Em pouco mais de um mês têm-se multiplicados os episódios de ciberataques a grandes empresas portuguesas — do grupo Impresa à Cofina, passando pela TAP e até o site do Parlamento, a ‘vítima’ mais recente foi a Vodafone. Os ataques tornaram-se mais mediáticos, mas estão longe de serem novos. Em entrevista ao Observador, Pedro Leite, administrador de operações (COO) da empresa de cibersegurança S21sec, explica como os ataques perpetrados por hackers têm aumentado “exponencialmente” nos últimos anos — já não são diários, mas “ao segundo”, embora nem todos sejam bem sucedidos. As empresas, mais preocupadas, têm procurado precaver-se, mas por mais esforços que tenham, nunca ficam 100% blindadas. Até porque os hackers cada vez mais arranjam formas de as fintar. “É uma guerra muito frustrante, é difícil acompanhar todo este ritmo dos atacantes”, afirma Pedro Leite.
Ainda se sabe pouco sobre os contornos do ciberataque à Vodafone e os métodos dos atacantes, mas como é que um ataque deste género pode acontecer — e sobretudo a uma empresa grande como a Vodafone, que se presumiria que estivesse quase ‘blindada’ a este tipo de ameaça?
Acho que nenhuma empresa, por muito investimento que faça em cibersegurança, por muita formação que faça aos utilizadores sobre as boas práticas de cibersegurança, pode garantir que não será atacada. Obviamente que quanto mais investir, quanto mais formar os utilizadores, o risco diminui, mas o que aconteceu à Vodafone pode acontecer a qualquer empresa em Portugal e a qualquer empresa mundial. Temos visto casos semelhantes, empresas que fazem um investimento fortíssimo em cibersegurança, que são alvo de ataques. Claro que o investimento que as empresas fazem vai reduzindo esse risco, mas este tipo de ataques pode acontecer.
E estão a acontecer mais ciberataques ultimamente?
Sim, efetivamente neste último mês e meio.
Tivemos o ataque à Impresa, ao Grupo Cofina, ao site da Assembleia da República no espaço de um mês, entre outros. O que se está a passar?
Desde final de dezembro até agora foram noticiados muitos ataques, o da Impresa teve grande visibilidade, este ataque recente da Vodafone também está a ter e ouvimos situações relacionadas com o Parlamento, com a TAP no Twitter. Nestas últimas seis semanas, temos sentido um grande número de ataques no mercado português. Nunca tínhamos sido alvo de tantos ataques consecutivos. Sim, no passado tivemos algumas empresas que foram alvo desses ataques, mas nunca tivemos esta recorrência de ataques que houve nestas últimas seis semanas.
E porque acha que está a acontecer mais? São os hackers que estão mais inteligentes, as empresas não conseguem estar à altura?
Os ataques, do ponto de vista nacional e internacional, têm crescido sempre se olharmos para as estatísticas dos últimos anos. Portugal, felizmente, não foi alvo nos últimos anos de muitos ataques. Foi tendo alguns que foram mediáticos, outros existem mas em pequenas e médias empresas — não são tão mediáticos, mas existem — mas é algo crescente e não é um problema nacional, é global. As empresas começam a tentar lidar com a situação, a tentar preparar-se cada vez melhor para poder responder a este tipo de ataques, avançar com ações de sensibilização aos utilizadores porque muitos destes ataques são efetuados por indivíduos no acesso ao e-mail, nas campanhas de phishing, em que os utilizadores, com uma pequena distração, clicam no link e dá-se o ataque. As empresas têm que estar preparadas, têm de monitorizar permanentemente a sua infraestrutura do ponto de vista de segurança e fazer um investimento contínuo nestes mecanismos de proteção e sensibilização.
Vodafone. Tudo o que parou no país ou está com problemas devido ao ataque
Neste caso da Vodafone, qual acha que pode ter sido a origem do ataque?
Sabe-se muito pouco do ataque. Sei que a maioria dos ataques é feita por campanhas de phishing, e ocorrem porque o utilizador clicou num link que não devia. Mas é muito difícil perceber. Quando há um ataque, começa-se a efetuar o diagnóstico desse ataque, e há algumas situações que têm origem no phishing, mas outras que podem acontecer por vulnerabilidades nas próprias infraestruturas do cliente e que são exploradas pelo atacante. Portanto, só no processo de investigação desse ataque é que conseguimos perceber essa origem. E em muitas situações, mesmo por vezes quando se está a fazer essa investigação e análise do ataque, é muito complexo identificar porque há ocasiões em que os próprios atacantes eliminam a informação que deixaram. Se algumas empresas não têm mecanismos de monitorização, que registe todos os acessos efetuados à sua infraestrutura, a própria identificação desse ataque torna-se mais complexa. Mas, maioritariamente, diria que ataques de phishing são uma porta de entrada, assim como as infraestruturas vulneráveis. São os dois principais.
