Escolar Documentos
Profissional Documentos
Cultura Documentos
BRASÍLIA - 2021
EMENTA
2
1. Introdução
3
Uma inadequada gestão da segurança da informação amplifica
os riscos a que naturalmente as atividades da Justiça Eleitoral estão
sujeitas, colocando-a numa clara posição de fragilidade frente ao atual
cenário de ameaças cibernéticas.
2. Motivação
...
...
4
Art. 26. Deverá ser instituída uma ETIR1, conforme modelo proposto
pela Comissão de Segurança da Informação e aprovado pelo
Diretor-Geral da Secretaria do Tribunal, com a responsabilidade
de receber, analisar, classificar, tratar e responder às notificações
e atividades relacionadas a incidentes de segurança em redes de
computadores, além de armazenar registros para formação de
séries históricas como subsídio estatístico e para fins de auditoria.”
(grifos nossos)
5
Dos 18 (dezoito) respondentes, 6 (seis) afirmaram que suas ETIRs
ainda não se encontravam operacionais, situação em que se incluía o
próprio TSE. Quatorze reportaram que suas equipes não receberam
qualquer treinamento formal sobre tratamento de incidentes.
6
As estatísticas do Centro de Tratamento e Resposta a Incidentes
Cibernéticos do Governo (CTIR.Gov), evidenciam um número crescente
de notificações de incidentes de segurança, ano a ano.
2 https://g1.globo.com/politica/eleicoes/2020/noticia/2020/11/15/tentativa-de-
ataque-a-sistema-do-tse-partiu-de-diferentes-paises-diz-barroso.ghtml
7
Ataque de ransomware6 ao STJ, que criptografou a totalidade
dos servidores virtuais daquele órgão, tornando-os inutilizáveis,
causando interrupção de todo o trabalho baseado em
tecnologia da informação, bem como suspensão de todos os
prazos processuais por, aproximadamente, uma semana;
Ataque ao Tribunal Regional Federal da 1ª Região 7 , que
também interrompeu seus serviços de TI e os prazos processuais
por cerca de uma semana;
Ataque à Biblioteca Nacional 8 que, da mesma forma, teve
seus serviços de TI interrompidos por 15 dias, até que fossem
restaurados com segurança;
Ataque de ransomware ao Tribunal de Justiça do Rio Grande
do Sul 9 , ocorrido no último dia 28 de abril, que exigiu o
pagamento de resgate no valor de USD 5 milhões, ataque do
qual aquele tribunal continua se recuperando até o momento
da elaboração deste documento;
Ataque ao STF – Supremo Tribunal Federal 10 , ocorrido nos
primeiros dias de maio de 2021, cujo foco foi o vazamento de
informações por meio de robôs que exploraram
vulnerabilidades em aplicações web. Esse ataque
indisponibilizou o portal web e muitos serviços por vários dias.
3 https://canaltech.com.br/hacker/tse-confirma-ataque-ddos-e-lembra-que-urnas-
nao-estao-conectadas-a-internet-174719/
4 https://thehack.com.br/tse-sofre-ataque-de-ddos-mas-garante-nao-ter-relacao-com-
vazamento-de-dados-e-queda-nos-servicos/
5 https://olhardigital.com.br/2020/11/24/noticias/app-e-titulo-foi-afetado-em-ataque-
ddos-durante-eleicao-confirma-tse/
6 https://www.kaspersky.com.br/resource-center/threats/ransomware
7 https://oglobo.globo.com/brasil/trf-1-confirma-ataque-de-hackers-portal-da-justica-
federal-do-df-13-estados-continua-fora-do-ar-24770628
8 https://oglobo.globo.com/cultura/site-da-biblioteca-nacional-volta-ao-ar-15-dias-
depois-de-ataque-hacker-24989055
9 https://thehack.com.br/tj-rs-e-vitima-do-ransomware-revil-gangue-pede-u-5-milhoes-
pelo-resgate/
10 https://g1.globo.com/politica/noticia/2021/05/07/supremo-investiga-tentativa-de-
ataque-hacker-a-sistema-da-corte.ghtml
8
Infecção por malware11 de pacote de atualização de solução
de monitoramento de redes corporativas comercializado pela
empresa SolarWinds, que foi automaticamente instalado por
diversos de seus clientes, incluindo grandes empresas listadas
no ranking Fortune 500 e diversos dos principais órgãos públicos
norte-americanos, permitindo que os atacantes tivessem
acesso às redes corporativas desses clientes e pudessem obter
documentos internos, inclusive sigilosos12;
Exploração de vulnerabilidades na solução de correio
eletrônico Microsoft Exchange13, utilizada por inúmeras grandes
empresas e órgãos públicos, no Brasil e no exterior, que
permitiu aos atacantes obterem acesso a caixas postais desses
clientes e, da mesma forma, obter documentos internos e
sigilosos;
Ataque de ransomware14, a uma das empresas que compõem
a cadeia de suprimentos da Apple, em que os atacantes
obtiveram acesso e criptografaram documentos técnicos de
produtos ainda não lançados pela empresa, culminando em
uma exigência de pagamento de resgate de 50 milhões de
dólares para a restituição e não divulgação de tais
documentos.
