Segurança para Tribunais e Poder Judiciário: respondendo a ransomware no PJe e estruturando a continuidade da Justiça
Quando o processo eletrônico para, a Justiça para. A Decripte atua na resposta a incidentes críticos, recupera o ambiente com integridade comprovada, conduz a forense e estrutura o plano de continuidade que mantém tribunais operando sob ataque.
Resposta direta
Proteger um tribunal exige tratar o processo eletrônico (PJe e sistemas correlatos) como infraestrutura crítica de Estado: backups imutáveis e testados de restauração, segmentação de rede que isole o ambiente processual da rede administrativa, MFA resistente a phishing para magistrados e servidores, monitoramento SOC 24x7 com capacidade de contenção imediata, e um plano de resposta a incidentes ensaiado que preserve a cadeia de custódia e a integridade dos autos. O risco dominante é ransomware paralisando o PJe e vazamento de processos sigilosos — ambos endereçados por detecção precoce, contenção em menos de uma hora e recuperação verificável. A Decripte combina Resposta a Incidentes com SLA de contenção menor ou igual a 1h, Pentest do sistema processual, SOC 24x7 e Conformidade LGPD para o setor público. Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free e veja onde o ambiente do tribunal está exposto antes que um atacante veja.
<=1h
SLA de contenção de incidentes
24/7
SOC monitorando o ambiente
LGPD
Conformidade para tratamento de dados no setor público
ISO 27001
Estrutura de gestão de segurança da informação
Em resumo
- ›Ransomware no processo eletrônico não é apenas indisponibilidade de TI: paralisa prazos, audiências e o próprio exercício da jurisdição, com impacto direto sobre o cidadão.
- ›A defesa começa por backups imutáveis e testados, segmentação entre rede processual e administrativa, e MFA resistente a phishing para magistrados e servidores.
- ›A integridade dos autos é o ativo mais sensível: recuperação e perícia precisam preservar cadeia de custódia e provar que nenhum registro processual foi adulterado.
- ›Processos sigilosos (segredo de justiça, dados pessoais sensíveis de partes, vítimas e menores) elevam o vazamento a incidente de proteção de dados sob a LGPD, com dever de comunicação à ANPD.
- ›Resposta a incidentes em menos de uma hora, SOC 24x7 e forense estruturada reduzem o tempo de paralisação e transformam o incidente em um plano de continuidade duradouro.
- ›O diagnóstico gratuito em decripte.io/free mapeia a exposição real do tribunal antes do ataque; os planos pagos em /planos estruturam a defesa permanente.
Cibersegurança para Tribunais e Poder Judiciário
Quando o processo eletrônico para, a Justiça para. A Decripte atua na resposta a incidentes críticos, recupera o ambiente com integridade comprovada, conduz a forense e estrutura o plano de continuidade que mantém tribunais operando sob ataque.
Por que tribunais são alvo de alto valor
O Poder Judiciário brasileiro tramita a quase totalidade de seus feitos por meio do processo judicial eletrônico. Sistemas como o PJe, o eproc, o Projudi, o SAJ e outras plataformas de tribunais estaduais, federais e superiores concentram autos completos, decisões, despachos, intimações, certidões e a integridade temporal dos prazos. Esse ambiente reúne três características que o tornam um alvo de altíssimo valor: criticidade operacional (sem o sistema, a jurisdição para), sensibilidade de dados (processos sigilosos, segredo de justiça, dados pessoais de partes, testemunhas, vítimas e menores) e alta visibilidade pública (a paralisação de um tribunal vira notícia nacional em horas).
Para um operador de ransomware, essa combinação é exatamente a que maximiza a pressão por pagamento de resgate: indisponibilidade de um serviço essencial, dano reputacional imediato e dados que, se vazados, geram consequências jurídicas e humanas reais. Para um agente de espionagem ou de fraude processual, o atrativo é o conteúdo: acesso a um processo sob segredo, a uma decisão antes da publicação, ou a capacidade de adulterar um registro pode valer mais do que qualquer resgate. Tribunais, portanto, enfrentam simultaneamente a ameaça de extorsão por indisponibilidade e a ameaça de comprometimento da confidencialidade e da integridade.
O que está realmente em risco
- ›Disponibilidade: ransomware que cifra o processo eletrônico e paralisa prazos, audiências e atendimento ao público.
- ›Confidencialidade: vazamento de processos sigilosos, dados de segredo de justiça e dados pessoais sensíveis de cidadãos.
