← Voltar ao Blog
Conformidade e regulamentos
Quebrando
7 de março de 2026
9 min de leitura
Sistema de vigilância do FBI violado, novo CISO do Pentágono nomeado, CISA expande KEV — Resumo de regulamentação de segurança
O FBI está investigando uma violação de um sistema que contém informações confidenciais de vigilância. O Pentágono nomeia James “Aaron” Bishop como seu novo CISO. CISA adiciona 23 vulnerabilidades iOS do kit de exploração Coruna ao catálogo KEV. Enquanto isso, as vulnerabilidades de segurança da IA na integração do Chrome com o Gemini destacam a urgência das práticas proibidas recentemente aplicadas pela Lei de IA da UE. O relatório de dia zero de 2025 do Google revela 90 vulnerabilidades exploradas – metade delas direcionadas à infraestrutura corporativa.
🔴 FBI investiga violação de sistema de vigilância
Incidente crítico de segurança governamental
O FBI confirmou que está investigando atividades cibernéticas “suspeitas” em um sistema que contém informações confidenciais de vigilância. A agência notificou os membros do Congresso sobre o incidente e está trabalhando para determinar o escopo e o impacto do acordo.
Implicações regulamentares
Este incidente tem implicações significativas para a regulamentação e supervisão governamental da cibersegurança:
- Supervisão do Congresso: A violação provavelmente acelerará a ação legislativa sobre mandatos federais de segurança cibernética, com a expectativa de que ambos os comitês de inteligência realizem briefings confidenciais
- Conformidade com a FISMA: Surgirão dúvidas sobre se o sistema comprometido atendeu aos requisitos da Lei Federal de Modernização da Segurança da Informação
- Reforma da vigilância: A violação de dados relacionados com a vigilância pode reacender debates em torno da secção 702 da FISA e das salvaguardas de proteção de dados para sistemas de informações
- Preocupações com a cadeia de abastecimento: Os investigadores estão a examinar se a violação teve origem através de um fornecedor terceiro, ecoando os requisitos de segurança da cadeia de abastecimento NIS2 e DORA
Para as organizações da UE, este incidente sublinha a importância de Artigo 21.º da SRI2 requisitos para tratamento de incidentes e gestão de crises — mesmo as agências mais focadas na segurança permanecem vulneráveis.
🛡️ Pentágono nomeia novo CISO: James “Aaron” Bishop
Bispo Tiago "Arão" foi selecionado para atuar como o novo Diretor de Segurança da Informação do Pentágono, substituindo David McKeown, que fará a transição para o setor privado após 40 anos de serviço governamental. A nomeação sinaliza a contínua priorização da segurança cibernética nos mais altos níveis de defesa dos EUA.
O que isto significa para a regulamentação
O CISO do Pentágono supervisiona a política de segurança cibernética do Departamento de Defesa – a maior organização do mundo em número de funcionários. A nomeação do bispo chega num momento crítico:
- Aplicação do CMMC 2.0: O programa de certificação do modelo de maturidade em cibersegurança está a entrar em plena aplicação, exigindo que todos os prestadores de serviços de defesa cumpram normas verificadas de cibersegurança
- Arquitetura de confiança zero: O prazo de implementação da confiança zero do DoD está se aproximando, e espera-se que todos os componentes atinjam a maturidade do nível-alvo
- Alinhamento internacional: Aumentar a coordenação entre as normas de cibersegurança da defesa dos EUA e os quadros da UE (NIS2, DORA) para a interoperabilidade aliada
- Segurança de IA/ML: A utilização crescente de sistemas de IA pelo Departamento de Defesa exige o alinhamento com as normas emergentes de segurança da IA, em paralelo com os requisitos de IA de alto risco da Lei da IA da UE
⚠️ CISA adiciona falhas do iOS do Coruna Exploit Kit ao catálogo KEV
23 Vulnerabilidades do iOS adicionadas ao catálogo de vulnerabilidades exploradas conhecidas
CISA adicionou vulnerabilidades iOS exploradas pelo Kit de exploração da Coruna – descrita como uma ferramenta de “nível de estado-nação” – para o catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). O kit de exploração tem como alvo 23 vulnerabilidades que afetam as versões 13 a 17.2.1 do iOS.
