O Boletim OA entrevistou o Director-Geral do Gabinete Nacional de Segurança, António Gameiro Marques, a propósito dos ataques informáticos mais recentes e cibersegurança.

 

Considerando as atribuições do Gabinete Nacional de Segurança, a creditação e certificação de produtos e equipamentos, a avaliação de segurança a infra-estruturas, não deveria ser obrigatório todas as empresas/instituições terem um SPO, algo semelhante ao DPO?

Sabe que nós já recomendamos que exista o Chief Information Security Officer, o CISO. Se forem ao Quadro Nacional de Referência para a Cibersegurança, verão que isso é um sinal de alta maturidade de cibersegurança. No fundo o CISO é o braço direito dentro do Conselho de Administração para promover as boas práticas, de cibersegurança e segurança da informação geral na instituição. Infelizmente em Portugal não só esse lugar, essa função é muito procurada, como não existe ainda nalgumas instituições a sensibilidade para a necessidade de ter um CISO.

Devo dizer que existem muitas empresas, sobretudo de nível médio e pequeno, que não conseguem ter o CISO, nem mesmo suportar os encargos.

O que nós recomendamos, sobretudo às empresas que prestam serviços essenciais no quadro da Lei 46, ou detêm infra-estruturas críticas, é associarem-se por tema, por áreas de negócio, podem ser competidoras no mercado, mas a nível de segurança, as questões são as mesmas.

Por exemplo, estive num evento em que estava um CISO, de uma grande empresa de energia em Portugal, que se reuniram e se organizaram, por tema da energia, no que nós chamamos um Information Sharing and Analysis Centers all comumnity (ISAC), onde precisamente partilham o que sabem, os seus problemas que por vezes são específicos do sector e isso é compreensível. Com esses ISAC basta que um deles pertença à Rede Portuguesa de CSIRT (Computer Security Incident Response Team) e há ali uma comunidade que rapidamente partilha boas práticas, informação, problemas, experiências na aplicação da metodologia a seguir e na resolução dos problemas. A união faz a força.

 

Mas esse Quadro Nacional de Referência ainda não é obrigatório?

Só é obrigatório indirectamente para a Administração Pública, na Estratégia de Modernização para a Administração Pública temos um indicador que, se a memória não me atraiçoa, 85% das entidades públicas que têm assento no Board IT da função pública, o SIDIC, têm de estar compliances com o Quadro Nacional de Referência de Cibersegurança até ao fim do primeiro semestre de 2023.

Muitas empresas privadas já são compliance com as ISO’s, não seria justo ou economicamente eficiente fazê-las agora estarem compliance com o Quadro que foi um serviço público que o Centro (CNCS) fez para quem não tinha nada, o próprio Quadro usa as ISO’s, a NIST norte-americana, e outros quadros de referência, internacionalmente aceites.

O Quadro casa depois com outros documentos, onde se pode fazer a autoavaliação da minha compliance e tem ainda o roteiro para a maturidade com cinco passos, cinco etapas e associado a este roteiro temos uma ferramenta de autoavaliação, onde podemos ver em que nível de cinco onde estamos.

 

Não há nada semelhante para os cidadãos individualmente?

Não. Quanto aos cidadãos individualmente não existe nada semelhante mas devia haver. Nós o que fazemos é adoptar as melhores práticas que a União Europeia e outras instituições promulgam e vertemo-las nas diversas versões da nossa formação online.

 

Foto: Rute Obadia

 

 

No que toca à Gestão da Informação Classificada, como Director-geral do GNS é, por inerência, a Autoridade Nacional de Segurança, com competência para determinar a respectiva abertura de Inquéritos de Segurança e respetiva instrução, sempre que haja suspeita ou efectivo Comprometimento, Quebra ou Violação de Segurança de Informação Classificada. É frequente a abertura de inquéritos neste âmbito?

