TRIBUNAL REGIONAL FEDERAL DA 4ª REGIÃO
Rua Otávio Francisco Caruso da Rocha, 300 - Bairro Praia de Belas - CEP 90010-395 - Porto Alegre - RS - www.trf4.jus.br
TRIBUNAL REGIONAL FEDERAL DA 4ª REGIÃO
Rua Otávio Francisco Caruso da Rocha, 300 - Bairro Praia de Belas - CEP 90010-395 - Porto Alegre - RS - www.trf4.jus.br
Ata
Ata da Reunião do Comissão Local de Segurança da Informação
Data: 20 de março de 2025
Local: por videoconferência
Presentes
1. Juiz Federal Marcos Josegrei da Silva, Juiz Auxiliar da Presidência (presidente);
2. Juiz Federal Eduardo Tonetto Picarelli, Juiz Auxiliar da Corregedoria;
3. Alexandre Kenzi Antonini, da Assessoria de Projetos e Inovação (TRF4);
4. Anderson Alves Elesbão, da 5ª Vara Federal de Porto Alegre (SJRS);
5. Clarissa Albuquerque Costa, da 9º Vara Federal de Curitiba;
6. Cristian Ramos Prange, da Diretoria de Tecnologia da Informação (TRF4);
7. Cristinne Rojas Barros, da Diretoria Judiciária (TRF4);
8. Jean Carlo Zequim, da Divisão de Tecnologia da Informação (SJPR);
9. João Carlos Barbosa, da Divisão de Tecnologia da Informação (SJRS);
10. Rafael Augusto da Silva, da Divisão de Tecnologia da Informação (SJSC);
11. Rafael Tweedie Campos, da Divisão de Tecnologia da Informação (SJRS);
12. Tauame Aguiar Pacce, da Diretoria de Tecnologia da Informação (TRF4).
Pauta
1. Rápido relato do ataque DDOS ao TRF4 em 28/02
Cristian relata o incidente de negação de serviço ocorrido (DDOS - Distributed Denial of Service) em 28 de fevereiro p. p., que impossibilitou o acesso externos aos sistemas hospedados no TRF4. Informou também sobre a resolução do incidente e garantiu que nenhum sistema foi comprometido.
Dr. Josegrei informou ainda que, conforme o Protocolo de Gerenciamento de Crise Cibernética, a Polícia Federal e o Conselho Nacional de Justiça foram informados acerca do ocorrido.
2. Protocolo de envio de dados de investigação (0005255-03.2024.4.04.8001)
Cristian relata que, no processo 0005255-03.2024.4.04.8001, a Diretora do Foro da Seção Judiciária do Rio Grande do Sul questiona qual fluxo deve ser seguido para informar dados de acessos (para investigação, por exemplo).
Dr. Josegrei ressalta que a forma do pedido ou do envio desses dados pode anular uma possível investigação.
Clarissa questiona se isso não configuraria uma quebra de sigilo. Nesse caso, questiona quem deveria decidir isso.
Anderson entende que, para processos judiciais, a questão deve ser submetida ao juiz responsável pelo processo.
Jean acrescenta que a Direção do Foro sempre deve ser informada sobre esses pedidos, pois, muitas vezes, eles implicam trabalho considerável para a área de TI.
Após debates, a CLSI decide propor o seguinte fluxo:
1. Todo pedido deve estar autuado em processo administrativo próprio;
2. O pedido deverá ser autorizado pelo desembargador ou pelo juiz, se relacionado a processo judicial, ou pela Presidência do TRF4 ou pela Direção do Foro, se for causa administrativa;
3. O pedido deve ser encaminhado à Presidência ou à Direção do Foro, que repassará para a TI;
4. A TI coleta os dados e informa no processo administrativo;
5. A Presidência ou a Direção do Foro providenciará resposta ao solicitante.
3. Duração do período sem solicitação do 2FA
Rafael Silva traz a questão da duração do período em que não se solicita o 2FA após uma autenticação bem-sucedida do usuário
Jean opina que o mecanismo de autenticação por 2FA deveria ser mais inteligente, solicitando novamente o 2FA quando houver mudança no perfil de acesso ao sistema
Bascuñán pondera que deve-se pensar no risco institucional, caso um golpe sofisticado realizado por um hacker seja perpetrado contra algum usuário do eproc.
