|
l IFE: nº 05 - 03 de agosto de 2021 Índice Legislação Centros de Excelência em Segurança Cibernética Ataques Tecnologia Análises Artigos e Estudos
Legislação 1 Brasil: Governo cria rede de segurança cibernética O presidente Jair Bolsonaro lançou por decreto a Rede Federal de Gestão de Incidentes Cibernéticos, publicado no Diário Oficial da União na segunda-feira (19/07). A rede será coordenada pelo Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República e terá participação obrigatória de todos os órgãos e das entidades da administração pública federal direta, autárquica e fundacional. A criação da Rede Federal de Gestão de Incidentes Cibernéticos tem como objetivos divulgar medidas de prevenção, tratamento e resposta a incidentes cibernéticos; compartilhar alertas sobre ameaças e vulnerabilidades cibernéticas; divulgar informações sobre ataques cibernéticos; promover a cooperação entre os participantes da Rede; e promover a celeridade na resposta a incidentes cibernéticos. Para ler mais, acesse o link. (Tele.Síntese – 19.07.2021) 2 EUA: TSA emite novas regras de segurança cibernética para empresas de pipeline do país Uma diretriz de segurança emitida na terça-feira dia (19/07) pela Transportation Security Administration (TSA), uma unidade do Departamento de Segurança Interna, veio em função de uma onda de ataques de ransomware visando infraestrutura crítica. A ordem, que marca a primeira nova regulamentação nesta área após anos de uma abordagem voluntária, encurta o processo de regulamentação tradicional para tratar o tema que foi considerado como urgente. O anúncio da TSA fornece poucos detalhes sobre a diretriz ou como será aplicada, já que grande parte é confidencial para evitar que os hackers aprendam muito sobre as defesas cibernéticas dos operadores. De acordo com o anúncio, os operadores agora serão obrigados a implementar proteções específicas, embora não especificadas, contra ataques de ransomware. Não está claro se a diretriz incluirá penalidades para as empresas que não cumprirem seus padrões. (Washington Post – 20.07.2021) 3 ONS divulga rotina operacional sobre segurança cibernética Após receber contribuições dos agentes, o Operador Nacional do Sistema Elétrico (ONS) divulgou no dia (01/07), a Rotina Operacional RO-CB.BR.01 - Controles mínimos de segurança cibernética para o Ambiente Regulado Cibernético. O documento, que estabelece os controles de segurança cibernética a serem implementados nos centros de operação dos agentes e nos equipamentos de infraestrutura, terá vigência a partir de 9 de julho de 2021. Após essa data, os agentes e o Operador devem adotar a rotina e o seu conjunto de requisitos e critérios, de acordo com os prazos estabelecidos na RO. Até o momento existia um item nos Procedimentos de Rede que tratava do assunto, mas de forma abrangente. A publicação dessa rotina vem aprimorar as orientações sobre o tema junto aos agentes. (ONS – 01.07.2021) 4 China: Novo plano de cibersegurança para melhorar a proteção de dados do país
Centros de Excelência em Segurança Cibernética 1 Empresas vão impulsionar defesa digital para redes de hidrogênio As empresas Leonardo e Snam divulgaram a assinatura do memorando de entendimento (MoU) no dia (08/07) para introduzir o hidrogênio no setor aeroespacial e apoiar a defesa das redes de energia - incluindo o hidrogênio. A parceria terá como foco a digitalização, monitoramento, segurança física e cibernética de processos, redes e infraestrutura, a fim de aumentar a resiliência e a eficiência operacional. As áreas de colaboração vão desde aplicações para a gestão digitalizada de infraestruturas e processos industriais baseados em inteligência artificial e aprendizagem de máquina, big data, blockchain, análise avançada e dupla digital - até segurança de infraestrutura, utilizando soluções de consciência situacional, tecnologias de comunicação de missão crítica e avançadas sensores e o uso de drones e satélites para monitoramento de ativos. (H2 View – 08.07.2021)
Ataques 1 EUA, OTAN e UE culpam a China pelo ataque cibernético a servidores Microsoft Exchange Um novo esforço conjunto formado por Estados membros da OTAN, União Europeia, Austrália, Nova Zelândia e Japão está se unindo para enfrentar a ameaça global representada por ataques cibernéticos patrocinados pela China. Em sua primeira ação dia (19/07), os países culparam publicamente o Ministério da Segurança do Estado da China por um ataque cibernético massivo aos servidores de e-mail Microsoft Exchange no início deste ano. O ataque ao servidor Microsoft Exchange tornou-se público em março e acredita-se que tenha atingido pelo menos 30.000 organizações americanas e centenas de milhares em todo o mundo. A Microsoft rapidamente identificou o grupo por trás do hack como uma rede de espionagem chinesa relativamente desconhecida, apelidada de Hafnium. (CNBC – 19.07.2021) 2 A crescente onda de ataques cibernéticos no Brasil No ano de 2019, o Brasil foi atingido por uma quantidade assustadora de ataques cibernéticos, registrados como "sequestro de dados", tornando-se o número dois do mundo nesse tipo de ação, que é denominado ransomware. Os estudos, à época, apontavam naquele ano um prejuízo de mais de US$ 1 trilhão. Os ataques a aplicativos específicos e da web aumentaram, e o setor de saúde sofreu um grande impacto na sua mudança para o atendimento remoto, com 97% de todas as atividades hostis direcionadas ao setor. O grupo Fleury sofreu, no dia (23/06), um ataque cibernético que deixou a maior parte de seus sistemas de tecnologia indisponível, prejudicando as operações dos laboratórios. Outra empresa do setor de saúde, a Hapvida, foi atacada por hackers em 2020. Houve, também em 2020, um ataque à Copel, que atingiu alguns servidores, mas os sistemas se mantiveram íntegros. (Conjur – 09.07.2021)