- ›Integridade: adulteração de registro processual, de movimentações, de assinaturas ou de carimbos de tempo.
- ›Identidade: phishing e tomada de conta (ATO) de servidores e magistrados, usadas como porta de entrada para tudo acima.
A superfície de ataque de um tribunal é ampla e heterogênea: portais públicos de consulta processual, peticionamento eletrônico exposto à internet, integrações com a OAB e com órgãos externos, redes administrativas com milhares de estações, varas e comarcas distribuídas geograficamente, fornecedores terceirizados de TI e de digitalização, e um volume enorme de contas de usuário com perfis de acesso variados. Cada um desses pontos é um vetor potencial — e a maioria dos incidentes graves começa por um deles, não por uma falha exótica do sistema processual em si.
As ameaças que paralisam a Justiça
Ransomware contra o processo eletrônico
O cenário mais temido é o ransomware operado por humanos (human-operated ransomware). Diferente de uma infecção automática e oportunista, esse ataque é conduzido por um operador que invade, escala privilégios, mapeia o ambiente, identifica os backups, desativa defesas e só então dispara a cifragem — geralmente fora do horário de expediente, para maximizar o tempo de propagação. Quando o PJe e os sistemas de apoio são cifrados, o tribunal não perde apenas arquivos: perde a capacidade de protocolar, intimar, decidir e cumprir prazos. O efeito cascata atinge advogados, partes, Ministério Público, defensoria e o próprio cidadão que aguarda uma decisão.
Dupla extorsão é a norma
Grupos de ransomware modernos praticam dupla (e tripla) extorsão: antes de cifrar, exfiltram dados e ameaçam publicá-los. Em um tribunal, isso significa que o pagamento — ainda que fosse uma opção, o que para um órgão público levanta vedações legais e orçamentárias — não elimina o risco de vazamento de processos sigilosos já copiados. Por isso a estratégia correta nunca é apostar no resgate, e sim em backups imutáveis, detecção precoce e capacidade de recuperação independente do atacante.
Vazamento de processos sigilosos
Mesmo sem cifragem, a simples exfiltração de autos sob segredo de justiça é um incidente gravíssimo. Há processos que envolvem menores, vítimas de violência, dados de saúde, investigações em curso, segredos comerciais e dados pessoais sensíveis na acepção da LGPD. O vazamento desses dados não é apenas um problema de imagem: é um incidente de segurança que aciona o dever de comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, e que pode expor pessoas a risco concreto. Tribunais são controladores de um dos maiores acervos de dados pessoais sensíveis do país.
Adulteração de registro processual
A integridade dos autos é o pilar da fé pública judicial. Um atacante com acesso suficiente poderia, em tese, tentar alterar uma movimentação, suprimir uma intimação, modificar um documento juntado ou manipular um carimbo de tempo. Mesmo tentativas frustradas de adulteração precisam ser detectadas e provadas como tais — porque a dúvida sobre a integridade de um único processo lança suspeita sobre todos. Por isso, a perícia em incidentes judiciais não responde apenas "o que foi acessado", mas "o que foi ou poderia ter sido alterado, e como provamos que os autos permanecem íntegros".
Phishing e tomada de conta de servidores
A imensa maioria das invasões graves começa por uma credencial. Campanhas de phishing direcionadas a servidores, estagiários, magistrados e técnicos de TI continuam sendo o vetor inicial mais comum. Uma vez de posse de uma conta — especialmente uma sem MFA resistente a phishing ou com MFA por SMS, que é contornável —, o atacante se move lateralmente, abusa de acessos legítimos e se mistura ao tráfego normal. A defesa contra ATO (account takeover) é, na prática, a primeira linha de defesa contra ransomware e vazamento.
Sinais de alerta que o SOC deve caçar
- ✓Logins de servidores ou magistrados a partir de geolocalizações ou horários atípicos.
- ✓Criação inesperada de contas administrativas ou elevação de privilégios.
- ✓Acesso em massa a processos fora do padrão de trabalho de um servidor.
- ✓Tentativas de desabilitar antivírus, EDR ou logs em servidores de aplicação.
- ✓Operações de cópia ou exportação de grandes volumes de autos.
- ✓Conexões de saída para destinos associados a ferramentas de exfiltração ou a comando e controle.
