Sites dos municípios da Paraíba: análise de vulnerabilidades computacionais
DOI:
https://doi.org/10.22478/ufpb.2358-3908.2017v4n2.40418Resumo
O governo eletrônico pode ser caracterizado pela utilização das Tecnologias de Informação e Comunicação pela administração pública, como ferramenta de apoio aos processos de Governo e para entrega de produtos e serviços à sociedade. Contudo as plataformas digitais estão sujeitas a diferentes tipos ameaças eletrônicas, tais ameaças exploram vulnerabilidades no ambiente organizacional e computacional e colocam os ativos de informação em constante risco. Essa pesquisa teve como objetivo analisar possíveis vulnerabilidades computacionais existentes em sites de governo eletrônico dos municípios do Estado da Paraíba. Foram considerados como população da pesquisa os 50 municípios que representam maior participação para a composição do Produto Interno Bruto do Estado da Paraíba (83,4%), deste conjunto foi possível analisar os sites de 40 cidades. A pesquisa se caracterizou como descritiva, com abordagem quantitativa. Para a coleta dos dados, foi utilizado o Nestparker, um software para testes de penetração que tem como função identificar vulnerabilidades em aplicações Web. Como resultado, foram encontradas 822 vulnerabilidades, das quais 15% são Críticas e 15% de Alta Criticidade e 10% foram classificadas como de Média Criticidade. Tais vulnerabilidades tem o potencial de permitir que elementos mal-intencionados causem impactos negativos relevantes à continuidade dos serviços oferecidos nestes sites. Além de identificar as vulnerabilidades foi efetuado analises para indicar como corrigir cada um dos problemas encontrados, o que permite aos gestores públicos tomarem ações que visem minimizar falhas de segurança, bem como no desenvolvimento de uma política de segurança da informação.
Downloads
Referências
BANCO MUNDIAL. e-Goverment. 2015. Disponível em: <http://www.worldbank.org/en/topic/ict/brief/e-government.> Acesso em: 13 jul. 2016.
BRASIL. Tribunal de Contas da União. Acórdão nº 3.117/2014. 2014. Plenário. Relator: Ministro Augusto Sherman Cavalcanti. Sessão de 12/11/2014. Disponível em: <http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A14D78C1F1014D794C57073235>. Acesso em: 25 out. 2016.
CARVALHO, Paulo Sérgio Melo. Conferência de abertura: o setor cibernético nas forças armadas brasileiras. In: BARROS, Otávio Santana Rego; GOMES, Ulisses Mesquita (Org.). Desafios estratégicos para segurança e defesa cibernética. Brasília: 2011. p. 13-34. Disponível em: <http://livroaberto.ibict.br/bitstream/1/612/2/Desafios%20estrat%C3%A9gicos%20para%20seguran%C3%A7a%20e%20defesa%20cibern%C3%A9tica.pdf >. Acesso em: 14 out. 2016.
CENTRO DE TRATAMENTO DE INCIDENTES DE SEGURANÇA DE REDES DE COMPUTADORES DA ADMINISTRAÇÃO PÚBLICA FEDERAL. Estatísticas de incidentes de rede na APF: 1° trimestre. 2016. Disponível em: <http://www.ctir.gov.br/arquivos/estatisticas/2016/Estatisticas_CTIR_Gov_1o_Trimestre_2016.pdf>. Acesso em: 15 out. 2016.
COMMON ATTACK PATTERN ENUMERATION AND CLASSIFICATION – CAPEC. 2017.
Disponível em: <https://capec.mitre.org/>. Acesso em: 13 abr. 2017.
COMMON WEAKNESS ENUMERATION - CWE. Cross-site Scripting. Disponível em: <https://cwe.mitre.org/data/definitions/79.html>. Acesso em: 13 abr. 2017.
DAMIAN, Ieda Pelógia Martins; MERLO, Edgard Monforte. Uma análise dos sites de governos eletrônicos no Brasil sob a ótica dos usuários dos serviços e sua satisfação. Revista de Administração Pública, v. 47, n. 4, p. 877-900, 2013.
