Segurança cibernética
O mundo virtual tem sido alvo de vários ataques nos últimos anos. Entenda os ciberataques, descubra qual a melhor forma de se proteger e veja o que a Justiça Federal da 1ª Região tem feito para proteger os usuários internos e externos
Leonardo Costa e Larissa Santos
Fevereiro 2022
| Ed.
128
Em um mundo cada vez mais informatizado, acessar a internet virou uma atividade rotineira de milhões de pessoas. Aplicativos de conversas e de videochamadas, redes sociais, sites de notícias, jogos on-line, entre outros, passaram a fazer parte de relações sociais e profissionais, conectando cada vez mais todos os cantos do Planeta.
Mas toda essa conectividade pode trazer grandes riscos se não forem tomadas medidas para se evitar, por exemplo, a exposição de dados e arquivos pessoais.
Cibercriminosos (pessoas que cometem crime usando a comunicação entre redes de computadores) se aproveitam da vulnerabilidade de equipamentos digitais para invadirem sistemas, roubarem dados e manipularem arquivos. Essa conduta é conhecida como ataque cibernético ou ciberataque e é mais frequente do que se pode imaginar.
O 16º Relatório Anual de Violações de Dados do Identity Theft Resource Center (ITRC) aponta que em 2021 a quantidade de violações de segurança aumentou mais de 68%, de acordo com o portal Fast Company Brasil, somando mais de 1,8 mil ataques consolidados e ultrapassando 2017, ano que mais tinha registrado ciberataques até o momento (1,5 mil).
No Brasil, segundo a empresa de segurança cibernética Fortinet, apenas no primeiro semestre de 2021 (de janeiro a junho) foram registrados mais de 16,2 bilhões de tentativas de ataques cibernéticos.
Principais ameaças da segurança cibernética
Vírus - Programa que, quando executado, é capaz de infectar todos os computadores conectados em uma mesma rede, roubando dados, corrompendo arquivos e enviando spams para contatos de e-mail (ampliando o ataque) e até de controlar o computador completamente.
Worms - Mais antigos, os worms chegam como anexos de um e-mail. Diferentemente do vírus, ele não precisa de nenhuma ação do usuário além da abertura do e-mail para se instalar.
Adware - Já entrou em um site suspeito e vários e vários anúncios comerciais “pularam” na tela? Ou então, antes de começar aquele filme on-line abre uma tela pedindo para você instalar algum programa para permitir a execução do filme? Esse é o chamado adware, ou seja, o malware que se “disfarça” de propaganda para buscar o seu clique.
Ransomware - O ransomware é um sequestrador de dados. Ele invade o sistema, rouba dados e pede um valor (em criptomoedas) como resgate.
Prevenir é a saída – A quantidade de ataques preocupa principalmente pelas consequências causadas por eles, que vão desde exposição de dados pessoais até prejuízos financeiros para indivíduos e organizações.
A maneira mais eficaz de evitar ciberataques é se adiantando a eles, ou seja, adotando medidas de prevenção e proteção. Nesse sentido, como forma de proteger o corpo funcional e a instituição contra esses ataques, o Tribunal Federal da 1ª Região (TRF1) vem investindo em Segurança Cibernética e da Informação.
Por meio da Resolução Presi 10988129, a partir do Modelo Estruturante de Governança da Tecnologia da Informação (MGoTI-JF1), o TRF1 criou, em 2020, a Comissão Local de Segurança da Informação (CLSI) e a Comissão Local de Reposta a Incidentes (CLRI) para atuarem na identificação de riscos e adoção de medidas de segurança no âmbito do Tribunal.
Cabe à CLSI, dentre outras atribuições, realizar ações preventivas e educativas de segurança e propor treinamentos sobre o assunto. Já a CLRI tem o dever de identificar e tratar os incidentes de segurança da informação digital detectados no âmbito da Justiça Federal da 1ª Região.
