{"id":2293,"date":"2020-11-23T19:35:40","date_gmt":"2020-11-23T19:35:40","guid":{"rendered":"https:\/\/www.acpdbrasil.com\/?p=2293"},"modified":"2021-07-19T21:03:12","modified_gmt":"2021-07-19T21:03:12","slug":"o-que-o-ciberataque-no-stj-tem-a-ver-com-voce","status":"publish","type":"post","link":"https:\/\/www.acpdbrasil.com\/en\/o-que-o-ciberataque-no-stj-tem-a-ver-com-voce\/","title":{"rendered":"O que o ciberataque ao STJ tem a ver com voc\u00ea?"},"content":{"rendered":"

O Superior Tribunal de Justi\u00e7\u00e3o (STJ)<\/a> ficou sem acesso aos seus sistemas ap\u00f3s um ciberataque de grandes propor\u00e7\u00f5es, sem precedentes, no dia 03 deste m\u00eas. O incidente ocasionou parada total dos sistemas internos, cancelamento de sess\u00f5es virtuais, julgamentos e processos em andamento, al\u00e9m da perda de notas de alunos de cursos deste tribunal. Este foi mais um caso em que um ransomware<\/a><\/em> foi utilizado para que cibercriminosos pudessem obter vantagens financeiras sobre organiza\u00e7\u00f5es, sejam elas p\u00fablicas ou privadas. O caso est\u00e1 sendo investigado pela Pol\u00edcia Federal. Segundo o ministro Humberto Martins, o tribunal envia diariamente informa\u00e7\u00f5es \u00e0 Pol\u00edcia Federal.<\/p>\n\n\n\n

Quanto \u00e0 investiga\u00e7\u00e3o sobre os autores do ataque cibern\u00e9tico sofrido pelo STJ, o envio \u00e0 Pol\u00edcia Federal de informa\u00e7\u00f5es pela equipe da Secretaria de Tecnologia da Informa\u00e7\u00e3o e Comunica\u00e7\u00e3o (STI) do Tribunal \u00e9 di\u00e1rio, num esfor\u00e7o conjunto para alcan\u00e7ar os criminosos e responsabiliz\u00e1-los. A investiga\u00e7\u00e3o corre sob sigilo.<\/p>Ministro Humberto Martins<\/cite><\/blockquote>\n\n\n\n

Neste fat\u00eddico dia, por volta das 15h00, diversos sistemas do STJ ficaram indispon\u00edveis. A equipe t\u00e9cnica, a princ\u00edpio, achou que se tratava de falha no firewall<\/em>. Ap\u00f3s an\u00e1lise e diagn\u00f3stico da rede do tribunal, o seu tr\u00e1fego foi transferido de maneira a n\u00e3o passar pelo firewall<\/em>. Tais procedimentos surtiram efeito. A fim de se aprofundar sobre o que estava ocorrendo, novos procedimentos foram realizados e foi constatado que o problema de indisponibilidade era no ambiente de servidores virtuais. A equipe t\u00e9cnica encontrou ind\u00edcios de invas\u00e3o concreta, a partir de um arquivo que foi submetido ao suporte t\u00e9cnico do fabricante dos servidores, que em nova an\u00e1lise confirmou que tratava-se de um ataque cibern\u00e9tico. Uma conta Doman Admin<\/em> foi explorada e permitiu ao cibercriminoso acesso aos servidores e consequente inser\u00e7\u00e3o do ransomware<\/em> em grupos de administra\u00e7\u00e3o do ambiente virtual deste Tribunal. Tamb\u00e9m houve tentativa de ataque ao ambiente de backup<\/em> dos sistemas, quando os links de acesso foram derrubados, ocasionando o bloqueio de todas as contas que haviam acessado o sistema nas \u00faltimas 24 horas.<\/p>\n\n\n\n

