"Mesmo em coisas mais simples as restrições orçamentais foram uma dificuldade"

Porque deixou o Centro Nacional de Cibersegurança (CNCS) em pleno simulacro de um ciberataque?

O meu pedido de demissão foi dirigido à Senhora Ministra da Presidência e da Modernização Administrativa, Maria Manuel Leitão Marques, nos primeiros dias de 2018. Após insistência minha a demissão acabou por ser aceite no dia nove de maio. Acabou por coincidir com o dia da transposição da Diretiva de Segurança das Redes e Sistemas de Informação (Diretiva SRI) - que eu considerava um marco da minha passagem pelo CNCS - e com a véspera do início do exercício que preparei e decorreu a 10 e 11 de maio. Mas já não queria "dar a cara" em nome do CNCS. Até porque nem considerava que este exercício fosse uma das atividades importantes do CNCS, uma vez que pois em junho iria haver o CyberEurope 2018, coordenado pela ENISA (Agência Europeia para a Segurança das Redes de Informação) e a nível europeu, o qual entendo que é que tem grande importância.

O que queria ter concluído e não conseguiu?

Gostaria de ter contribuído para criar um CNCS com autonomia, como deve ter a Autoridade Nacional de Cibersegurança e com o CSIRT (Computer Security Incident Response Team) nacional devidamente estruturados, como preconizado pela Diretiva SRI. Infelizmente a Proposta de Lei n.º 119/XIII que corresponde à transposição da Diretiva SRI extravasou a transposição e reforça que "o Centro Nacional de Cibersegurança funciona no âmbito do Gabinete Nacional de Segurança" e cria o Conselho Superior de Segurança do Ciberespaço. Trata-se de um erro político grave pois prolonga a "tutela" militar de uma área que é eminentemente civil, a cibersegurança. Aqui, posso dizer que os meus objetivos foram frustrados e isso contribuiu, em parte, para o meu desejo de sair por não me identificar com o facto do CNCS não se ter autonomizado e continuar sob a tutela do Gabinete Nacional de Segurança (GNS). Esperava que este Governo tivesse concretizado uma separação clara da área da cibersegurança, com as suas vertentes eminentemente relacionadas com os serviços essenciais que são operados por empresas que servem a sociedade civil. Parece-me ter havido falta de coragem para fazer uma verdadeira reestruturação desta área que está no centro da transformação digital.

Que problemas se colocam com esta "tutela" militar?

Os problemas resultam de missões distintas da cibersegurança e da ciberdefesa. Além de que a abordagem metodológica é, e deve ser, muito diferente. Um pequeno exemplo, só o centro de ciberdefesa deve poder fazer ações ofensivas no ciberespaço. E à ciberdefesa cabem tarefas importantes, como o Engº António Guterres salientou num discurso na Universidade de Lisboa há poucos meses, como sejam a proteção dos sistemas de comando e controlo em tempo de paz e, em especial, deve ser dada atenção aos ataques híbridos que se iniciam por ciberataques a estes sistemas, como já há vários exemplos a nível mundial, e que precedem ataques convencionais. Já para a cibersegurança há inúmeros desafios resultantes da transformação digital, que dizem respeito principalmente à sociedade civil, aos cidadãos, às empresas, aos Ministérios, às Regiões Autónomas ou às Autarquias. Aqui não faz sentido um envolvimento de militares que tem missões e âmbitos de intervenção onde devem focar os recursos de que dispõem. Por exemplo, com a "Internet das Coisas" a penetrar nos ambientes domésticos, hospitalares, nos veículos autónomos, no comércio eletrónico, etc, que são setores onde a cibersegurança é uma pedra de toque essencial, qual seria o papel dos militares? Em minha opinião, não deve ser nenhum.

Como tem sido a articulação entre o CNCS e do Centro de Ciberdefesa das Forças Armadas?

É excelente. Outra articulação que é exemplar é com a área do Cibercrime, em particular com a unidade UNC3T da Polícia Judiciária. Estas três áreas, cibersegurança, cibercrime e ciberdefesa considero-as três pilares estruturantes do problema ciber em qualquer país. Mas há uma significativa interferência da ciberdefesa com a cibersegurança pela mentalidade prática dos agentes envolvidos. A visão que esteve presente na criação do CNCS foi que a cibersegurança devia estar sob a tutela militar, ficando a funcionar como uma subdireção-geral do GNS, uma estrutura instituída na sequência da criação da NATO. É um erro de base.

