O Eskudo News retorna com mais uma edição, trazendo os principais acontecimentos do último mês nos temas de cibersegurança, inteligência artificial, nuvem e inovação digital. Esta edição resume os fatos mais relevantes que impactam diretamente empresas, governos e profissionais da área.
🤖 CGSD no MCTI: o “ponto de comando” que integra governança digital, segurança da informação e dados
A criação do Comitê Integrado de Governança Digital, Segurança da Informação e Governança de Dados (CGSD) no Ministério da Ciência, Tecnologia e Inovação (MCTI) consolida, em um único foro, decisões que antes estavam dispersas entre instâncias distintas. Pela Portaria nº 9.325, de 22 de agosto de 2025, o CGSD passa a deliberar sobre ações de governo digital e uso de TIC, aprovar os principais planos estratégicos (PETIC, PDTIC, Transformação Digital, Dados Abertos e Governança de Dados) e orientar a implementação de segurança da informação à luz da Política Nacional de Segurança da Informação (PNSI). O ato também alinha o comitê a marcos como a LGPD e a Estratégia de Governo Digital, evidenciando o objetivo de reduzir redundâncias e acelerar entregas.
No desenho de competências, a Portaria é explícita: além de aprovar planos e priorizar investimentos, o CGSD pode instituir grupos de trabalho, monitorar o orçamento de TIC, deliberar sobre normativos de segurança e, crucialmente, zelar pelo repositório centralizado de dados (datalake) e pelos inventários e catálogos de dados do Ministério. Trata-se de uma arquitetura de dados “governada por design”, com procedimentos para integridade, disponibilidade e autenticidade de conjuntos de dados — base para analytics confiáveis e para políticas de dados abertos.
A composição confere musculatura executiva: presidido pela Secretaria-Executiva, o colegiado reúne todas as secretarias finalísticas, o Encarregado de Dados Pessoais (LGPD), o Executivo de Dados e o Gestor de Segurança da Informação. A cadência mínima de três reuniões anuais e a previsão de votação nominal visam dar ritmo e rastreabilidade às decisões. Grupos de trabalho ficam limitados a sete membros, duração máxima de um ano e até três operações simultâneas — um antídoto contra a proliferação de frentes sem entrega.
Do ponto de vista de gestão pública, o efeito prático é a redução do “atrito institucional” que frequentemente trava iniciativas digitais: quando o mesmo comitê aprova PETIC, define prioridades orçamentárias, supervisiona segurança e dita regras de compartilhamento de dados, as dependências se resolvem no próprio fórum, evitando ciclos longos entre áreas técnicas, jurídicas e de negócio. A imprensa setorial já vinha apontando esse ganho de coordenação ao noticiar a criação do CGSD e seu poder para aprovar planos de TIC.
Há ainda um gesto de simplificação normativa: a Portaria revoga o arcabouço anterior (incluindo as Portarias 7.156/2023 e 9.015/2025, ligadas ao antigo CGD), sinalizando que a integração não é apenas cooperativa, mas substitutiva. Na prática, o MCTI consolida governança digital, segurança e dados em uma trilha única de decisão, com observância expressa à LAI, LGPD e à infraestrutura de dados abertos.
Para CISOs e gestores de dados do setor público, o CGSD cria um “pipeline” claro: políticas e normas internas de segurança passam pelo comitê; o compartilhamento de dados sensíveis ganha procedimento formal; e a curadoria (classificação, indexação, temporalidade e descarte) deixa de ser um esforço ad hoc para virar requisito de governança. Essa coerência regulatória facilita auditorias e mensuração de maturidade, melhora a aderência a controles de risco e mitiga incidentes em cadeia envolvendo terceiros e integrações legadas.
Em execução, a supervisão do datalake e dos catálogos traz impactos imediatos para projetos de IA e analytics: qualidade de dados e linhagem passam a ser tratadas como atributos de missão, não apenas temas técnicos. Isso abre espaço para casos de uso de alto valor — desde avaliação de políticas públicas até detecção de fraudes — com base em dados confiáveis e governança rastreável. A previsão de integração contínua entre gestão de dados, privacidade, segurança e riscos fortalece o conceito de “segurança e conformidade por design”.
No horizonte, a centralização facilita compras coordenadas, adoção de padrões, e interoperabilidade entre órgãos, acelerando a resposta a incidentes de larga escala. Ao mesmo tempo, o limite rígido a grupos de trabalho e a exigência de regimento interno em 180 dias introduzem mecanismos de disciplina gerencial — fundamentais para que a integração não se dilua em burocracia. Em síntese, o CGSD inaugura um ciclo no qual estratégia, orçamento, segurança e dados são tratados como partes de uma mesma engrenagem, com potencial de elevar a efetividade e a transparência da transformação digital no governo.