11 https://www.kaspersky.com.br/resource-center/preemptive-safety/what-is-malware-
and-how-to-protect-against-it
12 https://olhardigital.com.br/2021/02/15/noticias/solarwinds-ataque-foi-o-maior-e-mais-
sofisticado-que-o-mundo-ja-viu/
13 https://news.microsoft.com/es-xl/protegendo-servidores-exchange-on-premises-
contra-ataques-recentes/
14 https://cryptoid.com.br/banco-de-noticias/apple-foi-alvo-um-ataque-de-
ransomware-de-50-milhoes-resultando-em-vazamentos-esquematicos-sem-
precedentes/
15 https://www.weforum.org/reports/the-global-risks-report-2021
9
O mesmo relatório mapeia os riscos que têm o potencial de atingir
Órgãos Gestores Eleitorais, bem como ressalta uma preocupação com
a polarização gerada pelo resultado das eleições estadunidenses do
ano de 2020 (em tradução livre, grifo nosso, p. 53 e 22):
10
quais ataques são dirigidos às eleições, bem como seu objetivo e sua
dinâmica.
11
Além do cenário preocupante acima descrito, é importante
destacar que a Justiça Eleitoral tem sido, ao longo dos anos,
questionada por atores representativos da sociedade acerca da
segurança do processo eleitoral. Embora tenhamos um dos sistemas de
votação mais sólidos e confiáveis do mundo, a segurança das
informações e do ambiente de TI da Justiça Eleitoral (JE) é fator
primordial para conferir credibilidade a tal processo. Um incidente de
segurança ocorrido em sistemas ou serviços digitais oferecidos pela JE,
mesmo que absolutamente desligado do processo eleitoral, tem o
condão de colocar em risco essa credibilidade.
3. Situação atual
12
Segurança da informação é um termo que se refere à proteção
de dados e informações, abrangendo a segurança física, os processos
de trabalho, as pessoas e, ainda, o ambiente tecnológico, cuja
proteção é comumente chamada de cibersegurança - palavra
derivada do termo em inglês cybersecurity. O objetivo primordial dessa
disciplina é garantir os pilares de Disponibilidade, Integridade,
Confidencialidade e Autenticidade (DICA), dos dados custodiados e
tratados por uma determinada instituição.
13
II - propor iniciativas para aumentar o nível da segurança da
informação à Comissão de Segurança da Informação, com base,
inclusive, nos registros armazenados pela ETIR;
14
somente deliberativo e consultivo, como forma de integrar as partes
interessadas (stakeholders) ao tema tratado.
20 https://www.abntcolecao.com.br/normavw.aspx?ID=306580
15
Judiciário (ENSEC-JUD-PJ), que foi aprovada como Resolução n.
396/2021 pelo CNJ em 07/06/2021, publicada no DJe de 10/06/2021.
(...)
(...)
21 https://www.lexml.gov.br/urn/urn:lex:br:tribunal.contas.uniao;plenario:acordao:2012-
05-23;1233
22 ACÓRDÃO TCU 3051/2014. Tribunal de Contas da União. Disponível em
<https://www.lexml.gov.br/urn/urn:lex:br:tribunal.contas.uniao;plenario:acordao:2014-
11-05;3051>.
16
planejamento estratégico de segurança da informação
é diretriz expressa pelo Conselho Nacional de Justiça
para a gestão da segurança da informação, além de ser
boa prática prevista na NBR ISO/IEC 27.001/2013, item 6,
bem como no Cobit 5, Prática de Gestão APO 13.2 (grifo
nosso).
17
Quanto ao posicionamento das unidades funcionais, faz-se mister
registrar as seguintes considerações:
Art. 21. Cada órgão do Poder Judiciário, com exceção do STF, deverá constituir
estrutura de segurança da informação, subordinada diretamente à alta
administração do órgão e desvinculada da área de TIC.
18
§ 2º O gestor de segurança da informação terá as seguintes atribuições:
5. Da estratégia de implantação
19
possível, de modo que surta efeitos já para as eleições presidenciais de
2022.
20
Cibernética do Poder Judiciário (ENSEC-JUD-PJ; Resolução CNJ n.
396/2021).
21
5. Efetuar a identificação e a classificação de ativos de informação,
quanto aos aspectos de riscos cibernéticos e de segurança da
informação.
6. Efetuar análise de riscos de cibersegurança em novos projetos de
tecnologia;
7. Apoiar a implementação e testes dos planos de continuidade de
negócio, no tocante aos aspectos de segurança de TI;
8. Definir requisitos de segurança do processo de gerenciamento
identidades e acesso, incluindo acessos privilegiados.
22
Os cargos técnicos e de gestor deverão passar por constantes
treinamentos, a fim de manter os perfis atualizados e adequados para a
realização das atividades.
9. Da viabilidade da proposta
23 https://www.cnj.jus.br/tecnologia-da-informacao-e-comunicacao/painel-do-igovtic-
jud-do-poder-judiciario/
23
torno desse tema, fazendo atuar profissionais qualificados em seus
devidos postos de trabalho.
10. Conclusão
24
submetemos à consideração de V.Exa. a presente proposta, elaborada
pelo Grupo de Trabalho de Segurança da Informação, assim
ementada:
Respeitosamente,
Coordenadora do GT-SI
25