Saiu hoje (12) um daqueles Acórdãos do TCU (Nº1768/22), que só mostram como a TI Federal gosta de viver perigosamente, seja por incompetência ou má-fé. A Corte de Contas foi obrigada a lembrar aos gestores públicos, através da Secretaria de Governo Digital do Ministério da Economia, que eles são obrigados a aderir à “Rede Federal de Gestão de Incidentes Cibernéticos”, conforme o previsto no parágrafo 1º do Artigo 1º do Decreto 10.748/2021. A decisão também foi endereçada ao Gabinete de Segurança Institucional da Presidência da República (GSI).
A medida vale para empresas públicas e sociedades de economia mista federais, assim como “pessoas jurídicas de direito público interno dos Poderes Legislativo e Judiciário Federais (este último, por intermédio do Conselho Nacional de Justiça) e do Ministério Público da União, bem como a pessoas jurídicas de direito privado e a outras pessoas jurídicas de direito público”.
Ministério da Saúde
Porém, no Acórdão do TCU, o Ministério da Saúde ganhou um puxão de orelhas. O órgão de controle fez constar no texto da decisão que a “não designação de servidores para compor o comitê de segurança da informação ou estrutura equivalente do órgão ofende ao disposto no art. 15, inciso IV e § 1º, do Decreto 9.637/2018 e no art. 17 da Portaria 271/2017 desse ministério, que dispõe sobre a sua Política de Segurança da Informação e Comunicações, e constitui obstáculo para o atendimento às disposições do art. 8º da Instrução Normativa 5/2021 do Gabinete de Segurança Institucional da Presidência da República”.
E por conta de já ter sofrido um incidente cibernético “que causou a interrupção de serviços essenciais à população no Ministério da Saúde em dezembro de 2021”, o Acórdão do TCU destacou um capítulo especial nas recomendações feitas para a Secretaria de Fiscalização de TI (Sefti) acompanhar o andamento dos trabalhos nessa pasta:
– identificar as causas do incidente, bem como eventuais falhas de gestão e de controles que possam ter permitido ou agravado sua ocorrência, analisando-se, inclusive, apurações realizadas pelo Ministério da Saúde e demais órgãos;
– avaliar as ações adotadas por empresas responsáveis pela prestação de serviços de infraestrutura e pela proteção das informações e dos serviços do Ministério da Saúde, no âmbito de suas obrigações contratuais;
– acompanhar a adoção de medidas por parte do Ministério da Saúde para corrigir os problemas identificados, prevenir a ocorrência de novos incidentes e para reforçar a segurança das informações e a proteção cibernética dos serviços prestados no âmbito daquele órgão;
– adotar outras providências que entender relevantes ao deslinde da questão.
O Acórdão foi apresentado pelo relator, ministro Vital do Rêgo, com base no “acompanhamento” que o órgão de controle externo vem realizando “com vistas a mapear a maturidade das organizações públicas federais quanto à implementação de controles críticos de segurança cibernética”.
Vital do Rêgo recomendou também ao Gabinete de Segurança Institucional da Presidência da República e a SGD do Ministério da Economia, que adotem providências como:
– avalie as deficiências apontadas neste ciclo do acompanhamento de forma a subsidiar suas ações normativas e pedagógicas, a fim de orientar os órgãos e entidades participantes desse sistema a implementarem com urgência controles críticos e medidas de segurança cibernética naquilo que lhes for aplicável, observando ainda as normas exaradas pelo Gabinete de Segurança Institucional da Presidência da República e boas práticas como as preconizadas pelo Center for Internet Security e pela norma técnica ABNT NBR ISO/IEC 27002:2013.
Ao Senado Federal, à Câmara dos Deputados, ao Supremo Tribunal Federal, ao Ministério Público Federal, ao Ministério Público Militar, ao Ministério Público do Trabalho e ao Ministério Público do Distrito Federal e Territórios; o ministro do TCU fez as seguintes recomendações:
– implementar com urgência controles críticos e medidas de segurança cibernética,
– adotar, na inexistência de normativo próprio tratando desses temas, as práticas previstas nos Decretos 9.637/2018 e 10.222/2020, que regem aspectos gerais relacionados à segurança da informação e à segurança cibernética no âmbito da Administração Pública federal, bem como as constantes das instruções normativas e de normas complementares editadas pelo Gabinete de Segurança Institucional da Presidência da República aplicáveis a esse respeito;
– formalizar, junto ao Gabinete de Segurança Institucional da Presidência da República, ato de adesão à Rede Federal de Gestão de Incidentes Cibernéticos, nos termos do § 4º do art. 7º do Decreto 10.748/2021;
– recomendar ao Conselho Nacional de Justiça, com fundamento no art. 11 da Resolução – TCU 315/2020, que adote providências, tais como a edição de normativos e guias, assim como outras que entender aplicáveis, para orientar os tribunais sob sua supervisão administrativa com vistas à adoção das medidas.