Foto: Marcello Casal Jr/Agência Brasil.

O Superior Tribunal de Justiça proibiu o uso de notebooks pessoais dentro da sede do órgão em Brasília até segunda ordem, como parte das medidas de segurança após um ataque hacker de grandes proporções há 10 dias.

Em comunicado publicado no site, o presidente da Corte, Ministro Henrique Martins, fala na proibição do ingresso de “equipamentos pessoais de informática, como notebooks”, mas não chega a mencionar outras possibilidades.

Um smartphone pode ser considerado um “equipamento pessoal de informática”? Provavelmente sim. O STJ vai proibir todo mundo de entrar com um celular na sede? Provavelmente não.

A medida partiu da Secretaria de Tecnologia da Informação e Comunicação, com a colaboração do Comando de Defesa Cibernética do Exército brasileiro e do Serpro, que estão na força-tarefa da retomada das atividades.

Também foi chamada a Atos, uma multinacional de consultoria de TI, que ajudou no restabelecimento de sistemas e na recuperação de dados do Tribunal, que voltou a operar na segunda-feira, 9, quase uma semana depois do ataque.

“Pode parecer uma medida exagerada, mas em se tratando da gravidade do ataque e da quantidade de riscos que a equipe de SI e informática do tribunal terão que mitigar em pouco tempo foi o melhor a ser feito para reduzir a chance de novos ataques e vazamentos”, afirma Marison Souza, fundador da Privacy Tools, uma companhia gaúcha especializada no tema privacidade e segurança de dados.

De acordo com Souza, a estratégia parece ser “minimizar riscos”, enquanto a equipe trabalha em gaps de segurança que surgiram após a avaliação dos últimos dias.

No longo prazo, o STJ deve evoluir para uma política mais sofistificada de gestão de equipamentos do que simplesmente proibir notebooks, uma vez que a tecnologia para tanto já é madura.

"Esta abordagem binária de ‘proibir vs. não proibir’ não é mais compatível com o mundo VUCA atual. Quem acaba saindo perdendo são os usuários e a empresa", aponta Ricardo Dastis, diretor de Cyber Defense da Scunna.

(VUCA é uma sigla em inglês para volátil, incerto, complexo e ambíguo que está em alta na discussão de políticas de TI).

De acordo com Dastis, o conceito de que os funcionários possam trazer seus próprios equipamentos (BYOD, na sigla em inglês) já está em debate há uma década e as soluções para mitigação de risco estão "bastante maduras".

Além de proibir a entrada de dispositivos de fora, o que poderia ser chamado de anti-BYOD, o STJ também trocou as chaves de acesso por senhas fortes e com procedimentos de dupla autenticação, uma medida mais convencional.

O ataque ao STJ está sendo apontado por muitos especialistas como o maior já sofrido por um órgão de governo no Brasil. Hackers teriam criptografado mais de 1,2 mil máquinas virtuais, além de destruir seus backups, com um ransomware chamado RansomEXX.

O Baguete conversou com fornecedores de TI do judiciário e a expectativa é por mudanças como consequência da debacle de segurança vivida pela STJ, uma das instâncias mais altas da justiça brasileira. 

A decisão de proibir dispositivos de fora, chamativa em um momento em que muitas empresas incentivam justamente o contrário com as políticas de BYOD, não veio à toa.

De acordo com uma dessas fontes, que preferiu não ser identificada, é uma prática comum que fornecedores acessem servidores em produção, sem qualquer verificação.

“Temos uma cultura muito grande de "camaradagem", um ajuda ali o outro ajuda aqui e a segurança da informação faz vista grossa para evitar problemas, é cultural. Não precisa de nenhum esforço colossal para vazar dados do judiciário, basta má-fé”, afirma a fonte.