Na última sessão plenária do Tribunal de Contas da União (TCU), realizada em 27 de março do corrente ano, foi apresentado um extenso trabalho de auditoria que colocou em evidência sérias deficiências na segurança da informação de organizações públicas federais. A análise revelou uma série de vulnerabilidades nos sistemas de hospedagem web, correio eletrônico e Domain Name System (DNS). Esse oportuno alerta do TCU é somente mais uma das ações que o tribunal tem oferecido ao País.
O TCU tem conduzido auditorias voltadas para avaliar a segurança da informação e cibernética em diferentes órgãos públicos. Essas auditorias investigam a implementação de políticas, procedimentos e controles de segurança cibernética, identificando eventuais deficiências e propondo recomendações para aprimoramento. Essas recomendações visam fortalecer a segurança contra as ameaças cibernéticas e garantir a integridade e disponibilidade dos dados governamentais.
Nos últimos anos, o Tribunal de Contas da União (TCU) tem se apresentado como um ator importante na construção de uma postura de segurança cibernética e salvaguarda de dados por parte dos órgãos públicos no Brasil. Em um cenário de crescente digitalização dos serviços públicos, sendo que a recente pandemia do COVID-19 acelerou mais ainda este processo, a proteção dos sistemas do governo tornou-se aspecto cada vez mais cobrado pela sociedade, sensível a essa realidade, o TCU buscou, sem extrapolar suas competências, métodos e ações para garantir a integridade, confidencialidade e disponibilidade dos dados sensíveis e serviços públicos considerados essenciais.
A publicação intitulada de Estratégia de Fiscalização do TCU em Segurança da Informação e Segurança Cibernética 2020-2023, representou uma das primeiras iniciativas do Tribunal. Esta iniciativa mostrava o quanto o órgão estava atento ao cenário de risco cibernético e, principalmente, agir de forma coerente com sua missão de aprimorar a Administração Pública em benefício da sociedade por meio do controle externo.
Cabe destacar também, o objetivo estratégico do tribunal de contribuir para a efetividade das políticas públicas e a presença da temática Segurança da Informação e Segurança Cibernética na Lista de Alto Risco da Administração Pública Federal de 2022, o qual relaciona riscos que podem comprometer tanto a qualidade dos serviços ofertados pelo governo quanto a eficácia das políticas públicas.
Ainda em 2022, o esforço do TCU em dar efetividade ficou claro com a publicação “Cinco Controles de Segurança Cibernética para ontem”. Segundo o site do órgão, esse documento é fruto dos resultados de acompanhamento de segurança cibernética, que indicavam, na época, uma situação de alto risco para o setor público federal brasileiro, o que justifica a implementação urgente dos 18 controles críticos do Center for Internet Security (CIS) e, em especial para ontem, dos cinco controles avaliados, visando à proteção contra ameaças cibernéticas e redução da probabilidade de invasões. Os cinco envolvidos no documento foram:
- Inventário e controle de ativos corporativos;
- Inventário e controle de ativos de software;
- Gestão contínua de vulnerabilidades;
- Conscientização sobre segurança e treinamento de competências; e
- Gestão de respostas a incidentes.
Retornando à reunião plenária de 27 de março de 2024, segundo notícia disponível no site do tribunal, o relatório apresentado pelo Sr. Ministro Aroldo Cedraz, relator da auditoria, indica que as deficiências na configuração dos controles recomendados deixaram instituições sujeitas a incidentes cibernéticos. O estudo abordou milhares de domínios, identificando:
riscos que vão desde a manipulação do tráfego de rede até o comprometimento de contas de usuários e a perda de dados sensíveis.
Dado alarmante destacado é que cerca de 84% dos domínios apresentaram um alto risco para ataques contra as aplicações hospedadas em suas infraestruturas. Essas vulnerabilidades, não são apenas um problema dos técnicos dos órgãos, mas também representam uma ameaça para os serviços digitais oferecidos pelo governo, podendo resultar em impactos a toda sociedade brasileira, seja pela indisponibilidade dos serviços ou pela exposição de dados pessoais e sensíveis de milhões de cidadãos. Entre as principais causas apontadas para a falta de implementação dos controles de segurança estão a carência de recursos, investimentos insuficientes, falta de pessoal qualificado e capacitação inadequada.
A maioria dos índices médios das práticas de segurança da informação identificados representam um nível de maturidade baixo ou intermediário.
Alguns problemas destacados foram:
- Apenas 2% dos domínios avaliados implementam adequadamente todos os quatro controles testados de conexão segura web (HTTPS).
- 12% dos domínios avaliados nos testes de web e 29% nos testes de e-mail não implementam certificados de assinatura digital.
- 81% dos domínios avaliados nos testes de web e 86% nos testes de e-mail não implementam assinatura de domínio DNSSEC.
- Apenas 8% dos domínios avaliados implementam todas as proteções contra phishing avaliadas.
Destaca-se que o TCU tem promovido a conscientização sobre a importância da segurança cibernética entre os gestores e servidores públicos. Como parte das ações de apoio aos órgãos públicos, a equipe de auditoria elaborou um “Mapa de Riscos e Controles”, que orienta sobre os controles de segurança avaliados, os riscos associados à não implementação e os potenciais custos e benefícios das medidas sugeridas. Esse documento, além de fornecer critérios e referências para a implementação de cada controle, busca promover uma cultura organizacional voltada para a segurança cibernética.
O trabalho realizado pelo TCU não apenas evidencia a importância crescente da segurança cibernética no âmbito governamental, mas também ressalta a necessidade urgente de investimentos e ações coordenadas para proteger os sistemas de informação do Estado. A partir dessas recomendações e análises, espera-se que os órgãos públicos possam fortalecer suas defesas cibernéticas e garantir a integridade e disponibilidade dos serviços prestados à população.
O Comitê Nacional de Cibersegurança, cujo regimento foi recentemente aprovado pela Resolução CNCIBER Nº 1, de 25 de março de 2024, tem pela frente um grande desafio, todavia uma boa referência para identificar demandas e pontos de atenção, quanto à Administração Pública Federal, é observar o que foi realizado até aqui pelo Tribunal de Contas da União.
A atuação proativa do TCU no campo da segurança cibernética alerta e auxilia os órgãos públicos em relação aos potenciais ataques e incidentes e, além disso, fortalece a confiança da sociedade na capacidade do Estado de gerir seus recursos e informações de forma responsável e segura. O TCU tem buscado promover a integração e a colaboração com outros órgãos e entidades envolvidos na segurança cibernética, visando fortalecer a capacidade de resposta a ameaças cibernéticas.
Fonte principal:
Site do Tribunal de Contas da União – https://portal.tcu.gov.br/
