Foi a 7 de fevereiro de 2022 que um ataque informático à Vodafone Portugal paralisou a empresa, criando impactos nos clientes particulares e empresariais, das redes móvel, fixa e TV, e afetando a ligação a outros operadores. Num início de ano já considerado “horrível”, que tinha começado com o ataque à Impresa, este ataque levou a uma união de esforços de várias entidades para mitigar a situação, numa cooperação também entre os vários operadores de comunicações que nesta situação assumiram o papel de aliados contra uma ameaça comum, e a gestão de crise já foi considerada excecional e uma referência de boa prática a aplicar em situações semelhantes.

No âmbito do dossier de cibersegurança, que o SAPO TEK publica hoje, desafiámos Paulino Corrêa, Chief Network Officer (CNO) da Vodafone Portugal, a contar a experiência e os desenvolvimentos de um evento que classifica como “verdadeiramente excecional” e que não tem dúvidas de identificar como o mais desafiante da sua vida profissional.

Da reação em poucos minutos para a contenção do problema, ao trabalho de mitigação que se seguiu, até à investigação, com processos que se estenderam a componentes personalizadas feitas à medida dos clientes empresariais, o CNO da Vodafone Portugal conta como toda a administração e equipa de liderança foi mobilizada, sublinhando que “a dedicação e o foco das equipas da Vodafone foram absolutamente incríveis”.

O que mudou na empresa e as lições que ficam deste ataque estão também destacados na entrevista que pode ler na íntegra.

Leia a entrevista

SAPO TEK: A Vodafone foi alvo no início do ano de um ataque informático de grande dimensão. Está totalmente ultrapassada a situação?

Paulino Corrêa: Sim, a situação está ultrapassada. Infelizmente, no dia 7 de fevereiro de 2022, a Vodafone foi alvo de um ciberataque sem precedentes, que provocou a destruição intencional de vários elementos centrais das nossas redes. Foi um evento verdadeiramente excecional e diria que, seguramente, foi o dia mais desafiante da minha vida profissional. Para se ter uma ideia do impacto, recuámos ao passado, à segunda geração móvel. No entanto, apesar de ter sido um dia “negro”, o que lhe sucedeu também foi verdadeiramente excecional. Seguiu-se uma operação de recuperação rápida, que, num só dia, permitiu que restabelecêssemos o equivalente a 10 anos de evolução das nossas redes móveis.

SAPO TEK: Como foi identificado o ataque e quais foram os primeiros passos?

Paulino Corrêa: Quando uma empresa sofre um ciberataque, o primeiro passo é a contenção – garantir que o ataque está erradicado – e iniciar duas vias de ação: a recuperação e a investigação.

No caso da Vodafone, o nosso esforço prioritário foi o da reposição, o mais rapidamente possível, de serviços estratégicos. Nas primeiras horas do ataque foi possível recuperar o serviço de voz móvel, ainda que com constrangimentos e perturbações em algumas ligações e também, embora em modo de contingência, serviços de dados móveis exclusivamente sobre rede 3G.

Nas horas e dias seguintes, e faseadamente, recuperámos os restantes serviços: serviços de voz fixa, SMS e serviços de atendimento ao Cliente de voz/digitais. Este foi um trabalho complexo e moroso que nos obrigou, ao longo dessa semana, a estar focados na recuperação total dos nossos serviços. A televisão e o serviço de internet fixa não foram afetados diretamente, mas necessitaram de atividades de estabilização.

Este trabalho naturalmente não ficou por aqui, como muitos dos nossos Clientes sabem. Foi necessário, em alguns casos, sobretudo no segmento empresarial, repor soluções específicas, com componentes personalizadas e feitas à medida de cada cliente. Isso tornou o processo mais complexo e demorado para este segmento.

SAPO TEK: Consegue descrever a evolução das primeiras horas/dias?

Paulino Corrêa: O ataque foi identificado e no espaço de escassos minutos estávamos a reagir. Mobilizámos imediatamente as equipas relevantes de engenharia e operações de rede e de serviço ao cliente. Mas em paralelo também as equipas comerciais entraram em ação, abrindo o canal com os clientes e a ajudar no diagnóstico da situação. A Administração e toda a equipa de liderança foi mobilizada em permanência. Serviços de SMS, dados e outros serviços especiais colapsaram e foi necessário, em poucos dias, recuperar o que em “tempos de normalidade” levaria meses. A situação era muito complicada, mas a dedicação e o foco das equipas da Vodafone foram absolutamente incríveis.

SAPO TEK: A colaboração com as autoridades (PJ/CNCS/Anacom) funcionou bem? E com os outros operadores e parceiros/fornecedores?

Paulino Corrêa: A colaboração decorreu dentro da normalidade, os organismos púbicos de investigação do cibercrime tiveram sempre uma atitude diligente e cooperante para com a Vodafone. Contámos também com a colaboração, cooperação, solidariedade e generosidade dos outros Operadores, bem como dos nossos Parceiros e Fornecedores, alguns dos quais estiveram a trabalhar longas horas, dias e noites connosco, lado a lado.

SAPO TEK: O ataque conseguiu paralisar as comunicações na Vodafone e nos clientes mas também na ligação a outros operadores. Têm um cálculo dos custos financeiros e reputacionais?