A Vodafone diz que está a “refazer tudo aquilo” que “foi desfeito”. Isto quer dizer o quê? Que os hackers apagaram informação, apagaram sistemas?
O que é que os hackers normalmente fazem? Encriptam a informação. Acedem às aplicações e aos sistemas e tornam-nos inacessíveis para a empresa. Normalmente o que é bastante recomendado, e por isso a Vodafone também está a fazer essa recuperação, é disponibilizar uma nova infraestrutura — porque não sabemos se a que foi atacada ainda está comprometida e se o atacante deixou lá uma porta para poder futuramente voltar a entrar e voltar a fazer um ataque. O que nós recomendamos sempre, e é o que a Vodafone estará a fazer neste momento, é criar ambientes novos, que sabemos que estão limpos…
E criam do zero ou servem-se de cópias?
Normalmente têm cópias de salvaguarda. Todas as grandes organizações fazem uma salvaguarda permanente da informação e dos dados. E quando são alvo de um ciberataque optam por, numa nova infraestrutura, repor esses dados. Agora são processos que, efetivamente, demoram algum tempo até repor toda a informação que antes estava acessível.
Quanto tempo é que pode demorar essa reposição?
Depende muito do ataque que ocorreu, do número de sistemas que foram infetados, da informação que foi cifrada. Isto pode demorar bastante tempo ou pouco tempo, depende da dimensão desse ataque e do esforço necessário para repor tudo o que foi “perdido”. Digo perdido porque está lá a informação na mesma, está lá tudo, só que não está acessível, é quase como se estivesse perdido.
Neste caso da Vodafone em que estamos a falar de dados móveis a que as pessoas não conseguem aceder, de ligações que não podem ser feitas… é coisa para demorar quanto tempo até à normalidade?
Não consigo precisar porque depende muito do tipo de ataque que foi efetuado e do tempo que vão demorar a repor esses sistemas que ficaram inacessíveis. Temos casos em que de um dia para o outro até se consegue repor o serviço, mas também temos outras situações que pode demorar alguns dias e às vezes semanas a repor tudo como estava antes do ataque, depende do sucesso desse ataque.
Aliás no caso da Impresa, os problemas ainda persistem e o ataque já se deu no início do ano.
Não tendo muito conhecimento do que eles fizeram, mas tudo indica que foi efetuada a reposição de uma nova infraestrutura e isso é algo trabalhoso e que demora sempre o seu tempo até voltar a colocar as aplicações e o sistema ao que era antes do ataque.
“Os ataques não são diários, são ao segundo”
Qual é que diria que é a frequência dos ciberataques atualmente, são diários, são semanais?
Os ataques são constantes, uns com mais visibilidade do que outros, mas é permanente. Muitas vezes — e acontece de forma recorrente — os próprios grupos cibercriminosos têm plataformas que fazem os ataques de forma automática. Portanto, temos [a S21Sec] um centro de monitorização de cibersegurança e todos os dias estamos a fazer essa monitorização e vemos os ataques a acontecer. A nossa missão é tentar detetar o mais possível os ataques porque as tentativas são permanentes. De vez em quando há é situações mais mediáticas e os atacantes são bem sucedidos. Mas os ataques não são diários, são ao segundo. E têm aumentado exponencialmente ao longo dos últimos anos.
Entre os clientes da Vodafone estão serviços de emergência, INEM, bancos. Não há redundâncias para estes casos que possam ser imediatamente acionadas pela própria Vodafone?
Julgo que num ou noutro caso estava a tentar arranjar-se um plano B porque há sistemas de alta disponibilidade para tentar repor alguns serviços mínimos para que algumas entidades possam funcionar. Normalmente não se consegue repor. Quando há sistemas que chamamos disaster recovery é só para uma componente, não para toda a capacidade. Não tenho conhecimento de que tipo de recuperação estão a fazer e que tipo de planos alternativos têm, mas muitas organizações conseguem, pelo menos, disponibilizar parte dos serviços para que as entidades mais críticas possam reativar e garantir que estes serviços críticos estão ativos.