Os dados de tribunais e poder judiciário já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Anatomia de uma resposta: PJe paralisado por ransomware
O cenário a seguir é ilustrativo — não descreve um cliente real, mas reúne padrões técnicos que a Decripte observa em incidentes contra organizações de grande porte e contra o setor público. Ele mostra como a empresa atua quando um tribunal aciona a resposta a incidentes com o processo eletrônico já comprometido.
Cenário ilustrativo
Um tribunal de médio porte percebe, no início da madrugada de uma segunda-feira, que servidores de aplicação do ambiente processual estão indisponíveis. Arquivos exibem extensões alteradas e há uma nota de resgate em diretórios compartilhados. O portal de consulta processual e o peticionamento eletrônico estão fora do ar. A equipe interna de TI confirma que parte dos backups online também foi atingida. O tribunal aciona a Decripte para resposta a incidentes crítico.
A partir do acionamento, o objetivo imediato não é restaurar tudo a qualquer custo, e sim conter a propagação, preservar evidências e estabilizar a operação mínima da Justiça. Restaurar um ambiente ainda comprometido apenas entrega o tribunal de volta ao atacante. A sequência de fases é descrita no estudo de caso desta página, com a linha do tempo da detecção à lição aprendida.
O princípio que guia tudo
Em um tribunal, recuperar rápido e recuperar com integridade comprovada são objetivos igualmente obrigatórios. Não basta o sistema voltar: é preciso provar, com evidência forense, que os autos restaurados são íntegros e que o acesso do atacante foi efetivamente removido. A pressa que ignora a integridade transforma um incidente de disponibilidade em uma crise de fé pública.
Recuperar com integridade: o diferencial em ambientes judiciais
Restaurar um tribunal não é o mesmo que restaurar uma empresa qualquer. Em um ambiente processual, cada autos restaurado precisa ser confiável: as partes, os advogados e os próprios magistrados precisam ter certeza de que o que voltou é exatamente o que existia antes do incidente, sem supressões nem inserções. A Decripte estrutura a recuperação em torno de três garantias.
Garantia 1: restauração a partir de uma base confiável
A restauração só começa depois que a forense identifica o paciente zero, o vetor inicial e o momento de comprometimento. Isso define um ponto seguro de restauração — anterior à presença do atacante — e evita reintroduzir um implante dormente. Backups imutáveis (write once, read many) e offline são a espinha dorsal dessa etapa: se os backups são imutáveis, o operador de ransomware não consegue cifrá-los ou apagá-los, e o tribunal recupera sem depender do criminoso.
Garantia 2: verificação de integridade dos autos
Após a restauração, a Decripte trabalha com a equipe do tribunal na verificação de integridade: conferência de hashes, comparação com registros de auditoria, validação de assinaturas digitais e de carimbos de tempo, e reconciliação de movimentações. O objetivo é produzir evidência de que os registros processuais permanecem íntegros — ou identificar, com precisão pericial, qualquer registro que tenha sido tocado, para tratamento específico.
Por que a forense vem antes da pressa
Sem identificar como o atacante entrou, qualquer restauração corre o risco de reabrir a mesma porta. A forense não é um luxo posterior: ela é pré-condição da recuperação segura. Por isso a Decripte conduz contenção, perícia e recuperação como um fluxo coordenado, não como etapas isoladas.
Garantia 3: erradicação verificada do acesso do atacante
Antes de declarar o ambiente recuperado, é preciso comprovar que o atacante não mantém persistência: contas criadas, chaves SSH plantadas, tarefas agendadas, web shells e mecanismos de comando e controle precisam ser localizados e removidos. A Decripte só considera o incidente erradicado quando há evidência de que os vetores de persistência foram eliminados e o monitoramento confirma a ausência de atividade do adversário.
Checklist de recuperação com integridade
- ✓Ponto de restauração anterior ao comprometimento, validado pela forense.
- ✓Backups imutáveis e offline como fonte de restauração.
- ✓Verificação de hashes e assinaturas dos autos restaurados.
- ✓Reconciliação de movimentações e carimbos de tempo.
- ✓Remoção comprovada de toda persistência do atacante.
- ✓Reset de credenciais e rotação de chaves antes do retorno à operação.
- ✓Monitoramento reforçado do SOC nas semanas seguintes ao retorno.
