Por Rui Martins (*)

Segundo foi possível saber ontem na audição da Comissão Parlamentar de Inquérito à TAP a Frederico Pinheiro, ex-assessor, e Eugénia Correia, chefe de gabinete.

O caso de Frederico Pinheiro revela algumas más práticas no que respeita a segurança informática que podem estar disseminadas no Governo da República.

Os CpC propõe assim que seja realizada uma revisão dos procedimentos, práticas e políticas a aplicar a equipamentos do Estado e, muito especialmente, em todos aqueles que - como sucedeu - possuem documentos ou informações de especial interesse, valor ou essenciais à segurança da República:

1. Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis):
Usando, por exemplo, o Microsoft Intune - uma solução de gestão de dispositivos móveis (MDM) que permite controlar e gerir dispositivos - teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos.

2. Os telemóveis do Estado não têm sistemas de backup a funcionar:
Como no ponto anterior, o uso da mesma ferramenta Microsoft Intune permitiria também realizar "Remote Wipe" para apagar remotamente os dados de um dispositivo perdido ou roubado, bem como recursos de backup e recuperação para garantir a segurança dos dados aqui conservados.

3. Existem comunicações sensíveis e de Estado a circular e a serem tomadas em redes sociais externas e sob controlo de potencias estrangeiras (WhatsApp):
A instalação destas aplicações pode e devia ser barrada centralmente e de forma centralizada por MDM. Quanto a estas comunicações já tínhamos sugerido em https://cidadaospelaciberseguranca.com/2023/04/24/comunicacoes-em-meios-electronicos-usados-por-politicos-ciberseguranca-justica-material-de-prova-e-historia-acessibilidade-a-arquivistas/ que
"a. Que todos os políticos em funções electivas usem apenas telemóveis de Estado: com uma lista autorizada pré-determinada de aplicações e que excluem aplicações de encriptação ponto a ponto que dependem de estruturas ou organizações estrangeiras.
b. Que seja criminalizado o uso de software de comunicações que não tenham encriptação de mensagens ponto-a-ponto, cujos servidores ou chaves estejam fora do controlo direto do governo, União Europeia ou da autarquia local onde são exercidas as funções electivas.
c. Deve existir um sistema de comunicações nacional, seguro e de acesso reservado a políticos eleitos para instituições europeias, governo e parlamento da República e autarquias locais. Este sistema deve estar fora do alcance de empresas e potências estrangeiras e garantir o acesso aos historiadores do futuro assim como a investigações judiciais. Sugerimos que esta aplicação seja desenvolvida e mantida no contexto das instituições europeias.
d. Que seja criminalmente responsabilizado quem efetuar comunicações de dados sensíveis ou instalar software em equipamentos do Estado Português susceptível de colocar em causa a segurança do equipamento.
e. Que seja criado um arquivo de comunicação digital, com o objectivo de preservar as decisões realizadas entre governantes e políticos, de forma a um dia poderem ser consultadas pelo público e mantendo assim a capacidade de académicos e historiadores no futuro conhecerem a realidade de hoje."
Estas propostas foram enviadas a 24 de Abril a todos os grupos parlamentares na Assembleia da República, Câmaras Municipais (presidentes de executivo) e ao Ministério da Administração Interna: não recebemos nem sequer um aviso de recepção ou leitura.

4. Não existe (ou não foi aplicado) um procedimento formal de desligamento/apagamento de um utilizador que abandona a organização que incluísse a negação de acesso centralizada de acessos (conseguiu usar o cartão para entrar na garagem) nem permitisse o esquecimento da recolha imediata do telemóvel juntamente com o computador.

5. O laptop de Frederico Pinheiro estava em modo "standalone":
Isto é, não pertencia à estrutura de identidade, autenticação e gestão remota do Ministério (Active Directory), algo que deveria ser absolutamente proíbido e viola qualquer boa prática de segurança organizacional.

