Índice
Índice
A Segurança Social confirmou esta segunda-feira que foi alvo de um ataque informático. Até agora, as comunicações feitas ao público, quer através de um comunicado conjunto do Instituto de Informática e da Segurança Social, como do Centro Nacional de Cibersegurança (CNCS), deixam no ar mais perguntas do que respostas — nenhuma entidade oficial deu esclarecimentos sobre o que se está a passar.
“A Segurança Social foi alvo de um ciberataque que resultou numa intrusão intencional e maliciosa na sua rede informática. Está em curso a investigação forense deste incidente, no entanto, até ao momento, não se apurou qualquer facto que permita concluir ter havido acesso indevido a dados de cidadãos ou de empresas”. Era isto que se lia num comunicado divulgado pelas 12h30. Na mesma nota, era explicado que o Instituto de Informática “desencadeou de imediato as medidas e procedimentos adequados para este tipo de incidentes”, ficando ainda a nota de que se estava a desenvolver “todos os esforços, em estreita colaboração com o Centro Nacional de Cibersegurança, Polícia Judiciária e especialistas em cibersegurança para garantir a segurança do sistema e dos respetivos dados.”
Segurança Social alvo de ataque informático. PJ está a avaliar a dimensão dos danos
Embora fosse prometida a atualização sobre a “evolução desta situação” sempre que “as circunstâncias assim o exijam”, não houve, até agora, mais desenvolvimentos vindos a público.
Este é mais um ataque informático em Portugal, que se junta a uma lista que está a ficar cada vez mais extensa e que este ano já conta com empresas afetadas como o grupo Impresa, a Vodafone, os laboratórios Germano de Sousa, a TAP ou o banco BCP. Entre as instituições públicas, em setembro foi notícia o ataque informático dirigido ao Estado-Maior-General das Forças Armadas (EMGFA).
Centro de Cibersegurança confirma ataques à rede do EMGFA. MP está a investigar o cibercrime
Quando é que aconteceu o ataque?
Embora a notícia tenha sido avançada na manhã desta segunda-feira pelo Observador e pela CNN, não há indicações oficiais sobre quando e de que forma foi detetada esta tal “intrusão intencional e maliciosa” nos sistemas.
Numa fase inicial, foi noticiado um email interno, primeiro pela CNN Portugal e depois também obtido pelo Observador, que foi enviado durante esta madrugada aos trabalhadores da Segurança Social. Nessa missiva também não ficava claro quando é que aconteceu esta intrusão nos sistemas.
Curiosamente, a notícia do ataque informático à Segurança Social é conhecida no mesmo dia em que foi notícia um ataque informático em Espanha dirigido ao Ministério da Economia. A Polícia Judiciária considerou ser “prematuro” estabelecer ligações entre os dois incidentes informáticos. Em Espanha há, no entanto, informação sobre quando é que aconteceu o ataque – a 14 de novembro.
Ministério da Economia espanhol alvo de ataque informático por hackers
Que “porta” foi usada para este ataque?
Embora tenha sido apurado que, no período da manhã desta segunda-feira, alguns profissionais tiveram dificuldade em aceder a alguns serviços da Segurança Social, não há muitas pistas sobre de que forma é que poderá ter acontecido a intrusão.
Em conversa com o Observador, Bruno Castro, CEO da VisionWare, empresa portuguesa que opera no mercado da segurança de informação, lamenta a pouca informação disponível sobre o tema. De qualquer forma, não fecha a porta a uma situação de fator humano, especialmente “tendo em conta aquilo que vimos nos últimos dois, três anos, onde o fator humano tem sido um grande desafio” no campo da cibersegurança. Os acessos indevidos conquistados através da exploração da fragilidade dos trabalhadores têm sido notícia nos últimos anos, especialmente devido ao contexto de teletrabalho trazido pela pandemia.
“Vemos ataques cada vez mais dirigidos às pessoas”, recorda, sublinhando que em alguns casos há até trabalhadores que podem funcionar como “cavalos de Tróia”. “Para o mundo cibercriminoso, ter a consciência de que passou a haver muitos mais alvos disponíveis, não protegidos, que podiam servir de veículo, veio catalisar o cibercrime”, reconhece Bruno Castro.