Não é muito frequente, porque nós actuamos muito preventivamente. Essa, em particular, como é uma actividade mais antiga tem processos e doutrinas muito consolidados, por isso a própria organização, onde estou há quase 6 anos, mas que já tem um historial para trás que permitiu criar procedimentos, normas técnicas e a Autoridade Nacional de Segurança promulga normas técnicas que regulam a tramitação da informação classificada ao longo do ciclo de vida, até a destruição da documentação está regulamentada. Por isso nós actuamos preventivamente através de vários mecanismos. Temos um curso online que teve início no princípio de 2021 que tem tido uma aderência enorme, sobretudo proveniente de áreas governativas de soberania, diplomatas, forças de segurança e militares, já vamos com mais de sete mil e depois temos uma capilaridade em termos de agentes que dependem funcional e tecnicamente de nós, são o que chamamos os sub-registos. Há quase cerca de 150 entidades destas espalhadas pela nossa estrutura do Estado e até empresas que são credenciadas, que podem verificar e auditar e, normalmente, fazemo-lo preventivamente, o que limita a abertura de inquéritos. Não obstante, desde que aqui estou, já instauramos uns cinco ou seis. Só a documentação com um nível de segurança muito elevado e muito secreto é analógica.

A chave é na prevenção por isso é que nós na área da cibersegurança insistimos na capacitação das pessoas.

Quando temos sinais que alguma coisa não correu bem, avaliamos o risco, fazemos a avaliação que o risco é elevado para o bom nome da Nação, para o tipo de informação, desencadeamos um inquérito, está na lei orgânica, tenho legitimidade para o fazer.

 

2022 começou com um conjunto de ataques informáticos de grande dimensão (Vodafone, Cofina, Impresa, Parlamento). A pandemia trouxe maior fragilidade digital? A dispersão e a partilha de computadores potenciam os ciberataques? Como evitá-los?

Uma semana antes do ataque ao site do Parlamento no dia 30 de Janeiro, precisamente no dia das eleições, tivemos uma reunião com entidades da Administração Pública e com o coordenador do CNCS, o Eng. Lino Santos, apresentamos um conjunto de recomendações para serem postas em prática imediatamente. A Assembleia da República não esteve presente nesta reunião, mas a informação foi passada pelo Director do CEGER – Centro de Gestão da Rede Informática do Governo, e foram implementadas algumas dessas medidas. Estou convencido que as medidas ajudaram na resolução do problema.

O relatório do Observatório de Cibersegurança, observa a sociedade sobre diversas perspectivas, uma delas é “riscos e conflitos”. E tem uma quantidade muito interessante, com representação gráfica, onde é patente a correlação que existe entre os períodos de confinamento e o aumento de incidentes.

Durante o confinamento, as pessoas trabalharam mais a partir de casa, através dos equipamentos caseiros e não fornecidos pelas entidades empregadoras. As políticas de segurança dos computadores pessoais, não estavam enquadrados na política de segurança das organizações. Quando usamos o computador que nos está atribuído corporativamente, ficamos impedidos de fazer uma série de coisas que vão contra as políticas das organizações, não podemos instalar software não autorizado, temos que ter múltiplos factores de autenticação e não podemos aceder a muitos sítios da internet. Se usamos as VPN’s e temos a origem da nossa comunicação já comprometida, a VPN não é mais que um túnel para entrarem na nossa organização. A maioria das empresas não têm pessoas dedicadas a fazer permanentemente avaliações à saúde das suas infraestruturas, isto prende-se com as cinco etapas de nível de maturidade. Para isso é preciso ter pessoas, ter equipamentos, ter processos e ter o tal CISO. Aqui no Centro todos os meses fazemos uma avaliação, o que chamamos Board IT, e o CISO e o responsável pelo SOC – Security operations Center, são sempre os dois primeiros a falar, e de seis em seis meses fazem uma avaliação, segundo a ferramenta de auto-avaliação que falamos, que avalia o nosso nível de maturidade e apresentam à Direcção o relatório. Este período de tempo é baseado na mudança de tecnologia, o contexto também muda, o risco altera-se, por isso tem de ser regularmente avaliado.

 

Segundo dados recentes, em 2021, 20% da população mundial foi, de alguma forma, vítima de um cibercrime. É urgente aumentar a literacia digital dos portugueses? Como implementar mais formação em segurança digital?

