Ninguém divulga que tipo de proteção já existe para infraestruturas críticas do país. Mas governo alarga áreas-chave a proteger, num momento em que ataques informáticos aumentam e ameaças russas lançam alertas internacionais sobre o que pode por em causa o funcionamento de países
Telecomunicações, hospitais, redes de comunicação do governo, bancos e seguradoras, redes de água e tratamentos de resíduos, policias, miliares, setor alimentar – eis as infraestruturas críticas e essenciais que o governo quer proteger de ataques físicos e de ciberataques. Para isso, decidiu avançar com um novo pacote de medidas, que junta estes sectores aos da energia e transportes, que já eram considerados críticos. Não há informações públicas claras sobre em que estado de proteção estão estes sectores.
Há informações sim sobre as preocupações. Os ciberataques dispararam nas primeiras semanas deste ano em Portugal, como aconteceu com o caso da Vodafone, e os alertas internacionais também. O próprio presidente dos Estados Unidos, Joe Biden, já se pronunciou alertando os aliados sobre o risco de aumento deste tipo de agressões vindas da Rússia, por causa da guerra com a Ucrânia e da animosidade com a NATO.
Aqueles novos sectores críticos não estão, neste momento, devidamente protegidos em Portugal com plano de segurança efetivos, nomeadamente para combater ataques informáticos em larga escala. “A proteção destas infraestruturas é muito importante e até agora apenas o setor da energia e dos transportes estavam classificadas como infraestruturas críticas e, por isso, com planos de segurança”, diz à CNN Portugal Jorge Bacelar Gouveia, presidente do Observatório de segurança, criminalidade organizada e terrorismo. “Mas tudo isso tem muitos custos”, salienta.
A inclusão destes novos sectores críticos resulta da nova lei que o Executivo aprovou a 26 de janeiro de 2022, e que entra este sábado em vigor. É o próprio texto da lei que admite que é preciso corrigir “lapsos”, pretendendo-se por isso que, além da energia e dos transportes, se avance com a “identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais” em diversas áreas.
A ideia é proteger tudo o que “é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação do funcionamento ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções”, adiantou à CNN Portugal o secretário-geral dos Sistemas de Infirmação do Estado (SSI), Paulo Vizeu Pinheiro, entidade que aprova todos os esquemas de segurança. “Lembremo-nos por exemplo do papel absolutamente fundamental que algumas estruturas na área da governação e na área da saúde tiveram no combate à pandemia”, acrescenta.
Segundo o responsável, em todas as entidades que foram classificadas como críticas, “os operadores terão de desenvolver um plano de segurança, onde constam as medidas preventivas e reativas a adotar para ameaças de diversa natureza como sejam ameaças humanas e intencionais, de que são exemplo o terrorismo, a sabotagem ou um ciberataque, não intencionais, como acidentes, e em particular acidentes industriais, e ameaças naturais, como sismos, inundações e incêndios.
Ataques nos países em prontidão na força rápida da NATO
Entre as prioridades está a defesa de ciberataques. Isso mesmo está patente do novo decreto-lei do governo que “vem trazer uma maior e mais detalhada integração da componente ciber nos planos de segurança, sobretudo numa perspetiva dos impactos físicos/cinéticos que uma ameaça ciber pode provocar” adianta o secretário-geral do SSI.
Nos últimos tempos intensificaram-se ataques informáticos a diversas áreas essenciais em Portugal, como o da Vodafone, que afetou o setor bancário, alimentar e até meios de socorro como o INEM, entre outros; o dos laboratórios Germano de Sousa, atingindo a testagem do SARS.CoV -2; o Parlamento e o Ministério dos Negócios Estrangeiros. Muitos destes atos serão, segundo alguns peritos em cibersegurança, relacionados com questões políticas, mais concretamente a guerra da Ucrânia. “Foram avisos aos parceiros da NATO”, diz Nuno Mateus Coelho, professor e especialista em cibersegurança, explicando que os ataques informáticos se tornaram uma das armas mais poderosas.
“Assistimos nos últimos dias, e pela primeira vez, a um ensaio de ciberguerra. Foi possível ver um teatro de operações digital em paralelo com a guerra convencional”, afirma, explicando que os serviços essenciais da Ucrânia foram alvo de "ataques de negação" que passam por sobrecarregar os sistemas impedindo-os de funcionar, sem os destruir.
