O recente ataque de ransomware que paralisou diversos serviços essenciais do Estado português, incluindo plataformas críticas como o SNS 24, o portal ePortugal e a Chave Móvel Digital, o facto de o orçamento de Estado e os sistemas dos tribunais ainda usarem o obsoleto Java, e o caso das nove mil senhas do Portal das Finanças revelam fragilidades profundas nas infraestruturas digitais do Governo. Estes incidentes não só afectaram milhões de cidadãos e empresas, que dependem dessas plataformas para aceder a serviços de saúde, administrativos e fiscais, mas também levantaram questões sérias sobre a segurança dos dados pessoais e a capacidade do Estado em lidar com ameaças cibernéticas. Depois de vários dias de paragem de serviços essenciais podemos responder à mais importante destas questões: não existe, no Estado, uma adequada protecção dos nossos dados nem a esperada (e exigível) confiança nos serviços digitais prestados pelo Estado.

O que aconteceu no dia 10 de outubro de 2024 não pode ser visto como um incidente isolado. Na realidade, este ataque é mais um sintoma de uma crise mais ampla que afeta a cibersegurança no sector público português e que os problemas recentes no AforroNet e na Segurança Social Direta são apenas a ponta do iceberg. Com efeito, este grave incidente com a Chave Móvel/Autenticação.gov.pt apenas reforça a sensação de que o Estado Português não está devidamente preparado para enfrentar a crescente sofisticação dos ciberataques, cada mais frequentes, devastadores e sofisticados graças a uma crescente profissionalização das redes de criminosos e ao recurso à Inteligência Artificial.

O ransomware que atacou a rede da Agência para a Modernização Administrativa (AMA), numa escala que ainda não é possível compreender, dada a opção seguida pelo Governo de uma estratégia de obscuridade, é o tipo de ataque mais perigoso que uma organização pode sofrer. O ransomware é, com efeito, a arma favorita dos cibercriminosos. Para as organizações atacadas este ataque é particularmente perigoso, porque para além de bloquear acesso a sistemas críticos, este tipo de ataque está geralmente associado à exfiltração prévia à encriptação de dados. Apesar das negações da AMA e da lenta resposta da Ministra Margarida Balseiro sobre a fuga de dados, o simples facto de os invasores terem conseguido penetrar nas redes e encriptar ficheiros já levanta sérias preocupações. Como pode o Governo garantir, de forma absoluta, que não houve exfiltração de dados quando os sistemas estavam sob o controlo de agentes maliciosos?

A esta distância já é claro que a resposta a este ataque foi insuficiente. A falta de transparência inicial e a ausência de comunicação clara por parte do Governo aumentaram o clima de incerteza e frustração. Num momento em que milhões de cidadãos estavam a ser privados de serviços essenciais, a população tinha o direito de receber informações precisas e actualizadas sobre a situação e as medidas que estavam a ser tomadas. A confiança nas plataformas digitais do Estado já estava abalada por falhas anteriores, e este incidente pode ter causado danos irreparáveis à percepção pública da segurança e fiabilidade dos serviços digitais. A forma como os sistemas da AMA foi reposta também parece apressada e algo precipitada, uma vez que o Ajuste Directo a um fornecedor descreve claramente que o sistema foi recolocado no ar com “vulnerabilidades” permitindo, portanto, que as mesmas sejam novamente exploradas para produzir o mesmo efeito.

PUB • CONTINUE A LER A SEGUIR

Este episódio destaca a necessidade urgente de uma reforma abrangente da cibersegurança no Estado. É imperativo que se implementem auditorias de segurança externas e independentes para rever os protocolos de segurança em vigor e identificar vulnerabilidades. A introdução de sistemas robustos de backup e recuperação de dados (que o Ajuste Directo dá a entender que não existem), capazes de mitigar os danos de futuros ataques, é uma prioridade. Além disso, os funcionários públicos devem receber formação adequada sobre cibersegurança, uma vez que os ataques de phishing, muitas vezes realizados por email, são a principal porta de entrada para estes ataques. No caso da AMA tudo indica que este foi o vector de entrada utilizado pelos cibercriminosos.

Mais do que nunca, o Estado português precisa de investir em tecnologia de ponta para a detecção e prevenção de intrusões. A dependência crescente dos serviços digitais não pode continuar sem que se garantam as defesas adequadas para proteger as redes e os dados dos cidadãos. Ignorar as lições deste ataque seria um erro grave, com consequências potencialmente devastadoras no futuro. Neste contexto, a declaração recente de uma “revolução” na digitalização da Justiça (onde a obsolescência dos sistemas informáticos é regra) deve preocupar todos os cidadãos e agentes de justiça deste país.

Em última análise, a confiança pública nas plataformas digitais do Governo está em jogo. Cabe ao Governo não só resolver a crise actual de forma eficiente e transparente (o que não está a acontecer), mas também garantir que as infraestruturas do Estado estarão à altura de enfrentar os desafios cibernéticos de amanhã. Sem uma resposta robusta e coordenada, o Estado continuará vulnerável, e os cidadãos pagarão o preço desta inacção.

Algumas propostas concretas a cidadãos e ao Governo podem ser lidas em
https://cidadaospelaciberseguranca.com/2024/10/10/ransomware-atinge-servicos-do-estado-falhas-criticas-em-plataformas-de-autenticacao-e-servicos-essenciais/