Comunicado – Incidente de Segurança – Abril Azul - Mês de Conscientização sobre Autismo

Comunicado – Incidente de Segurança

A Secretaria de Tecnologia da Informação – SETIN do Tribunal de Justiça do Estado do Ceará, em cumprimento ao estabelecido no artigo 48 da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), vem a público informar que sobre o incidente de segurança ocorrido em 9 de novembro de 2021, envolvendo um ataque de ransomware em alguns de seus servidores e sistemas de backup.

No início da manhã do dia 9 de novembro de 2021, a equipe da SETIN detectou um ataque de ransomware que comprometeu arquivos e servidores de backup. Os arquivos foram criptografados, porém, não houve comprometimento de bancos de dados. O incidente foi identificado através do Sistema de Monitoramento do Sistema de Automação da Justiça (SAJ), que mostrou falhas nos serviços do sistema SAJ.

Após a detecção do incidente, a SETIN tomou medidas técnicas e administrativas para conter o mesmo, incluindo a verificação do incidente, bloqueio de conta comprometida, troca de senhas administrativas, publicação da Portaria nº 1851/2021, que instituiu o Comitê de Crises Cibernéticas do Poder Judiciário do Estado do Ceará e acionamento das autoridades para apoio em recuperação de dados e abertura de investigação nas seguintes datas:

• Superintendência Regional de Polícia Federal no Ceará, em 12 de novembro de 2021; e
• Delegado Geral de Polícia Civil do Estado do Ceará, em 13 de novembro de 2021.

Os resultados das análises evidenciaram que não houve invasão aos sistemas judiciais e administrativos, nem aos sistemas de banco de dados do Poder Judiciário Estadual. A finalidade da invasão foi obter, adulterar ou destruir dados ou informações através da criptografia dos arquivos. Também não foi possível inferir se usuários internos e jurisdicionados (que eventualmente tinham dados pessoais gravados em arquivos e pastas não estruturadas) tiveram dados pessoais e/ou sensíveis atingidos, tendo em vista que não foi possível determinar quais pastas, arquivos ou informações foram trafegadas.

É crucial esclarecer os seguintes pontos:

• O possível vazamento de dados não implica necessariamente que todas as informações tenham sido comprometidas, mas sim que possivelmente tenham estado visíveis para terceiros por algum período, podendo ter sido capturadas.
• O incidente de segurança afetou apenas servidores e sistemas específicos, não comprometendo a totalidade dos sistemas do Tribunal de Justiça do Estado do Ceará.
• Não há registros de uso indevido das informações pessoais por terceiros, sendo que o incidente foi detectado e contido internamente pela equipe de tecnologia.
• Como a comunicação individual aos titulares dos dados afetados não é viável devido à natureza dos sistemas afetados, estamos seguindo as diretrizes da ANPD e da LGPD para garantir a transparência e o cumprimento das obrigações legais.
• Além disso, a SETIN tem dedicado esforços contínuos para fortalecer as práticas de segurança da informação e garantir a conformidade com a LGPD, incluindo:
___◦ Realização de palestras e treinamentos de conscientização sobre segurança da informação.
___◦ Orientação na produção de documentos e políticas de privacidade.
___◦ Melhorias contínuas nos sistemas e ferramentas de tecnologia da informação e comunicação para garantir a segurança dos dados pessoais.

Reiteramos nosso compromisso em implementar medidas preventivas e corretivas eficazes para proteger os dados pessoais sob nossa responsabilidade. Informações adicionais sobre o tratamento de dados pessoais estão disponíveis em nossa página dedicada à LGPD, no site oficial do Tribunal de Justiça do Estado do Ceará.

A Secretaria de Tecnologia da Informação do Tribunal de Justiça do Estado do Ceará continua empenhada em garantir a segurança dos dados pessoais sob sua responsabilidade e implementar medidas preventivas para evitar incidentes semelhantes no futuro.

Assim, em cumprimento ao disposto no art. 48 da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e como não é possível mensurar a quantidade de titulares afetados tampouco identificá-los para expedir a comunicação de forma individual, esta Secretaria de Tecnologia da Informação do TJCE torna público o referido incidente por meio deste instrumento.

Para obtenção de informações adicionais sobre o incidente, favor entrar em contato com o Encarregado pelo Tratamento de Dados Pessoais do TJCE pelo e-mail: encarregado.lgpd@tjce.jus.br.

Mais informações sobre a Lei Geral de Proteção de Dados (LGPD), favor acessar o portal https://www.tjce.jus.br/lgpd/.

Cookie	Duração	Descrição
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Conteúdo

Comunicado – Incidente de Segurança