Incidentes cibernéticos e governo: é ano de eleições no Brasil. O que muda?

“Os dados internos do sistema foram copiados e excluídos. 50 TB de dados estão em nossas mãos.” Foi esta a mensagem deixada no site do Ministério da Saúde do Brasil após um ataque hacker, no último dia 10 de dezembro.

O episódio, de repercussão internacional, derrubou o principal sistema de saúde do país, provocando um apagão de dados – justo quando a variante ômicron começava a circular internamente – e afetando outros portais da pasta, como o Conecte Sus e o Portal Covid.

O caso do “ministério hackeado” também serve de lembrete sobre a importância da tecnologia da informação ou, mais especificamente, das medidas de proteção e segurança dos dados, uma vez que cada dia mais o ransomware consolida-se como um grande negócio para os atores do e-crime.

O próprio governo brasileiro, através de seu Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (CTIR), emitiu ainda em dezembro um alerta sobre ações maliciosas em ambientes de cloud e usou o texto para citar casos recentes de intrusão, através do uso de perfis administrativos legítimos de administradores, em clara referência ao ataque ao Ministério da Saúde.

E o que podemos ou devemos aprender com o ocorrido? Ou ainda qual a maior lição a tirar, especialmente por ser 2022 um ano eleitoral no Brasil?

Em seu Relatório Global de Ameaças, divulgado agora em fevereiro, a CrowdStrike, a partir do mapeamento das ações dos cibercriminosos em 2021, apresenta informações importantes e que podem ajudar as autoridades políticas nas respostas e principalmente em ações de prevenção.

O relatório mostra que, não bastasse o aumento nos números de golpes digitais, o modo de agir dos atacantes se aperfeiçoa com o tempo e eles redirecionam a mira para novos ou outros setores (que não só as grandes empresas), de forma constante, estando, eles, os governos, correndo perigo.

E não falamos apenas das unidades federais, mas estaduais e municipais também. De acordo com o levantamento, em 2021, 21 novos grupos de ameaça, a serviço de nações-estado, surgiram em todo o mundo, contribuindo para um aumento de 45% nas campanhas de intrusão e 82% nos vazamentos de dados após ataques de ransomware.

O estudo também aponta para um interesse por credenciais e servidores desprotegidos e hospedados na nuvem, afetando marcas consagradas, como a Amazon, e uma vez que os cibercriminosos não escondem o empenho na execução remota de códigos e o roubo de dados.

Desta forma, o relatório da Crowdstrike chama a atenção das autoridades para a chance de golpes especialmente em sistemas essenciais, como a saúde – também porque são setores onde a pressão social é grande – e dá seu recado: não se pode baixar a guarda.

Ou seja, quando falamos em proteção de identidade, nos referimos em oferecer uma visão proativa na proteção de contas privilegiadas e em ações de resposta a qualquer possível comprometimento. E isso só acontece quando se reconhece a importância da iniciativa crítica para equipes de segurança e de um trabalho de conscientização de todos no sentido de que as credenciais tornaram-se alvo principal, ocupando o centro da maioria dos ataques e violações modernas.

Os invasores não estão encontrando dificuldade para obter credenciais por meio de ataques de phishing, força bruta, keyloggers, técnicas de passagem de hash ou até banco de dados de credenciais já divulgado.

E quando uma conta é comprometida, os impactos são muitas vezes imensuráveis, especialmente no setor público. É primordial estar alinhado com padrões, como o NIST 800-207 e, assim, mover as defesas de perímetros estáticos baseados em rede para se concentrar em usuários, ativos e recursos. Será que seu município, seu estado ou seu país está realmente seguro?

*Jeferson Propheta é country manager da CrowdStrike Brasil e Thiago Silva é especialista GHE Brasil Governo, Educação e Healthcare na CrowdStrike Brasil