← Voltar ao Blog
Conformidade e regulamentos Quebrando 7 de março de 2026 9 min de leitura

Sistema de vigilância do FBI violado, novo CISO do Pentágono nomeado, CISA expande KEV — Resumo de regulamentação de segurança

O FBI está investigando uma violação de um sistema que contém informações confidenciais de vigilância. O Pentágono nomeia James “Aaron” Bishop como seu novo CISO. CISA adiciona 23 vulnerabilidades iOS do kit de exploração Coruna ao catálogo KEV. Enquanto isso, as vulnerabilidades de segurança da IA ​​na integração do Chrome com o Gemini destacam a urgência das práticas proibidas recentemente aplicadas pela Lei de IA da UE. O relatório de dia zero de 2025 do Google revela 90 vulnerabilidades exploradas – metade delas direcionadas à infraestrutura corporativa.


🔴 FBI investiga violação de sistema de vigilância

Incidente crítico de segurança governamental

O FBI confirmou que está investigando atividades cibernéticas “suspeitas” em um sistema que contém informações confidenciais de vigilância. A agência notificou os membros do Congresso sobre o incidente e está trabalhando para determinar o escopo e o impacto do acordo.

Implicações regulamentares

Este incidente tem implicações significativas para a regulamentação e supervisão governamental da cibersegurança:

Para as organizações da UE, este incidente sublinha a importância de Artigo 21.º da SRI2 requisitos para tratamento de incidentes e gestão de crises — mesmo as agências mais focadas na segurança permanecem vulneráveis.


🛡️ Pentágono nomeia novo CISO: James “Aaron” Bishop

Bispo Tiago "Arão" foi selecionado para atuar como o novo Diretor de Segurança da Informação do Pentágono, substituindo David McKeown, que fará a transição para o setor privado após 40 anos de serviço governamental. A nomeação sinaliza a contínua priorização da segurança cibernética nos mais altos níveis de defesa dos EUA.

O que isto significa para a regulamentação

O CISO do Pentágono supervisiona a política de segurança cibernética do Departamento de Defesa – a maior organização do mundo em número de funcionários. A nomeação do bispo chega num momento crítico:


⚠️ CISA adiciona falhas do iOS do Coruna Exploit Kit ao catálogo KEV

23 Vulnerabilidades do iOS adicionadas ao catálogo de vulnerabilidades exploradas conhecidas

CISA adicionou vulnerabilidades iOS exploradas pelo Kit de exploração da Coruna – descrita como uma ferramenta de “nível de estado-nação” – para o catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). O kit de exploração tem como alvo 23 vulnerabilidades que afetam as versões 13 a 17.2.1 do iOS.

Impacto na conformidade

Em Diretiva Operacional Vinculativa (DBO) 22-01, todas as agências civis federais dos EUA devem remediar as vulnerabilidades listadas no KEV dentro dos prazos prescritos. Mas o impacto regulatório vai muito além dos EUA:

Kit de exploração da Coruna: detalhes importantes

AtributoDetalhe
ClassificaçãoKit de exploração comercial de nível nacional
AlvoiOS 13 até iOS 17.2.1
Vulnerabilidades23 explorações encadeadas para comprometimento total do dispositivo
CapacidadeExecução remota de código com zero clique, acesso persistente
Estado do KEVTodos os 23 CVEs agora no catálogo CISA KEV

🤖 Segurança de IA sob ataque: vulnerabilidade do Chrome Gemini e extensões falsas

Dois desenvolvimentos esta semana destacam a crescente interseção entre segurança de IA e conformidade regulatória:

Vulnerabilidade do Chrome Gemini (CVE-2026-0628)

Google corrigido CVE-2026-0628 (CVSS 8.8 — High), uma vulnerabilidade de elevação de privilégio na integração do Gemini AI no Chrome. Relatada pela Unidade 42 da Palo Alto Networks, a falha permitiu que extensões maliciosas de navegador com permissões básicas sequestrassem o painel Gemini Live, potencialmente acessando:

Epidemia de extensões falsas de IA

Os pesquisadores de segurança continuam sinalizando extensões de navegador maliciosas disfarçadas de ferramentas de IA nas lojas de aplicativos oficiais. Essas extensões fornecem funcionalidade superficial de IA enquanto exfiltram silenciosamente dados do usuário, registros de teclas digitadas e tokens de autenticação.

