Na tarde de 30 de setembro, o Centro de Monitoramento de Tecnologia da Informação e Segurança Cibernética do Comitê de Cifras do Governo coordenou com diversas agências e unidades dentro e fora do Comitê Organizador para encerrar o programa de exercícios práticos para garantir a segurança das informações de rede para sistemas de TI no Comitê de Cifras do Governo em 2024.

episódio 2 1.jpg
O Major-General Nguyen Dang Luc, Vice-Chefe do Comitê de Cifras do Governo, discursou na cerimônia de encerramento do programa de exercícios de combate de 2024. Foto: Comitê Organizador

O sistema escolhido como alvo das equipes de ataque e defesa neste exercício de tiro real é o portal de serviço público da Administração de Criptografia Civil e do Departamento de Inspeção de Produtos Criptográficos.

Este é um dos sistemas importantes da indústria de Criptografia, responsável por fornecer serviços de licenciamento para exportação e importação de produtos criptográficos civis para empresas.

Além da equipe de defesa do Comitê de Cifras do Governo, o programa de exercícios de combate deste ano do Comitê também conta com a participação de equipes de ataque, incluindo unidades dentro do Comitê, como a Academia de Técnicas de Criptografia, o Instituto de Ciência e Tecnologia de Criptografia, o Centro de Tecnologia da Informação e Monitoramento de Segurança de Rede, bem como empresas e parceiros externos, como VNPT , Kaspersky...

De acordo com as estatísticas do Comitê Organizador, durante 3 dias consecutivos, de 25 a 27 de setembro, a equipe de defesa teve que enfrentar dezenas de milhares de varreduras e ataques ao sistema pelas equipes de ataque.

Quatro equipes de ataque muito apreciadas no programa de exercícios de combate de 2024 do Comitê de Cifra do Governo incluem: a equipe do Centro de Segurança da Informação do VNPT ganhou o primeiro prêmio, a equipe da Academia de Engenharia de Criptografia recebeu o segundo prêmio; duas equipes do Instituto de Ciência e Tecnologia de Criptografia, Centro de Tecnologia da Informação e Monitoramento de Segurança de Rede ganharam o terceiro prêmio.

Por meio do exercício, agências e unidades do Comitê de Cifras do Governo tiveram a oportunidade de se autoavaliar e avaliar sua capacidade de resposta a ameaças e ataques cibernéticos.

Torneira W-dien 001.jpg
Por meio de exercícios práticos, a equipe técnica aprimorou suas habilidades na prevenção de ataques e no tratamento de incidentes de segurança de rede. Foto ilustrativa: TM

Em particular, a partir do processo de ataque e defesa do sistema, as unidades do Comitê de Cifra do Governo descobriram fraquezas e brechas de segurança que ainda existem no processo de uso de pessoas e tecnologia para tomar medidas imediatas para superá-las e lidar com elas; ao mesmo tempo, há orientações e planos para melhorar a eficácia da garantia da segurança dos sistemas de informação sob sua gestão no futuro próximo.

Falando na cerimônia de encerramento do exercício, o Major-General Nguyen Dang Luc, vice-chefe do Comitê de Cifras do Governo, solicitou que as agências e unidades do Comitê entendam claramente a importância de garantir a segurança da rede para seus sistemas de informação.

"As agências e unidades não podem ser negligentes ou subjetivas neste trabalho. Elas devem aconselhar prontamente os líderes do Conselho de Desenvolvimento de Infraestrutura Digital e o ambiente digital do departamento ou filial para atender aos requisitos de segurança", enfatizou o Major-General Nguyen Dang Luc.

Junto com o pedido para fortalecer a cooperação e a troca de informações entre agências e unidades dentro e fora do Comitê de Cifras do Governo, o Major-General Nguyen Dang Luc também orientou o Centro de Tecnologia da Informação e Monitoramento de Segurança Cibernética a continuar a coordenar, aconselhar e propor a organização de exercícios semelhantes para reavaliar o nível de segurança de todos os sistemas do departamento e setor.

Além disso, o representante do Comitê de Cifras do Governo também observou que, antes de colocar um sistema de informação ou uma solução de segurança em uso prático, as agências e unidades do Comitê devem conduzir uma avaliação aprofundada da segurança da informação e da rede para encontrar e corrigir vulnerabilidades de segurança no código-fonte ou no modelo de design do sistema, para garantir a segurança contra os riscos sempre presentes de ataques cibernéticos.

Na Diretiva 60 sobre organização e implementação de exercícios da vida real para garantir a segurança das informações da rede, emitida em setembro de 2021, o Primeiro Ministro destacou: Para que as equipes de resposta a incidentes tenham capacidade suficiente para lidar com incidentes que ocorrem em seus sistemas, o exercício precisa ser convertido em um exercício da vida real, com novos métodos, escopo e natureza.

Exercícios da vida real são conduzidos em sistemas reais, sem um roteiro prévio, mas com regulamentações sobre objetivos, participantes, ferramentas utilizadas, nível de exploração e duração para minimizar riscos.

Os exercícios de campo vinculam a atividade do exercício ao próprio sistema que a equipe de resposta a incidentes é responsável por proteger, aprimorando ainda mais a experiência da equipe de resposta a incidentes no tratamento de incidentes em sistemas operacionais.

A plataforma de suporte a exercícios da vida real será lançada este ano . Com a plataforma de suporte a exercícios da vida real, a implementação de exercícios em agências e organizações será mais fácil e de maior qualidade, sincronizada e reduzindo gradualmente a lacuna entre as unidades, bem como com os exercícios nacionais.