Há quase uma semana que um ataque informático deixou paralisados os serviços da Agência para a Modernização Administrativa (AMA). O incidente, classificado como ransomware, deixou inacessíveis vários serviços digitais do Estado — alguns deles ainda por recuperar.

As ramificações do ataque não se limitaram a quem tinha de aceder à aplicação ID.gov para visualizar (e mostrar) uma carta de condução ou um cartão do cidadão. Os médicos deixaram de conseguir passar receitas eletrónicas e de assinar documentos digitalmente. Quem tinha escrituras a fazer, fosse de um imóvel ou de partilhas entre herdeiros, também ficou em suspenso devido à falta de acesso aos serviços. Até a emissão de documentos de identificação parou durante alguns dias.

Ainda que estejam a ser partilhados pontos de situação regulares sobre os serviços que vão sendo recuperados, têm sido apontadas críticas à comunicação à volta do ataque. António Leitão Amaro, ministro da Presidência com a tutela da cibersegurança, rejeita que haja falta de informação. “Todos os dias tem sido feito um esclarecimento de alguma dimensão adequado à informação que se tem”, disse no parlamento esta quarta-feira. “Creio que não temos de acrescentar espetacularidade”, declarou, “até porque a investigação ainda está a decorrer.”

Sobre a investigação concreta há menos palavras, já que impera “a reserva”. A Polícia Judiciária, através da Unidade de Cibercrime, considera que “não é oportuno adiantar informações”. O CNCS (Centro Nacional de Cibersegurança) não responde a questões concretas sobre o ataque, fazendo apenas declarações pontuais.

Porém, na cabeça de muitos utilizadores surge automaticamente uma pergunta: “Os meus dados estão seguros?” Na comunicação à CNPD (Comissão Nacional de Proteção de Dados) sobre o assunto, a AMA garantiu que tem “desconhecimento de acesso ou exfiltração de dados pessoais” de cidadãos, como fez chegar à imprensa.

O que é a Agência para a Modernização Administrativa?

É mais conhecida pela sigla AMA. É um instituto público que faz parte da administração indireta do Estado português e que tem como principal missão promover o desenvolvimento da modernização administrativa em Portugal.

A agência tem acompanhado a evolução do setor tecnológico. É a entidade responsável por vários serviços administrativos, atuando em áreas como a transformação digital, a simplificação administrativa ou serviço público em áreas como a Loja do Cidadão e Espaços Cidadão. Especificamente no mundo digital, é responsável pela implementação da autenticação através do cartão do cidadão, pela forma de autenticação Chave Móvel Digital (CMD) ou pela autenticação nos serviços do Estado, com o .gov.

Nos últimos anos, com a desmaterialização de vários serviços, a AMA gere também a aplicação para smartphone id.gov.pt, que permite guardar, consultar e partilhar documentos de identificação, como o cartão do cidadão e a carta de condução.

Atualmente, está sob a alçada do Ministério de Margarida Balseiro Lopes, que para englobar essas funções passou a ser designado Ministério da Juventude e Modernização. É presidida desde maio por Sofia Mota, depois de o Governo ter exonerado João Dias, até então presidente da agência.

Governo exonera Conselho Diretivo da AMA alegando “incumprimento de 70% das metas” do PRR

Esta agência governamental foi criada em 2007, no âmbito do programa de reestruturação da Administração Central do Estado.

O que é a Chave Móvel Digital?

Ao longo dos últimos dias, com o ciberataque aos serviços públicos, muito se tem falado sobre a Chave Móvel Digital (CMD). Mas, afinal, de que se trata este serviço? É um “meio de autenticação e assinatura digital”, certificado pelo Estado português. Na prática, permite, por exemplo, assinar documentos digitais “com a mesma validade de uma assinatura à mão, reconhecida por um advogado ou notário”. Por outro lado, segundo o site da AMA, possibilita “aceder a vários portais públicos e privados e realizar centenas de serviços online”.

A Chave Móvel Digital, que é também reconhecida pela União Europeia como um “meio de identificação eletrónico com o nível de segurança mais ‘elevado’”, associa um número de telemóvel ao documento de identificação (cartão de cidadão, passaporte ou título de residência) de um determinado contribuinte. Qualquer cidadão, nacional ou estrangeiro, pode ativar a CMD.

