Holanda estava vulnerável a fraude de SSL

Os órgãos do governo holandês dependem demasiado dos departamentos de TI para a aquisição de certificados SSL.

O governo holandês não estava preparado para lidar com uma fraude de certificados SSL, diz o Conselho de Segurança holandês, num relatório revelado esta quinta-feira. Em 2011, a infra-estrutura de comunicações do executivo ficou vulnerável durante meses. E porque a administração não foi capaz de substituir os certificados imediatamente, os dados dos cidadãos e de empresas estiveram em risco, sublinha o relatório.
As referidas redes foram severamente comprometidas em 2011 depois que um hacker invadiu os sistemas da autoridade de certificação DigiNotar, fornecedora holandesa de certificados Secure Socket Layer (SSL). O ataque à DigiNotar comprometeu a fiabilidade e segurança dos certificados emitidos pela empresa.
E, assim, afectou a segurança dos sistemas de informação do governo holandês e dos seus sistemas fiscais, entre outros. O governo não conseguiu revogar imediatamente os certificados da DigiNotar após a descoberta do ataque.
Temeu que isso perturbasse ou até mesmo bloqueasse as comunicações máquina a máquina de sistemas essenciais do governo, disse o ministro do Interior, Piet Hein Donner. A substituição de todos os certificados DigiNotar demorou depois meses.
Revogar os certificados imediatamente após o ataque teria causado falhas no sistema fiscal e sistema judicial, e provocaria grande perturbação social e prejuízos económicos, reconhece o Conselho de Segurança holandês no seu relatório.
Nenhuma das entidades envolvidas, incluindo o regulador de telecomunicações OPTA e a Logius – organização responsável pela infra-estrutura tecnológica do governo – estavam  preparadas para a “crise” da DigiNotar, considera o Conselho. Nem tinham previsto os riscos envolvidos quando uma autoridade certificadora, como a DigiNotar, fosse comprometida.

Nenhuma delas percebeu que nem todos os certificados podem ser revogados imediatamente, acrescenta o relatório. Os órgãos do executivo dependem muito dos departamentos de TI quando se trata de aquisição de certificados.
E, ao fazer isto, colocaram em risco a adequada protecção das comunicações digitais, disse o Conselho de Segurança. Este concluiu que a Logius, em particular, e a OPTA, em menor medida, fizeram um esforço insuficiente para compreender a fiabilidade real das autoridades de certificação.
Confiaram demasiado na avaliação de auditores, considera o organismo. Para evitar que incidentes similares ocorram no futuro, o Conselho de Segurança aconselhou o actual ministro do Interior, Spies Liesbeth, a desenvolver um programa específico: o objectivo será consciencializar as organizações governamentais e seus administradores para os riscos de segurança em questão.
Os órgãos do Governo também deverão ser obrigados a assumir a responsabilidade de garantirem a segurança digital, considera o conselho. Além disso, o organismo recomenda às organizações governamentais a conformidade com as normas NEN-ISO/IEC 27001 e 27002 de segurança da informação.
Além disso, as administrações nacionais e locais devem estar preparadas para lidar com incidentes digitais.
E devem ser capazes de reparar os danos causados por eles, acrescenta. O Conselho de Segurança aconselhou o ministro a implantar um sistema mais seguro para a emissão e utilização de certificados SSL.




Deixe um comentário

O seu email não será publicado