Por Rui Martins (*)

O que aconteceria se cidadãos ditos "comuns", trabalhadores de empresas e organismos do Estado central e autarquias estivessem a receber cartas e encomendas com engenhos explosivos que, quando detonaram, causavam danos pessoais e na sua propriedade e, se soubesse, com absoluto grau de certeza, que essas cartas e encomendas eram enviadas de um país e que as autoridades deste país tolerava ou financiavam a atividade dos bombistas? Portugal e as alianças em que estava integrado ficariam impávidas e serenas ou agiriam de todas as formas que o direito internacional lhe concede para repor a ordem e defender os seus cidadãos?

O que aconteceria se, todos os dias, empresas, edifícios do Estados e instalações das autarquias locais e empresas públicas fossem sobrevoadas por aeronaves que lançavam bombas que - frequentemente - sobre hospitais provocando a morte entre aqueles que já se encontravam em situação de sofrimento ou lançando a desordem e criando perdas financeiras e, até, falências nas empresas e organizações bombardeadas? Quem conduzia os destinos deste país bombardeado ficaria também impávido e sereno à medida que ia vendo o seu país sendo destruído enquanto esses aviões regressavam calmamente às suas bases sem serem atacados pela aviação de caça nem o seu país de origem ser alvo de represálias que iriam dissuadir da continuação desses ataques?

Ora bem: é isto que está a acontecer em Portugal: todos os dias organizações mafiosas que operam impunemente, sob a tolerância cúmplice ou como braços armados de serviços de inteligência estrangeiros atacam empresas e cidadãos portugueses e saem impunes. Todos os dias são perdidos muitos milhares de euros para estes burlões e mafiosos, todos os dias há empresas e organismos do Estado que são colocadas  offline ou perdem ficheiros e dados ou pagam resgates (ransomware) a estas organizações.

Os países que dão cobertura a estes criminosos são conhecidos e três deles têm embaixadas em Portugal: China, Irão e (o mais activo e perigoso de todos) Rússia. O quarto está aqui mesmo ao lado na sua embaixada em Madrid.

Estes são os países de onde partem os bombardeiros que nos atacam e onde trabalham os hackers que nos atacam protegidos pelas cortinas da cumplicidade de Estado (Rússia), da participação directa em Negócio (Coreia do Norte) e da pura incompetência, corrupção ou espionagem industrial (China).

Perante esta autêntica guerra cibernética Portugal tem feito muito pouco para se defender e para promover a Cibersegurança das suas organizações e dos seus cidadãos:

1. As empresas e autarquias locais não estão organizadas em redes que lhes permitam a partilha de informação e recursos que, pela sua escala, não estão ao alcance das suas margens orçamentais.

2. O Legislador (Assembleia da República) continua massivamente infoexcluído e alheio à condição de autêntica guerra cibernética em que vivemos: a Legislação é lenta e ineficiente: crimes com décadas tais como as burlas com referências fraudulentas de multibanco, serviços de valor acrescentado móvel, sistemas de mbway frágeis e mal geridos continuam a existir décadas depois de alertas feitos por especialistas.

3. Continua a ser legalmente possível que organizações privadas e do Estado realizem pagamentos de ransomware em criptomoedas o que coloca Portugal como um dos mais procurados alvos na Europa.

4. Não existe um tecto mínimo para o investimento em Cibersegurança que seja proporcional à faturação das organizações.

5. Sistemas de autenticação forte (MFA) deviam estar amplamente disseminados entre os serviços oferecidos pelo Estado central e autarquias locais aos seus cidadãos.

6. Se um Estado coordena ou permite a existência de operações de DDoS e ransomware a partir das suas fronteiras deve ser sancionado pela República e os seus responsáveis ou agentes serem alvos de processos judiciais.

7. As forças armadas portuguesas devem ter um ramo de Defesa Cibernética capaz de realizar operações preventivas, detectar e aconselhar na resolução se vulnerabilidades e fragilidades em empresas e organizações críticas para o Estado e para a nossa economia e, em casos extremos, de conduzirem ações ofensivas contra países agressores.

Os ataques chinesas às infraestruturas de comunicações norte-americanas em Guam (preparando uma eventual operação militar "especial" de Pequim contra Taiwan) e o aparecimento da rede russa SandWorm especializada em ataques a instalações industriais e centrais de energia só vem reforçar a sensação de que estamos num estado de guerra cibernética não declarada e que o Ocidente e, em particular, Portugal precisa de fazer muito mais para proteger os seus cidadãos e empresas. Os nossos decisores políticos precisam ganhar qualificações nesta área e procurar ativamente os especialistas no setor e as organizações que os representam. Os nossos gestores de empresas precisam de sair do seu torpor e investir em ciberdefesa uma parcela significativa do seu orçamento e, se não o fizerem, o Estado deve criar um quadro legal que determine valores mínimos de investimento e criar redes de prevenção e reação coletiva a incidentes deste tipo.

Portugal precisa acordar. Porque os nossos inimigos estão bem despertos e estão já bem dentro das nossas fronteiras. Portugal está em guerra e precisa de reagir como se finalmente tomasse essa consciência: ontem.

(*) do CpC: Cidadãos pela Cibersegurança