O cenário estava montado e foi definido por um grupo de trabalho que reuniu durante vários meses as ideias e necessidades das organizações e empresas a envolver e também trabalhou de perto com a Comissão Nacional de Eleições. E se um ciberataque pudesse invalidar a realização de um ato eleitoral em Portugal? A premissa foi o ponto de partida do exercício de cibersegurança realizado este ano pelo Centro Nacional de Cibersegurança (CNCS), com a colaboração da ENISA, a agência europeia de cibersegurança, e 22 entidades escolhidas pelo seu papel crítico neste cenário, que atuaram como jogadores neste teste de resiliência.

"Estes jogadores foram escolhidos por serem os relevantes neste cenário", explicou Lino Santos ao SAPO TEK. O coordenador do CNCS explica que para a produção da causa/efeito, um cenário onde um grupo ou grupos causassem uma disrupção que envalidasse a realização das eleições, foi criado este grupo de participantes, aos quais se juntaram ainda 10 observadores. Ao contrário do que aconteceu no ano passado, este ano foi escolhido um cenário de eleições devido à aproximação de três momentos que ocorrem em 2019, com as eleições europeias, legislativas e também nas regiões autónomas.

Os bons, os maus e um cenário de escolha entre dois partidos

Campanhas de desinformação, ataques que afetassem as comunicações ou serviços essenciais como a eletricidade, mas também outro tipo de ataques informáticos foram definidos como teste para o exercício com um país fictício, a Lusoceania, e nos últimos dois dias foi tempo de pôr em prática os sistemas de resposta, a capacidade de tomar decisões rápidas e a ligação entre as entidades envolvidas, que envolvem a  Agência Lusa, Altice Portugal, ANACOM, Centro de Ciberdefesa ERC, ERSE Gabinete Cibercrime da Procuradoria Geral da República, IGFEJ, Infraestruturas de Portugal  Microsoft, NOS, NOWO, A Unidade de Combate ao Cibercrime da Polícia Judiciária UNC3T, REN, Secretaria Geral do MAI, SSI, SIRP, Governo Regional da Madeira e a Vodafone Portugal.

Lusoceania, ou Portugal, está hoje sob ataque. Mas é só um teste
Lusoceania, ou Portugal, está hoje sob ataque. Mas é só um teste
Ver artigo

Para além de um país fictício e um governo e organizações "inventadas" mas com semelhanças às reais, o exercício considerou a candidatura de dois partidos políticos a umas eleições que se realizariam este domingo. Do lado das equipas dos "maus" foram criados agentes interessados em influenciar os resultados, criando campanhas de desinformação, mas também de espionagem e de roubo de informação, tudo cenários que podemos reconhecer num qualquer filme mas também em notícias de eleições recentes, como as dos Estados Unidos ou a influência do referendo do Brexit.

Durante dois dias vinte e duas entidades escolhidas pela sua ligação às eleições puseram os conhecimentos e capacidade de reação à prova, assim como a capacidade de articulação com as autoridades, e até às 16 horas já tinham sido trocadas mais de mil mensagens entre os jogadores, com os incidentes a serem resolvidos com fluidez, como explicou Lino Santos. Resultados a sério só serão conhecidos no final de abril, com o relatório do exercício, mas o coordenador do Centro de Cibersegurança não tenm dúvidas já de que este foi um teste bem sucedido.

Criar maturidade e ferramentas para ajudar as PME a proteger os seus sistemas

Lino Santos admite que no próximo ano o CNCS pode voltar a um cenário de exercício que esteja mais centrado no papel do Centro de Cibersegurança, num contexto mais geral e não tão específico, mas reconhece que há já um grau de maturidade e uma evolução na capacidade de reação das organizações e das empresas. "Há mais sensibilização nas organizações privadas e públicas, sobretudo as de maior dimensão com as quais nos relacionamos mais" explica.

A preocupação são sobretudo as pequenas e médias empresas (PME) e é para estas que o centro está a preparar um conjunto de ferramentas de autodiagnóstico e de recomendações que vão estar centralizadas num site que deve ser lançado em outubro deste ano. Um inquérito vai servir para as empresas fazerem a sua avaliação da prevenção, deteção e reação a incidentes, e com base nisso será feita a recomendação de caminhos a seguir, mas estes dados, que ficam confidenciais, vão ajudar também o CNCS a ter uma visão mais concreta da maturidade das empresas nesta área.

Exercício de cibersegurança: Hoje a Lusitânia está sob ataque. Mas está a reagir bem
Exercício de cibersegurança: Hoje a Lusitânia está sob ataque. Mas está a reagir bem
Ver artigo

Há também outros instrumentos em desenvolvimento, e um deles deve ser apresentado já em abril. É Quadro Nacional de Referência para a Cibersegurança que indica as medidas e controles a usar pelas empresas e organismos, em termos de Governance da Cibersegurança, da prevenção, deteção e reação a ataques informáticos. O documento inclui boas práticas mas também controles auditáveis, que são muito importantes nestas matérias.

Até julho será ainda divulgada a regulamentação do regime jurídico de segurança do ciberespaço, que é de implementação obrigatória para serviços essenciais e a Administração Pública.

Especificamente para os cidadãos o centro lançou em fevereiro um curso gratuito, online, onde se pretende aumentar o conhecimento e literacia na área da segurança, abordando temas como a atualização de software, uso de pen drives e passwords, uso em contexto pessoal e profissional.

E um ciberataque catastrófico ao Estado?

Não está previsto neste exercício de cibersegurança um ataque que possa derrubar o Governo, mas o tema foi levantado esta semana numa entrevista do professor Tribolet e por isso pedimos a Lino Santos que fizesse a sua apreciação sobre esta possibilidade. "Não acredito que seja possível assim", afirmou o coordenador do CNCS, explicando que "Portugal tem a capacidade de reagir à maior parte dos incidentes".

Lino Santos elenca os pontos fortes nesta nota que afirma ser positiva: há uma boa equipa no CNCS, "Portugal tem a melhor rede de cooperação nacional de CERTs  [Centros de resposta a incidentes], com capacidades que já vimos a funcionar em situações críticas como o Wannacry", adianta, juntando ainda a Unidade nacional de combate ao cibercrime da PJ e o centro de ciberdefesa, assim como os serviços de informação.

Newsletter

Receba o melhor do SAPO Tek. Diariamente. No seu email.

Na sua rede favorita

Siga-nos na sua rede favorita.