Conformidade e dever legal no setor público
Um incidente em um tribunal raramente é só um problema técnico — é também um evento regulatório e de governança. Como controlador de um vasto acervo de dados pessoais, inclusive sensíveis, o tribunal está sujeito à Lei Geral de Proteção de Dados (LGPD). Quando um incidente de segurança puder acarretar risco ou dano relevante aos titulares, há o dever de comunicar à ANPD e aos titulares afetados em prazo razoável, com a descrição da natureza dos dados, dos titulares envolvidos, das medidas técnicas adotadas e dos riscos. A Decripte estrutura a resposta de forma a produzir, desde a primeira hora, os elementos necessários para essa comunicação ser tempestiva e tecnicamente embasada.
LGPD no setor público não é opcional
O setor público está expressamente abrangido pela LGPD. Tribunais tratam dados sob hipóteses legais próprias (exercício regular de direitos, cumprimento de obrigação legal, execução de políticas públicas), mas o regime de segurança da informação e o dever de notificação de incidentes se aplicam. A existência de um encarregado (DPO) e de um plano de resposta a incidentes alinhado à LGPD é parte da governança esperada.
Além da LGPD, tribunais operam sob um arcabouço normativo próprio do Judiciário, com diretrizes de governança e de segurança da informação emanadas dos órgãos de cúpula e de controle. Boas práticas internacionais como a ISO/IEC 27001 (gestão de segurança da informação) e a ISO/IEC 27701 (gestão de privacidade) oferecem a estrutura para organizar controles, papéis e métricas. A Decripte ajuda o tribunal a traduzir esse arcabouço em controles operacionais concretos — não em documentos de prateleira.
Conformidade que vira defesa real
A Decripte trata conformidade como engenharia, não como papelada. Um plano de continuidade que não é ensaiado não é um plano. Um backup que nunca foi restaurado em teste não é um backup. Cada controle de conformidade é validado na prática, para que, no dia do incidente, ele realmente funcione.
Quanto custaria um incidente em tribunais e poder judiciário? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Pentest do sistema processual: encontrar a porta antes do atacante
A melhor resposta a incidentes é a que não precisa acontecer. Por isso a Decripte conduz testes de intrusão (pentest) focados no sistema processual e em sua superfície exposta. O objetivo é simular, de forma controlada e autorizada, o que um atacante real faria: encontrar a falha de autenticação no portal de peticionamento, a injeção que expõe dados de outro processo, a configuração que permite acesso indevido a autos sigilosos, ou o caminho de escalada de privilégios que leva do acesso de um servidor comum ao controle do ambiente.
O que é testado em um tribunal
Vetores avaliados no pentest do ambiente processual
- ✓Portais públicos de consulta processual e de peticionamento eletrônico.
- ✓Controles de acesso a autos sigilosos e segregação entre perfis de usuário.
- ✓Falhas da categoria OWASP (controle de acesso quebrado, injeção, autenticação frágil, exposição de dados sensíveis).
- ✓Integrações e APIs com órgãos externos e com a advocacia.
- ✓Segurança de identidade: força do MFA, resiliência a phishing e a tomada de conta.
- ✓Segmentação entre rede processual e rede administrativa.
- ✓Configurações de servidores, exposição de serviços e gestão de credenciais de serviço.
O pentest da Decripte não termina em uma lista de vulnerabilidades. Cada achado é classificado por severidade real no contexto do tribunal, com prova de conceito, impacto descrito em linguagem executiva e técnica, e um caminho de correção priorizado. O que para um relatório genérico seria "médio" pode ser crítico em um tribunal se levar à exposição de um processo sob segredo de justiça — e a Decripte calibra a severidade por esse contexto.
Controle de acesso quebrado é o risco número um
Na taxonomia OWASP, o controle de acesso quebrado é a categoria de risco mais prevalente em aplicações web. Em um sistema processual, ela se traduz diretamente no pior pesadelo: um usuário acessar autos que não deveria — inclusive processos sigilosos. É um dos primeiros alvos do pentest da Decripte.
SOC 24x7: vigilância contínua para um serviço que não pode parar
A Justiça opera todos os dias, e os atacantes preferem justamente as madrugadas, os fins de semana e os feriados — momentos em que a equipe interna está reduzida. Um SOC 24x7 fecha essa janela. A Decripte monitora continuamente os sinais de comprometimento, correlaciona eventos entre o ambiente processual, a rede administrativa e a borda, e aciona a contenção no instante em que um padrão de ataque é identificado, não horas depois, quando o dano já está feito.
