Invasão ao Siafi mostra que Governo Federal precisa mudar política de segurança, diz CEO da Trust Control
Recentemente o governo federal descobriu uma fraude de cerca de R$ 3,5 milhões no Sistema Integrado de Administração Financeira (Siafi). Ao menos uma pessoa já foi identificada e outra está sendo investigada. R$ 1,5 milhão pode ter sido enviado ao exterior. Para o CEO da Trust Control, Alberto Jorge, apesar de vários fatos ainda não serem claros um está bem certo: o governo precisa mudar a forma como protege dados sensíveis.
>>>Clique aqui para ler mais sobre cybersecurity
“Claramente as ações tomadas até o momento não foram suficientes, pois efetivamente houve uma invasão / vazamento de dados. O problema maior é que os cibercriminosos estão a todo tempo evoluindo em seus métodos e suas tentativas de fraudes. Imagine que eles passam 24 horas, empregando todos os esforços para tentar burlar os sistemas de controle – e isso vale para as barreiras de segurança de empresas e também órgãos públicos”, disse Jorge.
Ainda de acordo com o CEO, não foi a primeira vez – e infelizmente não será a última – que isso aconteceu. “Sem saber as reais causas da invasão, o que pode ser recomendado é que os órgãos públicos passassem a conceder privilégios de acesso mínimos e necessários aos usuários, que implementassem autenticação multifator e controle de tempo de sessão, além de realizar auditorias regulares de acesso. É fundamental que o governo, em qualquer esfera – municipal, estadual ou federal – armazene os dados confidenciais em ambientes seguros e criptografados, implemente um sistema de monitoramento de segurança para detectar atividades suspeitas e tenha um plano de resposta a incidentes bem definido e testado, entre outras medidas”, completou.
Quem tem acesso a dados tão sensíveis como o acesso ao Siafi naturalmente precisa ter mais camadas de segurança e treinamento. Poucas pessoas podem ter acesso a somas tão vultuosas de dinheiro e de dados. Elas não podem cair jamais. E ao que parece, foram vítimas simples de serem derrubadas no processo.
E sobre a questão de melhor educação para evitar novas ações como essa, Jorge concorda com meu ponto de vista. Diz o CEO, do ponto de vista estratégico, também é altamente recomendado que haja a promoção de uma cultura de segurança da informação, conscientizando os servidores públicos sobre os riscos da cibersegurança e as boas práticas de segurança, o que passa ainda pela necessidade de oferecer treinamentos regulares sobre cibersegurança para todos os funcionários.
“Por isso dizemos que a segurança da informação ou cibersegurança é um processo contínuo, exigindo planejamento, investimento constante e compromisso de todos os envolvidos, desde os gestores até os colaboradores menos ou mais experientes”, encerra o CEO da Trust Control.
Acesso aos sistemas
Mas como os criminosos entraram em um sistema que deveria, ao menos, ter segurança robusta? Segundo Alberto Jorge, uma das hipóteses para as invasões que ocorreram nos sistemas públicos é que os cibercriminosos tenham conseguido acessar os sistemas utilizando credenciais de funcionários obtidas de forma irregular, o que pode ter ocorrido devido à concessão de privilégios excessivos a certos usuários, permitindo que eles acessassem dados e sistemas além do necessário para suas funções.
“Outras falhas podem te contribuído para o problema, como a falta de controles de acesso rigorosos, a exemplo da autenticação por multifator e o controle de tempo de sessão. Além disso, os sistemas afetados podem estar desatualizados, com falhas de segurança conhecidas que não foram corrigidas. No entanto, é preciso aguardar as investigações em curso para que as causas reais sejam apuradas”, indica o CEO da Trust Control.
Investigações seguem
As investigações seguem. O governo está analisando ainda tudo que houve como roubo de credenciais e que técnicas foram usadas. Já se deve saber, ao menos se espera, quem caiu e como caiu. Não está claro se todo o dinheiro será recuperado (parte foi enviada ao exterior) ou se algo mais foi desviado.