Penso que o caminho começa pela sensibilização, depois formação, mas uma formação numa lógica tecnológica, uma formação deve ser desde os bancos da escola do ensino obrigatório, mas numa lógica de cidadania. Lembro-me que quando andava no Liceu tinha aulas de código da estrada, como peão e mais tarde para tirar a licença de condução, temos de aprender as normas de condução.

A questão que se coloca e eu acompanho esse raciocínio, é que se nós usamos um meio tão poderoso para viver como vivemos, para trabalhar como trabalhamos, porque é que não devíamos ter algo que nos conferisse acesso para viver como vivemos, para trabalhar como trabalhamos. Parece-me que a tempo temos que ir por aí, se as pessoas, fazendo analogia com o mundo real, conduzem um veículo que pode ser um instrumento de prazer a conquistabilidade da liberdade individual para cada um, mas também pode ser uma arma, pode matar. Mesmo assim há acidentes, felizmente de baixa mortalidade. Num futuro tem que haver uma coisa destas para as questões de cibercrime e segurança, mesmo assim vai haver problemas.

Isto é como um instrumento com várias teclas, umas das teclas é claramente a formação desde os mais jovens, mas o mercado também pode ajudar nisso. A União Europeia está a promover um processo de certificação de equipamentos e de serviços em Cibersegurança e isso vai-se materializar em quê? Hoje em dia quando vamos adquirir pneus para o carro, um eletrodoméstico para casa sabemos quanto energeticamente eficiente é através de um selo com códigos sabemos que foram testados e estão conforme as normas. No futuro a União Europeia vai dar selos com 3 níveis a serviços e equipamentos conectáveis à internet. Com isso vai criar no mercado, a todos nós consumidores a opção de comprar equipamentos de cibersegurança elevado ou baixo, podemos optar e se analisarmos a diferença monetária entre os equipamentos, possivelmente vamos optar pelo mais seguro. Depois existe uma outra dimensão numa lógica business to business: há empresas que quando se têm de relacionar com outra, através do meio digital, a tendência é exigir à outra o mesmo nível de segurança, se tal não acontecer têm de mitigar o risco através de implementação de medidas ou contratação de seguro de cibersegurança, que já existem no mercado. Existem empresas que quando fazem business to business, têm um quadro de análise de risco de cibersegurança. Por um lado ajuda a outra empresa a avaliar o seu próprio risco de cibersegurança e daí saem planos de mitigação desse risco, e por outro também está a dizer a si própria, se vou ou não fazer negócio com aquela empresa, ou vou adquirir aquela empresa e se vale a pena adquirir com aquele nível de risco tão alto.

 

Qual é comportamento de segurança indispensável que recomendaria? Aquele que mais se assemelha a fechar bem a porta ou a não dar a chave de casa?

A primeira coisa é – pense duas vezes antes de clicar num e-mail cuja origem não conhece.

Think before you click, porque o maior vector de ataque, pode não ser imediato, mas o que inicia esse ataque é o e-mail, através dos phishings. Não há dia nenhum que eu não receba alguma coisa que felizmente vai para o SPAM do meu e-mail pessoal que diz que tenho uma encomenda não sei onde ou isto ou aquilo. Mas há umas muito bem engendradas, porque nós acabamos por ter rasto, pegadas nas redes sociais, no mundo digital, e os algoritmos conhecem o nosso perfil e criam esquemas para nos roubar as credenciais. Ao roubarem as credenciais o que nos pode acontecer? Ou temos uma estrutura com, pelo menos, duplo factor de autenticação ou se não temos, estamos muito vulneráveis. Temos um duplo factor na autenticação, estamos um bocadinho mais protegidos, porque para entrarmos em qualquer sítio é preciso um segundo factor de autenticação; se for um token, se for um código numérico que vem para o nosso telemóvel, temos de introduzir um código, estranharemos que nos peçam para introduzir um código, sem termos tentado entrar no portal.

O Eng. Lino Santos diz, e eu concordo totalmente, que se não houvesse passwords a nossa vida era muito mais facilitada. Então como? Através de meios biométricos de autenticação que já existem. Actualmente todos os computadores têm câmara, muitos têm incorporado sistema de reconhecer a impressão digital.

