MP fala sobre o incidente de segurança que ocorreu no SEI, sua estrutura e o uso de certificados digitais
2 de maio de 2018O Sistema Eletrônico de Informações SEI não é um sistema integrado entre todos os órgãos que o utilizam. Cada órgão deve instalá-lo em sua própria infraestrutura de tecnologia e os responsáveis técnicos devem ficar atentos em promover as atualizações da ferramenta tempestivamente.
Dia 25 de abril publicamos a matéria – Como evitar o acesso indevido aos dados e mensagens trocadas entre servidores públicos – sobre o acesso indevido que ocorreu no SEI – Sistema Eletrônico de Informações, noticiado pela Computerworld dia 13 de abril. Na ocasião da publicação – 25 de abril – ainda não tínhamos recebido o retorno do Ministério do Planejamento, Desenvolvimento e Gestão – MP.
Segue a baixo os detalhes sobre o incidente
Segundo Ministério do Planejamento, Desenvolvimento e Gestão – MP informou a nossa redação, o Sistema Eletrônico de Informações (SEI) não é um sistema integrado entre todos os órgãos que o utilizam. Cada órgão deve instalá-lo em sua própria infraestrutura de tecnologia e os responsáveis técnicos devem ficar atentos em promover as atualizações da ferramenta tempestivamente.
Em 2 de abril, o Ministério do Planejamento, Desenvolvimento e Gestão – MP, foi informado sobre indícios de vulnerabilidade e, em reposta, no dia seguinte, lançou um pacote de atualização para corrigir as vulnerabilidades e enviou mensagem aos gestores do SEI, por meio de sistema, alertando sobre a possibilidade de exploração da vulnerabilidade e solicitando a atualização para a versão 3.0.10.
O ataque está sendo investigado pela Polícia Federal, em sigilo.
No caso específico do Ministério do Planejamento, Desenvolvimento e Gestão (MP), o acesso de usuários externos ao Sistema Eletrônico de Informações (SEI) foi bloqueado temporariamente para análise de possível vulnerabilidade de segurança. Não foram encontradas falhas e o sistema foi liberado.
Fizemos algumas perguntas ao Ministério do Planejamento, Desenvolvimento e Gestão – MP, e recebemos as respostas consolidadas com dados da Setic, SGP e Delog/Seges.
Crypto ID: Quais foram os dados do MP hackeados no sistema SEI?
MP: No âmbito do MP não foi identificado nenhum ataque ao SEI.
Crypto ID: Como foi detectado o incidente?
MP: O incidente foi identificado pela equipe do SEI do Governo do Distrito Federal (GDF). Após a detecção e confirmação no GDF, foi detectado pela equipe responsável pelo SEI do Ministério da Integração invasão similar, porém com intenção de produzir documentos falsos na base do Ministério.
Crypto ID: Vocês utilizam ferramentas de monitoramento?
MP: Tendo em vista que o modelo de distribuição do SEI é descentralizado, ou seja, cada órgão hospeda/sustenta o SEI sob suas próprias regras de segurança, o monitoramento é feito por cada equipe de segurança. Dessa forma, considerando as diversas instalações do SEI existentes no Poder Executivo Federal, cabe a cada órgão/entidade fornecer infraestrutura e implementar suas próprias políticas de segurança da informação e comunicação.
Importante ressaltar que o Sistema Eletrônico de Informações (SEI), desenvolvido pelo Tribunal Regional Federal da 4ª Região (TRF4) e cedido gratuitamente para as instituições públicas, é a solução de processo eletrônico escolhida no âmbito do Processo Eletrônico Nacional (PEN) e de uso obrigatório para órgãos do Poder Executivo Federal na administração direta, autárquica e fundacional.
No âmbito deste Ministério, o SEI é sustentado pela Secretaria de Tecnologia da Informação e Comunicações (SETIC) e a monitoração do SEI é realizado pela ferramenta Nagios (aplicativo que monitora serviços na rede).
Crypto ID: É a primeira vez em que entram terceiros não autorizados no SEI?
MP: Sim.
Crypto ID: É possível ter havido outras invasões sem terem sido detectados?
MP: Após a implantação do SEI nos últimos 5 anos, nenhum outro relato de invasão foi reportado ao MP. Porém, até que a atualização da versão 3.0.10 ou superior do SEI seja realizada em todos os órgãos/entidades, não há como identificar outras possibilidades de invasão.
Crypto ID: Quais as ações tomadas pelos Ministério do Planejamento?
MP: O TRF4 e o MP disponibilizaram a versão atualizada do SEI (3.0.10), que corrigiu as vulnerabilidades identificadas.
Crypto ID: Em quanto tempo foi resolvido?
MP: Recebemos o comunicado do problema no dia 28/03 e a versão com as correções foi disponibilizada no dia 04/04.
Crypto ID: Quantos usuários tem o sistema atualmente?
MP: Atualmente 357 órgãos aderiram ao PEN/SEI, sendo 100 com o SEI implantado e 257, em fase de implantação. Deste total, 168 são da esfera federal.
Estes números estão disponíveis no endereço Eletrônico: http://www.planejamento.gov.br/pensei/adesao-ao-processo-eletronico-nacional-pen
Crypto ID: O SEI permite o uso de certificados digitais ICP-Brasil?
MP: Sim.
Crypto ID: Quantos usuários utilizam o SEI com certificação digital?
MP: Por ter sua infraestrutura distribuída, não possuímos esta informação.
Crypto ID: a versão disponibilizada 3.10 permite a utilização do Certificados Digitais, mas temos conhecimento que existe alguns entraves em relação ao JAVA. Já existe uma versão 3.11 em que isso é solucionado? Quando entra no ar essa versão?
MP: O TRF4 está trabalhando nesta implementação, que deverá ser lançada na versão 3.1.
Crypto ID: com a simplificação da validação para a emissão dos certificados digitais dos funcionários públicos os Certificados Digitais já poderiam ser emitidos em escala. Como anda esse projeto da identificação digital dos funcionários públicos?
MP: O Projeto de Certificação Digital do Servidor Público Federal visa facilitar a emissão de certificados para os servidores de órgãos que utilizam o Sistema de Gestão de Pessoas do Governo Federal (Sigepe) . A proposta vai permitir a emissão de um certificado em um processo totalmente sem papel, conforme o fluxo abaixo:
Crypto ID: Como vocês vêm os benefícios para a segurança da informação dos órgãos públicos com o uso dos Certificados Digitais em documentos eletrônicos?
MP: Certificação Digital é a tecnologia que adota mecanismos de segurança no intuito de garantir autenticidade, confidencialidade, integridade às informações. Tendo em vista o crescimento da oferta de serviços digitais pelo Governo Federal, entendemos que a solução de Certificação Digital e seus benefícios deve ser aplicada sempre que possível e pertinente.
Leia também Como evitar o acesso indevido aos dados e mensagens trocadas entre servidores públicos.