Detecção que entende o ambiente judicial
Monitorar um tribunal exige entender o que é normal nesse ambiente: o ritmo de peticionamento, os padrões de acesso de servidores e magistrados, os horários de audiência, as integrações esperadas. O SOC da Decripte calibra a detecção para esse contexto, de modo a separar o ruído operacional dos verdadeiros indicadores de ataque — reduzindo falsos positivos e, principalmente, não deixando passar o sinal real de uma tomada de conta ou de um movimento lateral em andamento.
Detecção precoce é o que evita a cifragem
Ransomware operado por humanos leva horas ou dias entre a invasão inicial e o disparo da cifragem. Essa janela é a oportunidade de defesa. Um SOC 24x7 que detecta a movimentação lateral, a escalada de privilégios ou a desativação de defesas consegue conter o atacante antes que o PJe seja cifrado — transformando uma catástrofe em um incidente controlado.
A integração entre SOC e Resposta a Incidentes é o que dá velocidade. Quando o SOC da Decripte detecta um indicador crítico, o caminho até a contenção já está definido e ensaiado, com o SLA de contenção menor ou igual a 1h. Não há perda de tempo em escalonamento, descoberta de contatos ou improviso de procedimento — o playbook do tribunal já existe e é executado.
Continuidade: manter a Justiça funcionando sob ataque
Nenhuma defesa é perfeita. Por isso a estrutura de segurança de um tribunal precisa assumir que um incidente pode acontecer e responder à pergunta: como a Justiça continua funcionando enquanto o ambiente é recuperado? O plano de continuidade de negócios (BCP) e a recuperação de desastres (DR) deixam de ser documentos formais e passam a ser capacidade operacional ensaiada.
Elementos de um plano de continuidade para tribunais
- ✓Backups imutáveis, offline e com restauração testada periodicamente, não apenas configurada.
- ✓Procedimentos de operação degradada para audiências e prazos durante a indisponibilidade.
- ✓Tempos-alvo definidos: até quando o serviço precisa voltar (RTO) e quanto de dados se pode perder (RPO).
- ✓Plano de comunicação a magistrados, servidores, advocacia, partes e imprensa.
- ✓Playbooks de resposta a incidentes específicos para ransomware, vazamento e ATO.
- ✓Exercícios de simulação (tabletop) com a alta administração e a equipe técnica.
- ✓Acordo de resposta a incidentes pré-firmado, para não negociar contrato no meio da crise.
O elemento mais subestimado é o último: ter a resposta a incidentes contratada antes do ataque. No meio de uma crise de ransomware, cada hora gasta procurando fornecedor, fechando contrato e dando acesso é uma hora a mais de paralisação e de propagação. Tribunais que mantêm um acordo de resposta ativo com a Decripte acionam o time imediatamente e começam a contenção dentro do SLA, em vez de iniciar a busca por socorro com o ambiente já em chamas.
Comece pelo diagnóstico, estruture pela continuidade
O ponto de partida é entender a exposição atual. O diagnóstico gratuito de Gestão de Ameaças em decripte.io/free mostra ao tribunal onde estão os riscos visíveis de fora. A partir daí, os planos pagos em /planos estruturam SOC 24x7, pentest do sistema processual, conformidade LGPD e o acordo de resposta a incidentes que garante a contenção rápida no dia do ataque.
Cenário ilustrativo: PJe paralisado por ransomware na madrugada
Cenário ilustrativo
Este é um cenário ilustrativo, construído a partir de padrões técnicos reais de incidentes contra grandes organizações e órgãos públicos — não descreve um cliente real. Um tribunal de médio porte detecta, na madrugada de uma segunda-feira, que servidores do ambiente processual estão indisponíveis, com arquivos cifrados e uma nota de resgate. O portal de consulta e o peticionamento eletrônico estão fora do ar, e parte dos backups online também foi atingida. O tribunal aciona a Decripte para resposta a incidentes crítico, com o objetivo de conter a propagação, recuperar com integridade, conduzir a forense e estruturar a continuidade.
Detecção e acionamento
O time de plantão do tribunal identifica a indisponibilidade e a nota de resgate e aciona a Decripte. A resposta inicia imediatamente: classificação do incidente como crítico, abertura da linha de comunicação de crise e início da coleta de evidências voláteis antes que se percam. O relógio do SLA de contenção menor ou igual a 1h começa a contar.