Como é que o CNCS protege as infraestruturas críticas do Estado?

Cada instituição é responsável pela sua cibersegurança, sendo o CNCS um executor de funções onde exista valor acrescentado em serem centralizadas. É o caso do CSIRT nacional, do aconselhamento e difusão de boas práticas, da representação nos fora internacionais, na coordenação de políticas a nível nacional. O CNCS pode aconselhar, emitir documentos orientadores, ajudar na identificação de problemas, mas cada entidade tem a sua autonomia. Com a nova Diretiva SRI, o CNCS, na sua qualidade de Autoridade Nacional de Cibersegurança, tem que ser notificado caso existam incidentes relevantes e poder exercer o seu papel de autoridade.

Pode dar alguns exemplos concretos, para que se entenda melhor?

Sem entrar em detalhes, que não posso, já recomendámos a funcionários de embaixadas o cumprimento de um conjunto de medidas de segurança, que não estavam a ser acauteladas, como não utilizar o smartphone, com informações sensíveis, em ambientes públicos de wi-fi, não utilizar pen's para transportar informação classificada ou até mudar as passwords todos os meses.

Há equipamentos em falta para esta proteção do Estado? O projeto para colocar sensores de deteção de ataques nos servidores das áreas de soberania não foi concluído porquê?

Mais do que equipamentos em falta há uma grande carência de políticas de boa gestão da cibersegurança e uma significativa falta de meios humanos. Não sou adepto de colocar tecnologia de modo avulso, até porque se fica com a falsa ideia de que tudo fica bem, que a tecnologia resolve tudo. Ora a tecnologia deve ser usada para implementar políticas de cibersegurança e é necessário ter os meios humanos que saibam gerir as tecnologias. E formar as pessoas, todas as pessoas, até porque o elo mais fraco e que é a causa de muitos problemas é a ignorância ou a displicência no uso das tecnologias. Quanto aos sensores eles podem desempenhar um papel de relevo, nalguns casos, mas não são uma panaceia para todos os problemas. A eventual colocação e o papel de sensores deve ser adaptado caso a caso, tem a ver com a arquitetura de rede de cada organização, ou com as componentes aplicacionais. Colocar sensores na interface da rede de uma organização (por exemplo um ministério, uma direção-geral ou um instituto público) e depois não serem seguidas políticas do uso interno da rede, das aplicações, não existirem mecanismos de autenticação fortes e atualizados, não formar os utilizadores aos vários níveis, etc. é gastar dinheiro em sensores e tem pouco resultado. Não sou dos que ouvem, de modo acrítico, o que vendedores de sensores ou equipamentos nos querem vender e acha que isso é a solução.

Mas em que ponto está o projeto?

Praticamente a zero.

Houve também o motivo de natureza orçamental para a sua saída?

