Quase dois dias depois, as publicações do grupo Impresa continuam sem funcionar, naquele que será o maior ataque informático a uma empresa de comunicação social portuguesa. O grupo, dono de meios como a SIC e o Expresso fala “atentado nunca visto à liberdade de imprensa em Portugal na era digital” e garante que vai apresentar uma queixa-crime contra os autores do ataque.
O que se terá passado é uma incógnita, sabendo-se apenas que se trata de um ataque de ransomware.
“É software malicioso que, de alguma forma, entrou nos sistemas do grupo”, começa por explicar ao i Luís Lobo e Silva, managing partner da Focus2Comply (F2C), acrescentando que há muitas formas de o ataque ter acontecido. “Poderá ser sob a forma de diversos vírus mas a questão aqui não é tanto que vírus é, é a forma como entrou e como é possível que isto aconteça. Isto é software malicioso e a partir do momento em que entra numa máquina, num servidor, pode entrar de diversas maneiras”, acrescenta.
E alerta: “É importante perceber que nenhuma organização está 100% imune. Nenhuma mesmo, infelizmente”, diz, usando uma analogia: “Não conseguimos assegurar que um banco ou um condomínio com segurança não seja assaltado. As probabilidades são imensas”.
O responsável acrescenta que, a partir daqui, há um conjunto de ações e iniciativas que as organizações devem considerar e colocar em cima da mesa, pôr em prática e manter. Até porque, lembra, “o ciberespaço, a cibersegurança e a ciberdefesa não são matérias só e apenas tecnológicas”.
Como é que o ransomware entrou no grupo Impresa não se sabe. E é muito difícil para quem está de fora do caso saber. “Certamente essa análise está a ser feita e do que é conhecido, da informação que foi publicada pela própria Impresa, essa colaboração está a ser feita com o próprio Centro Nacional de Cibersegurança e pode ter sido de várias formas”, avança Luís Lobo e Silva. A Impresa, como grande parte de todas as atividades profissionais hoje em dia “com a questão da internet das coisas, tem cada vez mais a partilha de equipamentos, ou de um mesmo equipamento para várias tarefas, isso acontece. Acedemos ao email através do tablet, através do telemóvel, do computador…” e, assim, “a determinada altura há procedimentos que têm que ser acautelados”. E diz que, do ponto de vista da organização, as organizações devem ter em consideração “um conjunto básico de procedimentos que, julgo, no caso da Impresa estarão salvaguardados”. É, garante, “o básico dos básicos”, falando de ferramentas de SIEM e gestão de análise de vulnerabilidades.
Mas estamos a falar do quê? São “ferramentas para fazer monitorização de eventos, de logos, para detetar se há determinado tipo de máquina que está a aceder a determinado contentor de informação. Tudo isto é feito através destas ferramentas, é possível monitorizar isto 24h”.
E avança que também é preciso fazer a atualização de segurança e os releases de atuação dos sistemas e servidores, todo o software que suporta as infraestruturas e, no fundo, dão acesso à informação”.
Mas, para Luís Lobo e Silva, a questão da sensibilização também é muito importante. E aqui, o destaque vai para o lado da organização que deverá ter políticas de acesso às máquinas e aos servidores e como acedem a essas máquinas. Mas não só. Do lado dos utilizadores, defende, “tem que haver, de forma continuada uma sensibilização aos vários níveis porque não é só uma questão de especialistas. Todos os utilizadores acedem à rede ainda que alguns só a determinados contentores de informação mas todos devem ser sensibilizados”, diz, lembrando que às vezes as empresas esquecem-se de apagar emails de colaboradores que saíram e que são, obviamente, um ponto de vulnerabilidade.
