O Tribunal de Contas da União (TCU) realizou, sob a relatoria do ministro Vital do Rêgo, acompanhamento para avaliar a maturidade das organizações federais quanto à implementação de controles críticos de segurança da informação e segurança cibernética.
"A segurança da informação (SegInfo) e a segurança cibernética (SegCiber) têm ao longo dos anos ganhado relevância nos cenários estratégicos institucionais e nacionais devido à crescente digitalização de entidades e da sociedade como um todo", delineou o ministro-relator.
A fiscalização do TCU apurou que o Brasil ocupou a 8ª posição do mundo em número de ataques a dispositivos da internet das coisas (IOT) no período de abril a junho de 2021 e o 5º lugar em ataques de sequestro de dados em meados de 2021. Em 2020 ocorreram 41 bilhões de tentativas de ataques cibernéticos na América Latina, sendo 8,4 bilhões no Brasil.
"No âmbito da administração pública, esse cenário é de extrema preocupação, conforme se observou no episódio do 'apagão de dados' do Ministério da Saúde ocorrido em plena pandemia mundial da Covid-19, afetando de maneira central o monitoramento dos casos", destacou o ministro do TCU Vital do Rêgo.
O que o TCU encontrou
O diagnóstico da Corte de Contas apontou que ativos não autorizados não estão sendo tratados pelos respectivos entes. São considerados como ativos corporativos de tecnologia da informação os equipamentos de usuários finais, tais como computadores portáveis e dispositivos móveis.
Cerca de nove em cada dez (88,1%) organizações possuem algum inventário desses ativos corporativos, mas menos da metade (44,3%) realizam algum tratamento sobre ativos não autorizados, efetivamente corrigindo-os ou removendo-os da rede. "A presença de ativos não autorizados é um risco em potencial, pois invasores podem se valer da presença desse tipo de hardware/software para perpetrar ataques, ampliando-se o universo de possíveis riscos aos quais permanece exposta a organização", alertou o ministro-relator do Tribunal de Contas da União, Vital do Rêgo.
Outro exemplo de achado na auditoria do TCU são as deficiências nos processos de gestão e de correção de vulnerabilidades. Nesse caso, a maioria (57%) das organizações ainda não estabeleceu um processo de gestão de vulnerabilidades. Tal controle é considerado crítico porque grande parte dos ataques diz respeito à pesquisa por vulnerabilidades que possam ser exploradas com sucesso.
Um relato positivo é que a gestão automatizada de correções de sistemas operacionais está sendo executada. Segundo verificou a fiscalização do TCU, 77,2% das organizações executam a gestão automatizada de correções em sistemas operacionais, atuando para detectar e corrigir as vulnerabilidades no sistema operativo antes que possam ser exploradas pelos invasores.
Ponto negativo é que o processo de gestão de resposta a incidentes de segurança é deficiente. Menos da metade (47,5%) dos entes fiscalizados mantém um processo adequado para recebimento de notificação de incidentes. Foram apontadas ainda a conscientização e treinamento deficientes no que tange aos riscos e às boas práticas de SegCiber.
O acórdão do Plenário do Tribunal determinou ainda a abertura de processo de fiscalização em separado para avaliar especificamente o Ministério da Saúde, tendo em vista o incidente cibernético que causou a interrupção de serviços essenciais à população no âmbito da pasta governamental, em dezembro de 2021.
A unidade técnica do TCU responsável pela fiscalização foi a Secretaria de Fiscalização de Tecnologia da Informação (Sefti).