António Miguel Ferreira está à frente da Claranet Portugal, uma das principais empresas de serviços na cloud e de cibersegurança no país. Tem um “portefólio” vasto, tanto de clientes como de produtos. Por isso, assume que já ajudou organizações nacionais de relevo a recuperar após ataques informáticos nefastos. Apesar de os últimos grandes alvos de ciberatacantes serem seus clientes — os grupos Impresa, Cofina, Germano de Sousa e Vodafone –, diz que não esteve envolvido nestes processos. Porém, não ficou surpreendido em nenhum dos casos: este tipo de ataques são hoje normais, diz.
Em entrevista ao Observador, o presidente executivo da tecnológica assume que o ataque à Vodafone Portugal, o que teve as principais consequências devido à importância das telecomunicações para o país, pode ter tido origem em algo maior. O que é que aconteceu exatamente? Isso pode nunca ser revelado, da mesma forma que outros ciberataques acontecem e nunca se tornam públicos.
O ataque à Vodafone voltou a pôr na ordem do dia a preocupação com cibersegurança. Mas ainda não sabemos o que aconteceu. Tem alguma teoria em relação às motivações?
No caso em particular tenho algumas ideias, mas não participámos diretamente no processo em si, portanto é tudo especulação sobre aquilo que temos visto, sobretudo nos órgãos de comunicação social e nos meios mais especializados. A verdade é que os ciberataques não são uma coisa recente. Desde há dois anos que apoiamos alguns dos nossos clientes – e estamos a falar de empresas com marcas conhecidas em Portugal — a recuperarem de ciberataques. A diferença destes últimos que conhecemos — Cofina, Impresa e Vodafone Portugal — tem a ver com o facto de serem órgãos de comunicação social e um operador de comunicações com uma abrangência e com um conhecimento maior junto do público. Têm tido mais visibilidade mas não é algo de novo.
E o que é que acontece tipicamente? Há dois, três tipos de ataques mais comuns: um que já vem de há vários anos que é o chamado denial of service. Ou seja, através de um envio massivo de informação tenta-se bloquear os serviços online de uma empresa. Estes ataques têm sido cada vez mais fáceis de mitigar e é menos comum sabermos o impacto que têm. Os mais frequente costumam ser outros dois tipos de ataques. Um com o propósito de destruir informação ou a capacidade da empresa prestar serviços, que é o que aparentemente terá sido o caso da Vodafone. Não houve nenhum pedido, tanto quanto é do conhecimento público, de resgate. Houve sim uma intenção clara de prejudicar o serviço que a empresa prestava.
Diz isto por a Claranet ter essa informação ou apenas com base no que tem vindo a público?
Não temos qualquer conhecimento deste caso em particular. Como referi, não participámos neste processo, é apenas com base naquilo que tem vindo a público. Quando há pedidos de resgate, na maior parte dos casos, eles não são conhecidos, portanto, as empresas tentam conter essa informação. Já participámos em vários processos deste tipo, e, tipicamente, não se cede à exigência dos atacantes, ou seja, não se paga o resgate, e tentasse recuperar a operacionalidade e a informação. Portanto, os ataques de ransomware, em que uma parte da informação é encriptada e só através do pagamento de um resgate se consegue aceder novamente à informação, são cada vez mais comuns. Repito, não tenho conhecimento particular do caso, mas não me parece ter sido a situação da Vodafone porque aquilo que estava em causa era a operacionalidade da rede que ficou sem serviços de voz e dados durante algum tempo.
Houve várias teorias que surgiram. Houve até quem falasse de um ataque do Estado russo…
Sim, surgiu essa teoria. Não conseguimos confirmar. Também surgiu uma outra, que haverá um hacker russo — portanto não o Estado — que, na dark web, tentou vender o acesso a um operador de comunicações português. Especula-se que essa operadora terá sido a Vodafone. Pode haver uma intenção de vender o acesso que foi conseguido através de meios ilegais a outros criminosos. Na dark web surgiu uma mensagem relacionada com um operador de telecomunicações português e especula-se que possa ter sido uma das motivações. Mas não sabemos. E desconfio que a própria empresa não saberá. A primeira preocupação foi repor a operacionalidade dos serviços, o que terá sido já conseguido, a segunda será proteger contra eventuais novos ataques similares, e uma terceira será descobrir quem esteve na origem deste ataque, o que é um processo que demora várias semanas e pode até não ter uma conclusão com sucesso.
