em gestão de continuidade institucional e de continuidade de serviços de TI. E, pior, a gestão de continuidade institucional está no estágio de capacidade inexpressivo em 62% das organizações e a de continuidade de serviços de TI é inexpressiva em 46% das organizações avaliadas.

[ Leia mais no site original ]

Forerunner of the Internet: Early RAND Work in Distributed Networks and Packet Switching (1960-1965).

Video: Paul Baran- Rand Corporation (idioma: inglês)

Sim, a internet surgiu de um projeto de guerra, inspirado no funcionamento do cérebro. Paul Baran é um dos pioneiros da internet e conta essa história no think tank RAND Corporation.

Em um evento da RAND Alumni Association, o eterno aluno da RAND, Paul Baran, discutiu seu trabalho em redes distribuídas e comutação de pacotes. No início da década de 1960, a RAND tomou emprestadas ideias sobre reencaminhamento e redundância que haviam sido desenvolvidas em neurobiologia e as aplicou para fortalecer a capacidade das comunicações da Força Aérea de sobreviver a um ataque nuclear. O conceito resultante de “comunicações distribuídas” funcionou dividindo as mensagens em unidades menores de informação que foram enviadas independentemente através do sistema de comunicação, cada uma no caminho mais rápido disponível, e remontadas no final na mensagem original. Quando a Agência de Projetos de Pesquisa Avançada, uma agência do Departamento de Defesa dos EUA, começou a procurar um sistema de compartilhamento de informações, chegou ao mesmo conceito de “comutação de pacotes” para o que mais tarde se tornou a Internet.

[ Veja no Site ]

Presidência da República – Gabinete de Segurança Institucional – GSI

O Departamento de Segurança da Informação – DSI/GSI publica um boletim informativo mensal, além de apresentar o Plano de Gestão de Incidentes Cibernéticos para a Administração Pública Federal (PlanGIC) e a Cartilha de Gestão de Segurança da Informação.

O site contém outras informações essenciais para os interessados em cyber-segurança.

[ Veja o site ]

Alexandre de Moraes determina a própria prisão em invasão ao sistema do CNJ.

Paulo Cappelli
04/01/2023 21:47, atualizado 05/01/2023 2:34

No sistema oficial do Conselho Nacional de Justiça, consta que Alexandre de Moraes determinou a própria prisão em provável ataque hacker.

No sistema oficial do Conselho Nacional de Justiça (CNJ), consta que Alexandre de Moraes determinou a prisão de si mesmo. O documento foi inserido nos registros de mandados de prisão, na noite desta quarta-feira (4/1). A “síntese da decisão” é repleta de ironias à atuação do ministro do STF, evidenciando uma provável invasão ao site.

[ Leia mais ]

Gabinete do ódio busca comprar nova ferramenta espiã intitulada DarkMatter.

Jamil Chade e Lucas Valença
Do UOL, em Genebra e em Brasília
17/01/2022 04h00

As maiores empresas da aviação mundial estavam reunidas na feira aeroespacial conhecida como Dubai AirShow quando, no dia 14 de novembro, um domingo, um integrante do chamado “gabinete do ódio” entrou no stand de Israel, que funcionou pelo primeiro ano no local, com o interesse de municiar o grupo paralelo com uma poderosa ferramenta espiã, para ser usada, em especial, neste ano eleitoral.

[ Leia mais ]

[ Leia também ]

Após ‘spam telefônico’, Justiça condena INSS por vazar dados a bancos.

Abinoan Santiago
Colaboração para Tilt, em Florianópolis
22/06/2022 16h15 Atualizada em 23/06/2022 18h16

O INSS (Instituto Nacional do Seguro Social) foi condenado pela Justiça a pagar uma indenização de R$ 2,5 mil em danos morais a uma moradora de Marília, em São Paulo, pelo repasse indevido de seus dados a bancos. Suas informações, segundo consta no processo, foram usadas por instituições financeiras para a oferta de serviços e empréstimos por meio de várias ligações de telemarketing. De acordo com a decisão do TRF-3 (Tribunal Regional Federal da 3ª Região), determinada no último dia 15, o INSS e a Dataprev (Empresa de Tecnologia e Informações da Previdência) vazaram dados da segurada sem o devido consentimento e descumpriram as regras da LGPD (Lei Geral de Proteção de Dados).

[Leia mais]

MPF pede investigação sobre ‘apagão’ nos computadores da Presidência

Estadão Conteúdo
12 de novembro de 2022 12:30

Queima de arquivo ou ataque hacker? MPF pede investigação sobre ‘apagão’ nos computadores da Presidência.

