Ingen backup: Hvorfor cyberangreb er en stor risiko for regeringen i Brasilien

Langt de fleste føderale regeringsorganisationer i Brasilien har en høj risiko for cyberangreb, en ny rapport produceret af Federal Audit Court (TCU) har fundet.

En gruppe på 29 områder, der repræsenterer en høj risiko i form af sårbarhed, magtmisbrug, dårlig ledelse eller behov for drastiske ændringer, blev analyseret i rapporten, som er i sin første udgave. Med hensyn til cybersikkerhed har rapporten konstateret, at den føderale regerings opsætning er "aktiv, men utilstrækkelig".

Ifølge rapporten kan den føderale administration ikke reagere på og behandle cybersikkerhedshændelser tilstrækkeligt, og der er adskillige sårbarheder i både informationssikkerhed og cybersikkerhed på tværs af de fleste centrale myndigheder kroppe.

Blandt rapportens resultater bemærkede TCU, at 74,6 % af organisationerne ikke har en formelt godkendt backuppolitik, der er forhandlet mellem forretningsområderne og organisationens IT. Desuden har 71 % af de organisationer, der hoster deres systemer på deres egne servere, ikke en specifik backup-plan for deres hovedsystem.

Derudover fandt TCU ud af, at 66 % af de føderale regeringsorganer, der udfører sikkerhedskopier, ikke bruger kryptering. Over 80 % af organisationerne er i de tidlige stadier af kapacitetsopbygning med hensyn til IT-forretningskontinuitet.

Rapporten har fundet ud af, at 60,2 % af organisationerne inden for den føderale administration ikke opbevarer deres kopier på mindst én ikke-fjerntilgængelig destination. Det tilføjede, at dette indebærer en risiko for, at selve backupfilerne kan ende med at blive beskadiget, slettet og/eller krypteret af angriberen eller malware, hvilket gør organisationens backup/gendannelsesproces ineffektiv i tilfælde af en Cyber ​​angreb.

Rapporten citerede tal omkring den igangværende digitalisering af offentlige tjenester i Brasilien, som hidtil har dækket 73,1 % af de tjenester, der leveres af den føderale regering. TCU-rapporten bemærkede, at den digitale transformation af offentlige tjenester havde øget afhængigheden af IT-tjenester og derfor de risici og skader, som sikkerhedsfejl og utilgængelighed af tjenester kan årsag.

Blandt de seneste eksempler på hændelser, der er nævnt i rapporten, fremhævede TCU cyberangrebet mod Sundhedsministeriet, hvorved COVID-19-vaccinationsdata forsvandt, samt angrebet mod Højesteret, beskrevet som "det værste cyberangreb nogensinde udført mod en brasiliansk offentlig institution, hvad angår størrelse og kompleksitet".

Med hensyn til, hvad der skal gøres for at afhjælpe manglerne i den føderale administration i Brasilien, bemærkede TCU, at grundlæggende der skal træffes foranstaltninger til at sikre kontinuiteten i forretningsprocesser og serviceydelser i tilfælde af en informationssikkerhed hændelser. Dette inkluderer "implementering af generelle politikker og kontinuitetsplaner samt vedligeholdelse af effektive interne kontroller, såsom dem, der er relateret til implementering af backup procedurer."

TCU bemærkede også, at den havde godkendt sin egen informations- og cybersikkerhedsstrategi. Derudover har Revisionsretten planlagt specifikke tiltag og initiativer, herunder agil overvågning af kritiske cybersikkerhedskontroller, for at øge bevidstheden hos organerne om vigtigheden af ​​disse spørgsmål og forbedre den aktuelle situation i den føderale administration omkring cybersikkerhed.

Ifølge TCU er tanken bag strategien at fremme en informationssikkerhedskultur i den føderale offentlighed administrationsorganer og hjælpe dem med at opretholde veldefinerede processer for styring og forvaltning af information og cyber sikkerhed. "Målet er at minimere risici og mulige konsekvenser af angreb og hændelser", bemærkes i rapporten.