Houve mas não foi a principal razão. Havia sérias restrições ao funcionamento do CNCS mas resultantes do modo como está organicamente a funcionar. Todos os funcionários do CNCS estão nomeados para as suas funções por períodos de 1, 2 ou 3 anos. Isto serve muito bem para os interesses dos militares, que tem as suas carreiras estáveis na instituição de origem e fazem comissões de serviço no CNCS como um local de passagem para valorizarem as suas carreiras. Mas para outros funcionários não dá estabilidade nenhuma. Recordo o caso de um funcionário que, ao abrigo do processo de integração dos precários no Estado, solicitou a sua integração. Isso foi-lhe negado com o argumento de não ser um trabalhador precário na medida em que era um cargo de nomeação. Mas as nomeações dependem do desejo dos dirigentes e não dão garantias de carreira. Como se pode compreender, gerir uma estrutura que trata da cibersegurança sem carreiras e sem garantia de continuidade torna difícil o recrutamento de peritos. E em especial nalgumas áreas técnicas, em que há uma enorme competição com o setor privado, que pode pagar vencimentos elevados, dar outro tipo de regalias aos funcionários como viaturas de serviço, a capacidade do CNCS de recrutamento e fixação de recursos humanos é problemática. Mas também se verificaram limitações orçamentais que herdei. Quando cheguei ao CNCS, em abril de 2016, um dos projetos relacionados com os "famosos sensores" não estava orçamentado. Havia um financiamento com participação de fundos comunitários aprovados, mas a contrapartida nacional não tinha sido prevista pelo Diretor-Geral da altura. Aí tive toda a abertura da Ministra da Presidência que, com grande rapidez, aceitou a alteração orçamental necessária. Infelizmente a burocracia administrativa da aprovação pelo Ministério das Finanças contribuiu para um atraso bastante penalizador no desenvolvimento do projeto. Mesmo em coisas mais simples como missões as restrições orçamentais foram uma dificuldade. A área da cibersegurança é uma prioridade a nível da União Europeia e era necessário ter orçamento para fazer face a várias missões. Posso dizer-lhe, por exemplo, que no início de abril de 2018 não pude ir a uma reunião em Sofia, promovida pela Presidência Búlgara, por a viagem não ter sido prevista no plano de missões elaborado para 2018 e não haver margem orçamental para a concretizar. Lamentável.

O primeiro diretor do CNCS, o vice-almirante Torres Sobral, criticou o governo por não ter dado a atenção devida à cibersegurança. Concorda?

Qual Governo? Se se refere ao XIX Governo (PSD/CDS) então a culpa foi do vice-almirante Torres Sobral. O modo como a comissão instaladora do CNCS foi criada, o seu enquadramento e toda a envolvente, demonstram que houve incapacidade do Vice-almirante em fazer perceber o Governo de que a cibersegurança é um problema transversal à sociedade e não só "uma coisa de militares". Quer a composição da comissão instaladora, a inserção em que veio a ser colocado o CNCS, isto é, dentro do GNS e muitos outros aspetos, demonstram uma enorme falta de entendimento do que é a cibersegurança. Não ter havido um grande envolvimento dos ministérios ligados à economia e à inovação, por exemplo, demonstra uma visão muito estreita dos desafios da cibersegurança. Aliás, foi também esse governo que extinguiu a UMIC ( Agência para a Sociedade do Conhecimento) e integrada na Faculdade de Ciências e Tecnologia (FCT). Tratou-se de um erro grave, pois a área da sociedade da informação não é um tema de ciência e tecnologia. É algo muito mais vasto e transversal a todo o governo. Aliás esta minha opinião é suportada no pacote lançado a 13 de setembro de 2017 pelo Presidente Juncker, conhecido por "EU Cybersecurity Act" onde se reconhece que a cibersegurança e a governação da Internet tem percursos que devem ser bem coordenados. Infelizmente desde a integração da UMIC na FCT é uma área que tem mirrado e sido alvo de uma enorme falta de compreensão da sua importância, quer pelo atual ministro da Ciência Manuel Heitor, quer pelo professor Paulo Ferrão (diretor da FCT). Creio que nem sabem bem do que se trata!

Ainda não foi aprovado o Plano de Ação Nacional para a Proteção contra as Ciberameaças, previsto na Estratégia Nacional de Combate ao Terrorismo (publicada em 2015). Que efeitos práticos tem esta falha?

É uma área onde não me sinto devidamente habilitado a dar uma opinião, pelo que prefiro não comentar. Mas o que sei, da minha experiência internacional de acompanhamento das temáticas ciber, desde há muitos anos, é que uma maior capacidade de acompanhamento pelo Estado do que se passa em alguns recursos críticos, está a ser seguida por vários países, na medida em que as ciberameaças podem ser detetadas de modo muito precoce e evitar danos maiores à sociedade. Mas aqui considero que há que ter um enorme cuidado em que o binómio liberdade versus segurança não belisque, minimamente, os valores democráticos da sociedade europeia em que nos inserimos.

Uma das razões que assumiu para a sua demissão foi a questão da gestão do domínio de topo da internet nacional, o .pt, que queria que ficasse sob tutela do CNCS. Porquê?