6. Frederico Pinheiro era administrador local do equipamento:
Ora existem várias razões pelas quais um utilizador não deva ser um administrador local em um computador:
Segurança: Ao conceder privilégios de administrador a um utilizador, este terá acesso total ao sistema operativo e poderá fazer alterações críticas, como instalar/remover software, modificar configurações de segurança e até mesmo apagar ficheiros essenciais. Isso aumenta o risco de comprometimento do sistema por malware, vírus ou outras ameaças cibernéticas especialmente em equipamentos - como o caso - com dados sensíveis para o interessa da República.
Estabilidade do sistema: Um utilizador com privilégios de administrador pode inadvertidamente fazer alterações que afetem a estabilidade do sistema ou de outras aplicações. Isso pode levar a falhas, bloqueios e problemas de desempenho.
Erros humanos: Mesmo que um utilizador seja experiente, erros podem acontecer. Um clique errado ou uma ação equívoca quando se é administrador pode ter consequências graves, como excluir arquivos importantes ou modificar configurações críticas sem intenção.
Políticas de segurança: Em ambientes organizacionais, é comum aplicar políticas de segurança rígidas para proteger informações confidenciais. Ao limitar os privilégios dos utilizadores, o ministério poderia ter reduzido o risco de perda de dados e garantir a conformidade com as regulamentações de proteção de informações em vigor.
Geralmente, restringir os privilégios de administrador para os utilizadores finais dos equipamentos é uma prática recomendada para manter a segurança, a estabilidade e a integridade do sistema operativo e dos dados armazenados. Os utilizadores devem ter apenas as permissões necessárias para realizar suas tarefas diárias, enquanto os privilégios de administrador devem ser reservados para administradores de sistemas informáticos.

7. Um laptop com dados sensíveis, confidenciais e estratégicos para a República não tinha o disco encriptado:
Essa opção é gratuita e está disponível em todos os equipamentos MacOS, Windows e Linux. No Windows trata-se da "BitLocker Device Encryption in Windows" e quando é iniciada permita a gravação e conservação externa e em local seguro das chaves para eventual futura recuperação do acesso em caso de necessidade de acesso por parte das autoridades judiciais ou da hierarquia do ministério.

8. O laptop permitia a ligação de Storage Devices USB externos:
Os quais usou várias vezes para copiar ficheiros importantes e que estavam no equipamento.
Este uso pode ser bloqueado por Group Policy se o computador estiver ligado a uma Active Directory (não estava) e é igualmente possível enviar um mail alertando o utilizador para essa tentativa de uso em contrário aos procedimentos em vigor.

9. O laptop estava em modo "standalone": isto é: não pertencia ao Domain AD do Ministério (?) e, logo, não podia receber um conjunto centralizado de políticas e configurações:
Teria sido possível impedir que o equipamento tivesse em disco cópias únicas (assim o disse a Chefe de Gabinete) de determinadas extensões (.pdf, .docx, .xlsx) obrigando à sua presença única em shares de rede sob controlo do Ministério.

10. O laptop permitia a existência de cache profiles e, logo, permitia o logon sem o prévio estabelecimento de VPN para com a rede do Estado:
Isto pode ser forçado centralmente através de uma Group Policy de Active Directory ou, se o computador não estiver em AD é possível também desligar estes logins com uma alteração de registry mas esta pode ser desfeita se o utilizador for um administrador local como parecia ser o caso de Frederico Pinheiro.

11. O laptop não tinha um sistema de AV ou MDM que permitisse o shutdown remoto/remote wipe ou lock em caso de perda de controlo nem a geolocalização do equipamento em caso de perda ou furto:
Isto mesmo - por exemplo - é fornecido pela solução Panda de Antivírus e por outras soluções de MDM tais como
AirDroid Business é um software de limpeza remota MDM compatível com dispositivos Android, iOS, Windows e macOS. Executa apagamentos remotos, bloqueia écrans e arquivos do dispositivo, força redefinições de senha e redefine automaticamente um dispositivo de fábrica.
O Apple Business Manager que é uma plataforma baseada na web que faz apagamentos remotos de dispositivos iOS, iPadOS e macOS. Os arquivos ainda podem ser recuperados até 30 dias após a limpeza.
O Google Workspace que permite que os administradores de TI dessas organizações limpem remotamente os dispositivos ou o Knox Manage, uma ferramenta semelhante para dispositivos Samsung que também possui uma opção de restauração e pode rastrear dispositivos perdidos.

12. Foram feitas impressões de documentos confidenciais:
É possível impedir a impressão deste tipo de documentos sensíveis com políticas de segurança adequadas e usando, por exemplo, as etiquetas de confidencialidade do Office 365 (Microsoft Purview).
Isto permitiria - se estas etiquetas tivessem sido usadas - encriptar e-mails, convites para reuniões e documentos para impedir que pessoas não autorizadas acedam a estes dados, usar marcas de água em documentos confidenciais dinâmicas e geridas centralmente.
Por Group Policy - se o computador fosse parte de uma AD e já sabemos que não o era - teria sido possível impedir a impressão de documentos confidenciais ou de outro tipo.

13. Terá sido possível enviar documentos de trabalho para mails pessoais:
É possível bloquear através de policies de restrição de mail o envio de documentos/anexos de mail para endereços de mail pessoais (gmail, hotmail, mail.com, etc).

(*) do CpC: Cidadãos pela Cibersegurança

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.