Temos que apresentar à rede, com algo que nós sabemos, algo que nós somos a cara, ou os olhos, ou a impressão digital e o que nós temos, um token, por exemplo as nossas credenciais de autenticação do nosso cartão do cidadão e aí já seria muito mais difícil.

 

Desde 2002 que os Advogados enviam peças processuais para os Tribunais; actualmente a grande maioria dos processos judiciais tramita quase exclusivamente por via digital, através do Citius e outras plataformas. Apesar disso também têm sido vítimas de ciberataques, incluindo, sociedades de advogados. Que conselho lhes daria para incrementarem maior segurança digital?

No caso das Sociedades de Advogados são vítimas de ransomware, que não é mitigado através da assinatura electrónica que os Advogados usam para certificarem que são os mesmos. O ransomware é um vector de ataque que vai para o e-mail, aberto através de phishing conseguindo obter as tais credenciais que entram no sistema, encriptam todo o sistema pedindo um resgate.

Um dos problemas é não haver uma política de mudança de password, por exemplo, de 90 em 90 dias. As passwords estão à venda na Dark Web, recordo que em Julho de 2018 foi feito um link de mil milhões de passwords, uma das minhas antigas estava lá.

É muito importante existirem políticas firmes sem excepções, por exemplo, mudança de passwords de 90 em 90 dias, devem ser longas, com um mínimo de 12 caracteres, mudar as letras para caracteres especiais, usando o underscore. Há pessoas que utilizam nomes, vão mudando nomes, mas ao fim de três mudanças, dá para perceber o padrão. É difícil gerir muitas passwords, mas recomendamos que se faça. Algumas passwords devem ser mais fortes para coisas muito importantes, depois existem aquelas para nos registarmos nas conferências, menos importantes, e depois há aquelas intermédias, o importante é não serem todas iguais, porque basta descobrir uma para ter acesso a toda a informação. Não se deve utilizar o e-mail institucional para registo de conferências, há quem tenha um e-mail só para isso.

No ano passado, aqui no Centro, tivemos uma campanha muito interessante, que ia buscar provérbios portugueses para associar a ideias chave por exemplo, “Quando a esmola é muita o pobre desconfia”. Quando aparece um e-mail a informar que ganhamos milhões, tem um vale de 250 euros para levantar devemos desconfiar.

Nós por via do digital e, sobretudo depois de dois anos de pandemia, deixámos de estar pessoalmente com as pessoas, vermo-nos não só através da voz mas também através do olhar, da expressão gestual e por isso achamos que podemos viver e trabalhar só no digital, incluindo uma coisa grave que é consumir a informação, não estou a falar em notícias, estou a falar em informação através das redes sociais e só através deste mecanismo, porque é por todos sabido, e tem sido amplamente divulgado e documentado os algoritmos das redes sociais perfilam-nos.

Vive-se numa bolha de liberdade, como diz Yuval Noah Harari, porque acho que aquilo que vimos é que é a verdade e quem contestar essa verdade é radicado, isto tem um impacto muito grande nas democracias, as democracias são feitas do contraditório, o Parlamento existe para representar o voto do povo, mas ao mesmo tempo para fiscalizar a acção do Governo.

Nós estamos a caminhar para uma sociedade que perde de vista a importância do debate, do espírito crítico, por isso criam-se tribos que pensam todos da mesma maneira e se há uma tribo que pensa da mesma maneira são pasto para serem manipuláveis, e isto cria extremismos, para mim o maior perigo a longo termo.

Um artigo muito interessante no Expresso, de Novembro de 2021, fazia a analogia como se fosse uma bactéria que entra e que nos vai minando progressivamente, que vai alterando os nossos comportamentos. O documentário “The Social Dilemma”, de Agosto de 2020, retrata isso mesmo, até o pormenor como estudaram os movimentos, a ergonomia, para nos criar adição.

 

A partir de 4 de Abril é permitida a realização de actos autênticos, e outros através de videoconferência. Para o efeito é usada uma plataforma informática gerida pelo Instituto dos Registos e do Notariado. O GNS certificou esta plataforma? É segura?