Só a partir do momento em que existam mais pormenores sobre a análise forense resultante da investigação ao incidente informático é que se poderá tentar perceber que “porta” foi explorada para conseguir aceder ao sistema.
Que informação foi dada ao público?
Até este ponto, foi confirmado que existiu efetivamente um ataque informático, resultante de “intrusão intencional e maliciosa” na rede informática da Segurança Social. Era esta a informação que constava de um comunicado conjunto da Segurança Social e do Instituto de Informática, partilhado a meio do dia. A comunicação era, aliás, muito semelhante àquela que já tinha sido vista na comunicação interna enviada aos trabalhadores.
Além da confirmação, era explicado que estava em curso uma “investigação forense” e que o Instituto de Informática “desencadeou de imediato as medidas e procedimentos adequados para este tipo de incidentes”. Ficou ainda a nota do desenvolvimento de “todos os esforços, em estreita colaboração com o Centro Nacional de Cibersegurança, Polícia Judiciária e especialistas em cibersegurança, para garantir a segurança do sistema e dos respetivos dados”.
Em relação ao acesso indevido a dados, era feita uma curta nota: “Até ao momento não se apurou qualquer facto que permita concluir ter havido acesso indevido a dados de cidadãos ou de empresas.”
David Russo, co-fundador da empresa de cibersegurança CyberSec, lamenta a falta de informação mais concreta sobre o assunto. “Devia existir até uma comunicação com uma linha cronológica dos acontecimentos”, exemplifica, onde fosse indicada quando foi detetada a intrusão e quais as medidas adotadas de imediato. “O cidadão comum não quer saber detalhes técnicos do ataque“, admite David Russo, pelo menos em pormenor. “Quer saber se está em risco ou não.”
Este especialista lembra que, nos casos em que a comunicação é mais escassa, “as teorias da conspiração nascem da falta de informação.” Nesse sentido, defende que seria relevante “informar nem que seja se foram comprometidos ou não” dados, a partir do momento em que tal seja possível. E lembra que este incidente informático deverá ser mais um caso de alerta para as empresas. “Acima de tudo, as organizações têm de saber comunicar um ciberataque. Estamos a terminar o ano, já deviam ter apostado na comunicação do ciberataque. Mais uma vez, é informação insuficiente.”
Que dados tem a Segurança Social? Pode ter havido acesso indevido?
A Segurança Social tem os dados de todos os utentes, concentrando por isso uma enorme dose de informação. Além de um grande número de dados pessoais, tem ainda informação sobre as carreiras contributivas dos trabalhadores ou dados sobre pensões. Bruno Castro, CEO da VisionWare e especialista em cibersegurança, refere que é justamente a grande quantidade de informação que faz com que seja um sistema tão apetecível aos olhos de quem ataca. Os dados são “o maior ativo” no sistema da Segurança Social, defende este especialista — “é informação altamente valiosa para qualquer rede criminosa”. O CEO desta empresa refere que, na eventualidade de ter existido um acesso indevido a dados, podemos estar perante um “roubo de dados ultravalioso”. “Estamos a falar de informação de larga escala, são dados massivos, tudo o que está associado a dados pessoais dos cidadãos.” Em suma: “É o ‘honey pot’, o pote de mel, apetecível para tudo o que é rede criminosa.”
Tanto o comunicado da Segurança Social como a reação do CNCS mencionam que, “de acordo com a investigação forense efetivada ao incidente de segurança em causa, não foi apurado, até ao momento, qualquer facto que permita concluir ter havido acesso indevido a dados de cidadãos ou de empresas”.
Em relação ao excerto focado nos dados, Bruno Castro descreve que “parece uma resposta standard”, semelhante àquela que já vimos noutros ataques informáticos em Portugal este ano. A expressão “até ao momento” para falar sobre dados é, na ótica deste especialista, “de evitar”. E não resiste a lembrar o caso do ataque informático à TAP, que numa primeira fase também expressava que “não foi apurado qualquer facto que permita concluir ter havido acesso indevido a dados de clientes”. Alguns dias depois, era conhecido que tinha havido efetivamente acesso indevido a dados dos clientes.