Durante quase 16 anos fui responsável, enquanto Presidente da Faculdade para a Computação Científica Nacional (FCCN), pela gestão do domínio Internet de Portugal, o .PT. Sei bem a sua relevância do ponto de vista da cibersegurança nacional. Sei, por exemplo, que os domínios de topo da Internet, como o .PT, operam das infraestruturas mais atacadas a nível mundial. Ataques de DDoS (Distributed Denial of Service), de amplificação de pacotes que os viabilizam e outros são frequentes e tem de ser protegidos por quem percebe tecnicamente do assunto e por quem pode aproveitar a informação sobre estes incidentes e/ou ataques para ter uma visão integrada do ciberespaço nacional. E isso só pode ser feito pelo CSIRT nacional que está inserido no CNCS. Foi pois, com grande espanto, que depois de sair da FCCN, assisti à criação da associação privada, autonomizada da FCCN, para gerir este domínio fulcral. Não por ser uma associação, mas pelo modelo subjacente à sua criação, onde foram colocados como associados fundadores entidades que não deviam estar lá por não terem nada a ver com a gestão de infraestruturas técnicas ou por representarem problemas sérios de conflito de interesses face ao que a gestão de um domínio de topo representa. Também pela composição do conselho consultivo onde estavam entidades que deviam ter sido fundadoras, como a ANACOM, o IRN ou mesmo o CNCS. Ou pelo erro técnico gravíssimo contido nos estatutos que confunde "a gestão técnica e administrativa do espaço de endereços Internet de .pt" (o que está nos estatutos desde o início) com "a gestão técnica e administrativa do espaço de nomes de domínios Internet sob .pt" que é o que deveria estar e que mostra a incompetência técnica com que a associação foi criada. Quando fui convidado para o CNCS e porque sabia que a Diretiva SRI que estava a ser ultimada inseria os domínios de topo da Internet, como o .PT, no setor das infraestruturas digitais dos serviços essenciais, referi à Ministra da Presidênciaque não podia aceitar que uma infraestrutura que é única, pela sua natureza, com os servidores que são ponto privilegiado para ter uma visão dos problemas de ciberataques existentes ao ciberespaço nacional, estivesse entregue a quem não sabia o que é gerir uma infraestrutura técnica e que julga que é, essencialmente, um negócio de venda de domínios. Após contacto feito com o Ministro Manuel Heitor, responsável do governo, este telefonou-me e comprometeu-se a que o meu desígnio seria cumprido. Infelizmente atribuiu a responsabilidade de tratar do assunto ao Presidente da FCT, Professor Paulo Ferrão, que foi de uma enorme incompetência a tratar do assunto. Tenho tudo documentado sob a forma escrita, pois costumo usar o correio eletrónico para tratar de muitos assuntos e tenho as mensagens trocadas. E também tive acesso à ata onde se mostra o modo incompetente como isto foi tratado. O Ministro Manuel Heitor faltou ao prometido e, assim, comprometeu um dos pressupostos que me tinha levado a aceitar o cargo no CNCS.

Mas porque deve ser o CNCS a gerir este domínio?

Por serem infraestruturas cruciais para a cibersegurança e mesmo a segurança nacional, tem de estar sob controlo do Estado. E que melhor local, já que o CSIRT nacional é da responsabilidade do CNCS?

Quem ganha e quem perde com a atual situação?

Quem perde é a cibersegurança nacional. Quem ganha? Bem, há várias pessoas e entidades que tem beneficiado, e muito, com o modo como o domínio que representa a soberania de Portugal na Internet foi passado para o setor privado. Em 2017 tiveram 2,6 milhões de euros de receitas que podiam muito bem servir para investimentos de interesse público. O principal investimento que fizera, segundo o relatório e contas, foi comprar um imóvel no centro da cidade por dois milhões de euros. Uma estrutura destas podia até estar no interior do país, como exemplo de descentralização. Aconselho a leitura da "Posição Pública da Associação Internet Society Portugal Chapter Sobre a gestão do domínio de topo de Portugal" que faz uma análise que considero adequada sobre o modo como um recurso nacional foi passado para o domínio privado, se bem que não concorde com algumas das medidas preconizadas, na medida em que a Diretiva SRI veio alterar o contexto de gestão deste recurso nacional.