O incidente de segurança no TJRS – por Filipe Pereira Mallmann

Depois do início do que se chamou de “ataque cibernético” tivemos uma série de dificuldades nos sistemas eletrônicos do tribunal gaúcho. De indisponibilidades parciais a totais. Para que possamos compreender melhor o cenário é importante delimitar os principais sistemas de processo eletrônico no âmbito da Justiça estadual, que são o eThemis e o eproc.

O eThemis é a base para o processamento dos autos físicos e para os processos eletrônicos dos juizados especiais, os quais acessamos externamente pelo Portal do Processo Eletrônico (PPE). Esse sistema está no tribunal e possui instâncias de aplicação nas comarcas para que seja possível a troca de informações com a base sediada em Porto Alegre.

O eproc possui arquitetura diversa do eThemis. Tem rede apartada e roda em servidores Linux. Esta é uma informação muito importante, e entenderemos melhor no decorrer desse texto.

O que é um ataque por ransomware e qual é o modus operandi ?

Esse tipo de ataque se dá pela infiltração de um malware capaz de infectar as máquinas alvo dentro de uma rede local, criptografando os arquivos contidos naqueles computadores. Comumente neste tipo de ofensiva, os atacantes visam exclusivamente ao bloqueio da operação nas organizações, para que seja possível exigir determinada quantia para que seja enviada a chave criptográfica capaz de desbloquear os arquivos.

Em grande parte das vezes, os ofensores sequer sabem quem é o alvo. Disparam por meio de ferramentas de infecção em massa milhares de arquivos pela rede mundial, e, havendo sucesso, identificam através de plataforma os alvos onde foram bem-sucedidos. Atualmente existem verdadeiros marketplaces de compra e venda de vulnerabilidades, bem como de botnets, redes de computadores zumbis domésticos infectados. Portanto, a ideia por trás de um ataque desses, seja no meio público, seja no meio privado, é em regra obter proveito econômico.

Possíveis cenários no TJRS

Primeiro é preciso dizer se o que houve no TJRS foi um ataque por ransomware ou não, e a resposta é óbvia: somente o próprio tribunal pode confirmar através da análise dos logs das máquinas comprometidas. Os indícios nesse sentido são fortes, porém não podemos deixar de considerar que existe uma infinidade de outras possibilidades, quando o assunto é segurança da informação.

Assumindo que houve a criptografia de algumas máquinas, é preciso entender se isso ocorreu apenas na sede do TJRS ou se o malware se propagou na rede interna até as comarcas. Havendo a aludida propagação, e não ocorrendo o comprometimento de instância de software, mas tão somente de arquivos, bastaria que as equipes procedessem à formatação das máquinas e o restabelecimento dos backups. Sabemos que a tarefa será árdua, e pode ser necessária a visita das equipes nas 166 comarcas do Estado para o restabelecimento.

Segurança da informação e fake news

Em tempos de incerteza, e no afã de levar a informação adiante, é possível que vez ou outra propaguemos as fake news. Todavia, em situações delicadas como esta, precisamos ser responsáveis na transmissão dessas informações. Fazer uma análise básica antes de compartilhar é sempre recomendado.

O meu posicionamento pessoal tem sido sempre com base nas informações oficiais, e nos conceitos básicos da Segurança da Informação e do Direito Digital. Nos últimos dias, muitas são as dúvidas chegando. Vamos examinar algumas delas, logo adiante.

Posso acessar o eproc sem me contaminar?

Esta é uma dúvida que só o TJRS pode responder, pois faz a custódia do código fonte e é responsável pela sua análise. Ocorre que, como comentamos antes, o eproc roda em servidores Linux. Ao que se sabe até o momento, as máquinas afetadas pela vulnerabilidade possuem sistema operacional Windows. Ademais, o contágio normalmente acontece em máquinas na mesma rede, por isso o aviso inicial para que os servidores que estavam em home office não acessassem pela VPN.

Posso acessar o portal do processo eletrônico?

Desde que o TJRS divulgue que é seguro, é possível acessar. A administração da corte já noticiou que está liberado o acesso para o público interno (servidores públicos) e para o público externo (advogados, defensores públicos, membros do MP, procuradorias).

Houve a perda de 75% do acervo de processos?

Nos primeiros momentos após o ataque, saíram notícias na imprensa de que 75% do acervo de processos estaria inacessível. Por óbvio, em um primeiro momento se bloqueiam todos os acessos, para que seja possível avaliar o que está acontecendo.

A partir dessas notícias começaram a circular em grupos que efetivamente se teria perdido 75% do acervo de processos de forma irreversível, o que não é crível. Como já entendemos mais acima, o ataque por ransomware criptografa arquivos na máquina alvo. Os processos são armazenados em bancos de dados e não em estações de trabalho. Logo, se obedecidas as melhores práticas internacionais, bem como as normas ISO, as bases devem estar em segurança.

Com a escalada global de ataques, vimos este triste tipo de evento danoso assolando o TJRS. Enquanto sociedade, precisamos nos preparar mais. Aqueles que trabalham em ramos correlatos ao Direito Digital e à Segurança da Informação sabem o quão difícil é sensibilizar as organizações para que se priorize investimentos em proteção dos dados. Esse tipo de evento vem crescendo vertiginosamente desde 2019. É uma realidade para a qual todos já deviam estar preparados.

Por aqui o evento danoso se consumou. Além de esforços para o contingenciamento efetivo das atividades, precisamos que as organizações compreendam que nesses momentos precisamos de maiores informações oficiais quanto a incidentes. Mais esforços em transparência e comunicação.

Com informações enriquecidas de detalhes, é possível compreender o cenário real, inclusive auxiliando na propagação das notícias verdadeiras, sejam elas palatáveis ou não.

PARA LER A ÍNTEGRA, NO ORIGINAL, CLIQUE AQUI.

(*) Filipe Pereira Mallmann é conselheiro seccional da OAB-RS, na qual é presidente da Comissão de Direito da Tecnologia e Inovação. Seu email é [email protected]

(**) O texto foi originalmente publicado no site especializado Espaço Vital