Em dezembro de 2020, a JF1 aderiu à Política de Segurança da Informação, criada pelo Conselho da Justiça Federal (CJF), por meio da Resolução Presi 11831838, e instituiu o Sistema de Segurança Institucional da Justiça Federal da 1ª Região (SSI/R1), que “compreende as medidas adotadas para prevenir, detectar, obstruir e neutralizar ações de qualquer natureza que constituam ameaça à salvaguarda do Tribunal, das Seções e Subseções Judiciárias da 1ª Região e de seus integrantes”.
Também já foram publicadas as políticas de Controle de Acesso Lógico (Portaria Presi 10918140) e de Backup e Recuperação de Dados Digitais (Portaria Presi 10264108). Além dessas, as unidades de Tecnologia da Informação do TRF1 estão produzindo também as políticas de Segurança de Acesso Físico e Ambiental; de Utilização dos Recursos de TI e de Processo de Gerenciamento de Incidentes de Segurança da Informação.
Na prática, o Tribunal também tem investido na capacitação constante da equipe que lida diretamente com o assunto, com a promoção de cursos em parceria com a Escola Superior de Redes (ESR) e com a contratação da plataforma Alura, que oferece cursos on-line na área de tecnologia da informação.
Um exemplo de capacitação realizada é o “Workshop Forense Digital: a correta resposta a incidentes de segurança da informação para instituições públicas”, realizado em novembro de 2021. O treinamento foi conduzido pelo presidente da Associação Nacional de Peritos em Computação Forense (APECOF), Marcos Monteiro, e a íntegra da aula está disponível para o corpo funcional do Tribunal na intranet.
Conscientização
Assim como outros aspectos da segurança, um dos grandes responsáveis pela segurança cibernética é o próprio usuário, que deve ter consciência dos riscos e evitar atitudes que possam expor falhas a serem exploradas.
E, já que a prevenção começa com conscientização, a Secretaria de Tecnologia da Informação do TRF1 (Secin), em parceria com a Assessoria de Comunicação Social (Ascom), iniciou uma campanha, em junho de 2021, para incentivar os usuários a trocarem as senhas de acesso aos sistemas da Justiça Federal.
Como parte da Política de Controle de Acesso Lógico, foram estabelecidos requisitos para formar senhas fortes e definido o prazo de validade de seis meses para cada senha criada. Magistrados, servidores, prestadores de serviço e estagiários foram convidados a alterarem suas senhas de acesso ao computador e aos sistemas SEI, SARH, Juris etc. como forma de aumentar a segurança de dados e informações.
Além disso, a Secin mantém, desde 2019, em parceria com a Ascom, os informativos “Secin Alerta”, que trazem dicas de como se proteger de golpes cibernéticos e explicações sobre como utilizar novidades do mundo virtual – tais como internet banking, pix e QR Code – com segurança.
E, a fim de reforçar a construção de um ambiente mais seguro para os usuários dos sistemas da Justiça Federal da 1ª Região, o TRF1 começou, em fevereiro de 2021, a campanha sobre implementação de mais uma medida de segurança: o Múltiplo Fator de Autenticação (MFA) no Office 365.
Trata-se de um processo que adiciona uma camada de proteção ao processo de entrada (login) em contas, sistemas ou aplicativos. Quando ativado, o MFA solicita ao usuário, durante o processo de conexão, uma forma adicional de identificação, tal como: inserir um código no celular; verificar impressão digital; utilizar software token e push, entre outros.
A medida faz parte do Plano de Ação de Segurança Cibernética da 1ª Região e é recomendada para magistrados, servidores, prestadores de serviços e estagiários do Tribunal, das Seccionais e das Subseccionais da 1ª Região.
Essas e outras iniciativas reforçam o compromisso da Justiça Federal da 1ª Região com a segurança dos usuários internos e externos, bem como de dados e informações de milhares de brasileiros que estão em posse do Poder Judiciário. Fique tranquilo! Mesmo em ambiente digital, com a devida precaução, você permanecerá seguro.