Um exército de “coisas” orquestradas por hackers, ou um grupo de hackers, ainda não identificado conseguiu deixar inoperacionais várias dezenas de sites e serviços relevantes na última sexta-feira, naquele que já foi considerado o pior ciberataque da última década. Mas o que aconteceu na costa Leste dos Estados Unidos pode acontecer em qualquer lado, sobretudo devido à natureza e formação da própria internet, e à fragilidade de algumas das “coisas” que estão cada vez mais ligadas à rede.

O professor José Tribolet lançou o alerta em entrevista à TSF, lembrando que “os nossos telemóveis, computadores, impressoras e câmaras estão transformados numa espécie de "exército malévolo"”, e lamentando a falta de disponibilidade dos responsáveis políticos para debater este assunto, alertando para o facto de que um a questão não é se vai haver um cibertaque em Portugal, mas quando.

A propósito dos riscos que Portugal corre, o TeK foi ouvir alguns dos especialistas na área e responsáveis por organismos e empresas do sector, e a opinião é unânime: os riscos existem, não devem ser minimizados, mas Portugal não está na rota dos principais alvos deste tipo de ameaças.

Pedro Veiga, coordenador do Centro Nacional de Cibergurança, explicou ao TeK que os indicadores que existem sobre Portugal mostram que este não é um dos países com mais incidentes de Cibersegurança. “Claro que numa área em que tudo é muito dinâmico podem verificar-se ciberataques que não é possível antecipar e por isso a Cibersegurança é tão importante porque visa capacitar as organizações para detetarem e responderem aos problemas que se venham a verificar”, justifica o responsável pelo organismo que tem por missão “implementar as medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de situações que, face à iminência ou ocorrência de incidentes ou ciberataques, ponham em causa o funcionamento dos organismos do estado, das infraestruturas críticas e dos interesses nacionais”.

Mesmo assim, Pedro Veiga sublinha que o Centro não tem ainda uma visão global. “Muitas das entidades que operam as infraestruturas da Internet em Portugal são privadas, gerindo serviços essenciais e o Centro tem tido várias reuniões e posso dizer que há um bom nível de preparação para resposta a incidentes que venham a existir. Mas ainda há muitas entidades relativamente às quais ainda não tivemos interação e, assim, não podemos ter uma visão global”, explica.

E estamos a fazer tudo o que devemos em termos de cibersegurança? “Na segurança nunca se pode dizer que estamos a fazer tudo. Há que investir na capacitação das organizações (públicas e privadas) e das pessoas para encararem a Cibersegurança como uma preocupação central. E para isso há que intervir junto dos dirigentes máximos das organizações, estes devem perceber os riscos para as suas atividades dos problemas da Cibersegurança e devem investir meios organizativos, tecnológicos e humanos.”, justifica Pedro Veiga, dizendo que esta é uma das preocupações centrais do Centro e que já foram assinados vários protocolos.

“Ainda há cerca de dez dias diversas entidades participaram no exercício Cyber Europe 2016, coordenado pela ENISA, e numa avaliação preliminar verificou-se um nível de prontidão e execução do exercício de bom nível”, adianta ainda o Coordenador do Centro Nacional de Cibersegurança.

Proteção ao nível do país, das organizações ou dos utilizadores?
Do lado da S21SEC, João Barreto Fernandes, Head of Business Development, mostra confiança, mas alerta para os riscos. “O risco de Portugal sofrer um ciberataque do tipo dos registados na última semana, onde foram usados dispositivos enquadráveis no universo da IoT (webcams para videovigilância, por exemplo) é tão grande quanto a sensibilidade dos utilizadores e dos instaladores destes dispositivos para o tema. Dado que em Portugal vive-se ainda muito o princípio "segurança pela obscuridade", não existindo uma sensibilização transversal para este tema (promovida pelo Estado à larga escala, por exemplo), não existem razões para considerarmos que estamos melhor posicionados que outros países”.

Isto é amplificado pelo facto de Portugal ser um país onde a regulação tarda, e onde “a aplicação da justiça aos prevaricadores sofre de alguma incapacidade devido à falta de meios”, admite. E estamos preparados? Essa é “uma pergunta simples mas de resposta muito complicada”, justifica.