FREIRE, Felipe Ribeiro; STABILE, Max. As novas tecnologias e a participação eletrônica: entre promessas e desafios. In: BARBOSA, Alexandre F. (Coord.). Pesquisa sobre o uso das tecnologias da informação e comunicação no setor público brasileiro: TIC governo eletrônico 2013. São Paulo: 2014. p. 47-56. Disponível em: <http://cetic.br/media/docs/publicacoes/2/TIC_eGOV_2013_LIVRO_ELETRONICO.pdf>. Acesso em: 25 ago. 2016.
GOVERNMENT ACCOUNTABILITY OFFICE - GAO. Information Security: federal agencies need to better protect sensitive data. [S.l.: s.n], 2015. Disponível em: <http://www.gao.gov/assets/680/673678.pdf>. Acesso em: 16 out. 2016.
GUPTA, Babita; DASGUPTA, Subhasish; GUPTA, Atul. Adoption of ICT in a government organization in a developing country: An empirical study. Journal of Strategic Information Systems, v. 17, p. 140-154, 2008.
IBLISS. Relatório de Ameaças de 2016. Disponível em: <https://www.ibliss.com.br/relatorio-de-ameacas-2016/>. Acesso em: 05 mar. 2017.
INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA - IBGE. Disponível em: <http://cidades.ibge.gov.br/download/mapa_e_municipios.php?lang=&uf=pb>. Acesso em 27 de out. 2016.
KENNEDY, Aileen; COUGHLAN, Joseph P.; KELLEHER, Carol. Business process change in e-government projects: the case of the Irish land registry.Technology Enabled Transformation of the Public Sector: Advances in E-Government: Advances in E-Government. 2012.
MANDARINO JÚNIOR, Raphael; CANONGIA, Cláudia. Segurança cibernética no Brasil: livro verde. Gabinete de Segurança Institucional (GSI), Brasília, DF, 2010.
OPEN WEB APPLICATION SECURITY PROJECT – OWASP. Owasp Top 10-2013: the ten most critical web application security risks. 2013. Disponível em: <http://www.lulu.com/shop/owasp-foundation/owasp-top-10-2013/paperback/product-21241952.html>. Acesso em: 26 de out. 2016.
ORGANIZATION FOR ECONOMIC COOPERATION AND DEVELOPMENT - OECD. The case of E-government: Excerpts from the OECD Report “The E-Government Imperative”. Paris: OECD, 2003. Disponível em: <https://www.oecd.org/gov/budgeting/43496369.pdf>. Acesso em 23 de jun. 2016.
PAYMENT CARD INDUSTRY – PCI. The Prioritized Approach to Pursue PCI DSS Compliance, 2016. Disponível em: <https://www.pcisecuritystandards.org/documents/Prioritized-Approach-for-PCI_DSS-v3_2.pdf?agreement=true&time=1493141839795>. Acesso em: 13 abr. 2017.
PINHO, José Antônio Gomes. Investigando portais de governo eletrônico de estados no Brasil: muita tecnologia, pouca democracia. Revista de Administração Pública, v. 42, n. 3, p. 471-493, 2008.
PONEMON INSTITUTE. 2015 Cost of Cyber Crime Study: Global. [S.l.: s.n], 2015. Disponível em: <https://ssl.www8.hp.com/ww/en/secure/pdf/4aa6-1889ptl.pdf>. Acesso em: 16 out. 2016.
UNITED NATIONS. E-Government Survey 2014: E-Government for the future we want. United Nations Department of economic and social affairs, 2014. Disponível em: <https://publicadministration.un.org/egovkb/Portals/egovkb/Documents/un/2014-Survey/E-Gov_Complete_Survey-2014.pdf>. Acesso em: 15 jul. 2016.
UTO, Nelson. Teste de invasão de aplicações web. Rio de Janeiro, RJ, 2013, Disponível em: <https://esr.rnp.br/livro/seg9#p/20>. Acesso em: 25 de out. 2016.
WEB APPLICATION SECURITY CONSORTIUM – WASC.
Disponível em: <http://www.webappsec.org/>. Acesso em: 13 abr. 2017.