Contenção
A prioridade é estancar a propagação sem destruir evidências. A Decripte coordena o isolamento dos segmentos comprometidos, a desconexão controlada de servidores afetados, a suspensão de contas suspeitas e o bloqueio de canais de comando e controle e de exfiltração identificados. O ambiente processual remanescente e os backups imutáveis são protegidos para que o atacante não os alcance.
Investigação forense
Em paralelo à contenção, a forense reconstrói o ataque: identifica o vetor inicial (uma credencial de servidor obtida por phishing, no cenário), o paciente zero, a linha do tempo de movimentação lateral, a escalada de privilégios e o momento exato da cifragem. Determina-se também o que foi exfiltrado antes da cifragem — etapa decisiva para avaliar o risco de vazamento de processos sigilosos e o dever de comunicação à ANPD.
Erradicação
Com o ataque mapeado, a Decripte remove toda a persistência do adversário: contas plantadas, tarefas agendadas, web shells e implantes. Credenciais são resetadas em massa, chaves de serviço são rotacionadas e o MFA resistente a phishing é reforçado. Só após a comprovação de que o atacante não mantém acesso é que a recuperação avança.
Recuperação com integridade
A restauração parte de um ponto seguro anterior ao comprometimento, usando backups imutáveis. Cada conjunto de autos restaurado passa por verificação de integridade — conferência de hashes, validação de assinaturas e carimbos de tempo, reconciliação de movimentações — produzindo evidência de que os registros processuais permanecem íntegros. A operação retorna primeiro em modo controlado, sob monitoramento reforçado do SOC.
Comunicação e conformidade
Com a forense definindo a natureza dos dados envolvidos e os titulares afetados, a Decripte apoia o tribunal na comunicação tempestiva à ANPD e aos titulares, quando o risco a esses for relevante, e na documentação técnica do incidente. A comunicação interna e à imprensa segue o plano de crise, com mensagens factuais e coordenadas.
Lições aprendidas e estruturação
Encerrada a emergência, a Decripte conduz a análise de causa-raiz e converte o incidente em melhorias permanentes: MFA resistente a phishing para todos, segmentação reforçada entre rede processual e administrativa, backups imutáveis com restauração testada, pentest do sistema processual, SOC 24x7 e um plano de continuidade ensaiado. O acordo de resposta a incidentes permanece ativo para que qualquer novo evento já comece com contenção rápida.
Desfecho com a Decripte
Com a atuação da Decripte, o tribunal contém a propagação dentro do SLA, recupera o ambiente a partir de backups imutáveis com integridade dos autos comprovada, esclarece por forense o escopo do que foi acessado e exfiltrado, cumpre seu dever de comunicação sob a LGPD e sai do incidente com um plano de continuidade real e um SOC 24x7 vigiando o ambiente. O que começou como uma paralisação da Justiça termina como a base de uma estrutura de segurança madura e ensaiada.
Não espere o incidente acontecer. Comece a blindar tribunais e poder judiciário hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a incidentes em tribunais
A resposta a incidentes da Decripte para o Poder Judiciário é desenhada para preservar três coisas ao mesmo tempo: a disponibilidade do serviço, a integridade dos autos e a confidencialidade dos dados sigilosos. A sequência prioriza conter antes de restaurar e provar antes de declarar resolvido.
- Acionamento imediato e classificação: o incidente é classificado como crítico, a linha de comunicação de crise é aberta e a coleta de evidências voláteis começa antes que se percam — com o SLA de contenção menor ou igual a 1h em curso.
- Contenção sem destruir evidência: isolamento dos segmentos comprometidos, suspensão de contas suspeitas, bloqueio de comando e controle e de exfiltração, e proteção dos backups imutáveis para que o atacante não os alcance.
- Investigação forense: identificação do vetor inicial, do paciente zero, da movimentação lateral, da escalada de privilégios e do momento da cifragem, além da determinação do que foi exfiltrado — base para avaliar o vazamento e o dever de notificação.
- Erradicação verificada: remoção de toda persistência do atacante (contas, tarefas, web shells, implantes), reset de credenciais em massa e rotação de chaves, com comprovação de que o acesso foi efetivamente eliminado.
- Recuperação com integridade: restauração a partir de um ponto seguro com backups imutáveis e verificação de integridade dos autos (hashes, assinaturas, carimbos de tempo, reconciliação de movimentações), com retorno gradual sob monitoramento reforçado.
