Recentemente, a Polícia Civil anunciou uma série de investigações para apurar uma onda de fraudes sofridas por quatro prefeituras do Rio Grande do Sul. Em questão de dias, os municípios investigados tiveram um prejuízo total de quase R$ 1,5 milhão após servidores serem vítimas de fraudes relativamente simples — uma abordagem de vishing, na qual os criminosos personificaram agentes bancários, induzindo os funcionários a informar dados bancários sensíveis para o saque do dinheiro público.
O município mais afetado foi o de Mata, região central de RS, que perdeu R$ 450 mil em transferências maliciosas. Já em Jaguari, R$ 200 mil foram desviados do cofre municipal. Em Arroio do Tigre, o estrago foi de R$ 135 mil; porém, a prefeitura mais afetada foi a de Nova Hartz, que registrou um prejuízo de mais de R$ 700 mil. De acordo com os prefeitos, a maior parte da verba seria destinada à saúde pública.
Procurada pela mídia, a Caixa Econômica Federal garantiu que está apoiando as autoridades através da abertura de processos de contestação das transações. “O processo é realizado por equipe especializada e as informações relativas aos casos são consideradas sigilosas e repassadas exclusivamente à Polícia Federal e demais órgãos competentes para análise e investigação. O resultado da análise também é informado ao titular da conta. Caso seja constatada a fraude, o valor será ressarcido”, afirmou.
Uma tragédia anunciada?
Embora os recentes ocorridos no RS assustem, ninguém pode dizer que a fragilidade do poder público quando o assunto é segurança da informação não foi anunciada com antecedência. Em 2022, o Tribunal de Contas da União (TCU) realizou uma auditoria com um total de 377 organizações públicas e autarquias e chegou a uma constatação preocupante: mais da metade delas estava em um nível baixíssimo de maturidade no que tange a controles de cibersegurança, abrindo precedentes para esse tipo de incidente.
Na época, o TCU explicou que “avaliou a implementação de vinte medidas de segurança básicas relacionadas a cinco dos dezoito controles críticos de segurança cibernética estabelecidos no framework do Center for Internet Security (CIS): inventário e controle de ativos de hardware corporativos; inventário e controle de ativos de software; gestão contínua de vulnerabilidades; conscientização sobre segurança e treinamento de competências; e gestão de respostas a incidentes”.
As respostas da autoavaliação, posteriormente divulgadas em um relatório, apontavam para “uma situação de alto risco para a segurança cibernética do setor público federal”, sendo que a fiscalização teria identificado “vários pontos de atenção em relação à implementação dos controles avaliados”. Falando especificamente da gestão do risco humano e security awareness, mais da metade (57,8%) dos órgãos avaliados não possuíam um programa contínuo de conscientização para educar os servidores públicos a respeito de ameaças diversas — como a campanha de vishing responsável por zerar os cofres gaúchos.
Outros perigos
A auditoria do TCU foi tão preocupante que gerou uma cartilha-guia batizada de “Cinco controles de segurança cibernética para ontem”, listando o mínimo que as organizações públicas deveriam fazer imediatamente para alcançar um nível minimamente aceitável de proteção de dados. Os ditos cinco controles são: "Inventário e Controle de Ativos Corporativos", "Inventário e Controle de Ativos de Software", "Gestão Contínua de Vulnerabilidades", "Conscientização Sobre Segurança e Treinamento de Competências" e "Gestão de Respostas a Incidentes".
Falando especificamente da conscientização, o guia explica que “os programas de conscientização e treinamento não devem se restringir ao ensino de ‘o que’ e ‘como’ fazer, mas, sobretudo, devem explicar aos colaboradores as razões (‘por que’) por trás de cada uma das questões de segurança abordadas e mostrar-lhes os objetivos da SegInfo e impactos potenciais, positivos e negativos, dos diferentes comportamentos e das condutas sobre a organização”.
O documento vai além e ressalta a importância de simulações periódicas de ataques para garantir o engajamento nos treinamentos: “É sempre importante testar os conhecimentos adquiridos pelos colaboradores ao final da realização de qualquer ação de conscientização, educação e/ou treinamento em segurança (da informação e cibernética), que pode fazer parte de atividade educacional de TI mais abrangentes ou, ainda, treinamento e curso de caráter mais geral em segurança”.
Com uma metodologia flexível, jornadas de aprendizagem holísticas e um sistema de gestão orientado a dados, que possibilita o acompanhamento detalhado de métricas de engajamento e comportamento inadequado, a Eskive é a plataforma de human risk management mais adequada para manter um programa de conscientização robusto.
Venha conversar com nossos consultores e se aprofundar em nossos diferenciais!
