Um ataque que começa na rede de uma das operadoras de telecomunicações se espalha para concorrentes e mesmo para outros setores, como o fornecimento de energia elétrica. Essa foi uma das simulações realizadas dentro do exercício Guardião Cibernético, liderado pelo Comando de Defesa Cibernética do Exército, e que pela primeira vez reuniu empresas de telecom.
Em outro exercício, o ataque foi contra o satélite geoestacionário de defesa e comunicações. “O satélite geoestacionário tem uma empresa de telecom de grande importância na provisão de hardware e software, empresa que esta no exercício. Uma das simulações foi ataque a um ativo dessa empresa que provê estrutura de rede, e através de um ataque lateral gerando efeitos sobre a Defesa, podendo até inviabilizar link de dados”, revela o coordenador do Guardião Cibernético, tenente coronel Walbery Nogueira de Lima e Silva.
Como explica o gerente de controle de obrigações de qualidade da Anatel, Gustavo Borges, que representou a agência nos três dias de simulações e análises encerrados nesta quinta, 4/7, a inclusão do setor de telecomunicações faz sentido pela importância da proteção das redes em qualquer tipo de ataque. “Ataques cibernéticos chegam para todos os setores e telecomunicações é o ambiente pelo qual acontecem esses ataques. Então é importante que o setor tenha a condição de suportar esses ataques e reagir.”
O aprendizado do exercício também alimenta preocupações específicas do setor. Como revela o gerente de controle de obrigações de qualidade, a participação ajudou no aperfeiçoamento da proposta de resolução da agência sobre o tema da segurança cibernética. “A normativa não busca determinar todos os regramentos, mas criar um ambiente de cooperação entre órgãos de governo, de defesa, entre as empresas. A regulamentação tem que acompanhar o dinamismo desse assunto”, afirma Borges.
Segundo explica, a norma é muito focada na criação de um sistema colaborativo entre as empresas do setor de telecom, para comunicação e atuação conjunta quando necessário. “A Anatel tem planejado uma regulamentação nova sobre segurança cibernética, que está sendo encaminhada para deliberação do Conselho Diretor. Vai pautar para o setor quais são as obrigações e está bem voltado para a questão de cooperação, para que se tenha a melhor resiliência em telecom.”
Não repassem dados pessoais por telefone ou por SMS. A vacinação contra a Covid-19 não exige cadastramento prévio no ministério da saúde, nem no aplicativo Conecte SUS Cidadão.
Tribunal assumiu o ataque, mas reportou que 'não houve invasão aos sistemas nem às bases de dados, tampouco furto de informações". A Polícia Federal foi acionada.
Primeiro patch tuesday de 2021 corrigiu 83 vulnerabilidades no sistema operacional Windows, Edge, Office, Visual Studio, .Net Core Engine e SQL Server, entre outros. Atenção total ao CVE-2021-1648, um bug no serviço splwow64 do Windows que pode permitir que um invasor eleve seu nível de privilégio.
Questionada pela CVM, a companhia admitiu que houve, sim, vazamento de dados, mas preferiu não confirmar quais foram. Também admitiu que recebeu pedido de resgate dos hackers. Embraer disse ainda que os sistemas de TI já estão reestabelecidos.