Várias infraestruturas críticas do Estado, da Saúde às telecomunicações, foram alvo de ataques informáticos. Especialistas apelam para que as autoridades tomem medidas urgentes
A recente vaga de ataques informáticos que pôs em causa serviços críticos para o país está a preocupar os especialistas em cibersegurança. Em declarações à CNN Portugal, os peritos alertam para a necessidade de criar uma task force para resolver urgentemente a questão, numa altura em que se “multiplicam as ameaças”.
“Os portugueses não estão cientes dos riscos que correm. As aplicações vitais da sociedade, como é o caso das dos hospitais e das telecomunicações, já mostraram estar vulneráveis, porque ninguém fez uma análise necessária. A criação de uma task force é uma necessidade”, alerta o Nuno Mateus Coelho, professor da Universidade Lusófona. O mesmo diz Rui Duro, especialista em cibersegurança, para quem esta task force já devia ter sido criada há muito tempo. Já Jorge Bacelar Gouveia, presidente do Observatório de Segurança, Criminalidade Organizada e Terrorismo (OSCOT) avisa que a falta de segurança informática no país está a permitir multiplicar o número de ataques.
Os alertas surgem depois de a CNN Portugal ter avançado em exclusivo que dias antes de o hospital Garcia de Orta ter sido alvo de um ciberataque que sequestrou o sistema interno, um hacker português tinha denunciado publicamente no Twitter fragilidades neste e noutros sistemas do Estado, entre os quais plataformas de transporte de doentes, serviços financeiros, base de dados dos exames nacionais e vários sites das Forças Armadas. Todos estes sistemas podem estar comprometidos.
Operadores de telecomunicações: o olho que tudo vê
Têm sido vários os ciberataques que afetam algumas áreas essenciais, como foi o caso das telecomunicações, com o ciberataque contra a Vodafone a condicionar os principais serviços da empresa, obrigando a suspender ambulâncias e paralisando a rede de multibancos. Antes disso, muitos clientes da rede de laboratórios Germano de Sousa viram as suas análises agendadas serem adiadas devido a um cibertaque.
Para Nuno Mateus Coelho, a situação é particularmente grave quando o tema são os principais operadores de telecomunicações em Portugal, devido à quantidade de informação que estes possuem acerca dos seus utilizadores e lança críticas à forma como a lei trata estes dados.
“Os operadores têm tudo o que se passa sobre a vida dos portugueses, desde os canais que veem, a que sites acedem, em casa, no telemóvel e no trabalho. Toda a vida digital dos cidadãos portugueses está depositada em operadores. Não existe uma única lei que diga, sem ser de forma genérica, como é que estes dados devem ser tratados”, frisa o especialista.
Além dos ataques à Vodafone, ao grupo Impresa, aos laboratórios Germano de Sousa, também recentemente foi a vez dos Serviços Municipalizados de Transportes Urbanos de Coimbra (SMTUC) terem sido alvo de um ataque de ransomware. A empresa acabou mesmo por ver partes dos dados divulgados na deepweb, onde os hackers deram acesso a uma pasta com informação acerca de vencimentos dos funcionários, faltas injustificadas, atestados médicos, corte de remunerações e horas extra, bem como atestados médicos, após a empresa não ter pagado o resgate dos dados.
Para combater este tipo de crimes, Nuno Mateus Coelho e outros especialistas apelam à criação de “uma espécie de consórcio” que junte algumas das principais empresas portuguesas, instituições de Ensino Superior, as maiores empresas de cibersegurança de Portugal e as estruturas existes do estado da área de cibersegurança, de forma a “passar a pente fino todos os serviços digitais que o Estado usa e que o cidadão utilizam para comunicar com o Estado”.
A ameaça que vem de fora
Em 2021, Portugal ocupava a 31.ª posição num grupo de 101 países mais afetados por ataques ransomware, de acordo com um estudo levado a cabo pela empresa de cibersegurança S21sec. Este tipo de ataque consiste no “sequestro” e na encriptação dos dados, que só podem ser recuperados através do pagamento de um resgate.
