Segurança cibernética

O que o TCU encontrou?

O TCU realizou, entre 3/8/2021 e 9/3/2022, o primeiro de sete ciclos previstos para o acompanhamento de controles críticos de segurança cibernética das organizações públicas federais.

Este ciclo, que contemplou 377 organizações, avaliou a implementação de vinte medidas de segurança básicas relacionadas a cinco dos dezoito controles críticos de segurança cibernética estabelecidos no framework do Center for Internet Security (CIS): inventário e controle de ativos de hardware corporativos; inventário e controle de ativos de software; gestão contínua de vulnerabilidades; conscientização sobre segurança e treinamento de competências; gestão de respostas a incidentes.

As respostas fornecidas pelos gestores ao questionário de autoavaliação indicam uma situação de alto risco para a segurança cibernética do setor público federal. A fiscalização identificou vários pontos de atenção em relação à implementação dos controles avaliados, entre os quais se destacam:

• Quanto aos inventários de ativos de hardware e de ativos de software, considerados os controles básicos, a maioria das organizações (55,7%) não trata, adequadamente, dos ativos de hardware não autorizados e não os impedem de se conectarem em suas redes; muitas organizações (44,8%) não tratam os softwares não autorizados e não os impedem de serem executados em seus dispositivos.
• No que tange à gestão contínua de vulnerabilidades, a maioria das organizações (56,2%) não mantém um processo de avaliação e monitoramento dos ativos de hardware e software, com vistas a eliminar, mitigar ou corrigir vulnerabilidades, bem como aprimorar configurações, controles e táticas de defesa; muitas organizações (46,7%) não mantêm processo de correção de vulnerabilidades, para detectá-las e corrigi-las, antes que possam ser exploradas por atacantes.
• Em relação à conscientização e à capacitação dos colaboradores em questões e competências referentes à segurança da informação e à segurança cibernética, a maioria das organizações (57,8%) não mantém um programa contínuo de treinamento em segurança, com vistas a mostrar aos colaboradores os riscos e as ameaças aos quais os ativos e os dados da organização estão sujeitos e a como agir para evitá-los ou mitigá-los.
• No que concerne à gestão de incidentes de segurança da informação, apesar de a maior parte das organizações (65,8%) ter designado pessoal responsável por gerenciar um processo de tratamento de incidentes, quase metade (47,2%) ainda não mantém informações de contato para reporte de incidentes, e pouco mais da metade delas (52,5%) ainda não mantém um processo para recebimento de notificações de incidentes.

Por que esses achados são relevantes?

O processo de transformação digital do governo, ao mesmo tempo em que disponibiliza, progressivamente, aos cidadãos informações e serviços digitalizados, acessíveis por meio de aplicativos e sítios na internet, torna as organizações públicas mais dependentes de soluções de tecnologia da informação (TI) – softwares, bases de dados e sistemas informatizados –, providas por sistemas relevantes e críticos, essenciais para o funcionamento do governo. Nesse contexto, vulnerabilidades e falhas de segurança da informação e segurança cibernética aumentam muito os riscos de ameaças e ataques cibernéticos, o que afeta, significativamente, o governo e os cidadãos.

Além disso, a pandemia de covid-19 forçou as organizações a expandir, rapidamente, o regime de trabalho remoto, o que aumentou a quantidade de acessos externos às redes de computadores e o número de incidentes relacionados a ataques cibernéticos, em especial, por meio de códigos maliciosos (malware).

Com o mapeamento da maturidade das organizações públicas federais quanto à implementação de controles críticos de segurança cibernética, o TCU pode atuar proativamente, no sentido de induzir o aumento da resiliência da Administração Pública Federal (APF) diante de incidentes e ataques cibernéticos. Essa medida contribui diretamente para o sucesso do processo de transformação digital do país.

Além disso, estabeleceu-se um movimento de conscientização e orientação dos gestores quanto aos riscos decorrentes da ausência de controles de segurança cibernética e à necessidade urgente de implementá-los.

O que precisa ser feito?

De modo a contribuir para a melhoria da preocupante situação encontrada, o TCU recomendou ao Gabinete de Segurança Institucional, aos órgãos governantes superiores e a outros órgãos específicos, entre os quais a Câmara dos Deputados, o Senado Federal e o Supremo Tribunal Federal, a adoção de diversas medidas, como a edição de normativos de orientação aos gestores, para fomentar rápida e gradativa implementação dos controles críticos e das medidas de segurança cibernética preconizados no framework do Center for Internet Security (CIS), priorizando o endereçamento das deficiências e das fragilidades detectadas neste primeiro ciclo de avaliação.

Decisões recentes

Acórdão 1.768/2022-TCU-Plenário, de relatoria do ministro Vital do Rêgo.