TAP está a avisar clientes cujos dados pessoais foram comprometidos durante ataque informático
Bruno Castro reconhece que, nesse caso, se tratou de “uma ótica de acalmar” os clientes, mas que os desenvolvimentos seguintes acabaram por revelar-se “perigosos”. Qual é que poderia ser a estratégia neste caso? O CEO da VisionWare adotaria uma “postura mais estanque: estamos num processo de investigação forense do que se passou e a seguir damos informação”, exemplifica. “Este tipo de comunicação ao estilo da TAP parece-me, no mínimo, ingénua”, comenta.
Quais podem ser as consequências se tiver existido acesso indevido a dados?
Se alguma coisa mudar e a análise feita revelar alguma acesso indevido a dados, há vários cenários em cima da mesa, especialmente tendo em conta a enorme quantidade de informação.
“Caso tenha havido algum acesso indevido a dados pode acontecer algum tipo de catástrofe, como a utilização indevida para criação de identidades”, exemplifica David Russo, da CyberSec. Dá como exemplo a possibilidade de “venda de identidades na internet ou de serem celebrados contratos a partir de dados” pessoais. Embora reconheça que são necessários mais alguns dados e informações para conseguir celebrar certos tipos de contrato, como a concessão de crédito, por exemplo, lembra que hoje em dia “existe uma grande exposição das pessoas online”, o que faz com que “haja dados adicionais que nem devem ser difíceis” de encontrar usando a internet.
David Russo lembra que os ataques têm sempre uma motivação e rejeita a ideia de ataques acidentais. “Tem de se perceber que um ataque não é acidental, não existem ataques cujo objetivo não seja comprometer algo. Aqui o objetivo pode ser mesmo o de comprometer dados dos cidadãos.”
No cenário de acesso indevido, os dados “podem ser usados para qualquer fim”, descreve Bruno Castro, da VisionWare. “É realmente perigoso e até fico algo surpreendido com aquilo que foi prestado de informação para já”, admite sobre a comunicação feita até agora pelas fontes oficiais. Há uns meses, quando surgiram as notícias sobre acesso indevido a dados de clientes da TAP, mais tarde revelados online por um grupo de hackers, Bruno Castro admite que, neste caso, o cenário pode ser “muito pior”. “Estamos a falar de um lago para o oceano”, compara.
Dado o “volume de dados substancialmente maior” e os dados sensíveis, no cenário de se confirmar a existência de um acesso indevido, Bruno Castro diz que a “grande ameaça em cima da mesa é o roubo de dados, altamente detalhados”, mas que há mais um risco possível. “Outro ângulo que tem de ser explorado é o de, havendo um ataque com sucesso a um instituto público, qual a capacidade de contaminação que pode ter dentro do Estado português.” Tratando-se da Segurança Social, há “interligações com outros ministérios, de confiança”. Bruno Castro teoriza que há “um risco que pode ser muito pertinente, que é o nível de contaminação”. A confirmar-se esse cenário do risco de contaminação, que tipo de medidas é que poderiam ser adotadas? “A principal será a de criar zonas de quarentena”, exemplifica Bruno Castro — na prática, “haver um isolamento da Segurança Social”.
Podem existir constrangimentos no acesso a serviços?
Durante a manhã desta segunda-feira já foi revelado que alguns profissionais tiveram dificuldade em aceder a serviços da Segurança Social, como foi o caso do Instituto do Emprego e Formação Profissional (IEFP).
O CEO da VisionWare refere que um cenário de possíveis constrangimentos na relação com os cidadãos dependerá de fatores como “a profundidade do ataque, qual a capacidade de recuperação, onde é que andaram [os hackers], onde mexeram e que mais portas abriram”. Só a análise forense em curso é que poderá dar uma visão mais completa sobre possíveis consequências deste incidente informático.
