Gestão de Vulnerabilidades na Rússia: FSTEC, BDU, Ordem nº 117 e Por Que Atualizações se Tornaram um Risco

Gestão de Vulnerabilidades na Rússia: FSTEC, BDU, Ordem nº 117 e Por Que Atualizações se Tornaram um Risco

Este artigo explora a evolução da gestão de vulnerabilidades na Rússia, destacando as especificidades legislativas, o impacto de eventos geopolíticos em 2022 e as novas exigências regulatórias, como a Ordem nº 117 da FSTEC, que transformaram atualizações de software em um potencial vetor de ataque.

MundiX News·01 de julho de 2026·10 min de leitura·👁 2 views

A gestão de vulnerabilidades, um pilar fundamental da cibersegurança, apresenta nuances distintas em diferentes países. Embora a existência de hackers, erros humanos e falhas em softwares sejam universais, a abordagem russa para lidar com essas questões tem se moldado por um conjunto específico de requisitos e regulamentações. Leis federais como a nº 149-ФЗ “Sobre Informação, Tecnologias da Informação e Proteção da Informação”, a nº 187-ФЗ “Sobre a Segurança da Infraestrutura Crítica de Informação da Federação Russa” e a nº 152-ФЗ “Sobre Dados Pessoais” formam a base legal. Complementando estas leis, ordens do FSTEC (Serviço Federal de Controle Técnico e de Exportação) traduzem os mandatos legais em requisitos técnicos concretos. Entre elas, destacam-se a ordem nº 21 (medidas de segurança para dados pessoais), a ordem nº 31 (proteção de informações em sistemas de controle industrial), a ordem nº 235 (requisitos para sistemas de segurança em infraestruturas críticas) e a mais recente ordem nº 117, que substituiu a antiga ordem nº 17 e estabeleceu novos padrões para a proteção de informações em sistemas de informação estatais e de órgãos governamentais a partir de março de 2026. O não cumprimento destas regulamentações acarreta sanções crescentes, incluindo multas substanciais por vazamento de dados pessoais e até responsabilidade criminal, marcando o fim da era em que incidentes de segurança tinham custos financeiros e de reputação relativamente baixos.

Um ponto de virada significativo na abordagem russa à gestão de vulnerabilidades ocorreu em 2022. A publicação do documento "Critérios para Tomada de Decisão sobre Atualização de Software Crítico Não-Open Source" pelo NKCKI (Centro Nacional de Cibersegurança) em abril de 2022 refletiu uma mudança de paradigma. O que antes era considerado uma preocupação teórica – a possibilidade de injeção de código malicioso em atualizações de software – tornou-se uma realidade palpável. Desde fevereiro de 2022, usuários na Rússia podem ser bloqueados de receber atualizações com base em geolocalização, e o próprio processo de atualização, antes visto como um procedimento confiável, passou a ser considerado um potencial vetor de ataque. Exemplos notórios incluem o caso do pacote node-ipc, que deletava arquivos em sistemas russos e bielorrussos, e o event-source-polyfill, que exibia mensagens anti-guerra com base na configuração regional do sistema. Outros incidentes, como os envolvendo styled-components, nestjs-pino, colors.js/faker.js, e até mesmo bloqueios de serviços em nuvem como Cisco Meraki e Microsoft Azure devido a sanções, reforçaram a percepção de risco associada a atualizações e serviços externos. O documento do NKCKI, no entanto, oferece ressalvas importantes: o algoritmo é uma recomendação, atualizações devem ser testadas em ambientes controlados, e a prioridade na aplicação de patches pode ser adiada se a vulnerabilidade puder ser mitigada por outros meios de proteção. Para sistemas de controle industrial e sistemas operacionais móveis, o algoritmo não é recomendado. Algumas empresas, diante desse cenário, optaram por bloquear completamente as atualizações de sistemas internos, uma medida drástica cuja eficácia e adequação dependem da avaliação de risco de cada organização.

