Possíveis falhas no caso do Ransomware do STJ

Possíveis falhas no caso do Ransomware do STJ. Na última semana, o Brasil sofreu uma série de ataques cibernéticos em seus órgãos governamentais. Além do STJ, a UNB, o SISEN, o CNJ e a Secretaria de Economia do DF também foram vítimas de ataques cibernéticos.

É hora de mudar o Mindset sobre a necessidade de investimentos por parte de governos e empresas em segurança cibernética. No caso do STJ, milhões de processos podem ser perdidos e anos de trabalho jogados no lixo.

E quais as principais falhas que podem ser apontadas neste caso?

• Faltou planejamento de segurança cibernética;
• Provavelmente, não há uma equipe dedicada de segurança cibernética que atende o STJ;
• A equipe de TI, em geral, não tem a visão completa do processo completo de segurança cibernética;
• As falhas e vulnerabilidades exploradas já eram conhecidas pela comunidade de segurança e as correções já estavam disponíveis (Falha de sistema de virtualização de servidores, Falha de acesso como Domain Admin e Privilege Escalation);
• Não haver, na infraestrutura de segurança, soluções de SIEM e IPS, que tenham as “Assinaturas de Vulnerabilidades Conhecidas” que poderiam evitar/impedir esse tipo de ataque;
• Ter os sistemas de backups “na mesma rede” que teve o comprometimento pelo ransomware, o que levou a um desastre completo e à perda do conteúdo que poderia ser usado para colocar o STJ no ar novamente, pelo menos parcialmente.

O fato é que o ataque foi bem sucedido e os prejuízos podem ser incalculáveis. O que poderia ser feito, e deve ser feito daqui para frente, para evitar novos casos semelhantes é atuar na prevenção:

• Investimento em ferramental de segurança cibernética;
• Investimento em capital humano, capacitado e de prontidão 24h por dia;
• Planejamento para a criação e execução de uma Política de Segurança da Informação eficiente, que envolva desde a alta gestão até as áreas operacionais do STJ.

Desde 5 de fevereiro de 2020, foi sancionada a Estratégia Nacional de Cibersegurança (decreto E-ciber), decreto federal que determina as regras que devem ser seguidas por toda a estrutura de governo federal para garantir a aplicação das melhores práticas em segurança cibernética no governo federal e suas autarquias. Neste caso do ransomware do STJ, claramente não houve a aplicação dos preceitos do decreto E-ciber.

Além disso, agora que a estrutura da ANPD – Agência Nacional de Proteção de Dados – foi criada, é importante verificar como será a atuação do órgão neste caso. Embora as sanções e penalidades só valham a partir de agosto de 2021, o MPF já poderia atuar neste caso e aplicar medidas judiciais de responsabilização que utilizem a LGPD como arcabouço jurídico.

Almir Meira Alves
Cyber Training Officer na CECyber

Veja também:

• Sistemas do Superior Tribunal de Justiça (STJ) foram alvo de hackers
• Enel vaza dados de CPF e dados bancários dados de 300 mil clientes
• Uma carreira em segurança cibernética: é para você?
• Idec aponta preocupação com privacidade em novo marketplace do Fleury
• 3,4 bilhões de ataques cibernéticos já atingiram o país em 2020
• Vários hospitais alvos na maior onda de ataques de ransomware dos EUA
• Empresas estão eliminando firewalls legados devido a ineficiência
• Prudential alerta sobre vazamento de dados de Seguro de Vida Individual
• Pfizer expôs dados de usuários de medicamentos
• Alerta da NSA: Atores patrocinados pelo Estado chinês exploram vulnerabilidades conhecidas
• Como adequar os serviços da sua empresa à LGPD?
• MindSec e Unisys firmam parceria com foco em soluções voltadas ao conceito Zero Trust