Esperam-se 1,5 milhões de pessoas em Lisboa para participar nas Jornadas Mundiais de Juventude, que trará a Portugal o Papa Francisco que estará no país entre os dias 2 a 6 de agosto. Considerando que Lisboa e Portugal vão estar na “boca do mundo”, o evento poderá tornar as organizações, empresas e instituições do Estado um alvo aos cibercriminosos. A iniciativa Cidadãos pela Cibersegurança questiona onde estão os planos para mitigar situações que decorram no período do evento.

A CpC considera que Portugal continua a ser um dos países da União Europeia menos preparados para ciberataques. De salientar que apesar de o número de incidentes ter recuado no primeiro trimestre deste ano, 2022 registou diversos ataques devastadores, nas contas do Centro Nacional de Cibersegurança (CNCS).

A iniciativa salienta que é grave que ainda não se conheça uma componente de planeamento para a redução do risco, assim como reações integradas a incidentes de cibersegurança que possam ocorrer durante a primeira semana de agosto. “Nada pode ser encontrado nos planos do governo, do grupo de projeto para a Jornada Mundial da Juventude, coordenado por José Fernandes, nem na Fundação JMJ Lisboa 2023, nem da CML, nem no site do Centro Nacional de Cibersegurança”. O SAPO TEK pediu informações sobre a questão levantada à CNCS e aguarda respostas.

É salientado que as organizações ligadas ao evento têm um aumento de risco e incidência de ciberataques, como as Câmaras Municipais de Lisboa e Loures, a Polícia Municipal, a PSP, INEM, Infraestruturas de Portugal, ANA, TAP e a própria organização das JMJ. Os planos deveriam ser publicados com pelo menos 15 dias de antecedência, realça a CpC.

Foram levantadas ainda questões relacionadas com a formação para a cibersegurança de todas as entidades envolvidas, incluindo voluntários e participantes, para questões simples, tais como o uso de passwords complexas e o reconhecimento de phishing. Questionou ainda se a Altice Portugal está preparada para disponibilizar o acesso à rede de fibra ótica e acesso a Wi-fi resistentes a possíveis ataques DDoS, assim como criptografia adequada e firewalls para evitar acessos não autorizados.

Sobre o website das JMJ, os dados dos participantes registados foram tratados com o cuidado merecido? “Existiram auditorias de segurança e não haverá dados a serem transmitidos para fora da União Europeia, designadamente para o Estado do Vaticano? Os dados pessoais estão anonimizados e alguém auditou o cumprimento do RGPD”?

Foi também questionado se os sistemas associados às JMJ, como o website oficial (https://www.lisboa2023.org) têm o máximo nível de atualização de segurança implementado. E se existem sistemas de monitorização de atividades de cibersegurança implementados no web e mail do website, assim como de deteção de intrusões, análise agregada de logs e monitorização de tráfego de rede.

A autenticação e controlos de acesso às redes das JMJ também foram questionadas, se estas usam VPNs exclusivos, sistemas de duplo fator, autenticação biométrica ou mesmo uma equipa dedicada ao tema. E se existem sistemas de backup e recuperação de dados em caso de incidente, de forma a garantir a continuidade das operações em todo o período do evento. A CpC pergunta ainda quais são as entidades em cibersegurança especializadas que estão a colaborar na execução do plano de segurança.

Para todas estas questões a iniciativa diz que procurou a informação nos websites do CNCS e as restantes entidades ligadas às Jornadas Mundiais de Juventude. E sugere ainda uma comunicação com base diária sobre níveis de risco, incidentes a decorrer, ameaças previstas ou identificadas.