A validade da Chave Móvel Digital (CMD) depende, de acordo com o Governo, do “tipo de documento de identificação que lhe está associado”. Por exemplo, se estiver associada a um cartão de cidadão tem a mesma validade desse documento e ainda “mais 30 dias para além dessa data”.

Cerca de 24 horas após o ciberataque, que ocorreu no dia 10 de outubro, a AMA alertou que os cidadãos deveriam ignorar eventuais contactos com pedidos de informações pessoais para a “recuperação de credenciais da Chave Móvel Digital”.

Chave Móvel Digital. AMA alerta para eventuais falsos pedidos de senhas após ciberataque

Qual foi o tipo de ataque?

Os primeiros sinais do ataque começaram por queixas sobre o acesso a vários serviços digitais ligados ao Governo, como a CMD e a aplicação id.gov. Mais tarde, foi confirmado que a indisponibilidade era, afinal, um ataque informático. O Centro Nacional de Cibersegurança (CNCS) confirmou no próprio dia que “foi notificado do incidente de ransomware que comprometeu as infraestruturas geridas pela AMA – Agência para a Modernização Administrativa”. Na nota enviada à imprensa, mencionou um “impacto substancial ao nível dos serviços suportados por esta entidade, tais como a Autenticação.Gov e o Gov.ID”

O ransomware é já um velho conhecido dos profissionais de cibersegurança. David Russo, diretor tecnológico da empresa de cibersegurança Cyb3rS3c, explica que “é um tipo de malware [software malicioso] que explora uma vulnerabilidade e que tem como objetivo cifrar os dados”, ou seja, torná-los ilegíveis ou inacessíveis para os proprietários. Depois disso, tenta “propagar-se no resto da rede e exfiltrar os dados, ou seja, enviá-los para fora da organização” em que o malware se conseguiu “infiltrar”.

E, continua o especialista, “normalmente os dados só podem ser recuperados mediante um pagamento”, uma espécie de resgate, em vários casos através de criptomoedas para que não seja possível estabelecer ligação aos autores do ataque. “Mas não existem garantias de que os dados vão ser recuperados” após pagamento, contextualiza.

O Observador contactou o CNCS para tentar perceber se foi exigido algum tipo de resgate e que tipo de sistemas ou dados é que ficaram inacessíveis, mas sem resposta até à publicação deste artigo. No parlamento, o ministro Leitão Amaro, que tutela a cibersegurança, revelou que a causa do incidente já foi identificada, mas sem apresentar detalhes, porque o caso implica “questões de reserva”, estando já, por outro lado, a atuar e contratadas equipas para uma auditoria forense.

Numa nota sobre os trabalhos de recuperação dos serviços, a AMA referiu que implementou “medidas preventivas e corretivas” para garantir a “segurança adequada no restabelecimento dos serviços afetados”.

David Russo explica que, num ataque deste género, “a primeira prevenção que deve existir no ransomware é a correção de vulnerabilidades”. Depois disso, a “gestão de credenciais e gestão de acessos”.

Não é a primeira vez que existe um ataque deste género em Portugal. Pedro Veiga, que foi coordenador do Centro Nacional de Cibersegurança até 2018, destaca o ataque WannaCry em Portugal, em 2017. Ao Observador refere que “até é considerado o maior ataque de ransomware até hoje” e “que foi transversal à sociedade”, mas com mais impacto nas empresas.

Como se proteger do vírus que está a assustar o mundo? Os conselhos dos especialistas

Produção de documentos de identificação suspensa e “milhares” de escrituras adiadas. Que serviços foram afetados e quais as consequências?

O ciberataque à AMA afetou o dia a dia de serviços das mais diversas áreas. E, consequentemente, afetou os portugueses — ainda que alguns possam não se ter apercebido disso. A produção dos documentos de identificação, como o cartão de cidadão, a carta de condução ou o passaporte, esteve suspensa durante cerca de cinco dias. A decisão foi tomada, a 10 de outubro, “preventivamente” e por “razões de segurança e operacionalidade” pela Imprensa Nacional — Casa da Moeda (INCM), com o “acordo das entidades emissoras”.

