Concurso para escola de ciberdefesa exige experiência comprovada em atos de guerra

O concurso público internacional, no valor de 10,5 milhões de euros, que está a decorrer para a criação de uma escola de ciberdefesa no Estado-Maior-General das Forças Armadas (EMGFA) exige aos candidatos experiência em operações de ciberguerra e que revelem dois governos para quem prestaram serviços.

Este será o motivo principal a justificar o facto de apenas duas empresas - nenhuma delas conhecida no setor por possuir esta qualificação - terem apresentado propostas de candidatura para este projeto, a executar em sete anos.

De acordo com o caderno de encargos a que tiveram acesso pelo menos 11 empresas, e que, por ter sido classificado com grau de confidencial, tiveram de levantar no Gabinete Nacional de Segurança (GNS), um dos requisitos para serem candidatos a prestarem "Serviços de Formação e Consultoria em Ciberdefesa" é demonstrar que foram consultores, nos últimos cinco anos, no "suporte, apoio e orientação para a condução de operações militares no ciberespaço a pelo menos duas entidades governamentais".

Foi com grande estupefação que as empresas, entre as quais algumas gigantes mundiais, leram também que o EMGFA ainda impunha que esta demonstração contivesse "no mínimo, informação das características principais dos serviços prestados, suas componentes, objetivos principais, a data do início e tempo do projeto".

Perante esta originalidade, de acordo com fontes que estão a acompanhar o processo, apenas duas empresas apresentaram propostas (uma terceira concorreu fora do prazo).

"É uma aberração total exigir que as empresas revelem o que fizeram para os seus clientes, é uma quebra total do sigilo a que estão obrigadas. Se o objetivo é tirar credibilidade ao concurso ou deixá-lo deserto, estão a conseguir. Estamos a falar de empresas que estão entre as melhores do mundo, trabalham para vários governos e entidades oficiais. Ficaram de sobremaneira apreensivas com a possibilidade de o governo português ter permitido isto e interrogam-se se empresas portuguesas ou o EMGFFA divulgariam operações em que tenham participado em contexto idêntico ao deste concurso", sublinha um perito em ciberdefesa que esteve envolvido inicialmente na criação desta escola.

Questionado pelo DN para clarificar este requisito específico que consta do caderno de encargos, o porta-voz do EMGFA escudou-se com a classificação do concurso. "O concurso público limitado por prévia qualificação, em curso, é classificado. Deste modo, a eventual existência deste requisito no procedimento concursal deve ser apenas do conhecimento das empresas envolvidas no mesmo", respondeu (ver respostas completas no final do texto).

Indagada sobre como interpreta o EMGFA o facto de apenas haver propostas de duas firmas, esta fonte oficial replica que "atendendo a que se encontra em curso a análise das candidaturas apresentadas, que terminará com a elaboração do respetivo relatório preliminar da fase de qualificação (...), não é possível responder na plenitude e com assertividade à questão colocada".

Uma das empresas que apresentou proposta é uma das maiores operadoras nacionais de telecomunicações, em relação à qual se desconhece experiência em ciberguerra.

A outra, uma corporação, apresenta-se no seu site como "líder do mercado" tecnológico em Portugal, na área da cibersegurança. Esteve, no entanto, envolvida, pelo menos, num exercício de ciberguerra organizado pelo Exército, em 2021, como patrocinadora, conforme assinalado na página oficial do ramo.

Nessa altura o Chefe de Estado-Maior do Exército (CEME) era José Nunes da Fonseca, atual Chefe de Estado-Maior-General das Forças Armadas (CEMGFA).

Logo depois de tomar posse no novo cargo (a 1 de março de 2023), Nunes da Fonseca tomou a decisão de abrir um concurso público internacional, obrigando a que voltasse à estaca zero todo o trabalho para a construção desta capacidade que tinha vindo a ser desenvolvido pelo seu antecessor Almirante Silva Ribeiro.

Conforme o DN já escreveu, esta medida surpreendeu fortemente as quatro empresas que tinham sido chamadas pela equipa do anterior CEMGFA e aguardavam desde fevereiro último receber o "request for proposal" - convite para apresentarem propostas - depois de, algumas delas, terem passado os últimos três anos a serem envolvidas neste projeto.

Este envolvimento terá sido levado ao mínimo detalhe de confiança entre as empresas (uma americana, duas israelitas e uma de Singapura, todas com credenciação para tratar informação classificada) e o EMGFA ao ponto de, garantiram ao DN fontes que estavam a acompanhar, terem sido até preparados programas para os cursos. Nenhuma delas está agora entre as que apresentaram propostas.

Perguntado sobre se o patrocínio ao Exército da empresa candidata não poderá suscitar dúvidas de favorecimento ou conflito de interesses caso esta seja escolhida, o porta-voz oficial assegura que "estes patrocínios não envolvem a disponibilização de quantias monetárias, sendo consubstanciados, geralmente, pela disponibilização de prémios físicos a atribuir aos participantes no contexto do exercício ou, ainda, pela disponibilização de infraestruturas para apoio ao mesmo".

