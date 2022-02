Para Vasco da Cruz Amador, fundador e diretor-executivo da Global Intelligence Insight, a noção de que há ameaças à nossa segurança vindas das profundezas da internet não é novidade. Normalmente, a sua preocupação é o terrorismo nas cidades, desertos e montanhas do Iraque, onde dá formação de cibersegurança às forças de segurança, monitorizando as redes de comunicações e propaganda de jiadistas, analisando padrões discursivos para saber quando algo grande se avizinha.

No entanto, em Portugal, onde dá aulas no ISCSP, deparou-se com o receio causado pelo ataque cibernético à Vodafone, deixando serviços cruciais como o INEM ou os terminais de multibanco suspensos durante horas. «Uma coisa é certa, foi um ataque muito sofisticado e complexo», assegura o analista, e «podem ser os ensaios para uma coisa ainda maior». A lição a tirar é que é preciso apostar mais na segurança e cyber awareness. Porque, «se até hoje nunca houve uma ameaça específica daquilo que chamamos ciberterrorismo», nota Amador, isso é só «até ao dia em que se apercebam que podem tirar partido dessa componente, para fazer uma disrupção do sistema e a seguir imediatamente levar a cabo um ataque convencional a grande escala».

Todos notaram que tem havido uma grande onda de ataques informáticos. Vemos ataques que deitam abaixo a capacidade de instituições, e em vários deles as autoridades policiais têm afirmado que não houve sequer grande roubo de dados. Tenho dificuldade em compreender o que pode motivar um ataque deste género. Pode ser uma espécie de ensaio, de teste de capacidade?

Aquilo que temos de analisar de uma forma inicial é que tipo de ataque é. Primeiro, saber se tem algum tipo de exigência ou pedido de resgate. Porque nós estávamos muito habituados a ver este tipo de ataques, em que os dados ficavam praticamente todos na posse dos atacantes e, em muitos dos casos em que eram feitos os pagamentos, acabavam por na mesma não recuperar acesso aos dados. Agora, quando não estamos perante uma situação destas, que era a mais comum, o caso é bastante mais complexo e sofisticado. Por exemplo, vemos ataques como vemos ao grupo Impresa, no início de janeiro, em que nessa altura poder-se-ia ter pensado que era um ataque ao grupo, porque afetou a SIC, a SIC Notícias, Expresso, Blitz, etc. E que podia ter alguma causa mais específica, mas até hoje aquilo que percebemos é que foi direcionado para afetar a capacidade do grupo. Mas agora, quando nós analisamos o que se passou com a Vodafone, este ataque tem de ser mais complexo e sofisticado. Porque quando falamos ataque a uma rede de comunicações com a envergadura e o porte que tem a Vodafone - não só devido às regras de segurança, com protocolos muito rígidos e seguros, que o são - obviamente já não estamos a falar de um ataque de dois, três ou quatro hackers que estão em casa com o computador a fazer umas pseudo-brincadeiras. É um ataque de quem sabe exatamente o que está a fazer, e que teve de detetar vulnerabilidades que existissem. Podem ser ensaios para coisas futuras, quer a nível interno quer externo, ou algo cujas ligações ainda não estão certas, podendo obedecer a uma sequência. Claro que é muito cedo para se dizer quem foi, quem está por trás, porque não sabemos. Mas uma coisa é certa, foi um ataque muito sofisticado e complexo, para ter capacidade de cortar comunicações, pelo tempo que cortou, pela forma como foi, afetando todos os serviços.

O aumento deste género de ataques está ligado com a crescente tensão geopolítica, com a pandemia, com a vulnerabilidade que traz o teletrabalho?

Há uma estatística, e não podemos fugir a esses números de forma alguma, de que estes ciberataques foram crescendo com a pandemia. Porque quem faz disso a sua vida acaba por tirar partido, porque todos nós estávamos em casa, todos nós tínhamos ligações remotas com a nossa empresa, organização, o que seja. E houve ataques sem conta. Mas vou mais além, nesta altura não se pode colocar de parte também que surgiram várias tensões, quer a nível estratégico quer geopolítico. Por isso, o mais importante é que em todas as organizações haja uma cultura o mais preventiva possível, porque esses ataques vão aumentar. Não por acaso se diz que quem quer que vá para cibersegurança ou cyberintelligence tem o futuro garantido. Talvez não tanto cá em Portugal, mas há vários quadros que saíram de cá, que a nível oficial ou de empresas, que vão para o Reino Unido a ganhar dez vezes mais, porque tem vindo a aumentar o risco. Porque a tecnologia se tem desenvolvido muito. E no momento em que a tecnologia se desenvolve, acaba por dar azo a muito mais vulnerabilidades e falhas do próprio sistema. Às vezes podemos pensar que temos um sistema seguro, que não tem riscos associados, mas qualquer um os tem.