O INEM está a recorrer ao SIRESP. Mas, portanto, são os próprios clientes da Vodafone que têm num primeiro plano de encontrar essas soluções?
Não consigo precisar isso, terá que ser mesmo a Vodafone, mas acredito que estejam a preparar alternativas para poder disponibilizar essa parte do serviço. Agora tudo depende do tipo de ataque que é feito. Um exemplo: participámos na defesa e contenção de ataques e há uns que são extremamente sofisticados ao ponto de estas organizações cibercriminosas entrarem na rede e na infraestrutura e permanecem lá invisíveis durante semanas e semanas. E porque é que permanecem invisíveis? Porque vão estudando toda a dinâmica da organização e toda a sua infraestrutura. Quando fazem esses ataques muitas vezes acontece que atacam também os mecanismos de salvaguarda das empresas. Estamos a falar de uma rede de cibercrime organizada com um poder económico muito alto e com técnicas de ataque muito sofisticadas. E, quando eles entram nessas organizações, preparam o ataque ao milímetro para que seja bem sucedido. E uma das muitas situações que obviamente analisam é tentar bloquear os mecanismos de reposição e de backup [cópia]. Não sei o que a Vodafone está a fazer, mas por experiência do passado de outros incidentes aconteceram estas situações.
A Vodafone diz que não há evidência de que tenha sido feita uma “invasão” aos dados sensíveis de clientes, mas isso pode acontecer, os hackers podem ter tido acesso a dados de clientes?
No caso da Vodafone, não sei. Em alguns ataques obviamente que os atacantes podem aceder a informação dos clientes, não lhe consigo dizer que tipo de informação é que eles acederam. O que consigo dizer é que, dependendo da segurança que as empresas têm, podem aceder a informação de clientes.
Mas há mecanismos que as empresas já têm ao seu dispor para garantir que os dados dos clientes não são nunca acedidos?
Sim, há mecanismos que as empresas implementam, de encriptação dos dados para manter esses dados seguros e, no caso de um ataque, mantê-los inacessíveis. Em muitas das contenções de ataques em que participámos, houve muitas situações em que os dados ficarem inacessíveis, mas não foram expostos para fora porque estavam já salvaguardados a priori para o caso de existir um ataque.
E foram recuperados?
Sim, depois são recuperados por estes mecanismos de backup e de salvaguarda. Muitas vezes quando vimos que a empresa demorou a repor o serviço — um dia, dois dias — deve-se muito a esta a reposição de toda a informação que têm disponível antes do ataque. Demora tempo para repor todos esses dados.
“Em dez ataques, nove têm uma motivação financeira”
O presidente executivo da Vodafone disse que o objetivo do ataque foi tornar a rede indisponível, que não houve sequer um resgate. Que objetivos então são os dos hackers? O que é que eles querem com estes ataques?
Eu diria que em dez ataques nove têm uma motivação financeira. Há outras situações que podem ocorrer, o grupo querer ganhar visibilidade. Mas cada vez menos há aqueles ataques só com o intuito de danificar, sem pedir resgate ou uma contrapartida. Agora, nos ciberataques entre Estados — e há casos que vêm a público — há dois tipos de ataques: um com o objetivo de danificar outro Estado; outro mais de espionagem, de roubo de informação de empresas, de patentes. Mas a motivação pode ser de visibilidade [no caso da Vodafone ainda nenhum grupo reivindicou publicamente].
Da sua experiência, as empresas portuguesas estão pouco prevenidas para estes ataques?
Do ponto de vista do mercado português, tem havido um investimento forte nas áreas de cibersegurança. Cada vez temos mais empresas que recorrem a serviços de segurança, ações de sensibilização, fazem os diagnósticos da sua infraestrutura para ver se têm riscos de cibersegurança. Temos sentido no mercado um investimento crescente. O grande problema que temos é que o investimento que é feito pelas redes cibercriminosas muitas vezes é demasiado elevado e, por isso, vão tendo novas técnicas de ataque, há um investimento na melhoria desses ataques. As empresas têm de fazer um investimento contínuo, quer as de cibersegurança, quer as que são alvo desses ataques. E sendo global — porque qualquer pessoa a partir de casa ou de outro país, pode perpetrar este tipo de ataques —, as empresas estão muito expostas. Mas há um investimento grande que temos sentido no mercado português, principalmente naquelas empresas que são mais visíveis. As empresas mais pequenas confiam um bocadinho que, como há muitas empresas grandes para onde os atacantes se podem virar, não as atacam a elas. O atacante quando avança quer ter um sucesso rápido. Ou seja, se vai atacar uma empresa que está bastante protegida, vai demorar e tem um investimento forte nessa empresa. Como as pequenas e médias empresas estão também sujeitas a campanhas de phishing, eles preferem fazer este tipo de ataques nestas, porque têm um retorno muito mais rápido.