Impacto na conformidade
Em Diretiva Operacional Vinculativa (DBO) 22-01, todas as agências civis federais dos EUA devem remediar as vulnerabilidades listadas no KEV dentro dos prazos prescritos. Mas o impacto regulatório vai muito além dos EUA:
- SRI2 (UE): O artigo 21.º exige o tratamento e a divulgação de vulnerabilidades — as organizações que utilizam dispositivos iOS em operações essenciais/importantes de entidades devem corrigir imediatamente
- DORA (Financeiro): As entidades financeiras abrangidas pela DORA devem incluir as vulnerabilidades dos dispositivos móveis nos seus quadros de gestão de riscos de TIC e na comunicação de incidentes
- RGPD: A exploração destas vulnerabilidades pode levar à exfiltração de dados pessoais, desencadeando obrigações de notificação de violação no prazo de 72 horas nos termos do artigo 33.º
- Lei da UE sobre IA: Os sistemas de IA executados em infraestruturas iOS comprometidas podem não cumprir os requisitos de segurança de sistemas de IA de alto risco previstos no artigo 15.º
Kit de exploração da Coruna: detalhes importantes
| Atributo | Detalhe |
| Classificação | Kit de exploração comercial de nível nacional |
| Alvo | iOS 13 até iOS 17.2.1 |
| Vulnerabilidades | 23 explorações encadeadas para comprometimento total do dispositivo |
| Capacidade | Execução remota de código com zero clique, acesso persistente |
| Estado do KEV | Todos os 23 CVEs agora no catálogo CISA KEV |
🤖 Segurança de IA sob ataque: vulnerabilidade do Chrome Gemini e extensões falsas
Dois desenvolvimentos esta semana destacam a crescente interseção entre segurança de IA e conformidade regulatória:
Vulnerabilidade do Chrome Gemini (CVE-2026-0628)
Google corrigido CVE-2026-0628 (CVSS 8.8 — High), uma vulnerabilidade de elevação de privilégio na integração do Gemini AI no Chrome. Relatada pela Unidade 42 da Palo Alto Networks, a falha permitiu que extensões maliciosas de navegador com permissões básicas sequestrassem o painel Gemini Live, potencialmente acessando:
- Conversas do usuário com o assistente de IA
- Contexto de navegação e conteúdo da página compartilhado com Gemini
- Quaisquer dados processados através do painel AI
Epidemia de extensões falsas de IA
Os pesquisadores de segurança continuam sinalizando extensões de navegador maliciosas disfarçadas de ferramentas de IA nas lojas de aplicativos oficiais. Essas extensões fornecem funcionalidade superficial de IA enquanto exfiltram silenciosamente dados do usuário, registros de teclas digitadas e tokens de autenticação.
Relevância da Lei da UE sobre IA
A partir de 2 de fevereiro de 2026, a Lei da UE sobre IA práticas proibidas (artigo 5.º) são agora executórios. Embora essas vulnerabilidades específicas não se enquadrem nas categorias de IA proibidas, elas destacam lacunas críticas na segurança do sistema de IA que a Lei requisitos de IA de alto risco(effective agosto 2026) will address:
- Artigo 15.º: Os sistemas de IA de alto risco devem atingir níveis adequados de precisão, robustez e cibersegurança
- Artigo 9.º: Os sistemas de gestão de riscos devem abordar as ameaças à cibersegurança aos componentes da IA
- GPAI transparency (maio 2026): Os fornecedores de modelos de IA de uso geral devem documentar medidas de cibersegurança que protejam a integridade do modelo
📊 Relatório Zero-Day do Google: 90 vulnerabilidades exploradas em 2025
A análise anual de exploração de dia zero do Google revela 90 vulnerabilidades de dia zero foram exploradas em liberdade durante 2025 — com uma mudança significativa em direção ao direcionamento empresarial:
- 50% direcionados a produtos empresariais — dispositivos de segurança, gateways VPN, infraestruturas de rede
- Fornecedores de spyware continuam a ser os utilizadores de dia zero mais prolíficos, sendo as ferramentas de vigilância comercial responsáveis pela maior parte atribuída
- Grupos ligados à China Atribuição liderada pelo Estado-nação, com foco em dispositivos de borda de rede e infraestruturas críticas
- Menos de metade de todos os dias zero podem ser atribuídos a agentes de ameaças específicos
Conclusão regulatória
O foco empresarial na exploração de dia zero valida diretamente a abordagem regulatória do NIS2 e do DORA:
- Entidades essenciais do NIS2 infraestruturas de rede operacionais são alvos principais — as medidas de gestão de riscos do artigo 21.º não são recomendações opcionais, mas sim requisitos de sobrevivência
- Testes de resiliência operacional da DORA (incluindo testes de penetração liderados por ameaças) reflete a realidade de que as infraestruturas do setor financeiro enfrentam ataques sofisticados e sustentados
- Lei de Resiliência Cibernética da UE (CRA) os requisitos para que os fabricantes forneçam atualizações de segurança e tratamento de vulnerabilidades tornam-se críticos à medida que os invasores visam cada vez mais falhas no nível do produto
🔄 Atualizações de proteção de dados do Microsoft Copilot
A Microsoft anunciou novos controles sobre quais arquivos são Copiloto do Microsoft 365 O assistente de IA pode acessar durante o processamento de dados. A mudança vem em resposta direta aos relatos de clientes de que a Copilot estava incluindo informações confidenciais em seus resultados.
