Prevenir, gerenciar e investigar. Essas são as diretrizes de protocolos instituídos pelo Conselho Nacional de Justiça (CNJ) para garantir a segurança do ecossistema digital dos tribunais e demais órgãos jurisdicionais do país. As normas são decorrentes do trabalho do Comitê de Segurança Cibernética do Poder Judiciário.
Segundo o coordenador do Comitê, o juiz auxiliar da Presidência do CNJ Alexandre Libonati, a ideia é que os protocolos de prevenção, gerenciamento e investigação de incidentes cibernéticos uniformizem e permitam maior proteção de dados e informações virtuais dos órgãos do Poder Judiciário. “As situações são as mais diversas em razão do porte do órgão, do quantitativo de servidores na área de segurança, dos sistemas envolvidos, do tipo de autenticação e acesso empregados e da própria atenção que dão ao tema. O que se pretende com os protocolos é estabelecer padrões mínimos de segurança que sejam uniformes.”
Para o representante do Gabinete de Segurança Institucional da Presidência da República no Comitê de Segurança Cibernética, Marcelo Fontenelle, os protocolos constituem um primeiro conjunto normativo de segurança cibernética a serem observados pelos órgãos do Poder Judiciário. “Acredito que as maiores contribuições sejam uma crescente sensibilização dos órgãos do Poder Judiciário quanto à relevância do tema segurança cibernética, a possibilidade de trabalhar de forma colaborativa com órgãos de outros Poderes e abrir caminho para um posicionamento convergente do Brasil em termos de segurança cibernética.”
Fontenelle, que atua como diretor do Departamento de Segurança da Informação da Presidência da República, destacou a importância da contribuição de diferentes órgãos na construção dos protocolos de segurança cibernética do Judiciário. “É importante o trabalho colaborativo. Isso é notório, por exemplo, na administração pública, onde o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo atua na coordenação de uma rede de equipes de prevenção, tratamento e resposta a incidentes cibernéticos. E não existe uma relação de subordinação nesse caso, posto que cada órgão é responsável pela sua própria segurança.”
Prevenção
O Protocolo de Prevenção a Incidentes Cibernéticos (PPICiber/PJ) foi instituído pela Resolução CNJ nº 361/2020. Ele traz diretrizes para a gestão do risco organizacional e permite decisões adequadas para o enfrentamento de ameaças e a implementação de melhores práticas e metodologias levando em consideração a realidade de cada órgão do Judiciário.
As funções básicas do PPICiber contemplam aspectos de identificação, proteção, detecção, resposta e recuperação em casos de incidentes cibernéticos. Cada órgão deve instituir Equipes de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), que poderão solicitar apoio multidisciplinar abrangendo as áreas de tecnologia da informação, jurídica, pesquisas judiciárias, comunicação, controle interno, segurança institucional, dentre outras necessárias para responder aos incidentes de segurança de maneira adequada e tempestiva. “Temos a previsão de apresentar, em março, um procedimento de compliance mediante o preenchimento de check lists, sem prejuízo de vistorias e inspeções locais”, explica Libonati.
Para dar um tratamento mais adequado aos ataques cibernéticos bem como para minimizar eventuais impactos na operação, o Protocolo de Prevenção a Incidentes Cibernéticos prevê que os órgãos possuam mecanismos de respostas e prevenção, com parâmetros de preparação, identificação, contenção, erradicação, recuperação e lições aprendidas.
Gerenciamento
Complementar ao PPICiber, o Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/PJ) é regulamentado pela Resolução CNJ nº 360/2020. Ele apoia a implementação de ações responsivas quando ficar evidente que uma ocorrência de segurança cibernética não será mitigada rapidamente e poderá durar dias, semanas ou meses.
O PGCC é iniciado quando ficar caracterizado grave dano material ou de imagem e o incidente impactar alguma atividade finalística ou serviço crítico, por longo período, com impacto no atendimento à população. O protocolo estabelece medidas a serem tomadas antes, durante e depois da crise.