Paulino Corrêa: O ataque à Vodafone não afetou apenas os nossos Clientes, mas sim o País. Em primeiro lugar foi um ataque aos 4 milhões de Clientes Vodafone, depois aos outros 6 milhões com quem estes se relacionam. Portanto, aos 10 milhões de portugueses. O custo financeiro de todo este impacto é, no fundo, incalculável.

Em termos reputacionais, os Portugueses foram solidários. Entenderam a gravidade do sucedido e que o que estava a acontecer era efetivamente um ataque malicioso. Compreenderam também que tudo estava a ser feito para repor a normalidade do serviço com a maior brevidade.

Aliás, não posso deixar de expressar o meu profundo agradecimento para com a comunidade durante este período. Foi muito gratificante saber que nesses dias se tinha levantado uma onda de solidariedade, onda essa que nos dava ainda mais força.

SAPO TEK: Feita a “análise forense” conseguiram identificar responsáveis, os vectores de entrada e também a dimensão completa dos danos e do acesso dos hackers ou ainda está em análise?

Paulino Corrêa: A investigação ainda decorre, pelo que não posso partilhar pormenores.

SAPO TEK: Falou-se em possíveis ligações geopolíticas ou um teste para eventuais ataques de grande dimensão a outras operadoras. Já tem uma ideia mais clara que confirme ou desminta esta hipótese?

Paulino Corrêa: Reitero a resposta anterior. Não posso adiantar pormenores.

SAPO TEK: A forma como a Vodafone geriu a comunicação do ataque foi considerada exemplar. Que boas práticas aplicaram e que conselhos podem partilhar com outras organizações?

Paulino Corrêa: Ao longo deste processo, tentámos ser muito proativos, transparentes e estar próximos dos Clientes, desde o início. Fazíamos pontos de situação recorrentes ao longo dos dias e não estar à espera de que os Clientes nos contactassem. Acho que toda esta disponibilidade e comunicação clara e proativa foi parte fundamental.

Estas são situações em que tem de haver proximidade com os stakeholders ao longo de todo o processo, desde a identificação até à resolução. Para isso também é preciso que a informação chegue a todos, pelos vários canais, dando conhecimento da evolução da situação.

Tudo isto foi algo que procurámos fazer ao longo desta crise e que sublinhou a necessidade de as empresas estarem preparadas para reagir ativamente em termos de comunicação com as várias partes interessadas em situações desta natureza.

SAPO TEK: Subscreve a ideia de que ninguém está 100% seguro e que a questão não é se vamos ser atacados mas quando é que isso vai acontecer?

Paulino Corrêa: Sim! Nenhuma empresa, entidade ou pessoa a título individual está 100% livre que algo desta natureza lhe aconteça. Esta é uma nova realidade que tem de ser profundamente considerada por todos. A cibersegurança faz-se com gestão de risco e com política máxima de proteção. Não controlamos a capacidade ou motivação dos atacantes, mas conseguimos controlar a oportunidade de atacar. A cibersegurança também se constrói fazendo evoluir a mentalidade dos nossos colaboradores nas decisões que fazem todos os dias.

SAPO TEK: O que aprenderam com este ataque e o que estão agora a fazer melhor do que antes?

Paulino Corrêa: A segurança já era uma prioridade da Vodafone. Por exemplo, no Grupo Vodafone já temos há largos anos auditorias internas neste âmbito. Sempre investimos - e continuaremos a investir - em cibersegurança. Mas, capitalizando a experiência que tivemos é necessário garantir que (1) incidentes desta dimensão não se voltem a repetir; (2) que quando acontecerem eventos cyber, o impacto seja o mais reduzido possível; e (3) se acontecerem e tiverem impacto, ter ferramentas e abordagens para recuperar o mais rapidamente possível.

Estes três princípios fundamentais já estavam presentes na forma como desenhamos e construímos redes e serviços, mas agora estão ainda mais sedimentados nas equipas de engenharia e operações da Vodafone e levaram a dezenas de atividades de melhoria e resiliência em que temos investido nos últimos meses após o incidente.

SAPO TEK: A Vodafone Portugal é hoje uma empresa mais segura?

Paulino Corrêa: Sempre fomos uma empresa segura. Aliás, somos uma referência a nível nacional e internacional neste domínio, temos os melhores meios e a expertise e comparamos bem em todos os benchmarks da indústria. A Vodafone – como, estou certo, a generalidade dos operadores no País – tem todos estes mecanismos implementados, rotinados e atualizados para fazer face a ameaças deste tipo. No entanto, a sofisticação da nossa segurança é acompanhada, infelizmente, pela sofisticação de meios de quem a pretende desafiar. Os atacantes conhecem as defesas e estão sempre a trabalhar para surpreender. É sempre mais fácil atacar uma eventual vulnerabilidade de uma rede do que defender todo o seu perímetro. É uma ameaça que está sempre presente e que obriga a uma atenção e investimento constantes, que no caso da Vodafone chega aos milhões de euros por ano. Na Vodafone como, acredito, na generalidade das empresas que lidam com tecnologia de redes e digital, esta renovada ameaça obriga a uma atenção constante e também uma evolução no mindset e comportamento dos seus colaboradores.