Pois, agora a nossa vida está toda online.

Toda, toda. Cada um tem o seu Instagram, Linkedln, cada um tem os seus contactos sempre consigo. Acabamos por enviar informação e fazer tudo assente nos nossos telemóveis, em cloud, em que normalmente podemos ter acesso a esta sem a preocupação de ver, verificar e alterar passwords. A nossa própria rede pode ser uma vulnerabilidade. Podemos estar aqui à vontade [olha à volta, para a esplanada do hotel] a usar a rede wireless, e com um investimento quase nulo alguém está a entrar na nossa rede e no nosso sistema com intercetores. Podemos achar que estamos mais seguros porque vamos trabalhar para um café ou hotel e está alguém a roubar-nos dados. Já vemos casos em que nos aeroportos se roubam dados de cartões bancários usando carteiras com peças que engatam e pousam por cima [coloca a mão por cima da sua carteira]. Isto para dizer que estamos expostos em todos os aspetos, a partir do momento que saímos para a rua, continuamos ligados ao mundo virtual. As pessoas não sabem bem o que são coisas como redes Tor, acaba por não se ter cuidado, e mesmo quando se adotam todas essas metodologias e precauções em relação ao espetro cyber, há sempre uma ou outra falha. Muito provavelmente até eu, um dia ou outro, tenho um descuido, nunca podemos dizer que temos o melhor sistema e que aqui ninguém entra.

Acaba por ser sempre um jogo do gato e do rato.

É sempre, andamos sempre atrás. Normalmente não somos nós que evoluímos, são eles que evoluem e nós temos de ir atrás, porque eles agem consoante aquilo que sabem que nós temos. Esse é que é o problema. E quando nós estamos a analisar uma infraestrutura temos de ter noção de como é que a defendemos, mas sobretudo ter uma postura preventiva, não reativa. Porque a reagir, por exemplo, está o Nascer do SOL, a tentar explicar o que é que aconteceu e por que aconteceu, o como e o porquê. A prevenção é outra coisa.

Por falar no como e no porquê, o que pensa do recente ataque informático à Vodafone?

Pelo que vi, e posso estar enganado, mas não me parece que tenha muito a ver com as tensões geopolíticas entre a Rússia e a Ucrânia. Não me parece, eu não apontava para aí. Porque acaba por não ter uma ligação direta, mas claro que isso está em cima da mesa. Há coisas que são evidentes, que é um ato criminoso, obviamente até lhe poderíamos chamar um ato terrorista, porque poderia ter eventualmente essas proporções. Eu ia mais para a possibilidade que possam ser os ensaios para uma coisa ainda maior. E que se tem de ter um certo cuidado, uma cultura de awareness. Esse é o ponto de partida.

Admito que quando vi o ataque à Vodafone pensei que, se eu fosse um ator estatal a testar as minhas capacidades cibernéticas, seria este género de alvos distantes que escolheria.

Tal e qual como tinha falado, o ataque é de uma complexidade tão grande que tem de ter um objetivo. Porque senão não era feito, não é por brincadeira ou iniciativa própria que se faz um ataque desta envergadura. Aí quase me atrevia a dizer que há 99% de certeza que não é, é algo que foi direcionado, muito bem preparado, afetou uma das maiores empresas de comunicações a nível de comunicações. E tudo isto vem com algo por trás, são ensaios. A questão do porquê é que ainda é completamente prematuro. Mesmo em relação ao ataque grupo Impresa não se conseguiu perceber quase nada. Porque aquilo que se passou foi atirarem tudo abaixo e provocar danos, alguns até irreversíveis, porque não conseguiram ir buscar alguma informação, ainda andam a contabilizar o que é que perderam. Na Vodafone foi mais além, afetou-lhes o sistema. Não foi, até ver, com o intuito do roubo de dados, mas de afetar seriamente o sistema. É algo que é bastante preocupante, porque atrás disto pode vir outra coisa ainda mais complicada.

Sei que trabalha mais no estrangeiro, mas quais diria que são as grandes vulnerabilidades cibernéticas em Portugal, tanto a nível do Estado como das empresas? É um país particularmente vulnerável?

