Nesta última semana, dois incidentes marcaram o ambiente de cibersegurança no Brasil: um vazamento de dados da Cooperativa Sicoob e outro ocorrido no INSS.
O primeiro caso, envolvendo o Sicoob, teria sido causado por ação maliciosa de criminosos via um ataque de Ransomware. O referido ataque teria exfiltrado mais de 1TB de Dados, inclusive informações pessoais. Algumas informações de dados alegadamente acessados foram publicados na Internet, sem que tenha sido possível identificar sua autenticidade. A instituição se manifestou mediante comunicado encaminhado ao portal Tecmundo confirmando um "incidente cibernético no ambiente local de uma das cooperativas que integram o Sistema". Após a identificação, medidas teriam sido tomadas, inclusive com a comunicação das autoridades competentes e que os dados de informações financeiras estariam em ambiente apartado do qual houve o incidente.
Este incidente reforça dois aspectos: a preservação da cibersegurança entre ambientes diferentes. O caso do Sicoob mostra um ambiente potencialmente heterogêneo de diversas cooperativas que compõem um sistema. Situações semelhantes podem ocorrer com prestadores de serviços, serviços de nuvem em geral, correspondentes bancários, etc. Esses ambientes, que podem estar ligados de diversas formas diferentes ao ambiente central, precisam manter boas práticas de segurança. De nada adianta manter o ambiente central seguro se outros entes que também tratam seus dados podem estar vulneráveis. Em tais contextos, é preciso adotar protocolos de verificação e auditoria dos requisitos mínimos a serem adotados pelos entes que fazem parte de um grupo, o que se faz por meio de políticas e mecanismos de segurança, além de auditorias regulares para a verificação do cumprimento das práticas definidas.
O outro caso, ocorrido no âmbito do INSS, envolveu o acesso não autorizado a dados pessoais. A situação ocorreu por meio de acessos de ex-funcionários e prestadores de serviços que não foram desabilitados após o encerramento dos seus contratos. Os acessos, segundo o site Convergência Digital, ficaram disponíveis indevidamente por décadas. Conforme o órgão: “foram distribuídas senhas a outros órgãos federais para o ingresso ao sistema. A distribuição era feita a órgãos de controle, como a Controladoria-Geral da União, e à Advocacia-Geral da União, para a defesa do governo em ações judiciais. No entanto, não havia monitoramento para as senhas. O acesso era feito apenas com login e senha, sem camadas de segurança como autenticação de duplo fator, certificado digital e criptografia”. Após o incidente, conforme o G1, procedimentos de acesso foram atualizados prevendo acesso por meio de VPN e duplo nível de autenticação.
Esta situação demonstra um caso clássico de falha no gerenciamento de credenciais de acesso, em uma perspectiva maior de controle de acesso. Esses processos são previstos, por exemplo, na norma técnica ISO 27002 - norma de cibersegurança mundialmente conhecida -, por meio de controles de acesso e direitos de acesso. As políticas de segurança internas devem prever os protocolos nos quais as contas devem ser desabilitadas, além de prever medidas de revisão de acessos e, sempre que possível, a implementação de controles técnicos a fim de verificar abusos ou desvios de padrões de acesso. É comum que no caso de empresas privadas, os setores de RH estejam envolvidos neste processo de gestão de credenciais.
Por fim, ambos os casos envolvem situações de controles absolutamente conhecidos no mundo da cibersegurança que, se bem aplicados, poderiam ter evitado os incidentes.
Com informações do Tecmundo e Convergência Digital e G1