- Comunicação e conformidade: apoio à comunicação tempestiva à ANPD e aos titulares quando houver risco relevante, e à comunicação interna e à imprensa conforme o plano de crise, com documentação técnica do incidente.
- Lições aprendidas e endurecimento: análise de causa-raiz convertida em melhorias permanentes — MFA resistente a phishing, segmentação, backups testados, pentest e SOC 24x7.
- Continuidade do acordo de resposta: o playbook do tribunal permanece ativo, para que qualquer novo evento comece já com contenção rápida e procedimento ensaiado.
Como a Decripte estrutura a segurança de um tribunal
Depois do incidente — ou, idealmente, antes dele — a Decripte estrutura a defesa do tribunal em pilares que se reforçam mutuamente. O objetivo é que, no dia de um ataque, cada controle realmente funcione, porque foi validado na prática.
Resiliência de dados e continuidade
Backups imutáveis (write once, read many) e offline, com restauração testada periodicamente, tempos-alvo definidos de recuperação (RTO) e de perda máxima de dados (RPO), e um plano de continuidade ensaiado por exercícios de simulação. É o que garante recuperar sem depender do atacante.
Segurança de identidade e acesso
MFA resistente a phishing para magistrados, servidores e técnicos, princípio do menor privilégio, segregação rigorosa de perfis de acesso a autos sigilosos e detecção de tomada de conta. A identidade é a primeira linha de defesa contra ransomware e vazamento.
Segmentação e proteção do ambiente processual
Separação entre a rede processual (PJe e correlatos) e a rede administrativa, controle de borda com WAF e proteção contra DDoS para os portais públicos, e endurecimento de servidores e configurações para reduzir a superfície e conter a movimentação lateral.
Monitoramento contínuo (SOC 24x7)
Vigilância ininterrupta calibrada para o ambiente judicial, com correlação de eventos entre o processual, o administrativo e a borda, e acionamento imediato da contenção integrado à resposta a incidentes. Fecha a janela das madrugadas e fins de semana.
Validação ofensiva contínua (Pentest)
Testes de intrusão periódicos no sistema processual e na superfície exposta, com foco em controle de acesso a autos sigilosos, falhas OWASP, integrações e segurança de identidade, entregando achados priorizados por severidade real no contexto do tribunal.
Conformidade e governança
Tradução da LGPD, das normas de segurança do Judiciário e de boas práticas como a ISO/IEC 27001 e a ISO/IEC 27701 em controles operacionais concretos, papéis definidos (incluindo o encarregado), métricas e procedimentos de notificação de incidentes prontos para o dia do incidente.
Planos recomendados para Tribunais e Poder Judiciário
Resposta a Incidentes
O ataque que mais ameaça um tribunal é o ransomware que paralisa o PJe. Ter a resposta a incidentes pré-contratada garante contenção com SLA menor ou igual a 1h, forense com cadeia de custódia e recuperação com integridade dos autos comprovada — sem perder horas críticas negociando contrato no meio da crise.
Ver plano →SOC 24x7
A Justiça opera todos os dias e os atacantes preferem madrugadas e feriados. O monitoramento contínuo detecta tomada de conta, movimentação lateral e escalada de privilégios na janela em que o ransomware ainda pode ser contido antes da cifragem do processo eletrônico.
Ver plano →Pentest
O pentest do sistema processual encontra antes do atacante as falhas de controle de acesso a autos sigilosos, as vulnerabilidades OWASP e os caminhos de escalada — exatamente os vetores que levam a vazamento de processos e a comprometimento do ambiente.
Ver plano →Conformidade
Tribunais são controladores de um enorme acervo de dados pessoais sensíveis e estão sujeitos à LGPD e às normas de segurança do Judiciário. A conformidade estrutura o dever de notificação à ANPD, a governança de privacidade e os controles que sustentam a fé pública processual.
Ver plano →Perguntas frequentes
O que acontece se o PJe for paralisado por ransomware? Por onde começamos?
A prioridade imediata é conter a propagação sem destruir evidências e proteger os backups imutáveis, não restaurar às pressas. A Decripte aciona a resposta a incidentes crítico com SLA de contenção menor ou igual a 1h, conduz a forense para entender o vetor e o escopo, e só então recupera a partir de um ponto seguro, com integridade dos autos comprovada. Se o tribunal ainda não tem um acordo de resposta, vale começar pelo diagnóstico gratuito em decripte.io/free para mapear a exposição antes de um ataque.
Como vocês garantem que os processos restaurados não foram adulterados?