Diria que há mais casos de ciberataques a pequenas e médias empresas, é isso?
As empresas que mais recorrem aos nossos serviços são grandes empresas. Mas para as pequenas empresas, do ponto de vista financeiro, o custo é alto e não têm tanta capacidade, tentam resolver — e é onde acontecem mais casos, infelizmente, de tentar negociar um resgate. As grandes empresas não negoceiam esse tipo de resgates. Há muitos ataques a empresas portuguesas e nós no dia a dia vamos falando com as pessoas, mesmo como cidadãos, e sabemos que pequenas empresas foram alvos e tentam ter algum apoio no pessoal informático para ajudar, mas é sempre algo bastante complicado para eles, estão em situação de maior desespero.
Mas porque diria que os ataques estão a acontecer mais? É essa questão financeira — as empresas muitas vezes acabam por pagar os resgates?
As grandes empresas não estão a pagar porque têm mecanismos para salvaguardar a informação e depois repõem. Estes ataques que têm ocorrido são bem sucedidos ou porque os grupos têm visibilidade ou porque há resgates que são pagos. E estou a falar de vários mercados e países, são globais. Quando uma campanha de phishing afeta organizações há sempre algumas que não têm alternativa e avançam com o pagamento destes resgates. A maioria do financiamento que estes grupos têm é à base disso. Mas são muito mais as pequenas empresas que pagam o resgate.
“É uma guerra muito frustrante, é difícil acompanhar todo este ritmo dos atacantes”
Pelo que disse presumo que não haja nenhum sistema de proteção que seja infalível porque os hackers estão sempre a atualizar os métodos. Mas não havendo, o que é que as empresas podem fazer e o que é que estão a fazer neste momento?
Temos sentido das empresas um forte investimento em sensibilização, em formação dos seus utilizadores. Estão a fazer um investimento em contratar empresas que permitam fazer uma monitorização contínua da sua infraestrutura em termos de cibersegurança, para se houver um ataque poderem detetar e conter esse ataque de forma imediata. Vão também obviamente contratando serviços e investindo em plataformas para fazer a segurança da sua rede. São várias camadas que as empresas vão investindo para garantir que estão mais seguras. E quando estamos a falar de empresas com um nível de maturidade do ponto de vista de cibersegurança alto, avançam também com investimentos muito mais significativos nesta componente de monitorização. Há políticas, boas práticas e normas internacionais que as empresas também querem garantir, com certificações que dão confiança aos utilizadores. Nós temos visto isto muito na banca, o investimento que fazem em cibersegurança é gigantesco, porque temos de sentir que os bancos onde depositamos o nosso dinheiro são seguros. Cada vez mais as empresas estão a investir e também a contratar algumas funções internas.
No caso da Vodafone, que impactos é que podemos ter não só na própria empresa, mas também nos clientes privados, nas empresas que estão dependentes da rede que está indisponível. Podem ficar paradas por isto…
Obviamente dificulta o trabalho e o dia a dia das empresas. Se a rede estiver indisponível e não se conseguir fazer as chamadas ou não se conseguir ter dados para enviar emails, etc., limita muito as empresas na sua atuação. Podem existir estes ataques a infraestruturas críticas que obviamente afetam os utilizadores.
O que é que o Estado e o Governo podem fazer para evitar estes ataques: apoios às empresas para que se protejam, por exemplo? Qual é que pode ser o papel do Estado?
Nós temos o Centro Nacional de Cibersegurança [CNC] que tem feito um trabalho enorme neste domínio da cibersegurança, com formações, campanhas. As empresas conseguem recorrer ao CNC porque reportam este tipo de incidentes. Uma empresa mais pequena pode reportar este incidente ao CNC e eles apoiam nessa contenção, de acordo com os meios que têm. Agora, efetivamente, é uma guerra muito frustrante, porque é difícil acompanhar todo este ritmo dos atacantes. Mas o mais importante é que as empresas colaborem entre si, que haja troca de informação.