A INCM afirma não ter identificado, até ao momento, “qualquer outra limitação” e adianta, em respostas escritas ao Observador, que retomou a produção dos documentos no final da tarde desta terça-feira, “logo que as entidades competentes garantiram todas as questões de operacionalidade e segurança adequadas”.

As escrituras públicas também foram adiadas, uma vez que os serviços necessários para a sua realização sofreram “enormes constrangimentos”. Foram “indisponibilidades totais ou parciais” na consulta de “todas as bases de dados predial, comercial e civil” que levaram ao “adiamento de compras e vendas [de casas], constituição de empresas, partilhas e outros serviços”, explica o bastonário da Ordem dos Notários, Jorge Batista da Silva.

Ao Observador, assegura que a resolução dos problemas nos serviços está em “curso” e diz que esta quarta-feira já foram registados “constrangimentos menores”, pelo que espera que sejam totalmente ultrapassados até ao final do dia.

Serão, com certeza, milhares de procedimentos afetados, mas tem sido possível minimizar os problemas através de rápidos reagendamentos”, afirma Jorge Batista da Silva, notando que a cooperação com o Instituto dos Registos e do Notariado tem “tornado possível resolver as questões mais urgentes e evitar transtornos maiores para os cidadãos”.

Os notários pedem que o ciberataque à AMA seja encarado como uma “oportunidade de aprendizagem para o futuro”, para que seja encontrada “uma maneira de não ser preciso parar quando o sistema está em baixo”. Por isso, já apresentaram um plano ao Ministério da Justiça. Ainda aguardam resposta, mas propõem, por exemplo, que “seja possível fazer o registo e só depois receber a referência multibanco para o pagamento”. Note-se que o pagamento por multibanco foi um dos serviços que esteve inoperacional, o que também impossibilitou a realização das escrituras.

Por outro lado, a Ordem dos Notários propôs “uma solução para o acesso ao Registo Central do Beneficiário Efetivo (RCBE), que é obrigatório em negócios com escritura pública”. Desta forma, pretendem que “caso uma consulta ao RCBE tenha sido realizada no mesmo ano e a entidade declare que não houve alterações, o acesso temporariamente indisponível ao sistema não impeça a realização da escritura”.

No setor da saúde, os médicos ficaram impossibilitados de enviar receitas aos utentes via SMS. Além da prescrição de medicamentos, a assinatura de documentos e os relatórios clínicos foram “prejudicados” pelo ciberataque, levando a que “não tenha sido possível corresponder ao pedido dos utentes logo desde início”, afirma Gustavo Tato Borges, presidente da Associação Nacional de Médicos de Saúde Pública (ANMSP).

Esta quarta-feira, a “maioria dos problemas estarão já resolvidos”, registando-se somente constrangimentos residuais. Gustavo Tato Borges considera que, neste momento, o “principal foco” deve ser “garantir cada vez mais a cibersegurança das diferentes entidades”. “Havendo falhas, seria ideal haver pequenos servidores de back-up que pudessem ficar mais protegidos, onde as funções essenciais ficassem mais salvaguardadas”, defende.

Gustavo Tato Borges diz não ter dados concretos acerca da extensão dos problemas que o ciberataque causou ao setor da saúde, mas nota que “se trata de uma funcionalidade que é utilizada por quase todos [os médicos]”. O Observador questionou a Ordem dos Médicos para obter mais esclarecimentos, mas sem resposta até à publicação deste artigo.

Principais serviços já foram repostos, mas outros ainda apresentam constrangimentos

Os últimos dias ficam marcados por uma recuperação a conta-gotas dos serviços digitais da AMA. Mas, do lado do Governo, as palavras usadas são outras, com a promessa de uma equipa a trabalhar “de forma exaustiva” para repor o funcionamento.

Em declarações no parlamento, esta quarta-feira, o ministro da Presidência revelou que foram repostos os “principais serviços, como a Autoridade Tributária, a Segurança Nacional e a Casa da Moeda”.

Ataque à AMA. Causa do incidente foi identificada e “principais serviços foram repostos”, diz Leitão Amaro

Há um site para que os portugueses consigam perceber que serviços voltaram a estar disponíveis. Há referência ao “restabelecimento do atendimento nas Lojas de Cidadão”, mas também a serviços como a autenticação com CMD e Cartão de Cidadão, assinatura digital com Cartão de Cidadão e notificações eletrónicas através do serviço gov.pt.