Também não está claro se houve apenas motivação monetária ou algo mais – política talvez. O que está claro é que o governo federal precisa ajustar melhor sua política de segurança. Seja por motivação monetária ou política, esse ou mais governos serão sempre alvos. Não se pode ter movimento apenas depois da casa arrombada. Isso, definitivamente, não é uma política de segurança inteligente.
Confira abaixo nossa entrevista completa com o CEO da Trust Control:
DP Tech Trends – O que estaria acontecendo? Seria um ataque coordenado de algum país ou um trabalho interno da oposição? Ou simplesmente trabalho de criminosos comuns?
Alberto Jorge – Com base nas informações disponíveis, é impossível determinar com certeza a autoria e a motivação por trás das invasões. As investigações ainda estão em andamento, e novas informações podem surgir nos próximos dias ou semanas. Pelas informações divulgadas até aqui pela imprensa, existem argumentos para defender diversos tipos de motivação: pode ter sido uma iniciativa de algum invasor estrangeiro, porque a sofisticação das invasões devem ter exigido recursos e conhecimentos técnicos avançados, além do potencial impacto das invasões, que poderiam comprometer dados sensíveis de cidadãos; pode ter sido o trabalho de criminosos comuns, pois até onde se sabe houve a utilização de métodos de ataque comuns em crimes cibernéticos, como exploração de vulnerabilidades e engenharia social; e até mesmo alguma motivação política, porque métodos de ataque comuns em crimes cibernéticos foram utilizados, como a exploração de vulnerabilidades e os fundamentos da engenharia social. Seja qual for a motivação ou causa, é muito importante ressaltar que a cibersegurança é um desafio constante para o serviço público, e que medidas eficientes de proteção devem ser implementadas para prevenir futuros ataques, que tenham consequências ainda mais sérias.
DPTT – Onde o governo falhou para proteger seus sistemas?
AJ – Uma das hipóteses para as invasões que ocorreram nos sistemas públicos é que os cibercriminosos tenham conseguido acessar os sistemas utilizando credenciais de funcionários obtidas de forma irregular, o que pode ter ocorrido devido à concessão de privilégios excessivos a certos usuários, permitindo que eles acessassem dados e sistemas além do necessário para suas funções. Outras falhas podem te contribuído para o problema, como a falta de controles de acesso rigorosos, a exemplo da autenticação por multifator e o controle de tempo de sessão. Além disso, os sistemas afetados podem estar desatualizados, com falhas de segurança conhecidas que não foram corrigidas. No entanto, é preciso aguardar as investigações em curso para que as causas reais sejam apuradas.
DPTT – O que poderia ser feito para evitar e como devem agir para remediar? As ações tomadas até agora foram as necessárias?*
AJ – Claramente as ações tomadas até o momento não foram suficientes, pois efetivamente houve uma invasão / vazamento de dados. O problema maior é que os cibercriminosos estão a todo tempo evoluindo em seus métodos e suas tentativas de fraudes. Imagine que eles passam 24 horas, empregando todos os esforços para tentar burlar os sistemas de controle – e isso vale para as barreiras de segurança de empresas e também órgãos públicos. Afinal, não foi a primeira vez – e infelizmente não será a última – que isso aconteceu. Sem saber as reais causas da invasão, o que pode ser recomendado é que os órgãos públicos passassem a conceder privilégios de acesso mínimos e necessários aos usuários, que implementassem autenticação multifator e controle de tempo de sessão, além de realizar auditorias regulares de acesso. É fundamental que o governo, em qualquer esfera – municipal, estadual ou federal – armazene os dados confidenciais em ambientes seguros e criptografados, implemente um sistema de monitoramento de segurança para detectar atividades suspeitas e tenha um plano de resposta a incidentes bem definido e testado, entre outras medidas. Do ponto de vista estratégico, também é altamente recomendado que haja a promoção de uma cultura de segurança da informação, conscientizando os servidores públicos sobre os riscos da cibersegurança e as boas práticas de segurança, o que passa ainda pela necessidade de oferecer treinamentos regulares sobre cibersegurança para todos os funcionários. Por isso dizemos que a segurança da informação ou cibersegurança é um processo contínuo, exigindo planejamento, investimento constante e compromisso de todos os envolvidos, desde os gestores até os colaboradores menos ou mais experientes.
Image by standret on Freepik