Aquilo que nós avaliamos, estando por fora, é que temos o que existe também a nível internacional. Há uma reorganização a nível de cibersegurança, dado que as ameaças com que estávamos habituados a lidar não eram tão complexas e sofisticadas. E isso levava a uma cultura com que não nos preocupássemos tanto. Isto não quer dizer que não estejamos preparados. Agora, em termos operacionais, obviamente ninguém está. No meu entender, tem de haver uma cultura de cyberawareness muito maior, com uma preparação muito mais exaustiva, com maior investimento quer em ferramentas, quer nos próximos sistemas, quer na avaliação de infraestrutura. Em termos preventivos, tem de haver tanto investimento a nível preventivo como em meios humanos. Porque o meio humano é sempre o principal. Para todos os inputs que tenha de dar à minha máquina, esse input tem de ser gerado e analisado em tempo real por um humano, é o humano que sabe o que se está a passar. A nível interno têm de haver várias estruturas, sobretudo em organizações com uma escala maior. Tem de haver grupos de red teaming, convém que existam para fazer testes de vulnerabilidade numa ótica semanal ou até diária. Depois há as equipas de incidente response, para reagir às ameaças, as equipas forenses, que são muito importantes para verificar o que temos. E se formos olhar para as nossas empresas ainda não têm. Mas não podemos que essa ausência vem de decisões negligentes, não, o país acabava por não estar habituado a este tipo de ataques. Agora, sempre houve ataques, mas ano começa com dois casos de grande perfil. E este último à Vodafone foi muito grande.

Pelo que percebo, o nosso Centro Nacional de Cibersegurança tem o seu foco na administração pública, nas instituições estatais. Acha que as empresas suficientes têm meios suficientes para lidar com este género de ameaças? É que temos partes cruciais da nossa infraestrutura nas mãos de empresas.

Muito provavelmente na estrutura empresarial e no setor privado há algumas lacunas. Mas, se nós olharmos para a sofisticação do ataque à Vodafone, muito provavelmente quem o fez acredito que o possa replicar noutro sistema. Porque, se pensarmos no compromisso interno, em termos da compliance que uma Vodafone tem, com um ministério ou organismo estatal, quase me atrevo a dizer que a Vodafone está num layer muito superior. Tem de se acompanhar isso. Agora, imagine o que seria um ataque a um organismo como um hospital, que afeta toda a tecnologia que está literalmente ligada às pessoas. Há gente ligada às máquinas, se há trinta anos não era assim, agora aquilo está tudo telecomandado por dispositivos eletrónicos, alguns deles até ligados em rede.

As estatísticas indicam que o recente aumento nos ataques cibernéticos tem sido sobretudo no setor da Educação/Investigação e da Saúde. Por que razão estes setores são tão apetecíveis?

Porque têm tendencialmente mais vulnerabilidades. E a tendência é que o impacto causado seja grande. Sendo que há duas diferenças principais. Há ataques que pedem resgate e têm como objetivo um ganho financeiro, enquanto outros têm como alvo fazer estragos. E a Educação e a Saúde são tão apetecíveis porque têm uma componente de IT bastante grande. Aliás, em 2017, quando houve aquele célebre ataque em vários pontos a nível mundial - cá em Portugal também afetou alguns hotéis, que ficaram com o sistema em baixo - o sistema nacional de saúde britânico teve de retirar pacientes porque aquilo afetou completamente o seu funcionamento. O ataque foi feito de uma forma direcionada para essas áreas.

Fazendo a comparação com termos utilizados quanto a terrorismo convencional, é um soft target, um alvo fácil e com estragos elevados.

É isso, exatamente a mesma coisa.

Nestes últimos tempos, dada a escala dos ataques a nível global, poderia indicar o aumento da participação de atores estatais. Mas a nível da ameaça terrorista, que sei que é a sua especialidade, acha que há um risco real de redes terroristas se aproveitarem destas vulnerabilidades?

É um dos pontos cruciais. Se virmos a evolução que o próprio terrorismo teve, nós estávamos habituados a lidar com terrorismo na década de 90 e no início dos anos 2000, quando teve a sua grande transformação com os ataques do 11 de Setembro, ganhando uma escala global e afetando quase o mundo inteiro. Aí há um corte, vemos um novo tipo de ataque terrorista, uma nova cultura. Essa cultura tem vindo a crescer de uma forma diária, com aparecimento do Estado Islâmico em 2004, 2005, por aí em diante. O que sucede é que o Estado Islâmico tem uma ideologia completamente diferente, que prima pela guerrilha urbana, pelo medo, pelo mostrar com grande aparato e selvajaria tudo aquilo que fazem. Agora, até hoje - há ideias disso em alguns chats encriptados - nunca houve uma ameaça específica daquilo que chamamos ciberterrorismo, de uma operação interligada no espetro cyber. Houve sim roubos de bases de dados muito antigas para fazer kill lists, e a partir daí pedir que esses indivíduos fossem mortos. Mas ainda não há um exponenciar de uma interligação entre a vertente cibernética e a componente de terrorismo convencional. Porque a ideologia que têm é de ataque convencional, causa muito mais impacto visível que o ataque cyber. Até ao dia em que se apercebam que podem tirar partido dessa componente, para fazer a disrupção do sistema e a seguir imediatamente levar a cabo um ataque convencional a grande escala. Essa é uma das coisas que tem de estar sempre em cima da mesa, para prevenir. É a mesma coisa que adaptar a maneira como analisamos uma rede terrorista hoje em dia em relação a como o fazíamos na década de 2000. Hoje, analiso uma rede terrorista com muito mais ferramentas, até em fonte aberta, com análise de redes sociais, mapeamento, usando até as mesmas apps que eles usam, que é muito diferente de quando tinha de ter agentes infiltrados. Todo o espetro que há em termos de comunicações permite-nos uma análise de narrativa, semântica, de pura intelligence, que dá para perceber a tendência de estamos a viver. No futuro, que espero que não seja muito próximo, ao mesmo tempo que investigamos a possibilidade de estarmos perante um ataque patrocinado por um Estado, mas que pode muito bem ter sido desenvolvido numa ótica terrorista. Temos sempre de estar preparados para nos defender, não só a nível tecnológico, mas usando os melhores meios humanos, para fazer essa transição. Porque essa é uma ameaça para a qual há muito que chamamos a atenção, mas os órgãos governamentais acabam por ligar muito porque é algo a que não estamos habituados, mas que pode surgir. E é um dos pontos críticos.