Tecnologia 1 Potencial uso da tecnologia Blockchain para segurança cibernética Blockchain é um banco de dados que armazena dados na forma de blocos encadeados. A tecnologia pode ser usada de maneira centralizada ou descentralizada. Quando descentralizada, não pertence a uma única entidade - em vez disso, todos os usuários têm controle coletivo. A cada dia, a quantidade de dados que estão sendo gerados aumenta exponencialmente. À medida que são desenvolvidas tecnologias sofisticadas para garantir a segurança, os hackers estão desenvolvendo novas técnicas e implementando tecnologias mais sólidas para executar crimes cibernéticos. A tecnologia Blockchain fornece os mais altos padrões de transparência e integridade de dados. Como automatiza o armazenamento de dados, elimina a principal causa de violações de dados - erro humano. O crime cibernético é a maior ameaça para as empresas e a tecnologia blockchain pode contribuir muito para combatê-lo. (It Business Edge – 16.07.2021)
Análises 1 Brasil é o terceiro país das américas em segurança cibernética A União Internacional de Telecomunicações (UIT) classificou nesta semana o Brasil como o terceiro país das américas mais comprometido com a Agenda Global de Segurança Cibernética. Em 2018 o Brasil era considerado o sexto mais seguro do continente. A conquista da atual posição do País no ranking, é resultado de ações como o estabelecimento da Política Nacional de Segurança da Informação, em 2018, e das Estratégias Nacionais de Segurança Cibernética e de Segurança de Infraestruturas Críticas, em 2020. Entre os países americanos, apenas Canadá (97,67) e Estados Unidos (100) estão, atualmente, à frente do Brasil, que obteve nota 96.6. No ranking mundial, o País ocupa a 18ª colocação; na edição anterior do Índice, em 2018, estava na 70ª posição. O Brasil foi classificado como detentor de estrutura legal robusta e com estruturas organizacionais e técnicas que podem ser fortalecidas para a segurança cibernética do País. (Cidade Marketing – 30.06.2021) 2 EUA: Departamento de Energia pede US $ 201 mi para reforçar a segurança cibernética após ataques O Departamento de Energia está pedindo ao Congresso US $ 201 milhões em sua solicitação de orçamento para o ano fiscal de 2022 para lidar com vulnerabilidades digitais após um aumento constante nos ataques cibernéticos. A solicitação de US $ 201 milhões, bem acima dos US $ 157 milhões em 2021, ajudará a fortalecer os esforços de segurança cibernética da agência federal e a resolver quaisquer problemas na cadeia de suprimentos e infraestrutura de tecnologia. A secretária de Energia Jennifer Granholm disse ao Comitê de Serviços Armados do Senado dia (24/06) que o departamento também precisa de financiamento para atualizar software, contratar mais profissionais de segurança cibernética e desenvolver novas políticas e padrões cibernéticos. O governo Biden está pedindo ao Congresso US $ 9,8 bi para cibersegurança civil federal em 2022 e o Pentágono está solicitando US $ 10,4 bilhões em 2022 para o orçamento de cibersegurança. O aumento de investimentos segue-se a um aumento constante de ataques de ransomware que afetaram diretamente os americanos e atrapalharam a logística e os serviços nos EUA. (CNBC – 24.06.2021) 3 Um ataque de ransomware em uma infraestrutura crítica é um cenário de pesadelo Nos últimos seis meses, aconteceu uma série de ataques de ransomware contra infraestruturas críticas nos EUA, todos os quais representam um perigo claro e presente para a sociedade. O impacto foi tão terrível, pesquisas recentes apontam mais de sete ataques de ransomware por hora, que o Departamento de Justiça americano elevou os ataques de ransomware a uma prioridade semelhante ao terrorismo. Foram definidos 16 setores de infraestrutura crítica nos EUA, e cada um é considerado crítico para o funcionamento adequado da sociedade. Devido à natureza conectada de tudo hoje em dia, cada setor é um alvo cibernético em potencial. A interrupção de qualquer segmento de infraestrutura crítica pode ter consequências econômicas, de segurança e impactos a nível nacional potencialmente terríveis. (Forbes – 20.07.2021)
Artigos e Estudos 1 Cibersegurança: O próximo desafio do setor elétrico Com o avanço da transformação digital nas empresas do setor elétrico, a infraestrutura crítica se torna mais vulnerável a ataques cibernéticos. A abordagem multidisciplinar é a mais recomendada para enfrentar esses riscos, com foco especial na convergência entre TI e TO. Além de atender as recomendações dos órgãos reguladores, é importante que as organizações desenvolvam suas próprias políticas de segurança, de forma a atender as necessidades específicas de seu parque tecnológico. Também é essencial adotar soluções que estejam em conformidade com os requisitos exigidos pelo órgão regulador e validados pelo mercado. (BYNE – 15.07.2021) Equipe
de Pesquisa UFRJ POLÍTICA
DE PRIVACIDADE E SIGILO
|
|