Também já foram recuperados outros portais e aplicações, como o próprio site da AMA, o portal Mais Transparência ou o autenticação.gov. Nas plataformas e serviços para entidades públicas e privadas são dados como repostos o serviço GAP (a plataforma de mensagens da administração pública), a plataforma de pagamentos e a plataforma de integração da administração pública e a abertura de conta desmaterializada. Porém, o site não apresenta informação sobre quantos serviços ainda estão por recuperar.

Já ao início da noite desta quarta-feira, o Ministério da Juventude fez novo ponto de situação onde explica que estão “operacionais os principais serviços, como Autoridade Tributária, Serviços Partilhados do Ministério da Saúde, Segurança Social, Casa da Moeda e Instituto de Gestão Financeira e Equipamento da Justiça (IGFEG)”. Também foram repostos serviços como o OGP Portugal – Open Government Partnership, FAM – Fundo de Apoio Municipal, o pedido de parecer prévio para aquisição de bens e serviços TIC, a plataforma Espaço Cidadão – Mediadores de Cidadania, bem como os serviços Os Meus Dados e o Balcão do Condutor, detalha a mesma nota.

O acesso ao portal gov.pt só foi recuperado parcialmente. Desde terça-feira que o Ministério da Juventude e Modernização aponta para a sua total recuperação “até às 23h59 de dia 17/10”.

Que conselhos práticos podem os utilizadores adotar?

Momentos antes de conversar com o Observador (por volta das 17 horas desta quarta-feira), Pedro Veiga, antigo coordenador do Centro Nacional de Cibersegurança (CNCS), tentou alterar o PIN de acesso à sua Chave Móvel Digital. Recebeu “mensagens de erro” e não conseguiu, pelo que chegou à conclusão de que o serviço ainda “deve estar pendurado” e a apresentar falhas. Ainda assim, recomenda que os cidadãos alterem os códigos, quando for possível: “É uma boa prática mudar com uma certa frequência. Quando há este tipo de problemas [como ciberataques], mais importante se torna trocar o código.”

Por outro lado, o especialista nota a importância do sistema de autenticação de dois fatores, que, embora esteja na Chave Móvel Digital, não está presente em todos os serviços do Estado. No entender de Pedro Veiga deveria ser “obrigatória” a implementação deste sistema, uma vez que “o uso simples da password é extremamente inseguro, inclusive porque há pessoas muito ingénuas que colocam como palavra-passe, por exemplo, o ano em que nasceram”.

Também David Russo, da Cyb3rS3c, dá conselhos práticos sobre as palavras-passe, principalmente sobre a não reutilização. “A segurança só funciona se for como um todo, ou seja, ter cuidado com a navegação, usar um gestor de palavras-passe, que gera automaticamente uma password, usando só uma para cada serviço.” Afinal, até quem ataca já percebeu que muitos utilizadores reutilizam a mesma password — ou seja, se uma for comprometida, é provável que seja testada para tentar aceder a outros serviços.

Quanto à atuação das autoridades públicas, Pedro Veiga é uma das vozes críticas. O especialista mostrou-se, durante a conversa com o Observador, “surpreendido” pelo “mistério” em redor do ciberataque, o que, considera, “não ajuda ao esclarecimento do público”. Por isso, faz a seguinte comparação: “Era o mesmo que na última época de incêndios, a Autoridade Nacional de Proteção Civil não divulgasse toda a informação, o que poderia contribuir para causar pânico.”

É responsabilidade das autoridades públicas esclarecer o público. Manterem este véu, a mim, pessoalmente, não me agrada. As autoridades deviam estar a comunicar o que é que aconteceu e o que é que as pessoas deviam fazer”, aponta o ex-coordenador do CNCS.

O Observador questionou o Ministério da Presidência, o Ministério da Juventude e da Modernização, a AMA e a Comissão Nacional de Proteção de Dados (CNPD) para obter mais esclarecimentos, mas não obteve respostas. Já a Polícia Judiciária disse somente estar a investigar, “não sendo, de momento, oportuno adiantar mais informações”.