O Expresso noticiou que um hacker russo pôs estes dados que, presume-se, possam ser da Vodafone. Mas há outras teorias, também pode ter sido um ataque interno. A RTP avançava na sexta-feira que teriam conseguido aceder a informação pessoal como a palavra-passe de um dos funcionários e clonar o cartão. Isto é uma possibilidade, um ataque por via interna?
Sim. Obviamente que teria de ser alguém com acesso a credenciais — é assim que se chama — de um funcionário que tivesse acesso privilegiado à rede da Vodafone. De qualquer das formas, mesmo as empresas que normalmente estão preparadas para falhas tão simples quanto essas, ou seja, podem ser vítimas das credenciais de alguém caírem nas mãos erradas. Mais uma vez especulando, há várias teorias, é possível que tenha ocorrido uma situação semelhante à que descreveu, na minha opinião não terá sido a motivação para este ataque. Mas é meramente uma opinião. A repercussão do ataque foi bastante grande. Tem de haver aqui uma intencionalidade de destruição para ter visibilidade ou obter algum lucro, portanto não me parece que possa ter sido isso, mas, em teoria, é possível.
Qual crê ser a maior probabilidade que levou a este ataque?
Os ataques de estados não são tão visíveis como os outros. A movimentação das tropas russas na fronteira com a Crimeia e as tropas da NATO é algo que se vê, os ciberataques é algo que não se vê. Estamos contra um inimigo desconhecido. Mas não é de colocar de lado a possibilidade de um ciberataque promovido por um Estado, como também não é de colocar de lado — diria que são as principais possibilidades — o ter-se conseguido um ataque com fins comerciais, no sentido de vender alguma informação que possa ter sido obtida.
Espionagem industrial?
Ou ter acesso a uma rede de computadores e meios informáticos que possa depois ser utilizado para ataques futuros ou para outros alvos. O que também é uma possibilidade muito frequente: os piratas tentam apropriar-se de meios de rede para depois utilizarem ou venderem essa capacidade a outros criminosos que a utilizem com outros fins. Obviamente que a Vodafone estará a tomar as medidas para investigar tudo aquilo que possam ter sido as consequências deste ataque. Resumindo, diria fins criminosos ou de Estado. Houve um grupo, o Lapsu$, que perpetrou alguns ataques, mas aí declararam-se como sendo a origem para terem publicidade para as suas causas. Aparentemente ninguém reclamou a origem deste ataque [à Vodafone]. Não terá sido para publicidade que este ataque foi perpetrado.
Tendo em conta os dados a que a Claranet tem acesso, Portugal está neste momento a ser mais atacado, ou isto sempre aconteceu, mas neste momento como foi o grupo Impresa, a Vodafone…
Sempre aconteceu.
Cloudflare. “Não temos informação que Portugal esteja neste momento mais suscetível a ciberataques”
Não há um volume maior agora de ataques?
Não. No ano passado também houve empresas com muita visibilidade que foram atacadas, só que não tiveram a exposição que a Vodafone, a Impresa, o grupo Cofina tiveram, mas com impacto igualmente grande nas respetivas atividades. Fábricas que deixaram de produzir, empresas que deixaram de faturar, empresas que deixaram de conhecer os seus clientes porque não tinham acesso à plataforma de relacionamento com os clientes, tudo isto aconteceu com empresas conhecidas e com bastante repercussão na sua atividade.
As empresas não desejam fazer publicidade destas situações e desejam recuperar o mais rapidamente possível. Por coincidência, tivemos casos com uma maior exposição mediática, mas não é um fenómeno novo, nem acredito que Portugal esteja de repente no mapa dos criminosos internacionais. É algo com que temos de lidar todos os dias, teremos de lidar todos os dias.
