No início deste mês, a Polícia Civil gaúcha e o Núcleo de Inteligência do Tribunal de Justiça (NIJ) fizeram operação contra o vazamento de dados de processos. Foi descoberto que um grupo de pessoas, incluindo advogados, usou senhas para acessos indevidos a procedimentos judiciais — incluindo pedidos de prisões. 

Pelo menos cinco operações policiais tiveram dados consultados ilegalmente. Há suspeita de que isso tenha se dado mediante comércio de senhas. 

Segundo Gustavo Gonçalves, CEO da Scunna (empresa que atua há mais de 30 anos com segurança cibernética), a maioria dos ataques cibernéticos e vazamento de dados de organizações nos últimos anos ocorre em decorrência da fragilidade das credenciais de acesso privilegiadas. Sem políticas rígidas e rigorosas, senhas e acessos sigilosos são comprometidos e dados importantes e confidenciais são vazados, tornando-se, cada vez mais, o elo mais fraco da segurança cibernética das empresas e instituições. 

— Muitas organizações adquirem os melhores equipamentos e softwares de segurança da informação, mas pecam em criar uma política de acessos e de controle de credenciais, especialmente no que tange aos acessos dos administradores de rede e dos sistemas. 

Gonçalves exemplifica: na medida em que as políticas e credenciais de acesso à rede das organizações são frágeis, o ambiente e os dados ficam expostos. Muitas vezes, os ambientes mais importantes da empresa são acessáveis mediante senhas antigas, que nunca são alteradas, e sem múltiplos fatores de autenticação. 

A empresa também não usa cofre de senhas e muito menos mascaramento de dados. E daí para um ataque ou vazamento de dados o caminho é bem curto e rápido, gerando severos danos para a organização. 

A sugestão é que empresas e órgãos públicos implantem medidas de segurança de dados cada vez mais rígidas, como criptografia e tokenização. Embora haja uma tendência crescente no uso dessas tecnologias, os níveis de criptografia ainda estão abaixo do que é necessário para proteção de dados sensíveis. 

O Brasil é um dos países com maior número de vazamento de dados do mundo. E o setor público é um dos mais expostos, pois passou a oferecer, cada vez mais, serviços digitais para armazenamento e processamento de dados e assim, melhor servir aos cidadãos, o que deixa mais expostos os dados para vazamento. 

Algumas dicas: 

- Revisão dos acessos e senhas administrativas privilegiadas do ambiente. 

- Solução de proteção dos aparelhos usados pelos usuários (notebook, celulares), incluindo antivírus de primeira linha e sempre atualizados. 

- Gestão de vulnerabilidades de sistemas de uma forma ampla. 

- Padrão de configuração de segurança das estações de trabalho e notebooks. 

- Múltiplos fatores de autenticação habilitados para todos os usuários. 

- Política e controles de segurança para o acesso remoto/home office 

- Backup com testes periódicos, e com estratégia contra os ransomware (software de extorsão, que pede resgate para desbloquear seus dados). 

Fica aí o relato aos senhores desembargadores do TJ.