Como evitar o acesso indevido aos dados e mensagens trocadas entre servidores públicos

Já estão disponíveis mecanismos de autenticação forte e assinatura digital para serem aplicados aos sistemas de comunicação utilizados por servidores públicos

Dia 25 de abril publicamos a matéria – ainda não tínhamos recebido o retorno do MP. Confira aqui o que o MP fala sobre o incidente de segurança que ocorreu no SEI em 2 de abril.

 

O Portal ComputerWorld divulgou, dia 13 de abril, um incidente de segurança no SEI –  Sistema Eletrônico de Informações – o portal de gestão de documentos e processos eletrônicos para órgãos públicos.

O SEI é uma ferramenta de gestão de documentos e processos eletrônicos, e tem como objetivo promover a eficiência administrativa pública.

Segunda reportagem do ComputerWorld, a ação de cibercriminosos foi realizada a partir de uma brecha de segurança, que permitiu a injeção de scripts para roubo de senhas de usuários. Ainda segundo o ComputerWorld, a ocorrência foi confirmada através da troca de mensagens na lista pública utilizada para suporte técnico da ferramenta. De fato, houve roubo de senha e uma nova versão já foi disponibilizada pela equipe do Ministério Planejamento, Desenvolvimento e Gestão, responsável pela administração da plataforma.

“… A primeira mensagem sobre a falha foi enviada na terça-feira, dia 4 de abril, por um profissional da Universidade Federal da Fronteira Sul, do Rio Grande do Sul.

O questionamento era se a informação recebida por e-mail sobre os ataques seria verdadeira ou phishing. Usuários dos Correios e da Agência Estadual de Tecnologia da Informação também relataram o recebimento da mensagem. Instantes depois, a equipe do SEI confirmou o ataque e recomendou fortemente que todos os usuários aplicassem a atualização, assim que disponível no Portal do Software Público.

No dia seguinte (4/4), a equipe informou ter finalizado os testes com a versão 3.0.10 e liberou o pacote de atualização. Não foi informada a causa do ataque, nem quantos usuários foram atingidos.

Procurada pela Computerworld Brasil, a assessoria de imprensa do Ministério informou, por meio de nota, que o acesso de usuários externos ao SEI do Ministério do Planejamento, Desenvolvimento e Gestão (MP) foi bloqueado temporariamente para análise de possível vulnerabilidade de segurança. Não foram encontradas falhas e o sistema foi liberado.” – ComputerWorld  

Ações preventivas para evitar novos incidentes desse tipo

Procuramos a imprensa do Ministério do Planejamento para levantar as iniciativas adotadas para mitigar os riscos de vazamento de informações trocadas entre órgãos de governo e outras questões técnicas, mas não recebemos retorno, então, apresentaremos o que temos conhecimento do que já está disponível para ser adotado.

Autenticação forte, sigilo e assinaturas digitais

Temos conhecimento de que a plataforma SEI permite o uso de certificados digitais ICP-Brasil na versão 3.10 – versão em uso – porém,  a 3.10 ainda apresenta alguns problemas de interoperabilidade entre os sistemas. Sabemos também que já existe em homologação a versão 3.11. Nesta versão as incompatibilidades foram resolvidas, principalmente, em relação ao Java que dificultava a utilização dos certificados digitais ICP- Brasil.

O Ministério do Planejamento não informou se já existe uma data prevista para que a versão 3.11 do SEI seja homologada e disponibilizada aos usuários.

Visando atender demanda da Secretaria de Gestão de Pessoas do Ministério de Planejamento – MP no sentido de fomentar o uso do certificado digital ICP-Brasil nos sistemas administrativos e estruturantes da Administração Pública Federal, em 6 de julho de 2.017, conduzido pelo ITI – Instituto Nacional de Tecnologia da Informação, foi aprovada a Resolução nº 121 no Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira.

A Resolução nº 121 trata, entre outros itens, da simplificação do processo de validação para servidores públicos da ativa e militares da União. Os respectivos órgãos competentes passam a ter a responsabilidade da identificação do requerente do certificado digital e isso significa que os órgãos podem utilizar suas informações internas para validar os titulares dos certificados digitais.

As disposições para a validação dos dados dos solicitantes dos certificados digitais ICP-Brasil referentes aos servidores públicos da ativa e militares da União estão contidas no DOC-ICP-05.02.

Esta Resolução é um instrumento facilitador para a adoção de certificados digitais pelo poder público brasileiro estendendo os benefícios para servidores públicos da ativa e militares da União.

Portanto, em relação a regulamentação dos processos também está tudo pronto para a adoção da certificação digital por órgão públicos conferindo aos funcionários públicos a identificação digital que exclui o frágil login e senha por uma tecnologia robusta que confere confidencialidade, integridade, disponibilidade, autenticidade e não repúdio aos atos assinados com os certificados digitais ICP- Brasil.

Falamos com ITI – Instituto Nacional de Tecnologia da Informação – e segundo  sua assessoria de imprensa, o Instituto entende que a certificação digital no padrão da Infraestrutura de Chaves Públicas é a melhor ferramenta de identificação e assinatura à disposição do serviço público. A sua força jurídica, que garante validade legal aos atos assinados digitalmente, e que está intrinsecamente associada a impossibilidade de o autor negar a autenticidade de uma mensagem (não-repúdio), combina-se com a robustez tecnológica da criptografia assimétrica. Entidades renomadas internacionalmente, como INPI e Inmetro, já adotaram a certificação digital em serviços e projetos, respectivamente. O FGTS, a Compe por Imagem, a Nota Fiscal Eletrônica, o Sistema de Pagamentos Brasileiro, o Processo Judicial Eletrônico, o Passaporte e a CNH-e são alguns bons exemplos que fazem da certificação ICP-Brasil o seu mecanismo de segurança, autenticidade e confiança digital.

Agora, cabe aos responsáveis pelos sistemas públicos a adoção das tecnologias disponíveis. Vamos acompanhar.