A recuperação parte de backups imutáveis em um ponto anterior ao comprometimento e passa por verificação de integridade: conferência de hashes, validação de assinaturas digitais e carimbos de tempo, e reconciliação de movimentações. O resultado é evidência forense de que os autos permanecem íntegros — ou a identificação precisa de qualquer registro tocado, para tratamento específico.
Um vazamento de processos sigilosos obriga a notificar a ANPD?
Quando o incidente puder acarretar risco ou dano relevante aos titulares — e dados de segredo de justiça e dados sensíveis claramente se enquadram —, a LGPD impõe o dever de comunicação à ANPD e aos titulares afetados, em prazo razoável, com a descrição da natureza dos dados, dos titulares, das medidas e dos riscos. A Decripte estrutura a forense para produzir esses elementos desde a primeira hora.
Pagar o resgate é uma opção para um tribunal?
Não. Além das vedações legais e orçamentárias que pesam sobre um órgão público, o pagamento não elimina o risco de vazamento de dados já exfiltrados nas extorsões modernas e financia o crime. A estratégia correta é backups imutáveis, detecção precoce e recuperação independente do atacante — exatamente o que a Decripte estrutura.
A LGPD se aplica mesmo ao setor público e ao Judiciário?
Sim. O setor público está abrangido pela LGPD. Tribunais tratam dados sob hipóteses legais próprias, mas o regime de segurança da informação e o dever de notificação de incidentes se aplicam, assim como a existência de um encarregado e de um plano de resposta. A Decripte traduz esse arcabouço, somado às normas de segurança do Judiciário e a boas práticas como a ISO/IEC 27001, em controles operacionais.
Como o SOC 24x7 ajuda a evitar a cifragem antes que ela aconteça?
Ransomware operado por humanos leva horas ou dias entre a invasão e o disparo da cifragem. O SOC 24x7 da Decripte monitora continuamente os sinais de tomada de conta, movimentação lateral e escalada de privilégios e aciona a contenção nessa janela, integrado à resposta a incidentes — contendo o atacante antes que o PJe seja cifrado.
O pentest pode atrapalhar a operação do tribunal?
Não. O pentest da Decripte é planejado, autorizado e conduzido de forma controlada, com regras de engajamento que protegem a operação. O foco é encontrar falhas de controle de acesso a autos sigilosos, vulnerabilidades OWASP e caminhos de escalada antes que um atacante real os explore, entregando achados priorizados por severidade real no contexto judicial.
Como começar sem um grande projeto inicial?
Comece grátis: o diagnóstico de Gestão de Ameaças em decripte.io/free, com o CTA Comece grátis agora, mostra a exposição do tribunal vista de fora, sem custo. A partir daí, os planos pagos em /planos estruturam SOC 24x7, pentest, conformidade e o acordo de resposta a incidentes de forma incremental.
Termos do setor
- PJe (Processo Judicial Eletrônico)
- Plataforma de tramitação eletrônica de processos usada por diversos tribunais brasileiros. Concentra autos, decisões, intimações e prazos; sua indisponibilidade paralisa o exercício da jurisdição.
- Ransomware operado por humanos
- Ataque em que um operador humano invade, escala privilégios, mapeia o ambiente e desativa defesas e backups antes de disparar a cifragem — geralmente fora do horário de expediente, para maximizar o dano e a pressão por resgate.
- Dupla extorsão
- Tática em que o atacante exfiltra dados antes de cifrá-los e ameaça publicá-los, de modo que mesmo a recuperação dos sistemas não elimina o risco de vazamento dos dados já copiados.
- Backup imutável
- Cópia de segurança que não pode ser alterada ou apagada após gravada (write once, read many), idealmente offline, garantindo que o operador de ransomware não consiga destruí-la e que a recuperação independa do atacante.
- Account takeover (ATO)
- Tomada de conta: o atacante assume o controle de uma credencial legítima — de um servidor ou magistrado, por exemplo — geralmente via phishing, e a usa para se mover pelo ambiente abusando de acessos válidos.
- RTO e RPO
- Métricas de continuidade. O RTO (Recovery Time Objective) é o tempo-alvo máximo para restaurar o serviço; o RPO (Recovery Point Objective) é a quantidade máxima de dados que se admite perder, medida no tempo entre o último backup íntegro e o incidente.
A Decripte protege e responde a incidentes no setor de tribunais e poder judiciário.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.