TCU abre nova investigação sobre falhas de cibersegurança em órgãos públicos
O Tribunal de Contas da União (TCU) aprovou a realização de auditoria em órgãos públicos para analisar vulnerabilidades nas medidas de cibersegurança relacionadas ao uso do serviço de diretório Microsoft Active Directory (AD). A decisão foi publicada nesta semana, conforme entendimento firmado na última reunião plenária, realizada na quinta-feira, 8.
A proposta partiu da Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI), no âmbito de programa que visa contribuir para a redução de riscos no caminho (path) de ataque de ransomware.
“Devido a falhas de configurações dos Serviços de Domínio Active Directory (AD-DS) das organizações públicas poderá ocorrer o comprometimento dos domínios de rede das organizações, o que poderá levar à exfiltração, ao sequestro ou à destruição de informações por meio de ataques de ransomware e impactar negativamente a prestação de serviços públicos ao cidadão bem como a imagem da organização”, consta na solicitação da área técnica.
O documento cita o relatório “The State of Ransomware”, de 2023, da empresa de segurança Sophos, com levantamento mundial dos ataques por ransomware no mercado. “A análise constatou que o Brasil lidera o ranking mundial de pagamento de resgates, com 55% das empresas entrevistadas no país admitindo se renderem à extorsão em troca de dados descriptografados”, cita.
Ainda de acordo com o estudo, o Brasil reportou um crescimento de 68% nos casos de ransomware em relação ao balanço do ano de 2022 – dado que representa um aumento de 13 pontos percentuais em relação ao comparativo anual anterior.
Ao justificar o foco da auditoria nas configurações de AD-DS, a equipe técnica explica que hackers utilizam tais vulnerabilidades para invadir os sistemas. “Nesse cenário, a segurança do ambiente AD desempenha um papel fundamental na mitigação de ataques de ransomware. Quando configurado e protegido adequadamente, alinhado a processos seguros de trabalho, o AD previne e combate efetivamente os ataques de ransomware. Portanto, a avaliação dos controles de segurança nesse cenário consiste em medida fundamental para que os órgãos da Administração Pública possam evitar essa ameaça cibernética”, alega a unidade de auditoria na proposta.
Além da auditoria, o TCU espera também oferecer capacitações a gestores de segurança da informação do setor público, de forma a ampliar os benefícios alcançados pela ação. Acesse o acórdão neste link.
Outras investigações
No ano passado, acompanhamento feito pela Corte de Contas verificou que menos da metade (44,3%) dos órgãos públicos investe em cibersegurança. No caso, a apuração avaliou a maturidade das organizações federais quanto à implementação de controles críticos de segurança da informação.
O diagnóstico apontou que ativos não autorizados não estavam sendo tratados pelos respectivos entes. São considerados como ativos corporativos de tecnologia da informação os equipamentos de usuários finais, tais como computadores portáveis e dispositivos móveis.
Cerca de nove em cada dez (88,1%) organizações possuem algum inventário desses ativos corporativos, mas apenas 44,3% delas realiza algum tratamento sobre ativos não autorizados, efetivamente corrigindo-os ou removendo-os da rede.