Trabalhamos muito nesta área, enquanto como entidade supervisora do Regulamento eIDAS, que por sinal foi adaptado pelo Decreto-lei Nº 12/2021, 8 de Fevereiro, atribuímos ao GNS a responsabilidade de entidade supervisora, pelo que tudo o que envolva certificação electrónica, somos envolvidos na análise, na auditoria da solução, nós não auditamos a solução directamente, mas existem auditores encartados que analisam e posteriormente nos enviam os relatórios e nós questionamos o que entendermos e em última instância podemos auditar. Fazemos isto para esta e para outras plataformas que usam certificados electrónicos, quer para as plataformas certificadas, quer privadas, quer do Estado.

Esta plataforma cumpre os requisitos do eIDAS, não estou a afirmar que é segura, simplesmente cumpre o Regulamento. Nós neste processo recomendamos um conjunto de testes, para garantir que as plataformas cumprem os requisitos e que cumpram o Regulamento da Protecção de Dados.

Em 11 Abril de 2020 fizemos um despacho que permite ao abrigo do regulamento do eIDAS, desde que o software utilizado tenha determinadas características, que tenha liveness, perceber se aquilo que está à frente da câmara é uma imagem, uma fotografia mesmo que seja em alta definição, ou se é um rosto verdadeiro, um rosto vivo, mesmo que com deep fakes seja seguro.

 

O actual Bastonário da Ordem dos Advogados foi o primeiro a ser eleito através de voto electrónico. Tem dito que é necessária cautela sobre o voto electrónico nas eleições. Porquê?

Penso que este é o caminho, mas estas evoluções têm de ser cautelosas, cada passo que damos tem de ser bem fundamentado, bem explicado, não comprometer a segurança dos cidadãos e dos agentes e já existem no mercado empresas com soluções muito robustas para isso.

Imaginemos que o processo eleitoral corre muito bem, mas que se lança uma suspeita até por via da desinformação, impugnar as eleições, nunca mais temos governo a democracia não funciona.

Temos de ser cautelosos, para que um passo em falso não comprometa o sistema todo. Cada passo que damos tem de ser bem fundamentado, bem registado, bem explicado, em última instância somos nós todos quando votamos, somos nós os utilizadores do sistema. Ninguém utiliza um sistema do qual não tem confiança. Quem usa o Multibanco, o MBway, é porque confia; porque à primeira vez que for defraudado com uma coisa destas, deixa de usar. A confiança leva muito tempo a construir, mas é num ápice enquanto se desfaz. O propósito é num futuro não muito longínquo, Portugal ter capacidade para fazer o acto eleitoral electrónico a nível nacional. As vossas experiências são úteis, acompanhamos todos esses actos, para aferir o grau de segurança e credibilidade, mas a nossa perspectiva é sempre na óptica de perceber se os sistemas envolvidos cumprem requisitos de segurança adequados. Porque toda a gestão é da responsabilidade do Ministério da Administração Interna, concretamente da Secretaria Geral e da Comissão Nacional de Eleições. Nós somos um parceiro, a decisão é sempre política.

 

Representou Portugal na estrutura responsável por todos os assuntos relacionados com as tecnologias de informação e comunicação da Aliança Atlântica. Como tem assistido à guerra na Ucrânia? A utilização de meios digitais, os ciberataques da Rússia indiciam que estamos já na fase da guerra cibernética? Pelo menos híbrida?

Para quem está na Ucrânia, aqueles seres humanos como nós não é guerra hibrida é guerra dura no terreno, com coisas que a última vez que tínhamos visto foi na última década do século XX, na guerra da Jugoslávia.

É claramente algo que do ponto de vista cinético, está confinada áquelas montanhas, mas no ponto de vista cibernético não está e informacional também não. Muito recentemente a propósito dessa situação dramática que se passou à volta da capital da Ucrânia, vimos como a informação por via dos meios digitais foi manipulada, sabemos inclusivamente que há cidadãos da Rússia que têm uma percepção distorcida do que se está a passar na Ucrânia. Não há dúvidas que estão a ser usados todos os meios ao dispor. O digital tem algumas características que são poucas, mas muito poderosas.

