Fiscalização realizada pelo tribunal identificou falhas e vulnerabilidades devido à ausência de mecanismos de controle na maioria das repartições. Cartilha com recomendações foi publicada. O Tribunal de Contas da União (TCU) publicou na semana passada uma cartilha alertando os gestores públicos sobre a situação de alto risco na segurança cibernética dos órgãos públicos federais.
Uma fiscalização realizada pelo tribunal em 377 organizações públicas federais constatou que a maioria das repartições está em um nível ainda inicial de maturidade quanto a controles de segurança da informação e de segurança cibernética, o que aumenta os riscos de ameaças e ataques cibernéticos.
No documento, o TCU relembra incidentes cibernéticos ocorridos em algumas organizações federais, como no Ministério da Saúde, em dezembro de 2021. O ataque hacker prejudicou serviços como emissão do Certificado Nacional de Vacinação contra a Covid e a atualização dos dados sobre a pandemia.
"As respostas fornecidas pelos gestores ao questionário de autoavaliação indicam uma situação de alto risco para a segurança cibernética do setor público federal. A fiscalização identificou vários pontos de atenção em relação à implementação dos controles avaliados", diz o tribunal na cartilha.
A auditoria foi feita entre agosto de 2021 e março de 2022, e é apenas a primeira de sete ciclos previstos para o acompanhamento de controles críticos de segurança cibernética das organizações públicas federais.
Entre as principais vulnerabilidades e falhas encontradas nesta primeira fase, estão:
55,7% não tratam adequadamente hardwares (equipamentos, como computadores, celulares, etc.) não autorizados pela administração do órgão, não os impedindo de se conectarem em suas redes;
44,8% não tratam os softwares (programas e aplicativos) não autorizados, não os impedindo de serem executados em seus dispositivos;
56,2% não mantêm um processo de avaliação e monitoramento dos hardwares e softwares, com vistas a eliminar, mitigar e/ou corrigir vulnerabilidades;
46,7% não mantêm um processo de correção de vulnerabilidades;
57,8% não mantêm um programa contínuo de treinamento em segurança aos funcionários;
47,2% não mantêm informações de contato para reporte de incidentes;
52,5% não mantêm um processo para recebimento de notificações de incidentes.
Recomendações urgentes
As falhas e irregularidades identificadas resultaram numa cartilha com cinco ações de segurança cibernética que precisam ser implementadas com urgência pelos órgãos federais que ainda não possuem.
Inventário e controle de equipamentos corporativos de TI: registrar, acompanhar e corrigir todos os equipamentos corporativos de tecnologia da informação, como computadores, notebooks, dispositivos móveis e dispositivos de rede, conectados fisicamente, virtualmente ou remotamente à infraestrutura de TI do órgão, incluindo aqueles em ambientes de nuvem, com o objetivo de conhecer com precisão todos os ativos de hardware da organização que precisam ser monitorados e protegidos;
Inventário e controle de softwares: registrar, acompanhar e corrigir todo software (sistemas operacionais e aplicativos) utilizado, de modo que softwares autorizados possam ser instalados e executados e softwares não autorizados possam ser detectados e tenham a instalação/execução impedida;
Gestão contínua de vulnerabilidades: desenvolver plano para avaliar, acompanhar e corrigir continuamente vulnerabilidades em todos os ativos na infraestrutura de TI da organização;
Conscientização sobre segurança e treinamento: estabelecer e manter programa contínuo e permanente de conscientização e treinamento, para que os colaboradores tenham conhecimentos adequados em segurança da informação e cibernética; e
Gestão de respostas a incidentes: estabelecer programa contínuo e permanente para melhorar a capacidade de identificar potenciais ameaças e ataques, evitar que se espalhem e recuperar rapidamente dados e sistemas eventualmente corrompidos.
Segundo o TCU, o objetivo da cartilha é conscientizar os gestores públicos e induzir a implementação das ações necessárias para mitigar os riscos de ataques e incidentes cibernéticos, que "podem prejudicar significativamente o governo e os cidadãos e impactar negativamente no processo de transformação digital do país".
