É possível violar a cibersegurança do Governo com €100 mil? “Até com €106”

Os grandes ataques informáticos também acontecem em Portugal?
Há uma ideia global de que Portugal não é alvo de ataques informáticos. É verdade que não somos dos principais alvos, mas não significa que não devemos estar preocupados até porque temos tido um histórico de ataques que muitas vezes não são divulgados pelas mais variadas razões: por exemplo, as entidades têm receio de divulgar porque podem colocar em causa a sua reputação. Depois há ataques que as pessoas não entendem como ataques mas que são: o e-toupeira ou os Panamá Papers são disso exemplo. Ambos são roubos de informação e só foram possíveis porque não havia cibersegurança. O que nos deve preocupar enquanto país são os ataques a infraestruturas relevantes e temos muitos serviços essenciais que estão dependentes das tecnologias da informação e, muitas vezes, as instituições nem têm essa noção.

Pode dar detalhes desses ataques em Portugal que não foram conhecidos?
Não posso, mas no ano passado uma ETAR [Estação de Tratamento de Águas Residuais] em Portugal foi atacada e ficou vários dias parada porque os computadores que controlavam tudo deixaram de funcionar. A crescente dependência que a sociedade tem das tecnologias da informação e a necessidade crescente do imediatismo em ter coisas a funcionar leva a que, por um lado, se queimem etapas e não se façam todos os testes devidos; por outro lado, em alguns países, tal como Portugal, há uma falta brutal de recursos humanos - as empresas nem sempre investem o suficiente na formação das pessoas e depois há azares. Há também outras situações em que, devido à falta de recursos, qualquer gato pingado é posto em determinados cargos. Mas é preciso também que as próprias entidades estejam atentas. Posso dizer que enquanto fui coordenador do Centro Nacional de Cibersegurança procurámos trabalhar com todos os ministérios - sobretudo os ligados à soberania do país, o da Saúde e da Segurança Social, pelo tipo de informação que guardam - e procurámos alertá-los para os problemas. Uns estavam mais alerta que outros, mas esta é uma área em que temos ainda muito que investir.

Quais os Ministérios que estavam mais alerta e os que estavam menos?
Não lhe posso responder a isso.

É fácil atacar os sistemas informáticos da administração pública? É possível fazê-lo?
Penso que não estou em condições para lhe responder à primeira parte da pergunta. Se é possível? Sim, é. Atualmente vendem-se na ‘dark web’ ataques muito baratos. O denial-of-service, por exemplo, (consiste em injetar volumes de tráfego muito elevados no acesso de um organização e o site fica inacessível por algum tempo), é relativamente fácil comprar, tal como um ataque de ransomware, que é dos mais perigosos porque pode pôr de parte toda a infraestrutura de uma organização (por exemplo, há dois anos com o WannaCry). Entra habitualmente por e-mail no computador, instala o vírus e espalha-se por toda a rede da organização. Cifra os computadores e bloqueia-os, um problema que só pode ser resolvido com o pagamento de um resgate.

Quando diz que são ataques baratos, estamos a falar de quanto?
Sem dúvida alguma €500. Mas acredito que por menos também é possível. Olhe [interrompe o raciocínio], enquanto estamos a falar estou a pesquisar e encontrei um pacote de ransomware para um mês que custa 120 dólares (cerca de 106 euros). Há uns mais sofisticados com duração de um ano que custam 1500 dólares (cerca de 1300 euros). São preços módicos.

E o que é que esse pacote inclui? Compra-se o ataque e depois?
A pessoa subscreve, é-lhe dado acesso a uma conta e depois define o seu alvo (por exemplo, enviar e-mails para endereços que terminem em ‘impresa.pt’). O sistema envia e-mails que estão infetados e bloqueia os computadores. As vítimas recebem posteriormente uma referência para desbloquear mediante o pagamento em bitcoins. É algo muito cómodo de se fazer. Este exemplo foi apenas a primeira opção que me apareceu numa busca no Google. Os ataques de ransomware e de denial-of-service são os mais frequentes porque podem provocar interrupções do serviço e os criminosos exploram isso em serviços de saúde ou empresas com transações comerciais. Outros ataques que podem ser mais danosos têm que ver com vírus que são introduzidos no sistema e roubam informação e muitas vezes só se dá conta disso mais tarde. Esses dados roubados são depois usados para cometer fraudes.

Esses ataques mais simples, os de ransomware e de denial-of-service, conseguem quebrar a segurança dos sistemas de cibersegurança da administração pública?
As organizações (ministérios, câmaras municipais e governos das regiões autónomas) têm diferentes níveis de preparação, algumas estão muito bem, outras não. Enquanto coordenei o Centro Nacional de Cibersegurança identifiquei a falta de formação das pessoas como um ponto de entrada muito perigoso, porque têm comportamentos de risco. Imaginando que tenho um telemóvel dado pelo serviço e vou a um restaurante e ligo-me à rede wi-fi: as redes públicas são facílimas de infiltrar e podem infetar o meu smartphone se houver vírus. Depois vou ligar à rede wi-fi do local de trabalho e corro o risco de infetar o sistema. Tentávamos sensibilizar as pessoas para não usarem os aparelhos de serviço em redes públicas porque poderia estar em causa toda a cibersegurança da organização. Além das infraestruturas tecnológicas, há o comportamento de risco das pessoas e por isso é que a formação é necessária para todos os funcionários.

Sendo o Estado guardião de milhares de dados dos seus cidadãos, como e onde estão guardados? Estão seguros?
São as jóias da coroa digitais: os dados das Finanças, da Segurança Social, da Saúde… Isto é um pergunta que deve ser feita ao Governo. Eu sei o que se passa, mas posso dizer-lhe, por exemplo, que na zona do Poço do Bispo [por trás do aeroporto de Lisboa] há um grande data center de uma empresa internacional onde há vários servidores públicos guardados. Eu sou da opinião que muitos destes dados não deviam estar em empresas privadas, deviam estar em centros de dados pertencentes e geridos pelo Governo.

Que tipo de consequências pode ter um ataque informático?
Pode imediatamente paralisar os serviços. Mais um exemplo: se o controlo do tráfego aéreo parar, pode ter um efeito terrível e deixar o aeroporto de Lisboa sem funcionar. Esta é um exemplo extremo e, dependendo do nível de fator crítico dos serviços perante a sociedade, é mais ou menos danoso. Uma consequência que não é imediata é o roubo de informação que pode ter implicações financeiras, de perda de negócios, de fazer terrorismo. Na área da Saúde, por exemplo, imagine roubarem dados de pessoas e vendê-los a uma série de entidades e irem parar a um companhias de seguros. Os dados de Saúde são considerados a nível internacional os mais críticos e há uma criminalidade organizada a roubar. Do ponto de vista do Estado, há uma quantidade de espionagem internacional a tentar roubar dados críticos de segredos de estados. São conhecidas tentativas de todos os países, até de países democráticos. O que Edward Snowden mostrou foi que na NSA (Agência de Segurança Nacional norte-americana) roubavam dados de todo o mundo. E depois há outra questão: mas quem são as pessoas que roubam? São cidadãos de determinado país ou há um Governo por trás? É o que gosto de chamar ‘cibermercenários’. E tal como os mercenários, é muito difícil perceber quem os financia.