Ainda n\u00e3o h\u00e1 nada concreto, entretanto acredita-se que no ciberataque ao STJ, o ransomware<\/em> tenha sido infiltrado dias antes do ataque, a partir do download<\/em> de um arquivo que n\u00e3o teria sido identificado pelas ferramentas da seguran\u00e7a da TI deste \u00f3rg\u00e3o. Ind\u00edcios tamb\u00e9m apontam para vulnerabilidades no software<\/em> de virtualiza\u00e7\u00e3o dos servidores, al\u00e9m de falhas estruturais na rede, j\u00e1 que o ambiente de backup<\/em> ficava na mesma rede dos servidores de produ\u00e7\u00e3o.<\/p>\n\n\n\n

O que o ciberataque no STJ tem a ver com voc\u00ea?<\/strong><\/p>\n\n\n\n

Nossos dados, nossos problemas! Os desdobramentos do ciberataque servem para refor\u00e7ar a necessidade de ado\u00e7\u00e3o de medidas eficazes, multidisciplinares e com respaldo nas melhores pr\u00e1ticas internacionais das normas t\u00e9cnicas.<\/p>\n\n\n\n

\u00c9 indiscut\u00edvel que estamos passando por dificuldades acarretadas pela pandemia da COVID-19, entretanto o mundo tamb\u00e9m tem enfrentado incont\u00e1veis ciberataque a organiza\u00e7\u00f5es de todos os tamanhos. Mas, quando tomamos ci\u00eancia que organiza\u00e7\u00f5es como CIA, NASA, Presid\u00eancia da Rep\u00fablica do Brasil e outros \u00f3rg\u00e3os, que a grosso modo, n\u00e3o t\u00eam problemas com recursos financeiros, tecnol\u00f3gicos ou humanos, nos faz refletir que o problema associado a isto \u00e9 outro! E, nos faz concluir que h\u00e1 uma grande chance de serem erros em processos, seja por falta de capacita\u00e7\u00e3o, por resist\u00eancia a mudan\u00e7a de cultura e\/ou adapta\u00e7\u00e3o.<\/p>\n\n\n\n

Atualmente, a Sociedade Brasileira conta, desde setembro deste ano, com a Lei Geral de Prote\u00e7\u00e3o de Dados (LGPD)<\/a>, Lei n\u00ba 13.709\/2018, que disp\u00f5e sobre o tratamento (uso, armazenamento, transfer\u00eancia etc), de dados pessoais, nos meios f\u00edsicos e digitais, por pessoa f\u00edsica ou por pessoa jur\u00eddica de direito p\u00fablico ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Infelizmente, boa parte da popula\u00e7\u00e3o ainda sabe pouco sobre esta lei, ou at\u00e9 mesmo desconhece-a. A LGPD traz uma s\u00e9rie de obriga\u00e7\u00f5es para empresas p\u00fablicas ou privadas, e at\u00e9 mesmo para pessoas f\u00edsicas que tenham por objetivo a oferta ou o fornecimento de bens ou servi\u00e7os ou tratamento de dados de indiv\u00edduos localizados no territ\u00f3rio nacional.<\/p>\n\n\n\n

Boa parte das organiza\u00e7\u00f5es ainda enxergam a adequa\u00e7\u00e3o \u00e0 LGPD como sin\u00f4nimo de custo, e n\u00e3o de preven\u00e7\u00e3o. Sendo assim, optam por negligenci\u00e1-la, seja n\u00e3o prosseguindo com o tema, ou com a\u00e7\u00f5es pontuais, como a publica\u00e7\u00e3o de uma Pol\u00edtica (Aviso) de Privacidade, e nada mais. Outras delegam o desafio da adequa\u00e7\u00e3o ao setor jur\u00eddico, sem o comprometimento da alta dire\u00e7\u00e3o com o tema. Ou at\u00e9 mesmo adquirem um software<\/em> mirabolante com a promessa de ser adequada em um m\u00eas. Contudo, n\u00e3o se trata apenas das san\u00e7\u00f5es da Autoridade Nacional de Prote\u00e7\u00e3o de Dados (ANPD), trata-se:<\/p>\n\n\n\n