Apesar de ainda não existirem dados para este ano, Rui Duro, gestor da empresa de cibersegurança Check Point Software em Portugal, alerta que a criação de uma task force para a cibersegurança “peca por tardia”.
“A covid-19 veio acelerar a digitalização e, por consequência, veio facilitar a vida aos cibercriminosos, uma vez que aumenta os pontos de ataque”, afirma especialista em cibersegurança.
Os ataques informáticos, porém, não têm os cibercriminosos como únicos autores e a possibilidade de ataques de grande dimensão serem levados a cabo por Estados soberado é uma perspectiva cada vez mais realista. Para o especialista, a guerra na Ucrânia veio a precipitar o mundo para um possível conflito cibernético e Portugal é um potencial alvo.
A guerra na Ucrânia pode levar a possíveis ataques retaliatórios por parte da Rússia, e Portugal, por ser parte do bloco de Estados ocidentais, pode vir a ser uma vítima. É muito importante estar pronto para essa realidade, mas penso que já vamos tarde”, refere.
Um país, duas velocidades
Rui Duro alerta que existe um país a duas velocidades. Existe um grupo de empresas que investe e tem fortes preocupações com a segurança das suas redes, e depois existe um outro grupo, a que o especialista apelidou de "cibernegacionistas", que diz não terem a mentalidade e os recursos necessários para proteger corretamente o seu negócio. Estes são os mais vulneráveis.
"Este segundo grupo é o grosso do tecido empresarial português. Não têm preocupações de cibersegurança, não têm maturidade, nem recursos humanos e financeiros. Uma das componentes da task force seria ajudar estas empresas a criar um pacote mínimo de cibersegurança"
Se um ransomware chegar a uma pequena empresa, os dados dos cidadãos não estarão em causa. Porém, insiste Rui Duro, esse poderá não ser o caso quando em causa está uma grande infraestrutura, como um hospital ou uma empresa de telecomunicações.
Uma grande parte das câmaras municipais não têm nem sensibilidade, nem orçamento. Além disso, muitos institutos autónomos do Estado, também não têm capacidades financeiras para se protegerem. Outras vezes, não têm preocupação, noção e sensibilidade.
Falhas no financiamento
Para Pedro Veiga, antigo coordenador do Centro Nacional de Cibersegurança, nem se devia ter chegado a este ponto de falar da criação de uma task-force, porque as estruturas que existem e que estão previstas na lei de cibersegurança deveriam, sublinha, tratar do combate ao cibercrime. “É aqui que as coisas falham”, afirma o professor catedrático, que insiste que é necessário que estas instituições “funcionem adequadamente”, apesar dos recursos limitados.
Sobre os ataques mais recentes ao setor da Saúde que incapacitaram o Hospital Garcia de Orta e outros serviços do Estado, o antigo diretor do CNCS questiona o tipo de atenção dado pelos governantes à gestão da segurança destas infraestruturas críticas.
“O que foi feito nos hospitais nos últimos anos para tratar os problemas de cibersegurança? Contrataram mais pessoas? Aumentaram o investimento? Nos conselhos de Administração existe uma pessoa capaz de tratar assuntos de cibersegurança?”, questionou Pedro Veiga.
Não são só as infraestruturas críticas do Estado que estão em causa. Jorge Bacelar Gouveia, presidente do OSCOT, sublinha que atualmente estamos perante um fenómeno de "multiplicação de ataques" que aliado ao "o problema crónico" da falta de financiamento do Estado pode levar ao agravar da situação.
"Há um problema crónico em Portugal. Não sei se o Estado tem meios suficientes para se dotar de programas de deteção de ataques informáticos. Eu compreendo que os recursos são limitados, mas essa questão tem de ser levantada sob pena de estes ataques multiplicarem-se", sublinha o presidente do OSCOT.
