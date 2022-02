Ao momento em que escrevo estas linhas ainda não se sabe que esteve por detrás do maior ciberataque jamais feito contra Portugal: o ataque à infraestrutura de comunicações de uma das maiores operadoras nacionais: a Vodafone. O ataque começou a 7 de fevereiro por volta das 2100 e, segundo a operadora, interrompeu de forma "abrupta" a "quase totalidade" dos seus serviços de telecomunicações através de um ataque muito direccionado aos nós das redes da operadora por aquilo que terá sido uma grande botnet e com a maioria de equipamentos (segundo a cloudfare) nos EUA e Singapura mas, como sucede neste tipo de ataques, a operação não foi comandada a partir daqui mas de um país terceiro.



A Vodafone activou o seu plano de contingência e começou a recuperar os serviços um a um. O ataque foi apenas o mais recente de uma série que ainda não terminou e que deve colocar de sobreaviso todas as empresas, organizações e cidadãos nacionais. A Vodafone foi, com efeito, apenas o último de uma série de ataques que começou a 2 de janeiro com um ataque à Impresa e que destruiu - encriptando - os sites do Expresso e da SIC e apagou os backups que esta empresa tinha na Amazon Cloud e ao qual se seguiram ataques - de sucesso e duração variável, à Assembleia da República, Correio da Manhã, Sábado, Visão, Caras, TAP e, mais recentemente, aos laboratórios Germano de Souza. Ao que tudo indica, não foi a mesma organização que esteve desta vaga de ataques e estes divergiram no método, nem nos objectivos: alguns foram ataques clássicos de ramsonware com propósitos financeiros e outros visam afectar redes de comunicações essenciais ao normal funcionamento do país. As consequências destes ataques foram equivalentes ao que, nas décadas de 1930 e 1940, seria a destruição de pontes, estradas ou redes telefónicas por bombardeamento aéreo ou sabotagem por quintas colunas mas agora - dado o grau de digitalização da economia e a banalização destas notícias e a sobrecarga de informação actual - não estamos a dar a devida atenção ao problema. Basicamente Portugal está em guerra contra um agente ou agentes desconhecidos e não estamos a fazer o suficiente para nos defendermos... E precisamos de fazer!



Dois dias depois da Vodafone era a vez da rede móvel da operadora espanhola Movistar. Estes ataques, e em particular o ataque à Vodafone Portugal e à Movistar pode inserir-se num contexto geopolítico mais amplo estando Portugal a ser usado como um "teste" de uma operação de grande escala contra serviços ainda mais essenciais, tais como a gestão de barragens, rede eléctrica, um ataque paralelo a todas as operadoras de comunicações e internet e aos sistemas de segurança interna e defesa. O ataque à Vodafone e à Movistar (que ainda não o assumiu) pode ser assim ou um teste à capacidade de defesa, reacção e mitigação ou uma demonstração de capacidade que visa intimidar quem, nos países da NATO, acreditar que deve comprometer forças ou lançar novas sanções contra qualquer agressão no Leste europeu.



O que aconteceu à Impresa (com a perda de dados online e do histórico da SIC e do Expresso), à Cofina (Correio da Manhã, Sábado) e, mais recentemente à Vodafone (com impactos em bombeiros, INEM, rede multibanco, hospitais e mais de 4 milhões de clientes individuais e empresariais) deve levar o governo da República a agir e estabelecer uma grande iniciativa de cibersegurança em que:

1. Todos os órgãos do Governo, Ministérios e Autarquias locais comecem ou concluam a transição para uma estrutura cloud segura com uma arquitectura "Zero Trust" com a implementação obrigatória de sistemas de autenticação por múltiplo factor (MFA) e encriptação forte. E que o governo defina um prazo específico para completar essa transição.

2. Melhoria da segurança informática na "Software Supply Chain" determinando regras mínimas comuns de segurança a todo o software vendido ao Governo e Autarquias Locais e que este lance as bases de iniciativas inovadoras que garantam o desenvolvimento de software seguro a partir de grandes programas do Estado central.

3. A criação de um selo idêntico ao "energy star" que comprove ao governo e ao público em geral que o software foi desenvolvido de forma segura e que permita que o governo, utilizando o seu imenso poder aquisitivo, force os fabricantes a desenvolverem para todo o seu mercado, software mais seguro e sem vulnerabilidades.

4. Estabeleça um "Gabinete de Revisão de Cibersegurança" associado ou no Centro Nacional de Cibersegurança onde estejam representados elementos do governo e do sector privado que, depois de um incidente de segurança significativo possam analisar o que se passou e fazer recomendações concretas para melhorar os componentes de cibersegurança que falharam. Assim se procurará garantir que todas as organizações podem beneficiar da resolução de falhas de alguns.