💲 CVE-2025-9074 no Docker Desktop expõe host a comprometimento total
A falha crítica CVE-2025-9074 mostrou como um detalhe de arquitetura pode romper a barreira entre contêiner e host em ambientes de desenvolvimento. Em versões vulneráveis do Docker Desktop para Windows e macOS, um contêiner Linux em execução consegue falar diretamente com a API do Docker Engine por meio de um endpoint interno exposto na rede privada do Desktop, normalmente acessível em 192.168.65.7:2375. Como essa API concede poderes administrativos equivalentes ao que o aplicativo pode fazer, o atacante lança novos contêineres privilegiados e monta o sistema de arquivos do host, abrindo caminho para leitura e alteração de arquivos locais. O problema permanece mesmo com o Enhanced Container Isolation ativado. A correção foi liberada na versão 4.44.3.
A exploração é simples do ponto de vista operacional porque não exige montar o famoso docker.sock dentro do contêiner. Basta atingir a API interna. Relatos técnicos mostram dois cenários de ataque comuns. O primeiro é um contêiner malicioso rodando na máquina do desenvolvedor, baixado como imagem de teste ou inserido via cadeia de suprimentos. O segundo usa um SSRF em uma aplicação que roda no contêiner para fazer proxy das requisições à API do Engine. Em ambos os casos, a barreira de isolamento cede e o adversário assume o controle do ambiente Docker.
O impacto é mais sensível em Windows, onde o backend com WSL2 permite montar o disco do host e, a partir daí, modificar componentes do sistema e escalar privilégios até administrador. Em macOS, persistem riscos relevantes como o controle de outros contêineres e a possibilidade de backdoor na própria aplicação do Docker, ainda que o sistema peça consentimento ao usuário para certas montagens e o aplicativo não execute com privilégios administrativos por padrão. De todo modo, trata-se de uma falha com CVSS 9,3 e fácil de armar quando o atacante já consegue rodar código no contêiner.
As medidas imediatas são objetivas. Atualizar para o Docker Desktop 4.44.3 ou superior e validar a versão nos endpoints de desenvolvimento. Revisar imagens utilizadas em laboratório e pipelines locais, evitando executar cargas de origem duvidosa. Endurecer políticas que limitem chamadas à API do Engine a partir de contêineres, monitorar criação súbita de contêineres privilegiados e montagens de diretórios sensíveis, além de registrar acesso anômalo ao endpoint interno. Para equipes SOC e AppSec, é prudente incluir consultas específicas nos runbooks de hunting e ajustar alertas no EDR para eventos de montagem e alteração de DLLs em estações Windows com WSL2.
☁️ Claude Code usado para acelerar ransomware expõe o dilema do “dual use” na IA
A revelação de que cibercriminosos exploraram o Claude Code, da Anthropic, para auxiliar a criação de pacotes de ransomware e tocar campanhas de extorsão reaquece um debate central: como colher ganhos de produtividade da IA sem abrir brechas para abuso. Segundo a Anthropic, um operador orquestrou etapas inteiras do ciclo de ataque com o apoio do modelo — do reconhecimento à análise de dados roubados — e ainda vendeu componentes para outros atores, indicando efeito de “industrialização” do crime. A empresa afirma ter bloqueado contas e reforçado mecanismos de detecção, mas reconhece a corrida entre salvaguardas e contornos criados por atacantes.
Para as empresas, o recado prático é que a governança de IA precisa sair do papel e entrar no perímetro de segurança. Isso inclui políticas de uso para assistentes de código, aprovação prévia de ferramentas, telemetria sobre prompts e saídas, e varredura contínua do que é gerado por IA antes de ir para repositórios ou pipelines. Em paralelo, SOCs devem enriquecer detecções com sinais típicos de extorsão e “ransomware sem criptografia” (roubo, coação e destruição de backups na nuvem), além de caçar integrações e automações suspeitas acionadas por contas de desenvolvedores.
No nível estratégico, vale tratar IA como ativo crítico: inventariar onde ela roda, quem pode usá-la, que dados toca e quais guardrails existem. Adoção de SSPM/CASB para SaaS de IA, revisão de contratos com provedores e auditorias periódicas de prompts e outputs tornam-se parte da higiene básica. O caso do Claude Code não mostra que “IA cria crime do nada”, e sim que reduz barreiras de execução. Programas maduros antecipam esse efeito e combinam controles técnicos e processuais para manter velocidade com segurança.
🤖 Violação na FEMA expõe falhas de governança e identidade
A demissão de 23 funcionários após a violação na FEMA revela um problema menos técnico e mais organizacional: credenciais mal governadas, segregação de funções frouxa e integrações legadas sem owner claro. Em ambientes com múltiplos terceiros, o risco se propaga por tokens OAuth, contas de serviço e acessos compartilhados “temporários” que viram permanentes. A resposta eficaz vai além de punir culpados: inventariar integrações, reduzir privilégios por função, rotacionar segredos, ativar MFA resistente a phishing, habilitar trilhas de auditoria imutáveis e revisar exceções. Tabletop exercises com cenários de exfiltração e insider threat e métricas de acesso efetivo por usuário aceleram correções e ancoram responsabilização.
Para acompanhar todo lançamento do Eskudo News, nos siga no Linkedin do Eskudo e também no da 2R Datatel