Uma é o alcance, outra a rapidez, uma notícia mesmo que seja falsa colocada num determinado sítio pode chegar a outro lado do mundo em milissegundos. A outra é que qualquer pessoa mal intencionada ou bem intencionada, é editora, não há supervisão editorial, como existe num órgão de comunicação social. E depois a proliferação da notícia a propagação não é linear é geométrica e se for falso, se for mentira, uma mentira bem encapotada, pode germinar como se de um vírus se tratasse. Se imaginarmos que 50 por cento das pessoas que consomem isso, só vêem via redes sociais, não vêem televisão, não ouvem rádio, nem lêem jornais, ficam com a percepção errada e a verdade para essas pessoas é aquilo.

Tem impacto numa série de domínios da sociedade, que é o que caracteriza as guerras híbridas, no domínio económico, político, social, refugiados, e esta só lhe falta uma característica, a ameaça de natureza híbrida são aquelas cujo limiar da guerra nunca é ultrapassado.

O European Centre of Excellence for Countering Hybrid Threats fundado pela UE e pela NATO tem todos estes conceitos. Isto que se está a passar na Ucrânia, ninguém declarou guerra a ninguém, mas tem todas as características de guerra. Quando há destruição física das cidades, quando há mortos civis, quando a sociedade nalgumas cidades parou. Mas formalmente não houve uma declaração de guerra a ninguém. Nenhum estado declarou guerra a outro estado, por isso é que utilizam esses eufemismos, essas expressões para chamar uma coisa que não é. Mas sim, é uma guerra híbrida, quando tudo isto passar vão ser feitas muitas teses sobre o momento que estamos a atravessar.

 

O ciberespaço foi reconhecido pela NATO como um novo domínio operacional, tão crítico para a defesa nacional quanto os domínios da terra, do mar, do ar e do espaço. Como “dar corpo” a este novo domínio?

Desde a Cimeira de Gales que a NATO tem um novo domínio de defesa. Alguns países já estão a trilhar esse caminho de forma mais determinada.

Nós em Portugal colaboramos muito com a Ciberdefesa, Ministério da Defesa, Estado Maior das Forças Armadas, também com os serviços internos, com a Polícia Judiciária na unidade ao Combate ao Cibercrime Tecnológico. Temos feito um caminho muito interessante como país, no aumento dos índices de maturidade em Cibersegurança. No último relatório do Comité de 2020, subimos de 27º lugar para 8º lugar na Europa, não é da União Europeia é da Europa, no mundo subimos de 44º lugar para 12º lugar. Temos ainda muito trabalho pela frente, o objectivo é ficar nos 5 primeiros da Europa.

No relatório Europeu Digital Economy and Society Index, em português Índice de Digitalidade da Economia e da Sociedade (IDES) de 2021, podemos observar que Portugal nos anos de 2020 para 2021 passou de 19º para 16º lugar; isto ainda muito mau. Dos quatro grandes temas acima avaliados, dois estão a cima da média europeia, dois estão abaixo. Dos dois que estamos abaixo, a literacia digital do nosso povo, temos de investir na formação. Nos dois que estamos acima, é e-government e conectividade em Portugal, o nosso país tem uma densidade de rede de fibra óptica muito boa. O investimento na formação é fundamental desde os mais pequenos na literacia digital e, associado à literacia digital, os comportamentos saudáveis no Ciberespaço.

 

O que quer dizer quando refere que os membros do gabinete são os bombeiros do ciberespaço?

Os membros do CERT.PT são no fundo os bombeiros do Ciberespaço. Quando há um incidente eles vão ajudar a resolver, a repor os serviços como estavam.

Temos outros departamentos, um particular, o Departamento de Desenvolvimento e Formação responsáveis por toda a formação e sensibilização, e temos no PRR um programa muito ambicioso, financiado, que visa até 2026, que consigamos produzir no nosso país requalificar cerca de 9800 profissionais em cibersegurança. Em termos de comparação a Microsoft.com Worldwide tem cerca de 10 mil profissionais de segurança. Nós pretendemos 9800 profissionais espalhados pelo país todo. Vamos fazê-lo numa relação contratual com as Universidades e Politécnicos do nosso país para que não seja só Lisboa. Formar profissionais para responderem a desafios concretos de cada região, capacitar a sociedade de forma a que consigamos chegar aos cinco primeiros países do DESI, Digital Economy and Society Index