Governo exige uso de certificado digital para processos com login com privilégios elevados

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov), colaborativamente com o Centro Integrado de Segurança Cibernética do Governo Digital (CISC Gov.Br) exigem o uso dos certificados digitais de governo para processos de login com privilégios elevados. A ordem está em comunicado na página Internet do CTIR Gov, especialmente, após a denuncia da quebra de acesso de login do sistema de pagamento do governo federal.
Os órgãos de prevenção foram taxativos com as instituições da Administração Pública Federal (APF). Eles solicitam que as medidas listadas na Recomendação 02/2023 e assegurem:
A devida orientação dos usuários de sistemas governamentais a identificar tentativas de phishing e suas variantes (smishing e vishing), que podem envolver a utilização de e-mails, mensagens de texto e chamadas telefônicas fraudulentas para induzir os servidores públicos a divulgar suas informações de login;
A implementação do princípio de privilégio mínimo, para garantir que usuários tenham apenas o nível de acesso necessário para cumprir suas tarefas;
A exigência mínima de aplicação de Múltiplo Fator de Autenticação (MFA) para todos os processos de login;
Priorizar, quando cabível, a utilização de Certificados Digitais de Governo (fornecidos por Autoridades Certificadoras governamentais) para processos de login com privilégios elevados;
A combinação da utilização de Certificados Digitais de Governo e MFA, garantindo proteções sucessivas ao acesso a sistemas críticos; e
A limitação de acesso a sistemas críticos apenas aos endereços de origem à rede da organização. Para acessos externos, utilizar VPN combinada com MFA aliada aos conceitos de “jump host” ou “bastion server”.