Principais mudanças
- Expansão da aplicação de DLP: Os rótulos do Data Loss Prevention agora serão aplicados a arquivos locais, não apenas ao OneDrive/SharePoint — evitando que o Copilot acesse conteúdo restrito a DLP, independentemente do local de armazenamento
- Proteção padrão:The new controls will be applied by default starting abril 2026
- Responsabilidade do usuário: As organizações devem configurar corretamente rótulos DLP em arquivos confidenciais para evitar o acesso de IA
Conformidade com GDPR e Lei de IA
Este desenvolvimento é diretamente relevante para a conformidade da UE:
- Artigo 5.º, n.º 1, alínea f) do RGPD: Integridade e confidencialidade — As ferramentas de IA que acedem a dados para além do âmbito pretendido podem violar o princípio da segurança adequada
- Artigo 25 do RGPD: Proteção de dados desde a conceção — a mudança da Microsoft reflete a expectativa regulamentar de salvaguardas de privacidade integradas
- Artigo 10.º da Lei da UE sobre IA: Os requisitos de governação de dados para sistemas de IA devem garantir que a formação e o processamento de dados cumprem as normas de qualidade e relevância
⚡ Vulnerabilidades Cisco SD-WAN exploradas em estado selvagem
A Cisco confirmou que duas vulnerabilidades do Catalyst SD-WAN corrigidas recentemente — CVE-2026-20128 e CVE-2026-20122 – estão sendo explorados ativamente. A infraestrutura SD-WAN é classificada como infraestrutura crítica em vários marcos regulatórios.
Alerta de infraestrutura crítica NIS2
As organizações que operam infraestruturas SD-WAN que se enquadram nas classificações de entidades essenciais ou importantes do NIS2 devem tratar essas vulnerabilidades exploradas como patches imediatos obrigatórios. Nos termos do Artigo 21, a falha em resolver vulnerabilidades conhecidas e exploradas em infra-estruturas de rede críticas pode constituir uma violação de conformidade sujeita a multas administrativas.
7 de março de 2026
- Corrija dispositivos iOS imediatamente — Todos os 23 CVEs do kit de exploração Coruna agora em CISA KEV; As entidades regulamentadas pelo NIS2/DORA devem priorizar
- Atualizar Cisco SD-WAN — CVE-2026-20128 e CVE-2026-20122 explorados ativamente; risco de infraestrutura crítica
- Auditar permissões da ferramenta AI — Revise as extensões do navegador que reivindicam funcionalidade de IA; remover extensões não verificadas
- Configurar DLP do Microsoft 365— Ensure DLP labels are applied to sensitive files before Copilot default protections activate in abril
- Revise as atualizações de segurança do Chrome — Patch CVE-2026-0628 (vulnerabilidade Gemini); avaliar componentes do navegador integrados à IA
- Preparação da Lei da UE sobre IA— Prohibited practices now enforceable; inventory AI systems for compliance by agosto 2026 high-risk deadline
- Exercício de resposta a incidentes NIS2 — A violação do FBI sublinha que mesmo as organizações de segurança de alto nível enfrentam compromissos; teste seus procedimentos de alerta antecipado de 24 horas
Automatize seu monitoramento de conformidade
A KENSAI monitora continuamente sua infraestrutura em relação aos requisitos NIS2, DORA, GDPR e EU AI Act. A detecção de vulnerabilidades em tempo real atende ao mapeamento regulatório.
Iniciar verificação de conformidade gratuita
Mantenha-se regulamentado. Fique protegido.
🗡️ Inteligência de Conformidade KENSAI
7 de março de 2026