Relevância da Lei da UE sobre IA

A partir de 2 de fevereiro de 2026, a Lei da UE sobre IA práticas proibidas (artigo 5.º) são agora executórios. Embora essas vulnerabilidades específicas não se enquadrem nas categorias de IA proibidas, elas destacam lacunas críticas na segurança do sistema de IA que a Lei requisitos de IA de alto risco(effective agosto 2026) will address:


📊 Relatório Zero-Day do Google: 90 vulnerabilidades exploradas em 2025

A análise anual de exploração de dia zero do Google revela 90 vulnerabilidades de dia zero foram exploradas em liberdade durante 2025 — com uma mudança significativa em direção ao direcionamento empresarial:

Conclusão regulatória

O foco empresarial na exploração de dia zero valida diretamente a abordagem regulatória do NIS2 e do DORA:


🔄 Atualizações de proteção de dados do Microsoft Copilot

A Microsoft anunciou novos controles sobre quais arquivos são Copiloto do Microsoft 365 O assistente de IA pode acessar durante o processamento de dados. A mudança vem em resposta direta aos relatos de clientes de que a Copilot estava incluindo informações confidenciais em seus resultados.

Principais mudanças

Conformidade com GDPR e Lei de IA

Este desenvolvimento é diretamente relevante para a conformidade da UE:


⚡ Vulnerabilidades Cisco SD-WAN exploradas em estado selvagem

A Cisco confirmou que duas vulnerabilidades do Catalyst SD-WAN corrigidas recentemente — CVE-2026-20128 e CVE-2026-20122 – estão sendo explorados ativamente. A infraestrutura SD-WAN é classificada como infraestrutura crítica em vários marcos regulatórios.

Alerta de infraestrutura crítica NIS2

As organizações que operam infraestruturas SD-WAN que se enquadram nas classificações de entidades essenciais ou importantes do NIS2 devem tratar essas vulnerabilidades exploradas como patches imediatos obrigatórios. Nos termos do Artigo 21, a falha em resolver vulnerabilidades conhecidas e exploradas em infra-estruturas de rede críticas pode constituir uma violação de conformidade sujeita a multas administrativas.


7 de março de 2026

  1. Corrija dispositivos iOS imediatamente — Todos os 23 CVEs do kit de exploração Coruna agora em CISA KEV; As entidades regulamentadas pelo NIS2/DORA devem priorizar
  2. Atualizar Cisco SD-WAN — CVE-2026-20128 e CVE-2026-20122 explorados ativamente; risco de infraestrutura crítica
  3. Auditar permissões da ferramenta AI — Revise as extensões do navegador que reivindicam funcionalidade de IA; remover extensões não verificadas
  4. Configurar DLP do Microsoft 365— Ensure DLP labels are applied to sensitive files before Copilot default protections activate in abril
  5. Revise as atualizações de segurança do Chrome — Patch CVE-2026-0628 (vulnerabilidade Gemini); avaliar componentes do navegador integrados à IA
  6. Preparação da Lei da UE sobre IA— Prohibited practices now enforceable; inventory AI systems for compliance by agosto 2026 high-risk deadline
  7. Exercício de resposta a incidentes NIS2 — A violação do FBI sublinha que mesmo as organizações de segurança de alto nível enfrentam compromissos; teste seus procedimentos de alerta antecipado de 24 horas

Automatize seu monitoramento de conformidade

A KENSAI monitora continuamente sua infraestrutura em relação aos requisitos NIS2, DORA, GDPR e EU AI Act. A detecção de vulnerabilidades em tempo real atende ao mapeamento regulatório.

Iniciar verificação de conformidade gratuita

Mantenha-se regulamentado. Fique protegido.

🗡️ Inteligência de Conformidade KENSAI

7 de março de 2026