Dr. Picarelli entende que esse assunto deve ser discutido previamente com a OAB, pois há muita resistência dos usuários quanto ao 2FA.
Rafael Tweedie sugere iniciar pelos sistemas internos.
Após debates, CLSI decide por não deliberar sobre esse tema na presente reunião à vista da ausência de consenso.
4. Instalação de software
4.1. Software de arquivo digital Atom (0005445-57.2024.4.04.8003)
Jean relata que, em verificação de segurança realizada no final do ano passado, foi constatado que a plataforma Atom (utilizada para gestão de documentos da memória institucional) estava com versões do PHP e do ElasticSearch muito antigas.
Tauame informa que uma nova versão do software foi lançada há menos de 10 dias, o que pode corrigir o problema.
Cristian sugere também que o acesso às plataformas desatualizadas seja restrito a IPs do Brasil e que as máquinas sejam logicamente isoladas do restante da rede.
Após debates, CLSI decide sugerir a atualização da plataforma, a restrição do acesso apenas a IPs do Brasil e o isolamento lógico das máquinas que hospedam o Atom em relação ao restante da rede.
4.2. Software Absolute Poll - Enquetes Google (0000678-45.2025.4.04.8001)
Cristian relata que é um pedido para liberação de enquetes no Google Chat, por meio do plug-in Absolute Poll. Cristian informa que leu os termos de uso e a política de privacidade e que não visualizou nenhum problema.
Cristinne e Clarissa reforçam o pedido, para apoiar nos grupos com muitas deliberações.
Após debates, CLSI decide autorizar o uso do Absolute Poll no Google Chat.
4.3. Software do Laboratório de Inovação (0000544-15.2025.4.04.8002)
Cristian relata pedido feito por magistrada do Laboratório de Inovação da Seção Judiciária de Santa Catarina que comprou duas licenças de software particular e pede para instalar nos computadores da SJSC, justificando com as suas propriedades e utilidades para os fins do Laboratório.
Após debates, CLSI decide negar a instalação do software particular, à vista da política de segurança institucional já adotada para uso dos microcomputadores da Justiça Federal, porquanto não se trata de programa objeto de uso institucional, precedido dos devidos testes no âmbito técnico interno.
4.4. Instalação de software em celular de Oficial de Justiça
Jean relata pedido de oficial de justiça para instalar aplicações particulares em celular institucional vinculado a conta institucional.
Após debates, CLSI decide negar a instalação do software particular em celular institucional nas condições mencionadas.
4.5. Instalação de software em função de cursos (Java, JDK, R, Anaconda) (JFPR)
Jean relata pedido de diretor de secretaria para instalação de software de programação em computadores da Justiça Federal.
Após debates, CLSI decide negar a instalação de software de programação fora da área de TI.
4.6. Senha de administrador para instalação de software (0004020-69.2022.4.04.8001)
Cristian relata pedido de magistrado para obter senha de administrador em seu notebook de trabalho para instalação de software decorrente de curso na ENFAM.
Após debates, o CLSI decide não fornecer a senha de administrador, pois isso está vedado pelas políticas de segurança da informação da Justiça Federal da 4ª Região (Nota Técnica 5787399).
4.7. Instalação de software de uso pessoal (0003562-52.2022.4.04.8001)
Cristian relata pedido de magistrado para instalação de software específico em notebook de trabalho, embora o notebook já esteja configurado com software institucional com a mesma função.
Após debates, o CLSI decide negar o pedido do magistrado.
|
Documento assinado eletronicamente por MARCOS JOSEGREI DA SILVA, Presidente da Comissão Local de Segurança da Informação da Justiça Federal da 4ª Região, em 21/03/2025, às 17:14, conforme art. 1º, III, "b", da Lei 11.419/2006. |
|
A autenticidade do documento pode ser conferida no site http://www.trf4.jus.br/trf4/processos/verifica.php informando o código verificador 7704896 e o código CRC 79656B52. |
| 0007651-87.2023.4.04.8000 | 7704896v35 |