Nesse sentido, alterar passwords ou aceder ao online só através de dispositivos são cuidados básicos que as empresas devem cumprir. “É muito simples explicar isto: estão a partilhar ou a aceder a algum sítio com uma determinada senha. E se for o tipo de utilizador que utiliza a mesma senha para tudo, através da engenharia social, pode-se associar a um utilizador que até é da empresa ‘vamos lá experimentar esta password para ver se conseguimos por a descoberto uma password que ele acedeu num outro computador que não era seguro à sua conta bancária ou a outra coisa qualquer’”. E alerta também para as redes wifi públicas. “São importantes, sobretudo para o turismo mas aceder a informação particular ou crítica através das wifi públicas pode ser complicado”, defende.
Luís Lobo Nunes deixa outros avisos. “Imagine que em vez de terem bloqueado os servidores da Impresa tinham criado informação cifrada e tinham começado a fazer propaganda. Aliás, fizeram. As pessoas começaram a receber emails a dizer que tinha havido um problema com o nosso Presidente da República. Imagine que começassem a fazer propagação de fake news de forma aparentemente oficial com o logótipo da SIC, do Expresso… Até que ponto é que poderia ou não estar em causa a soberania nacional?”.
Por isso, reforça: “Ninguém está imune e nesta área toda a colaboração é importante. Colaboração entre entidades, entre parceiros, entre empresas”.
E defende ser preciso que as organizações tenham atenção “se têm planos de continuidade de negócio ou planos de recuperação tecnológica”. Tendo isto, depois é simples: “É, de uma forma continuada, implementar e manter um conjunto de boas práticas e metodologias de trabalho nesta área da gestão da segurança de informação”.
Pode a Impresa recuperar os dados? Questionado sobre se a dona da SIC e do Expresso poderá recuperar os dados, o responsável diz que esta é “uma matéria sensível e interna do próprio grupo e isso só o próprio grupo pode saber”, mostrando-se, ainda assim, esperançoso de que o consigam. E também o tempo que poderá levar até resolver o assunto é “uma incógnita” até porque “é uma questão de colaboração”, lembrando que a impresa conta com a ajuda de parceiros tecnológicos, com o Centro Nacional de Cibersegurança e com a Polícia Judiciária. “Estarão todos a colaborar e terá sido criada uma taskforce crítica para resolver o problema”.
E lembra que, no caso da Impresa o caso foi conhecido por se tratar de um órgão de comunicação social que precisa dos seus sites mas, casos como este acontecem recorrentemente embora as empresas afetadas o escondam.
Em jeito de conclusão, Luís Lobo e Silva diz que este caso deve servir de exemplo para outras entidades “sejam elas da comunicação social ou não porque só agora é que as organizações começam a estar mais atentas e não é só uma questão de tecnologia”. Exemplos não faltam: “Com muita facilidade um colaborador está a fazer uma reportagem, está a mandar um email do seu telemóvel que por alguma razão foi hackeado porque até respondeu a uma questão pessoal de um sms que recebeu do seu suposto banco e, a partir daí, o seu telemóvel, tablet ou pc ficou comprometido”. Ou seja, “as possibilidades são um mundo”.
Ataques cada vez mais frequentes Segundo a advogada Ana Bastos, sócia da Antas da Cinha Ecija & Associados, numa perspetiva de privacy, “este tipo de ataques informáticos são cada vez mais frequentes, muito por causa da conjuntura em que vivemos”, começa por dizer ao i. E explica: “A pandemia e as medidas de contenção associadas fizeram com que os consumidores passassem a procurar a aquisição de bens e serviços à distância, privilegiando as plataformas online, pelo que foi com naturalidade que os comerciantes e prestadores de serviços aceleraram o investimento nas plataformas de comércio e serviços eletrónicos, nem sempre com o cuidado recomendável em termos de cibersegurança”.
E, tal como Luís Lobo e Silva, a advogada diz que o volume destes ataques nem sempre é conhecido porque as empresas pagam o resgate para evitar estragar a sua reputação.
Ana Bastos explica que “geralmente, estes ataques de grande magnitude, são praticados por grupos de hackers altamente sofisticados, quer em termos de organização como de meios”. Como? “São equipas especializadas que se dedicam a identificar e explorar a debilidade de sistemas informáticos, dotados de know-how e equipamentos que não ficam atrás das melhores empresas de cibersegurança”.