O que acredito é que Portugal, pela evolução que tem tido da sua economia, coloca algumas restrições àquilo que têm sido os orçamentos das empresas dedicados a esta área de cibersegurança. Ou seja, há menos investimento na proteção e no planeamento e isso faz com que o risco e o impacto sejam potencialmente maiores quando ocorrem ataques — que vão continuar a acontecer, sem qualquer tipo de dúvida. O que há que mudar é a forma como as empresas se preparam, não para a eventualidade, mas para o momento em que ocorre o ataque.
Pelo que percebi disse que é uma situação normal haver ciberataques. Não ficou surpreendido quando soube do ataque à Vodafone?
Não, não fiquei surpreendido, como não ficaria surpreendido com qualquer outra empresa. É uma questão de mediatismo, a Vodafone é uma empresa que tem milhões de clientes em Portugal e os seus serviços são utilizados a cada minuto e, portanto, a indisponibilidade dos mesmos causa um impacto muito grande na sociedade e nas empresas.
Obviamente, a Vodafone terá as suas políticas e terá investido na área da cibersegurança e na sua proteção e, portanto, terá de reforçar essas proteções. Não será uma empresa não preparada, como há outras empresas que são. Vemos como uma empresa que tem meios que sofreu um ataque. As empresas que têm menos meios não é por serem mais pequenas que vão deixar de ser um alvo potencial e isto é o que precisamos de ter em consideração. Ou seja, é muito mais grave o impacto que possa haver em ciberataques e em problemas de segurança digitais do que os problemas de segurança a que estamos tradicionalmente habituados, mais físicos, de roubos, invasões de propriedade, portanto isso passa para segundo plano na economia de hoje.
Por isso, não podia ser evitado?
É muito difícil ter 100% de proteção ou quase impossível. Aquilo que é possível fazer-se é garantir capacidade de recuperação rápida em caso de haver ataque, isso sim é possível planear, de forma a que haja o menor impacto possível na eventualidade de serem alvo de um ataque.
Com os clientes que têm sente que as empresas evitam gastar mais recursos do que o necessário em cibersegurança e em serviços que lhes podem dar essa segurança informática?
Sim. Mais uma vez é uma questão de tangibilidade. Ou seja, não vemos aquilo que se passa nas redes e temos tendência de descurar aquilo que poderá ser o impacto daquilo que não é tangível. Na cibersegurança acaba por acontecer isso. As empresas investem em segurança física talvez mais facilmente do que investem em segurança digital. Nos últimos 10, 15 anos a economia tem-se tornado mais digital e, na sequência da pandemia, ainda mais digital. Os orçamentos de cibersegurança — que ou não existem ou são pequenos — têm de crescer significativamente para que isto deixe de ser uma situação de alto risco e passe a ser encarado como algo normal na atividade de uma empresa.
Concluindo, investe-se pouco em cibersegurança em Portugal. Não é de agora. O problema, agora, está a tornar-se mais visível e será cada vez mais visível à medida que as empresas sejam cada vez mais digitais, cada vez mais dependentes de tecnologia.
Vodafone diz que serviços voltaram “à normalidade” mas que “há ainda muito trabalho pela frente”
Estes ataques não podem ser empresas de cibersegurança para criarem este mercado
Honestamente, não creio que seja o caso. Nunca faríamos tal coisa e não acredito que qualquer empresa minimamente credível nesta área fizesse algo semelhante só para promover aquilo que são os seus serviços. Não acredito nessas teorias da conspiração.
Como em tudo, há agentes bons e agentes maus, e as empresas prestadoras de serviços estão certamente do lado bom da economia. Estão aqui para apoiar as empresas dada a escassez de recursos humanos que existe com o perfil tecnológico, a maior complexidade da tecnologia e a maior digitalização da economia. Temos de recorrer a empresas especializadas nesta área, mas certamente não são elas que originam estes problemas.