Está satisfeito com os esforços que estão a ser encetados a nível europeu, da NATO ou mesmo de Portugal para confrontar este género de ameaças?

Mesmo Portugal tem como objetivo principal dotar quer as suas forças de segurança, quer os seus organismos, com uma forte componente cyber. Aliás, a própria NATO tem cá a Academia de Comunicações e Informação, em Oeiras, e tem-se visto uma evolução muito grande, uma preparação cyber muito maior. Agora, em conjunto com tudo isso, tem que haver sempre uma cultura de awareness mais pragmática, mas também preventiva. A verdade é que todos os dias saí um novo computador, no dia seguinte estão a desenvolver o próximo.

E a nível do apoio às empresas? As que operam em setores críticos naturalmente terão defesas mais avançadas, como no caso da Vodafone. Mas para outro tipo de empresas que não tenham a mesma dimensão, acha que há apoio suficiente na área da segurança? O que é que falta fazer?

No outro dia estava a ver os planos que o Governo desenhou até 2030, que agora vão ser revistos até 2023. E o Governo tinha elencado que iria investir em várias áreas de cibersegurança 4,76 mil milhões de euros até 2030. Logo isso reflete a preocupação que tem, porque falam de cibersegurança falam em todos os aspetos, como segurança aeroportuária. Agora, obviamente que não podemos estar só a alencar recursos a quatro ou cinco grupos e deixar de parte o resto, porque temos pequenas e médias empresas que são dos focos principais da nossa economia. Esse apoio é essencial para desenvolver uma cultura cyber, para fazer mais ou melhor. Sendo que Portugal tem centros de excelência em cibersegurança até nas universidades, quer no Técnico que na universidade do Porto ou de Évora, onde existem hubs tecnológicos com grande capacidade. Agora, tem de haver um apoio forte, porque as empresas portuguesas acabam por não ter meios financeiros para isso, até pela quebra causada pela pandemia. Faz muita falta. Nós sabemos que existem ferramentas e software que podem levar a cabos ataques, que apontam perfeitamente para um determinados atores, que podem atacar infraestruturas elétricas, comunicações, websites, organizações. E esses ataques só terminam praticamente quando alguém do lado de lá carrega no botão de stop, quando sabem que causou algum impacto. É preciso ter em conta que a evolução do lado de lá está num patamar tão elevado que nós não nos podemos deixar dormir. Dormir a sesta é muito bom, faz bem [risos] mas eles estão lá. E quando damos por isso, surge algo tão complexo que faz o que fez com a Vodafone.

E há que ter em conta que não faz sentido as empresas apostarem em inovação quando estão sempre a ser alvo de ciberespionagem, com a sua tecnologia a ser roubada.

Sim, ainda há pouco tempo vi um artigo vosso onde se apontava muito mais para ciberespionagem no ataque à Vodafone. É outra preocupação, isso há muito, até já havia antes de surgir o espetro cyber. Mas é algo que acontece a toda a hora. Mas, pelo tipo de ataque que foi feito… Obviamente que essa hipótese tem de ser colocada em cima da mesa, como em qualquer outra investigação. Mas a espionagem industrial é um foco muito importante nesse tipo de ataques. E causa danos que as instituições nunca mais se levantam. E agora, quando nós temos organizações que têm tudo armazenado em cloud e isso pode ser comprometido, sem nada gravado, é a mesma coisa que quando um telemóvel avaria. ‘Aí, não sei do contacto do Zé e do João’. Pois, aí é muito difícil. E pode comprometer anos e anos de dados que lá estão armazenados.