TI Safe

Class | Suporte | EaD | Hub |

Home Blog Lições aprendidas com invasão hacker na Prefeitura do Rio de Janeiro

Blog

Lições aprendidas com invasão hacker na Prefeitura do Rio de Janeiro

Thiago Branquinho, CTO da TI Safe, conta como poderiam ter sido mitigados os danos aos serviços do Carioca Digital.

Um ataque hacker ao datacenter da prefeitura do Rio de Janeiro tirou do ar, por quase 20 dias, todos os serviços prestados pelo sistema Carioca Digital. Entre as operações que ficaram indisponíveis estavam o processamento de nota fiscal eletrônica, serviços referentes ao IPTU, emissões de certidões, entre outras, que são essenciais para os cidadãos e empresas fluminenses.

Segundo identificou a investigação conduzida pela Delegacia de Repressão ao Crimes de Informática (DRCI), o ataque partiu do exterior. Contudo, não foi possível determinar de qual país. Circulou na internet, na época da invasão, informações de que um grupo russo especializado em ransomware anunciou que tinha feito domínios com a extensão “gov.br” como vítimas. Os criminosos teriam colocado à venda na internet três terabytes de material extraído das contas atacadas, mas não se comprovou a relação direta e entre essa ação criminosa e o ataque à Prefeitura do Rio de Janeiro.

Thiago Branquinho, CTO da TI Safe, avalia que para proteger a Prefeitura e qualquer outro órgão cuja plataforma é de acesso livre e aberto para o público, os sistemas externos precisam estar compartimentalizados para evitar a transmissão em escala, como aconteceu no episódio da invasão aos sistemas da Prefeitura. “As funções não podem estar concentradas em um só lugar. É preciso separá-las como se fossem contêineres. Dessa forma, quando ocorre uma invasão sua proliferação é rapidamente estancada”, explica Thiago.

O CTO da TI Safe detalha, também, que as camadas de defesa são diversas, a começar pela conscientização das equipes internas que administram os sistemas. “Muitas vezes o ataque acaba sendo facilitado por descuido de algum empregado que clica e baixa arquivos contendo softwares maliciosos ou mesmo o administrador que pode deixar portas abertas para entrada desses malwares”, diz.

Na avaliação de Thiago, além da conscientização das equipes é preciso, também, investimentos em tecnologias como firewalls avançados. “Existem categorias de firewall capazes de fazer varreduras tão potentes que chegam a identificar comportamentos indevidos dos usuários, bloquear o acesso e assim proteger os sistemas”, avalia.  E completa: “Na parte de dados, além de ferramentas que possibilitam a visão de controles de formulários e de tudo o que foi feito na rede e da implementação de uma segurança rígida de acesso, é, também, muito importante investir em backups”.

Segundo Thiago, backups são cruciais ao permitirem a rápida restauração dos serviços prioritários, mesmo após uma invasão crítica. No caso dos problemas ocorridos na Prefeitura, não se sabe ao certo o nível de backup implementado anteriormente. Contudo, pelas características e abrangência do evento dificilmente havia um backup consistente.

“Pelo que acompanhamos a respeito de como se deu o “cascateamento” dos problemas gerados pela invasão, acredito que a segurança estava obsoleta e não, necessariamente, usava as melhores práticas e tecnologias e, claramente, não havia um backup de pronta recuperação”, destaca Thiago.

O prejuízo para os sistemas na Prefeitura foi tão grande que optaram pela compra de novos computadores no lugar de recuperar os sistemas. A aquisição de equipamentos de forma emergencial aponta que houve uma degradação ao longo do tempo, ou seja, custaria menos trocar do que recuperar, isso demonstra que as máquinas instaladas no órgão não eram compatíveis com o uso de recursos de proteção mais modernos. Contudo, se houvesse uma arquitetura compartimentalizada, a invasão em um sistema não afetaria o outro. Mas, como as estruturas eram compartilhadas, houve uma difusão do vírus que acabou causando impacto geral.

Para Thiago, uma vez que os ataques estão cada vez mais sofisticados, melhorar a segurança cibernética e mitigar danos resultantes de ataques como o que ocorreu na Prefeitura, passa pela conscientização dos usuários, monitoramento constante e pela implementação de tecnologias avançadas e de processos que possibilitem a pronta recuperação em caso de invasões.

“É bem possível que os processos, as tecnologias para manter a proteção e os backups estivessem deficitários. Também ficou clara a falta de um plano de recuperação de desastres, pois levar quase um mês para voltar a operar é inadmissível para uma organização governamental crítica como a Prefeitura da cidade do Rio de Janeiro”, conclui Thiago.

A TI Safe não tem detalhes sobre o que foi feito para o regresso dos serviços do Carioca Digital num ambiente protegido, mas analisa que, neste caso, além de novos computadores, seria necessário levantar barreiras de segurança, implementar firewall, sistemas de anti-malware e realizar a segmentação adequada da rede.

 

 

Voltar