cibersegurança

Cibersegurança: “Conseguimos entrar no sistema de uma grande empresa portuguesa”

Ftoografia: REUTERS/Valentyn Ogirenko
Ftoografia: REUTERS/Valentyn Ogirenko

Jorge Alcobia, diretor-geral da Multicert garante que Portugal não está preparado para ciberataques e que as sociedades de advogados são alvo fácil.

A cibersegurança é uma das áreas em que a Multicert está a apostar fortemente. Jorge Alcobia, diretor-geral da empresa, admite que não há sistemas 100% seguros mas lamenta que os responsáveis em Portugal falem de uma forma “muito ligeira” sobre o tema e garante que estamos “pessimamente preparados” para ciberataques.

O responsável da Multicert garante ainda que o roubo de informação da sociedade de advogados dos Panama Papers pode perfeitamente acontecer a qualquer escritório em Portugal.

Vários estudos e inquéritos têm concluído que Portugal não está minimamente preparado para ciberataques e para o novo regulamento de proteção de dados.

Sim sim. Por exemplo, nós falamos com as principais sociedades de advogados do país, porque os advogados são uma fonte de fragilidade tremenda. São o terceiro setor mais atacado nos EUA. O primeiro é o financeiro e o segundo é a saúde. Veja o caso dos Panama Papers, por exemplo. Se fosse cliente da Mossack Fonseca, ainda os processava. Roubaram 2,6 terabytes de informação dos servidores sem que eles tivessem dado por nada.
Como é possível? E em Portugal, se nós quiséssemos fazer o mesmo à PLMJ, à Morais Leitão ou à Linklaters, era só escolher. Claro que é ilegal. Não se pode fazer. Mas a questão não é essa. Quem estiver muito motivado por qualquer razão que seja pode fazê-lo. Mas quando chegamos às sociedades de advogados a resposta deles é: nós temos um seguro para isto. E acham que a coisa se resolve assim. Os responsáveis em Portugal falam sobre estes temas de uma forma muito ligeira. Diria que estamos pessimamente preparados para isto.

Os advogados são uma fonte de fragilidade tremenda. São o terceiro setor mais atacado nos EUA (…) E em Portugal, se nós quiséssemos fazer o mesmo à PLMJ, à Morais Leitão ou à Linklaters, era só escolher”

A Inspeção-Geral de Finanças tem vindo a alertar há vários anos para o facto de os organismos públicos não estarem preparados para ciberataques. Neste ano, depois do ataque wanna cry foi anunciado um reforço do Centro Nacional de Cibersegurança (CNC).
O Centro Nacional de Cibersegurança está pensado, e bem, para defender o que se chama o perímetro das infraestruturas críticas. Vamos pensar em empresas como a REN, a EPAL. Mas hoje em dia o problema não está fora do perímetro, mas dentro do próprio perímetro. Eles estão preparados para ataques que venham de fora contra as firewalls e as redes de comunicação, etc. Mas o que vemos hoje em dia, como foi o wanna cry, é um ataque interno. Alguém dentro da empresa recebe um e-mail a dizer não sei o quê, clica e é por dentro que aquilo se faz.

Um bom hacker consegue entrar num sistema por muitas defesas que tenha. Não há sistemas 100% seguros pois não?
Não. Isso não existe. Nem a NSA é 100% segura. O que temos é de ter a capacidade para, ainda que alguém consiga entrar no sistema, detetar e impedir que não chegue a nenhuma coisa crítica.

Não há um único cliente que nos tenha contratado que nós não tenhamos chegado a sítios críticos, normalmente em menos de uma semana (…) O nº1 da informática de uma grande empresa portuguesa dizia que era completamente impossível entrar no sistema deles. Mas nós conseguimos.

O problema é que muitas vezes nem sequer dão por isso.
Pois, como foi o caso da Equifax, da Delloite ou da Yahoo, em que eles estiveram lá meses a fazer o que quiseram, sem ninguém dar por nada. E esse para mim é que é o grande tema. A espionagem industrial é feita a sério utilizando este tipo de coisas.
Não consigo perceber quando vamos aos clientes e falamos destes temas como é que assobiam para o lado. Não há um único cliente que nos tenha contratado que nós não tenhamos chegado a sítios críticos, normalmente em menos de uma semana.
Nós tivemos uma reunião com uma grande empresa portuguesa, em que o n.º1 da informática dizia que tinha a certeza de que era completamente impossível entrar no sistema deles. Tinham uma solução à prova de tudo. Mas nós conseguimos colocar uma pen num computador (até tirámos fotografias) e entrámos no sistema. E depois até imprimimos o relatório que íamos apresentar à administração. Eles diziam que não era possível. Mas foi.

Comentários
Outras Notícias que lhe podem interessar
Hoje
Inspeção Geral das Finanças tem inquérito a decorrer.

IGF detetou ilegalidades de 1900 milhões de euros em 2016

Patrick Drahi lidera grupo Altice. Fotografia: Filipe Amorim/Global Imagens

Acionistas da dona do Meo apresentam queixa por “informação falsa ou enganosa”

Fotografia: JOSÉ COELHO/LUSA

OE2018: Aprovado aumento extraordinário de 6 ou 10 euros nas pensões

Outros conteúdos GMG
Conteúdo Patrocinado
Conteúdo TUI
Cibersegurança: “Conseguimos entrar no sistema de uma grande empresa portuguesa”