Formatação dos computadores da Presidência teria ocorrido cinco dias depois da confirmação da derrota de Bolsonaro para Lula.

O Ministério Público Federal no Distrito Federal (MPF-DF) pediu na sexta-feira a abertura de uma investigação sobre um “apagão” de documentos nos computadores do Palácio do Planalto.

A suposta formatação dos computadores da Presidência da República teria ocorrido em 4 de novembro, cinco dias depois da confirmação da derrota do presidente Jair Bolsonaro (PL) no segundo turno das eleições.

A notícia foi publicada em primeira mão pelo portal Metrópoles.

O que o MPF quer saber


O órgão pediu que a Secretaria-Geral da Presidência explique de quem partiu a ordem de formatação dos HDs e se algum procedimento administrativo foi aberto para investigar as causas e os responsáveis.

O MPF disse que os “fatos são graves e suficientes para instaurar uma investigação”. Também afirmou que a Presidência da República não esclareceu se computadores foram formatados, se arquivos foram danificados ou apagados, se dados sensíveis foram vazados, se dados públicos foram perdidos ou se houve alguma apuração interna sobre a origem do ataque.

[Leia no original]

MPF investiga se Ministério da Economia liberou acesso a dados biométricos e biográficos de brasileiros para bancos

Acordos de cooperação autorizam compartilhamento de informações do banco de dados da Identidade Civil Nacional e da plataforma gov.br, a título de ‘degustação experimental’. Pasta diz que sistema não está sendo usado na prática.

Por Pedro Alves Neto, g1, DF
06/09/2022 11h44

O Ministério Público Federal (MPF) abriu um inquérito civil para investigar possíveis irregularidades em dois acordos de cooperação fechados entre o Ministério da Economia, a Federação Brasileira de Bancos (Febraban) e a Associação Brasileira de Bancos (ABBC).
Os termos permitem que os bancos, por meio das entidades, tenham acesso temporário a dados biográficos e biométricos de cidadãos, cadastrados na base de dados da Identidade Civil Nacional e na plataforma “gov.br”, a título de “degustação experimental”. A investigação foi revelada pelo jornal “O Globo” e confirmada pelo g1.

A assessoria da pasta também afirmou que, na prática, o sistema não está sendo utilizado, e que precisaria de consentimento dos usuários.

Acordos e inquérito


Os acordos de cooperação foram publicados em janeiro deste ano, e foram coordenados pela Secretaria de Governo Digital da pasta.

Os documentos preveem “validação biométrica e biográfica do cidadão na base de dados da identificação civil nacional, de acordo com a Lei nº 13.444, de 11 de março de 2017, bem como a conexão da plataforma de autenticação gov.br e os bancos, permitindo assim a autenticação de cidadãos cadastrados nos bancos, para os fins que especifica”.

Os dados biográficos e biométricos são data de nascimento, nome da mãe, impressão digital, foto de rosto, entre outros. Os termos afirmam ainda que a medida vale por um ano, a partir da publicação, podendo ser prorrogada por até cinco anos.

Já o inquérito do MPF foi aberto em fevereiro de 2022. Segundo o órgão, a investigação “segue em andamento e em fase de apuração”.

“No momento, o MPF aguarda resposta de ofício enviado à Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia para que esclareça se os acordos de cooperação 16 e 27/2021 foram rescindidos e, em positivo, quais seriam os motivos”, afirmou, em nota.

Questionamento anterior

Em fevereiro deste ano, a Associação dos Advogados de São Paulo (AASP) já tinha questionado a medida junto ao Tribunal de Contas da União (TCU). A entidade afirmou, em representação, que havia “sério risco de informações sensíveis serem utilizadas de forma indevida, sem o consentimento e sem nenhum controle”.

O tribunal, no entanto, negou medida cautelar para suspender os acordos, por entender que “não há evidências de compartilhamento ilegal de dados pessoais detidos pela União com o setor privado em face dos acordos de cooperação denunciados”.
Segundo acórdão da Corte, “a denúncia poderá ser apurada para fins de comprovar a sua procedência, em caráter sigiloso”, mas “não se constatam evidências de ilegalidade ou de inexistência de interesse público ou de arbitrariedade na prestação do serviço objeto dos acordos de cooperação firmados entre a SGD/ME e as instituições bancárias”.

[ Leia o texto original ]