Na chamada fase pré-crise, o Protocolo prevê que os órgãos do Judiciário estabeleçam um Programa de Gestão da Continuidade de Negócios, definindo atividades críticas cruciais, identificando os ativos de informação, avaliando continuamente os riscos, categorizando os incidentes e estabelecendo procedimentos de resposta específicos. Isso implica em priorizar o monitoramento, acompanhamento e tratamento dos riscos, com a realização de testes para validação dos planos e procedimentos.
Cada órgão deve criar uma sala de situação e um Comitê de Crises Cibernéticas. Assim, quando a ETIR identifica uma crise cibernética, o Comitê de Crises é acionado imediatamente e efetiva os planos de contingência para a continuidade dos serviços prestados. Cabe também ao Comitê entender o incidente, levantar as informações e soluções, avaliar suspensão de serviços ou sistemas, aplicar protocolo de investigação, organizar a comunicação e elaborar plano de retorno à normalidade.
Quando as operações retornam à normalidade, o Comitê de Crises Cibernéticas realiza a análise criteriosa das ações tomadas, observando as bem-sucedidas e as que ocorreram de forma inadequada, levando em consideração aspectos como causa-raiz do incidente, impacto nos dados, sistemas e operações, processos de detecção e proteção e estratégias de recuperação. Ao final, é elaborado relatório contendo a descrição e detalhamento do incidente bem como o plano de ação tomado. O objetivo é documentar o processo para evitar que novos incidentes similares ocorram ou para que, em caso de ocorrência, se reduzam os danos causados.
Investigação
Para estabelecer os procedimentos básicos para coleta e preservação de evidências, bem como para comunicação dos fatos relevantes ao órgão policial, o Conselho Nacional de Justiça (CNJ) instituiu, por meio da Resolução CNJ nº 362/2020, o Protocolo de Investigação para Ilícitos Cibernéticos. Ele apresenta as ações que devem ser realizadas pela ETIR para organizar as informações necessárias para apuração policial.
Durante o processo de tratamento do incidente penalmente relevante, a Equipe deverá coletar e preservar, entre outros, as mídias de armazenamento dos dispositivos afetados ou as suas respectivas imagens forenses, os dados voláteis armazenados nos dispositivos computacionais, como a memória principal (memória RAM), bem como a adequação dos ativos de informação.
Se não for possível preservar as mídias de armazenamento, a ETIR deverá coletar e armazenar cópia dos arquivos afetados pelo incidente, tais como: logs, configurações do sistema operacional, arquivos do sistema de informação e outros julgados necessários, mantendo-se a estrutura de diretórios original e os metadados desses arquivos, como data, hora de criação e permissões.
Após a conclusão do processo de coleta e preservação das evidências da ocorrência penalmente relevante, a ETIR elabora Relatório de Comunicação de Incidente de Segurança em Redes Computacionais, descrevendo detalhadamente os eventos verificados, que será encaminhado ao órgão de polícia judiciária com atribuição para apurar os fatos.
Gestão
Relator dos atos normativos que definiram os protocolos de segurança cibernética, o presidente do CNJ, ministro Luiz Fux, afirmou que “ao caminharmos a passos largos para o Judiciário 100% digital, torna-se imprescindível garantir a segurança cibernética do ecossistema digital do Poder Judiciário brasileiro, estabelecendo processos de trabalho orientados para a boa gestão da segurança da informação, o que abrange o estabelecimento de protocolos de prevenção, de atuação em eventuais momentos de crise e, finalmente, de constante atualização e acompanhamento das regras de compliance às melhores práticas”. Assim, assegura-se, ao mesmo tempo, o cumprimento da Lei de Acesso à Informação, bem como do Marco Civil da Internet e da Lei Geral de Proteção de Dados Pessoais (LGPD).
O Comitê é formado por especialistas da área de segurança cibernética do CNJ, do Superior Tribunal Federal (STF), do Superior Tribunal de Justiça (STJ), do Tribunal Superior Eleitoral (TSE), do Tribunal Superior do Trabalho (TST), do Superior Tribunal Militar (STM), da Justiça Federal, da Justiça dos estados, além de especialistas convidados do Comando de Defesa Cibernética do Exército, do Gabinete de Segurança Institucional da Presidência da República, da Polícia Federal, da Secretaria de Governo Digital do Ministério da Economia e da advocacia.
Alex Rodrigues
Agência CNJ de Notícias