O Conselho Nacional de Justiça (CNJ) determinou aos órgãos do Poder Judiciário a implementação do Múltiplo Fator de Autenticação (MFA) como requisito funcional para acesso a sistemas judiciais sensíveis. A determinação consta na Portaria CNJ n. 140/2024 e se aplica a todos os tribunais sob a competência do CNJ. As cortes terão 90 dias para implementar esse método de autenticação, a partir de sexta-feira (26/4).
O reforço na segurança cibernética da Justiça é voltado a quaisquer sistemas ou serviços considerados críticos na avaliação interna do tribunal, incluindo aqueles expostos ao acesso remoto pela internet, a exemplo dos sistemas de tramitação de processo judicial eletrônico. Também estão contempladas as plataformas de tramitação de processos administrativos e as ferramentas de acessos a redes privadas virtuais (VPNs).
Incluem-se ainda os sistemas ou serviços que permitam acesso a dados sensíveis ou confidenciais; a emissão de mandados de prisão e alvarás de soltura; a pesquisa de ativos financeiros; sua constrição e movimentação; acesso remoto ao ambiente interno de rede; de e-mail funcional ou corporativo.
Pela portaria, ficam excluídos da obrigatoriedade de implementação do MFA somente os serviços públicos cuja utilização não depende de autenticação, ou seja, aqueles que não requerem login e senha para utilização.
A medida foi adotada em consonância com a Portaria CNJ n. 316/2023, que disciplina as práticas de gestão de identidade e controle de acesso ao Sistema de Controle de Acessos (SCA) Corporativo do CNJ. Além da normatização, o Comitê Gestor de Segurança da Informação do Poder Judiciário (CGSI-PJ) reconheceu a importância de fortalecer as medidas de segurança da informação e de proteger os sistemas judiciários contra ameaças cibernéticas.
Monitoramento e revisão
Para seleção dos métodos de MFA, os órgãos integrantes do Poder Judiciário brasileiro deverão considerar os critérios de compatibilidade, usabilidade e segurança. Os órgãos também deverão implementar mecanismos de revisão, atualização e monitoramento. Este último deverá incluir a análise de tentativas de acesso, a taxa de sucesso de autenticações e a detecção de padrões anormais que possam indicar tentativas de violação.
A revisão será anual, considerando as evoluções tecnológicas, as novas ameaças de segurança cibernética e as melhores práticas de segurança recomendadas por entidades nacionais e internacionais de segurança da informação.
Com informações CNJ