O cenário regulatório e de ameaças na Rússia continuou a evoluir rapidamente. Em outubro de 2022, o FSTEC introduziu a "Metodologia para Avaliação do Nível de Criticidade de Vulnerabilidades de Software e Hardware", que vincula a avaliação de risco à infraestrutura específica de cada empresa. Em maio de 2023, o FSTEC publicou um "Guia para Organização do Processo de Gestão de Vulnerabilidades", um manual abrangente que detalha as cinco etapas do processo (monitoramento, avaliação, determinação de métodos de remediação, remediação e controle), papéis dos participantes e sua relação com a metodologia de avaliação de criticidade. O ápice dessa evolução regulatória veio em abril de 2025 com a Ordem nº 117, que tornou a gestão de vulnerabilidades um requisito obrigatório com prazos específicos para sistemas de informação estatais: 24 horas para vulnerabilidades críticas, 7 dias para altas, e varreduras mensais. Além disso, novas vulnerabilidades não listadas no Banco de Dados de Vulnerabilidades (BDU) devem ser reportadas ao FSTEC em até 5 dias úteis, estabelecendo um SLA normativo. Em novembro de 2025, o FSTEC publicou a "Metodologia para Análise de Segurança de Sistemas de Informação", definindo os procedimentos de escaneamento externo e interno. O Decreto Presidencial nº 250 de maio de 2022 também impôs responsabilidade pessoal aos vice-líderes pela segurança da informação e proibiu o uso de ferramentas de segurança de países "hostis" a partir de 2025, forçando a substituição de ferramentas e impactando diretamente o processo de gestão de vulnerabilidades. A Rússia, enfrentando um volume sem precedentes de ciberataques, está em um estado de "ciberguerra", o que exige uma revisão constante e adaptativa das práticas de gestão de vulnerabilidades. A exploração de vulnerabilidades, juntamente com ataques DDoS e phishing, continua sendo um vetor de ataque proeminente. A necessidade de soluções nacionais e a substituição de importações tornaram-se imperativas, impulsionando o desenvolvimento de software doméstico. No entanto, a dependência de projetos de código aberto em muitas soluções russas levanta questões sobre a gestão de suas vulnerabilidades. A cultura de segurança e a adoção de práticas como bug bounty e divulgação responsável de vulnerabilidades estão em desenvolvimento, mas ainda enfrentam desafios, especialmente no que diz respeito à regulamentação da atividade de "white hat hackers" e à mentalidade de alguns fornecedores que acreditam que a certificação garante a ausência de vulnerabilidades.

A gestão de vulnerabilidades na Rússia é um campo dinâmico, moldado por um arcabouço legal em evolução, pressões geopolíticas e a necessidade de adaptação a um cenário de ameaças em constante mudança. A transição para a Ordem nº 117, com seus prazos rigorosos, representa um desafio significativo para as organizações, exigindo uma reavaliação das estratégias de patching e remediação. A mudança para o software doméstico, impulsionada pela política de substituição de importações, traz consigo a complexidade de gerenciar vulnerabilidades em sistemas que podem ter origens em projetos de código aberto, mas que foram adaptados e modificados. A FSTEC e outras agências reguladoras estão ativamente desenvolvendo metodologias e diretrizes para orientar as organizações nesse processo, enfatizando a importância de uma abordagem proativa e baseada em risco. A avaliação de criticidade de vulnerabilidades, agora vinculada à infraestrutura específica de cada organização, permite uma priorização mais eficaz dos esforços de remediação. A crescente conscientização sobre a importância da segurança em todo o ciclo de vida do desenvolvimento de software, refletida em normas como o GOST R 56939-2024, visa mitigar vulnerabilidades desde a fase de concepção. Apesar dos avanços, a cultura de divulgação responsável de vulnerabilidades e a regulamentação clara para "white hat hackers" ainda são áreas em desenvolvimento. A experiência russa na gestão de vulnerabilidades, embora marcada por desafios únicos, está se tornando um estudo de caso valioso sobre como as nações podem adaptar suas estruturas de cibersegurança em resposta a um ambiente global complexo e volátil. A adoção de práticas como bug bounty e a colaboração entre o setor público e privado são cruciais para fortalecer a resiliência cibernética do país.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.