5. Criar um "Livro de Regras" a partir de um texto ainda incompleto e já disponível no Centro Nacional de Cibersegurança para resposta a Ciber Incidentes que deve ser seguido pelas organizações do governo e das autarquias locais - independentemente da sua maturidade digital - e que crie um padrão uniforme mínimo de resposta entre todas as organizações e que, mais tarde, possa ser seguido pelas organizações do sector privado.

6. Aumentar a capacidade do Governo para detectar a ocorrência de um ciberataque às suas redes através da criação de um sistema único de detecção e de partilha de informação entre as diferentes agências e organismos governamentais.

7. Melhorar as capacidades de investigação e remediação em cibersegurança da administração pública e autárquica definindo padrões de registo ("logs") mínimos e padronizados que facilitem a detecção de intrusões, mitiguem os que estão em progresso e facilitem a determinação da extensão de um incidente.

Portugal precisa ainda de:

1. Aumentar as sanções contra as organizações que não comunicam às autoridades todas as ocorrências de cibesegurança.

2. Determinar acções práticas e concretas contra as autoridades dos países a partir dos quais são lançados estes ataques a empresas, particulares e entidades do governo central e das autarquias locais.

3. Ponderar a criação de uma taxa que seja aplicada às empresas e organizações que pagam resgates ou que ocultem que o fizeram. Portugal tem que ir mais longe do que todos para deixar de ser alvo (começa a desenhar-se o padrão de sermos um alvo preferencial pela baixa maturidade digital dos nossos utilizadores).

4. Determinar que todas as organizações, a partir de uma certa escala, tenham que ter um orçamento para cibersegurança que seja entre 10% a 15% orçamento de TI (a recomendação do 4º país mais ciberseguro do mundo e o mais seguro da Europa: a Estónia).

5. Que o Centro Nacional de Segurança:

a. Cumpra o Código do Procedimento Administrativo designadamente os prazos de resposta aos cidadãos e empresas.

b. Tenha equipas de cibersegurança que façam auditorias surpresa a empresas nacionais acima de um certo volume de facturação e

c. Que assista na resolução de cada incidente sendo chamadas obrigatoriamente podendo ter ou não um papel activo ou consultivo consoante a organização tenha equipas de cibersegurança à altura da ocorrência.

6. Que se realize, a nível europeu e nacional, uma avaliação da utilidade económica das criptomoedas e se esta avaliação concluir que não têm valor para a economia real mas apenas como produto especulativo e ferramenta para uso por cibercriminosos e traficantes de droga o seu uso, mineração, posse e manipulação deve ser proibido em Portugal e no espaço europeu e que Portugal tome a dianteira e proíba a mineração de criptomoedas no seu território

7. Que todas as despesas relacionadas com cibersegurança tenham IVA mínimo como serviços essenciais que são e devem ser.

8. Que todas as organizações nacionais acima de um certo volume de facturação:

a. tenham nos acessos remotos (VPN e Internet) aos seus recursos formas de autenticação por duplo factor.

b. realizem testes de penetração (pentests) anuais.

c. que possuam seguros contra os impactos de ransomware na actividade da organização.

d. que existam backups offline e uma equipa especializada de cibersegurança.

e. tenham um plano de formação online dedicado à cibersegurança com aprovação obrigatória por parte de todos os seus colaboradores.

f. a existência de redes alternativas de backup obrigatórias para Estado, autarquias locais e empresas de grande dimensão.

9. Que o Governo lançasse um programa de recompensas que remunera quem descobrisse vulnerabilidades em sites do Estado, empresas públicas ou municipais e autarquias locais.



Seria ainda desejável que o "O Centro de Ciberdefesa" que "tem como missão garantir a integridade, confidencialidade e disponibilidade da informação e dos sistemas de informação da Defesa Nacional, essenciais ao exercício da nossa soberania, levando a cabo ações de defesa e, eventualmente, a criação de efeitos no, e através do, ciberespaço" alargue a sua capacidade e âmbito de acção e possa também assistir o governo e as empresas nacionais na reacção a um ciber incidente de grande escala como aquele que em Fevereiro de 2022 derrubou a rede da Vodafone.



Mas não devemos ficar por aqui. Devemos seguir de perto o exemplo da Estónia e incluir a cibersegurança nos currículos escolares, com exercícios práticos constantes e cadeiras especializadas no secundário. A cibersegurança já não é um assunto só para especialistas porque o seu impacto já se alarga a toda a sociedade e não podemos continuar a pensar que é um problema "informático" mas social e com alcance em todos os sectores.



Estas recomendações foram enviadas à Comissão Parlamentar de Defesa Nacional, ao Ministério da Defesa Nacional, Ministério da Administração Interna, Centro Nacional de Cibersegurança, OSCOT - Observatório de Segurança, Criminalidade Organizada e Terrorismo e à APDSI - Associação para a Promoção e Desenvolvimento da Sociedade da Informação mas até ao momento não houve qualquer resposta.

(O autor escreve segundo o Antigo Acordo Ortográfico)

Rui Martins, fundador dos www.vizinhosdoareeiro.org e presidente da associação Vizinhos em Lisboa