Segundo Nuno Mateus Coelho, estas “manobras em forma de ataque informático” ocorreram em países que coincidentemente são os que estão em prontidão na task force rápida da NATO (Portugal, Espanha e Polónia). Esta última denunciou esta sexta-feira ataques informáticos massivos, em vários sites oficiais e sistemas de comunicação.
Em Portugal as fragilidades de defesa do mundo virtual têm sido postas à vista. Em julho do ano passado, chegou a ser aprovada legislação (lei 65/2021) sobre os requisitos de segurança das redes e sistemas de informação e ainda as regras para a notificação de incidentes que tinham de ser cumpridos pela “Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais”. Mas a implementação de medidas técnicas e organização para garantir essa segurança das redes e dos sistemas de informação está ainda a decorrer, cumprindo o prazo previsto de um ano, que termina em junho próximo. Além disso, só agora, nesta nova legislação sobre infraestrutura críticas, os planos de segurança estão mais detalhados quanto ao que terá de ser cumpridos a nível informático, ficando previstas coimas até aos 20 mil euros para quem não os executar.
Agente de ligação e áreas de segurança
Antes de se avançar com planos de segurança, é preciso definir que novas estruturas serão agora classificadas como críticas. Para as identificar, explica o secretário-geral do SSI, “o Conselho Nacional de Planeamento Civil de Emergência irá aprovar os critérios de seleção”. Entre estas devem estar hospitais, seguradoras, supermercados, fábricas, entidades de defesa., centros de bases de dados, a Assembleia da República, os tribunais, o Governo, operadoras de telecomunicações, empresas de abastecimento público de água e de tratamento de resíduos, empresas de diversas áreas industriais, bancos, fundo de pensões. Todas estas são, segundo o novo decreto-lei, áreas que a serem afetadas podem por em causa o funcionamento do país.
Os planos terão de detalhar o processo de segurança, prevendo várias medidas. Cada infraestrutura tem de ter um elemento, chamado de “agente de ligação”, que faz a articulação com exterior, e uma “área de segurança”, ou seja, um espaço físico localizado no interior com elevadas medidas proteção. Prevê-se também a delimitação das áreas de segurança e instalados equipamentos de deteção, controlo de acesso, proteção e prevenção.
Além disso, será dada proteção especial às informações sensíveis e terão de ser seguidas regras rígidas na área da cibersegurança. Neste campo, estão previstas que se adotem equipamentos modernos de defesa de rede, como antivírus, “backups”, entre outros.
Rede informática do Governo tem de ser modernizada
Outra novidade da nova lei é a alteração orgânica do Centro de Gestão da Rede Informática do Governo (CEGER) para o modernizar com fundos do PRR para lhe dar maior “robustez”. Como é referido no documento, “em face da constante e rápida evolução e desenvolvimento das tecnologias de informação e da utilização de meios eletrónicos — circunstância que foi ainda mais evidente na sequência da pandemia da doença Covid-19 —, é necessário assegurar que o CEGER tem meios humanos adequados para assegurar a segurança da rede informática do governo”.
A legislação para proteger estas novas estruturas surge 10 anos depois de se ter avançado nesse sentido na área dos transportes e energia, cumprindo uma diretiva comunitária de 2011. Segundo dados oficiais adiantados à CNN Portugal, com base nessa lei, já cerca de 150 infraestrututras foram já classificadas como críticas, tendo sido alvos de planos de segurança
No entanto, a questão já levantou dúvidas no parlamento. “Nada parece na realidade estar feito e por isso, em março do ano passado enviámos uma pergunta ao Governo sobre o tema, mas até hoje não obtivemos respostas concretas”, diz à CNN Portugal André Coelho Lima, deputado do PSD, acrescentando que todo este tema tem uma importância cada vez maior e que “pouco ou nada se sabe”. “Tem de haver um registo central com essas infraestruturas. E uma das questões que colocámos ao governo foi saber onde é que ele estava”. Garantindo que a informação nunca chegou, o social-democrata diz que outras duas questões ficaram sem esclarecimentos: uma dizia respeito ao plano de ação para a proteção e aumento de resiliência das infraestruturas críticas do Estado e outra questionava sobre a articulação com as Forças Armadas.