O caso da Cofina nunca chegou a ser inteiramente confirmado como um ciberataque. Mas o da Impresa e, agora, o da Vodafone, foram. São fornecedores de algumas destas empresas? Ou de outras que foram atacadas nos últimos meses e que não tiveram visibilidade?
Somos fornecedores da grande maioria das mil maiores empresas em Portugal. As empresas que referiu são todas nossas clientes. O nosso portefólio de serviços é muito alargado e não atuámos em nenhum desses três casos, particularmente nas áreas que foram afetadas. Temos outros clientes, sim, que tiveram incidentes de cibersegurança e em que tivemos de intervir. Não foi o caso nestas três situações.
Incluindo a Germano de Sousa, são todos clientes vossos?
Sim. Tal como a maior parte das mil maiores empresas em Portugal, é difícil haver uma empresa que não é cliente da Claranet.
As empresas avisaram-vos destes ataques?
Neste caso, soubemos pelas notícias, tal como qualquer outro cidadão. Estamos sempre disponíveis para ajudar. Mais uma vez, não participámos em nenhum dos casos que referiu, mas já participámos noutros com igual repercussão e que não vieram a público. No ano passado, houve quase três a quatro situações de dimensão similar nas quais tivemos uma participação direta na reposição da normalidade. Isto é o tipo de publicidade que uma empresa não quer ter. O nosso papel não é expormos, é ajudar as empresas que precisam do apoio especializado com a rapidez necessária.
Ofereceram ajuda?
Nestes terá havido. Existem vários canais de contacto e teremos disponibilizado a nossa ajuda. As empresas em particular, como uma Vodafone, não terá precisado dessa ajuda porque tem as suas equipas nessa área. O ecossistema é diverso mas estamos sempre disponíveis para ajudar naquilo que for necessário. Mas as empresas terão de saber quem são os parceiros mais bem posicionados que conheçam já as suas plataformas, a sua orgânica interna, porque esse conhecimento é muito importante na recuperação rápida dos sistemas.
Tiveram afluência maior de clientes devido a este caso?
A verdade é que sim. Temos tido mais contactos. Tem sido um tema cada vez mais recorrente. Há vários anos que investimos nesta área. Sempre que há um incidente deste tipo há sempre uma consequência de elevar o nível de preocupação e haver mais contactos no sentido de procurarem apoio no planeamento na proteção de algum tipo de dados, na elaboração de planos de recuperação de desastres, de backups na nuvem.
Há todo um leque de serviços que podem oferecer mais proteção e é verdade que temos tido mais contactos. É sempre mais fácil proteger antecipando aquilo que pode vir a acontecer. Reagir a posteriori tem sempre muito mais impacto na atividade da empresa. O lado bom destes ataques, se é que existe um lado bom, é que dá visibilidade às outras empresas que ainda não os sofreram. Hoje foi a Vodafone, mas podia ter sido outra empresa qualquer. É importante que tenhamos consciência disso. Não estamos protegidos e eleva-se o nível de consciência. Acho que é útil para a economia.
Pode referir números?
Não há aqui uma compra por impulso. Não se decide hoje que preciso de me proteger mais e, passados dois os três dias, estamos mais protegidos. Há aqui um processo daquilo que são as plataformas dos clientes e, depois de propostas soluções de proteção a vários dias, é um processo que demora semanas, se não meses a concluir. Não posso dar um número percentual. Não ganhámos nenhum cliente com a infelicidade dos ataques que vieram a público, mas certamente temos tido mais contactos. Potencialmente, esta área de negócio, não é só connosco, estamos a falar dos níveis de mercado — estamos a falar de um mercado que cresce 15%, 20% ao ano — porque as empresas vão criando cada vez mais consciência para se protegerem contra ciberataques. Não somos uma exceção à regra. A nossa atividade está a crescer 30%, 40% ao ano.
Estes ataques, como o que aconteceu à Impresa, não mostram que a cloud pode deixar as organizações mais vulneráveis?