“Um país protege-se na sua globalidade e não apenas colocando enfoques pontuais em contextos específicos. Protege-se, portanto, pela elevação da cibersegurança das empresas, das instituições públicas, das infraestruturas críticas (algumas públicas mas muitas privadas) e pelo reforço da sensibilidade dos próprios cidadãos para estes temas. O fator de maior complexidade neste desígnio é que, embora seja possível fazer uma aproximação faseada a estes vários sub-objetivos, tem necessariamente de se fazer tal em paralelo, endereçando os pontos mais críticos e relevantes primeiro, mas nunca descurando nenhum”, adianta em resposta ao TeK, lembrando que o Centro Nacional de Cibersegurança é a entidade que em Portugal tem essa missão tal e que “os efeitos começam a sentir-se mas é desejo de toda a comunidade que o CNCS acelere a sua atuação e que consiga despoletar em todos os agentes atividades conducentes ao objetivo primário”.

David Sopas, Security Team Leader da Char49, também admite que “proteger um país é praticamente impossível. Podemos sempre é tentar reduzir os danos causados”. Apostar na educação e na mentalidade de segurança informática nos mais novos, desde cedo, é uma das medidas, até porque David Sopas acredita que as principais vulnerabilidades não estão nas empresas nem na infraestrutura do Estado, mas sim nos utilizadores.

“Se os utilizadores tivessem um maior cuidado em manter software atualizado e até mesmo mudar regularmente as suas passwords iria reduzir bastante as ferramentas para estes ataques online. Enquanto houver utilizadores, em Portugal como noutro país qualquer, que não tenha cuidado com o seu acesso à web e equipamento (IoT), os utilizadores maliciosos irão sempre aproveitar-se e usar os seus dispositivos como "arma"”, afirma em resposta ao TeK.

Francisco Fonseca, CEO da AnubisNetworks, contextualiza o tipo de ataques registados na semana passada e admite que tecnicamente o país está na mesma posição que outros no que toca à infraestrutura, mas admite que “o risco efetivo para Portugal, pelo menos por enquanto, é colateral. Não existem indicações que Portugal será um alvo direto de ataques deste tipo”.

A AnubisNetworks monitoriza em permanência as redes para várias organizações e não notou nenhum nível de atenção especial a Portugal. “Nada fora do normal. A atenção que Portugal tem por parte de atacantes é oportunista e não parece ser baseada em qualquer tipo de estratégia para causar dano efetivo nos recursos do país”, admite Francisco Fonseca.

Citius e outros serviços na mira de hackers?
Este ano alguns serviços governamentais em Portugal foram alvo de ataques informáticos, e José Barreto Fernandes, da S21SEC, admite que estes podem e vão repetir-se. “Cá, como em todos os outros países, a questão que se coloca não é o "se" mas sim o "quando". As organizações criminosas que assentam a sua atividade no cibermundo são altamente organizadas, metódicas e focadas e, à parte de ataques cirúrgicos com objetivos muito específicos (roubo financeiro, execução de contratos de roubo de propriedade intelectual, hacktivismo, etc.), espalham a sua atividade por todos os mercados e países, de forma a infiltrarem instituições para que possam usar tal quando for oportuno e não necessariamente de forma imediata”, lembra.

Ainda assim todos os especialistas contactados pelo TeK admitem que o nível de consciencialização das organizações tem vindo a melhorar em relação à cibersegurança, mesmo que devagar. E as novas regras do Regulamento de Proteção de dados (General Data Protection Regulation (GDPR)) e a diretiva da segurança de redes e dos sistemas de informação (NIS) obrigam a novos níveis de cumprimento de regulamentos, o que vai ajudar a reduzir a exposição de dados e aumentar o investimento nesta área.

“A Cibersegurança, dado não ser o "negócio" da vasta maioria das instituições, tende a ser considerada como um "custo necessário", que tem de ser enquadrado com todas as outras rubricas igualmente percepcionadas como tal. Consequentemente, a cibersegurança apenas tem um lugar mais prioritário na agenda dos decisores, com reflexos no investimento associado, quando a "necessidade" deste custo aumenta”, sublinha José Barreto Fernandes.

Nota da Redação: Foi feita uma correção na referência à AnubisNetworks