De acordo com a plataforma de inteligência de ameaças DarkTracer, 3 Terabytes de dados do governo brasileiro estariam sendo vendidos na Deep Web. Dados teriam sido roubados pelo Everest, um grupo de cibercriminosos russo.
Falei sobre o tema em uma entrevista para o SecurityReport.com.br, uma publicação da Conteúdo Editorial:
Órgãos públicos vítimas do cibercrime. Onde está o grande desafio? | Security Report
Nos últimos meses, o setor público vem sendo um dos principais alvos dos cibercriminosos que direcionam ataques contra Tribunais, Prefeituras e Governos estaduais, causando prejuízos e interrompendo serviços como aconteceu em 2021, envolvendo o Ministério da Saúde. Nesta semana, o Governo brasileiro…
A seguir, a entrevista completa:
1. Fábio, nos últimos meses vários órgãos do setor público sofreram ataques cibernéticos. Por que o governo vem sendo muito visado pelos cibercriminosos? Seria por conta dos dados sensíveis contidos ou pela falta de uma maior maturidade em Segurança?
Realmente o governo tem se tornado um dos principais alvos dos cibercriminosos. Acredito que os dois fatores citados são importantes para esse cenário. O Governo tem uma quantidade gigante de dados dos cidadãos, além dos dados cadastrais, informações relevantes sobre saúde, vida financeira e patrimônio, por exemplo. E esses dados são muito valorizados pois permitem uma série de crimes, como fraude, roubo de identidade e até extorsão e ameaça.
Por outro lado, a maturidade em SI no governo é, sem dúvida, inferior ao mercado privado. E isso se deve à diversos fatores e eu destaco o pouco comprometimento da alta administração com o tema e a falta de uma cultura de SI e proteção de dados.
O fator humano é frequentemente negligenciado e a cultura de SI só pode ser construída quando as pessoas entendem a importância da SI e que a segurança é um aliado e não um dificultador para que o trabalho seja feito de uma maneira adequada. É um dos princípios do Privacy by design, a funcionalidade total, privilegiando o ganha-ganha.
Isso só é possível com treinamento e orientação constante.
2. Na sua opinião, esse tipo de comunicado postado principalmente em redes sociais ajuda de alguma forma a alertar a sociedade e órgãos públicos sobre o perigo dos crimes cibernéticos ou acaba atrapalhando, criando um alarde sem que haja uma discussão mais profunda do tema?
Essa é uma pergunta complicada. Por muito tempo se fez segurança da informação pela omissão de dados. Essa, definitivamente, não é uma boa estratégia. A melhor estratégia sempre é a transparência, orientação e proteção.
Acho que o comunicado serve de alerta para os órgãos públicos, de forma que possam tomar ações para verificar se seus dados não foram alvo dessas atividades criminosas. Mas deve ser feito privilegiando a boa-fé. Não são raras as vezes em que temos notícias “requentadas”, que acabam prejudicando mais do que ajudando.
3. Você enxerga algum tipo de exposição diante desses tipos de alertas? Se sim, essa exposição prejudica as investigações do próprio órgão que recebeu uma informação de vulnerabilidade ou vazamento, por exemplo?
Como eu disse na resposta anterior, muitas vezes o “novo” vazamento é uma agregação de dados vazados antigos, e quando se divulga a lista de órgãos e entidades públicas nessa situação, a imagem do órgão acaba arranhada (novamente), de forma indevida.
Como é um assunto delicado, a divulgação deve ser feita, privilegiando a transparência, mas com todas as informações verificadas, para não ser uma ação leviana.
4. Diante de um cenário de crise no setor governamental. Quais são os principais elementos que você destacaria e que precisam ser trabalhados para reverter isso?
É importante ter um plano de resposta à incidentes, um plano de recuperação de desastre, uma política institucionalizada para tratar de pedidos de resgate de ransoware e até um gabinete de crise para tratar do incidente. E com a LGPD, além do relatório de impacto à proteção de dados, é importante identificar se houve incidente com dado pessoal e, nesse caso, verificar a necessidade de comunicar à ANPD e aos titulares, além de tomar as medidas técnicas possíveis para conter ou mitigar os danos. E, como o grau de maturidade em SI no setor público ainda não é adequado, muitas instituições acabam perdidas pela falta dessas boas práticas. E isso só piora o cenário. Então, o caminho é trabalhar na implantação dessas boas práticas, sempre em três vertentes: tecnologia, processos/procedimento e pessoas.
5. Atualmente, o ataque do tipo ransomware é um dos principais desafio para gerenciar?
Sem dúvida. O ransomware tem crescido cada vez mais e todos os setores têm sido vítimas desse tipo de ataque. Por mais que a tecnologia e a SI trabalhem, o principal vetor desse tipo de ataque acaba sendo o e-mail phishing, explorando o fator humano. Então, além das medidas tecnológicas (como backup atualizado, microssegmentação, zero trust), é importante capacitar as pessoas para identificarem a autenticidade de um e-mail e evitar abrir uma porta de entrada para o ransomware. Esse é o principal desafio.
6. Como você enxerga esse setor para os próximos anos? Podemos esperar cada vez mais uma elevação no nível de maturidade?
Com certeza a maturidade de SI no setor público tem crescido e é essa a tendência. Já há iniciativas muito interessantes em diversos órgãos, há intercâmbio de boas práticas e a profissionalização da área de SI nos órgãos públicos. Com a LGPD, o nível de maturidade deve aumentar ainda mais, em uma velocidade maior. E isso é uma ótima notícia para todos!