A cloud, tal como a conhecemos, existe sensivelmente desde 2006. Em 2010, 2011 e 2012, ainda havia uma certa perceção de que estar na cloud seria mais inseguro, porque se estaria mais exposto. A realidade é que, mesmo não estando na cloud, tudo aquilo que fazemos do ponto de vista tecnológico nas empresas está ligado à internet, estando na cloud ou não.
Estar na cloud ou não é irrelevante, eles estão acessíveis por meios digitais mesmo que estejam num datacenter, ou seja, no centro de dados que esteja na cave de uma empresa em Portugal, e não estando na cloud. É um mito que a cloud é mais insegura. Aliás, pela escala que as empresas que fornecem serviços de cloud têm, à partida estarão mais bem preparadas do que as que têm menor escala e menor capacidade de investimento para se protegerem contra eventuais ataques.
Dito isto, o estar na cloud não significa estar seguro, porque depende dos processos que se adotam para a gestão das credenciais e das identidades digitais das pessoas que têm acesso a essa informação, o investimento em serviço de monitorização, o investimento regular em testes de penetração (tentativas de ataques simulados também é algo que se pode fazer). Não adianta só as empresas protegerem-se, também têm de fazerem auditorias externas para se identificarem vulnerabilidades. O estar ou não na cloud é irrelevante para este aspeto. Em teoria, será mais seguro estar na cloud do que não estar porque estamos todos conectados. O problema não é da cloud, é de estarmos cada vez mais digitais e temos de investir em meios de proteção.
Muitas vezes as falhas não são tecnológicas, há muitas situações em que as falhas são humanas, nomeadamente a questão das credenciais, a questão de clicarmos naquele email que parece legítimo enviado por um banco e, de repente, demos as informações que não queríamos a algum criminoso. Isso são falhas humanas que, por muita tecnologia que se tenha, podem continuar a existir. O investimento na formação das próprias pessoas, dos colaboradores das empresas, é muitíssimo importante, para além do investimento tecnológico da proteção.
A Claranet sente que o Estado português está preparado para estas novas ameaças?
Sendo justo, tem havido uma maior preocupação com estes temas nos últimos anos. A própria criação do Centro Nacional de Cibersegurança é prova disso, e com quem estamos em contacto regular. Sempre que há um incidente com um cliente nosso informamos [o Centro] e vice versa. Tem havido uma maior preocupação.
Aquilo que me preocupa mais na forma como o Estado gere as tecnologias de informação tem a ver com o que compra de serviços de tecnologias de informação. O Estado está menos na cloud do que as empresas privadas e os vários organismos do estado têm tendência em investir no IT (tecnologias de informação) tradicional, ou seja, em adquirir hardware, em adquirir software e em continuar a gerir essas plataformas internamente ou através de parceiros externos, mas ainda com uma existência física muito próxima. Ou seja, o investimento do Estado está muito canalizado para investimentos tangíveis, e não para investimento em serviços intangíveis. Nessa medida, o Estado tem de evoluir e recuperar o caminho que perdeu relativamente às empresas privadas e apostar mais na desmaterialização daquilo que são as suas plataformas e as suas aplicações. Investir menos em ferro, em hardware, e investir mais em serviços, como se diz. É o caminho que ainda falta percorrer ao Estado. Mas nota-se uma preocupação crescente nos últimos três, quatro anos com os temas da segurança.
E há meios para combater eventuais ameaças?
Há meios. Como país pequeno, do ponto de vista de ataques de ciberataques por parte de outros estados, não estamos na linha da frente das principais vítimas potenciais. Somos um país pequeno e com boas relações com a maior parte dos outros países. Mas existem criminosos que também tentam aproveitar-se das fraquezas e, nesse sentido, o investimento que fizemos é meritório, mas ainda há muito caminho por percorrer.
*Artigo corrigido às 18h27 de 14 de fevereiro. No início de texto onde se lia que a Claranet ajudou empresas no pagamento de resgates e recuperação de ficheiros foi retirada a referência aos resgates.