A maioria dos índices avaliados apresenta nível de maturidade baixo ou intermediário de segurança. Fragilidades expõem instituições a ataques cibernéticos
O Tribunal de Contas da União (TCU) analisou, na sessão plenária desta quarta-feira (27/3), processo que avaliou aspectos relacionados à segurança da informação de organizações públicas federais. O objetivo da auditoria foi identificar falhas de configuração em serviços de hospedagem web, correio eletrônico e resolução de nomes. Esse tipo de fragilidade pode ser explorada por hackers.
O trabalho concluiu que há deficiências na configuração de controles recomendados pelas boas práticas para serviços de hospedagem web, e-mail e DNS (Domain Name Service). A maioria dos índices médios das práticas de segurança da informação apresenta nível de maturidade baixo ou intermediário.
O método utilizado permitiu analisar milhares de domínios. Com as falhas encontradas, a maioria das organizações e seus clientes ficam expostos a ataques cibernéticos. Isso pode afetar a confidencialidade e a integridade de grande parte dos serviços digitais oferecidos à população pelo governo federal e entes subnacionais.
Foram identificados sete riscos que apontam a possibilidade de manipulação de tráfego de rede, comprometimento de contas de usuários, roubo, vazamento e perda de dados ou mesmo interrupção dos sistemas de organizações públicas. Os problemas podem impactar programas, ações e objetivos das organizações, além da perda de confiança da população e possíveis sanções legais. Por exemplo, 84% dos domínios testados estão com nível de risco alto para ataques contra as aplicações hospedadas nos seus servidores.
As principais causas da não implementação dos controles de segurança foram a falta de recursos ou investimento, de pessoal e de capacitação. Também falta efetividade na implementação das normas, e é necessário envolver a alta administração das organizações.
O ministro-relator da auditoria, Aroldo Cedraz, ressaltou a dimensão do trabalho, que avaliou 100% dos domínios identificados. “Os domínios testados são utilizados por órgãos e entidades públicas dos três poderes, nas esferas federal, estadual e municipal. Portanto, o levantamento inova também ao resultar na construção de verdadeiro inventário da segurança cibernética dos serviços de toda a administração pública brasileira”, disse.
A fiscalização busca promover a melhoria na gestão de riscos de segurança da informação desses serviços nas organizações. O Tribunal decidiu fazer a análise porque mais de 80% dos ataques de ransomware podem ser atribuídos a erros de configuração em softwares e em dispositivos, segundo o relatório Microsoft Cyber Signals 2022.
Conheça alguns problemas identificados:
- Apenas 2% dos domínios avaliados implementam adequadamente todos os quatro controles testados de conexão segura web (HTTPS).
- 12% dos domínios avaliados nos testes de web e 29% nos testes de e-mail não implementam certificados de assinatura digital.
- 81% dos domínios avaliados nos testes de web e 86% nos testes de e-mail não implementam assinatura de domínio DNSSEC.
- Apenas 8% dos domínios avaliados implementam todas as proteções contra phishing avaliadas.
Encaminhamentos
O TCU vai dar conhecimento da fiscalização a oito organizações que representam a multiplicidade de instituições que detêm os domínios avaliados. A ideia é incentivar a adoção de medidas e a elaboração de estratégias sobre a gestão dos riscos decorrentes da não implantação dos controles analisados.
Para apoiar os entes públicos, a equipe de auditoria elaborou o “Mapa de Riscos e Controles”, que busca esclarecer os controles de segurança avaliados, os riscos da não implementação, além dos custos e benefícios. O documento também esclarece os critérios e referências para implementação de cada controle.
A unidade técnica do TCU responsável pela fiscalização foi a Auditoria Especializada em Tecnologia da Informação (AudTI), que integra a Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado (SecexEstado). O relator é o ministro Aroldo Cedraz.
_____________________________________________
SERVIÇO
Leia a íntegra da decisão: Acórdão 523/2024 – Plenário
Processo: TC 017.413/2023-0
Sessão: 27/3/2024
Secom – cb/va
Atendimento ao cidadão – e-mail: ouvidoria@tcu.gov.br
Atendimento à imprensa – e-mail: imprensa@tcu.gov.br
- INFORMATIVO – ENUNCIADOS 2ª EDIÇÃO
- TCEMG suspende licitação de medicamentos e insumos hospitalares
- TCE-PR aprova solução consensual para resolver problemas em obras de Cascavel
- Leilão para desestatizar Rota Agro precisa de ajustes
- Aplicações de fundos previdenciários dos municípios são fiscalizados pelo TCE-PR
Acórdão Administração Pública Auditores Auditoria CAGE Concurso Público Contas Públicas Contratação Contratações Públicas Contrato de Obras Contratos Contratos Administrativos DNIT Edital Fiscalização Jurisprudência LGPD Licitação Licitações Medida Cautelar Minas Gerais Municípios NLL Nova Lei de Licitações Obras Públicas Paranaguá Paraná PCA Petrobras PNCP Políticas Públicas Pregão Eletrônico Prestação de Contas Previdência Processo Administrativo Regulamentação Revista Rio de Janeiro SEED-PR TCE-MG TCE-PR TCU Transparência Transporte Público Tribunal de Contas