Assim, atendendo ao que se sabe sobre o ataque ao grupo Impresa, “muito provavelmente este grupo será enquadrável nas atividades criminosas, sendo o objetivo dos infratores, a obtenção do lucro pelo pagamento do resgate”.
Lembrando também que “não existem sistemas informáticos invioláveis”, a advogada recorda que é possível “implementar medidas no sentido de minorar os riscos para as entidades que utilizam estes sistemas”, como é o caso da obtenção das certificações ISO que “permitem às entidades certificadas garantir uma proteção dentro do nível recomendado”. Junta-se a realização de auditorias à segurança dos sistemas informáticos.
Mas há mais: “Estas recomendações implicam, a título de exemplo, medidas de segurança física (como a criação de cartões de acesso para determinadas partes do edifício onde se encontram os sistemas informáticos) e lógica (como a implementação de formas de autenticação forte dos utilizadores), que visam dificultar e em alguns casos evitar, o sucesso dos ataques informáticos”.
Sendo atacado, como reagir? “As recomendações da Polícia Judiciária e do Centro Nacional de Cibersegurança são para a vítima (i) não pagar o resgate, pois, não é possível ter a certeza de que a chave que permitirá desbloquear o sistema será de facto entregue após o pagamento do resgate e mesmo que os infratores cumpram a sua promessa, nada garante que um ataque semelhante não se repita passado algum tempo. Deverá também (ii) denunciar o crime, para que o mesmo seja acompanhado e investigado pelas autoridades competentes, sendo que muitas vezes estão em causa organizações internacionais pelo que são implicados órgãos de investigação criminal de várias jurisdições”, diz Ana Bastos lembrando que, de seguida, é preciso uma auditoria de cibersegurança, “com os objetivos de identificar, proteger, detetar, responder e recuperar”.
Moldura criminal Ao i, a advogada Alexandra Mota Gomes, também sócia da Antas da Cunha Ecija & Associados, explica que “sem prejuízo dos contornos concretos do ataque ransomware”, os factos noticiados indiciam a prática dos crimes de dano relativo a programas ou outros dados informáticos, acesso indevido, dano relativo a programas ou outros dados informáticos, sabotagem informática, acesso ilegítimo e extorsão.
Assim, caso estejam em causa dados pessoais, o artigo 47.º, n.º 1, da Lei da Proteção de Dados Pessoais dispõe que “quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais é punido com pena de prisão até 1 ano ou com pena de multa até 120 dias”.
Há artigos que determinam que a pena é agravada para o dobro nos seus limites “quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD” (categorias especiais de dados pessoais) ou quando o acesso “for conseguido através de violação de regras técnicas de segurança; ou tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial”, sendo que a tentativa é sempre punível, explica a advogada.
E há ainda um artigo que defende que quem, sem permissão legal ou autorização apagar, alterar, destruir, no todo ou em parte, danificar, suprimir ou tornar não utilizáveis ou não acessíveis programas ou outros dados informáticos alheios ou por qualquer forma lhes afetar a capacidade de uso, é punido com pena de prisão até 3 anos ou pena de multa”.
A advogada acrescenta ainda que “caso os danos causados sejam de valor consideravelmente elevado as molduras legais aplicáveis para os crimes acima descritos são agravadas e as penas previstas são elevadas para pena de prisão de 1 a 10 anos”.
E acrescenta: “deve-se ainda salientar que, relativamente a alguns dos crimes acima elencados, na sua forma simples, o respetivo procedimento criminal, dependerá da apresentação de queixa-crime por parte dos titulares dos direitos protegidos pelas incriminações”, algo que a Impresa já fez.
E mais: “caso se verifique que os agentes, de forma organizada e com a intenção declarada de obterem um benefício ilegítimo, constrangeram as vítimas ao pagamento de um “resgate” de valor consideravelmente elevado, mediante a ameaça da destruição do sistema e da informação ali existente ou da divulgação pública dos dados supostamente descarregados, podem incorrer na prática do crime de extorsão agravado”.