Como evitar o acesso indevido aos dados e mensagens trocadas entre servidores públicos
25 de abril de 2018Já estão disponíveis mecanismos de autenticação forte e assinatura digital para serem aplicados aos sistemas de comunicação utilizados por servidores públicos
Dia 25 de abril publicamos a matéria – ainda não tínhamos recebido o retorno do MP. Confira aqui o que o MP fala sobre o incidente de segurança que ocorreu no SEI em 2 de abril.
O Portal ComputerWorld divulgou, dia 13 de abril, um incidente de segurança no SEI – Sistema Eletrônico de Informações – o portal de gestão de documentos e processos eletrônicos para órgãos públicos.
O SEI é uma ferramenta de gestão de documentos e processos eletrônicos, e tem como objetivo promover a eficiência administrativa pública.
Segunda reportagem do ComputerWorld, a ação de cibercriminosos foi realizada a partir de uma brecha de segurança, que permitiu a injeção de scripts para roubo de senhas de usuários. Ainda segundo o ComputerWorld, a ocorrência foi confirmada através da troca de mensagens na lista pública utilizada para suporte técnico da ferramenta. De fato, houve roubo de senha e uma nova versão já foi disponibilizada pela equipe do Ministério Planejamento, Desenvolvimento e Gestão, responsável pela administração da plataforma.
“… A primeira mensagem sobre a falha foi enviada na terça-feira, dia 4 de abril, por um profissional da Universidade Federal da Fronteira Sul, do Rio Grande do Sul.
O questionamento era se a informação recebida por e-mail sobre os ataques seria verdadeira ou phishing. Usuários dos Correios e da Agência Estadual de Tecnologia da Informação também relataram o recebimento da mensagem. Instantes depois, a equipe do SEI confirmou o ataque e recomendou fortemente que todos os usuários aplicassem a atualização, assim que disponível no Portal do Software Público.
No dia seguinte (4/4), a equipe informou ter finalizado os testes com a versão 3.0.10 e liberou o pacote de atualização. Não foi informada a causa do ataque, nem quantos usuários foram atingidos.
Procurada pela Computerworld Brasil, a assessoria de imprensa do Ministério informou, por meio de nota, que o acesso de usuários externos ao SEI do Ministério do Planejamento, Desenvolvimento e Gestão (MP) foi bloqueado temporariamente para análise de possível vulnerabilidade de segurança. Não foram encontradas falhas e o sistema foi liberado.” – ComputerWorld
Ações preventivas para evitar novos incidentes desse tipo
Procuramos a imprensa do Ministério do Planejamento para levantar as iniciativas adotadas para mitigar os riscos de vazamento de informações trocadas entre órgãos de governo e outras questões técnicas, mas não recebemos retorno, então, apresentaremos o que temos conhecimento do que já está disponível para ser adotado.
Autenticação forte, sigilo e assinaturas digitais
Temos conhecimento de que a plataforma SEI permite o uso de certificados digitais ICP-Brasil na versão 3.10 – versão em uso – porém, a 3.10 ainda apresenta alguns problemas de interoperabilidade entre os sistemas. Sabemos também que já existe em homologação a versão 3.11. Nesta versão as incompatibilidades foram resolvidas, principalmente, em relação ao Java que dificultava a utilização dos certificados digitais ICP- Brasil.
O Ministério do Planejamento não informou se já existe uma data prevista para que a versão 3.11 do SEI seja homologada e disponibilizada aos usuários.
Visando atender demanda da Secretaria de Gestão de Pessoas do Ministério de Planejamento – MP no sentido de fomentar o uso do certificado digital ICP-Brasil nos sistemas administrativos e estruturantes da Administração Pública Federal, em 6 de julho de 2.017, conduzido pelo ITI – Instituto Nacional de Tecnologia da Informação, foi aprovada a Resolução nº 121 no Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira.
A Resolução nº 121 trata, entre outros itens, da simplificação do processo de validação para servidores públicos da ativa e militares da União. Os respectivos órgãos competentes passam a ter a responsabilidade da identificação do requerente do certificado digital e isso significa que os órgãos podem utilizar suas informações internas para validar os titulares dos certificados digitais.
As disposições para a validação dos dados dos solicitantes dos certificados digitais ICP-Brasil referentes aos servidores públicos da ativa e militares da União estão contidas no DOC-ICP-05.02.
Esta Resolução é um instrumento facilitador para a adoção de certificados digitais pelo poder público brasileiro estendendo os benefícios para servidores públicos da ativa e militares da União.
Portanto, em relação a regulamentação dos processos também está tudo pronto para a adoção da certificação digital por órgão públicos conferindo aos funcionários públicos a identificação digital que exclui o frágil login e senha por uma tecnologia robusta que confere confidencialidade, integridade, disponibilidade, autenticidade e não repúdio aos atos assinados com os certificados digitais ICP- Brasil.
Falamos com ITI – Instituto Nacional de Tecnologia da Informação – e segundo sua assessoria de imprensa, o Instituto entende que a certificação digital no padrão da Infraestrutura de Chaves Públicas é a melhor ferramenta de identificação e assinatura à disposição do serviço público. A sua força jurídica, que garante validade legal aos atos assinados digitalmente, e que está intrinsecamente associada a impossibilidade de o autor negar a autenticidade de uma mensagem (não-repúdio), combina-se com a robustez tecnológica da criptografia assimétrica. Entidades renomadas internacionalmente, como INPI e Inmetro, já adotaram a certificação digital em serviços e projetos, respectivamente. O FGTS, a Compe por Imagem, a Nota Fiscal Eletrônica, o Sistema de Pagamentos Brasileiro, o Processo Judicial Eletrônico, o Passaporte e a CNH-e são alguns bons exemplos que fazem da certificação ICP-Brasil o seu mecanismo de segurança, autenticidade e confiança digital.
Agora, cabe aos responsáveis pelos sistemas públicos a adoção das tecnologias disponíveis. Vamos acompanhar.
O SEI O Sistema Eletrônico de Informações (SEI), desenvolvido pelo Tribunal Regional Federal da 4ª Região (TRF4), é uma ferramenta de gestão de documentos e processos eletrônicos, e tem como objetivo promover a eficiência administrativa.
A ferramenta integra o Processo Eletrônico Nacional (PEN), iniciativa conjunta de órgãos e entidades de diversas esferas da administração pública, com o intuito de construir uma infraestrutura pública de processos e documentos administrativos eletrônico.
O sistema permite produção, edição, assinatura e trâmite de documentos dentro do próprio SEI, além de possibilitar a atuação simultânea de diversas unidades em um mesmo processo, ainda que distantes fisicamente, reduzindo o tempo de realização das atividades.
Os principais benefícios do uso da plataforma são acompanhamento de processos on-line e assinatura de documentos por usuários internos e externos; aumento da produtividade e diminuição do uso do papel; sistema intuitivo e estruturado, com boa navegabilidade e usabilidade; acesso remoto por meio de diversos tipos de equipamentos (notebooks, tablets, smartphones etc.); e melhoria nos fluxos de trabalho e agilidade na tramitação.
O aplicativo é disponibilizado como Software de Governo mediante celebração de acordo de cooperação com o Ministério do Planejamento, Desenvolvimento e Gestão.
O Software Público Brasileiro é um tipo específico de software livre que atende às necessidades de modernização da administração pública de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios e é compartilhado sem ônus, visando economia de recursos públicos e constituindo um recurso benéfico para a administração pública e para a sociedade.