Explica ainda que "o exercício anual do Exército relacionado com a ciberdefesa tem a designação de Ciber Perseu procurando-se, com a sua realização, contribuir para a promoção do desenvolvimento das capacidades nacionais de ciberdefesa. Neste sentido, o exercício tem contado com a participação das estruturas de Ciberdefesa do EMGFA, dos ramos das Forças Armadas, de delegações militares de países amigos e aliados, do Centro de Nacional de Cibersegurança e, por vezes, com o patrocínio de empresas da área".

Esta empresa, segundo o portal dos contratos públicos, tem 849 contratos registados com o Estado, no valor de 57,3 milhões de euros.

Com o EMGFA assinou oito contratos, desde 2016, no valor de cerca de 400 mil euros, dois deles, de cerca de 170 mil, por concurso público, já depois da tomada de posse de Nunes da Fonseca.

Um deles, no valor de 151 mil euros (o mais elevado de todos) para realizar, em 30 dias, um "licenciamento checkpoint", que em 2022 tinha custado pouco mais de 90 mil euros.

Por sua vez, o Estado-Maior do Exército fez 17 contratos com esta empresa. Destes, 13 foram durante o mandato de Nunes da Fonseca enquanto CEME (19 de outubro de 2018 a 29 de fevereiro de 2023).

Ainda a 29 de agosto passado, foi registado neste portal um contrato entre esta mesma entidade e o Exército, no valor de 15 mil euros (IVA incluído), para a expansão da rede de dados do ramo.

A 18 de agosto, o Exército tinha registado outro contrato, de cerca de 10 mil euros, para a instalação do "Sistema Integrado de Controlo de Acessos e Videovigilância do Exército". A empresa tem ainda diversos contratos com o ministério da Defesa, Marinha e Força Aérea.

Além do requisito específico já referido, houve ainda outros fatores que podem ter contribuído para afastar concorrentes, principalmente estrangeiros, apesar de se tratar de um concurso público internacional.

Por exemplo, a exigência de certificado de qualidade de saúde e segurança no trabalho emitido pelo Instituto Português de Acreditação e uma prova de "capacidade financeira" através de um banco português que teria de garantir ao candidato uma linha de crédito de 4,5 milhões de euros que o "habilitasse a sacar, para efeitos contratuais, os referidos meios financeiros".

"Este quesitos, sublinhe-se, tinham de ser conseguidos em cerca de seis semanas (o concurso foi aberto em 30 de junho passado e o prazo de entrega de propostas foi primeiro a seis de agosto, em plena Jornada Mundial da Juventude e visita do Papa Francisco a Portugal, com o país a meio gás) e depois prorrogado para 22, tornando impossível o seu cumprimento. Por isso, nem surpreende que das 11, nove tenham desistido", afiança uma fonte militar envolvida.

Em despacho de agosto de 2022, a ministra da Defesa Nacional, Helena Carreiras, autorizou uma despesa de 11,5 milhões de euros (+IVA) até 2030 para este plano, valor a que, entretanto, acrescentou mais um milhão para a construção/adaptação das infraestruturas onde será construída a Escola de Ciberdefesa.

Nesta decisão, Helena Carreiras considera um "imperativo (...) a qualificação dos recursos humanos afetos à ciberdefesa nacional, garantindo a capacidade de realizar todo o espetro de operações militares no, e através do, ciberespaço de interesse nacional, assegurando a sua defesa e a salvaguarda da soberania nacional".

Poucas situações poderiam impulsionar mais a criação de uma capacidade de ciberdefesa que ser alvo de um ataque cibernético com repercussões internacionais.

Mas, apesar dos estridentes sinais de alerta que soaram há um ano, quando, conforme o DN noticiou, o ministério da Defesa e o próprio EMGFA foram alvo de graves ciberataques (ocorridos pouco antes do despacho de Carreiras), alvo de inquérito-crime, o processo embrulhou-se e não há data prevista para a sua concretização.

Inquirido o gabinete da ministra da Defesa Nacional em relação às dúvidas sobre o caderno de encargos para a aquisição de serviços de consultoria (ver respostas completas no final do texto), fonte oficial remete para o EMGFA todas as questões relacionadas com o concurso.

O porta-voz de Helena Carreiras salienta, porém, que "o Governo reforçou significativamente o investimento na capacidade de Ciberdefesa, tendo aumentado em 39%, num total de mais de 70 milhões de euros, as verbas para esse efeito na Lei de Programação Militar (LPM) recentemente publicada".

Quanto ao treino, além da "formação de base, contratualizada com o Instituto Politécnico de Beja", a mesma fonte confirma que a "formação avançada", a que se destina o concurso, visa "capacitar os recursos humanos com as perícias técnicas necessárias ao desenvolvimento sustentado e consolidado da capacidade para conduzir operações militares no ciberespaço".

Nada refere sobre os requisitos exigidos, nem sobre o facto de apenas duas empresas terem apresentado propostas, nem se pronuncia sobre uma delas ter patrocinado anteriormente o Exército.

Perguntas

1- A propósito da anunciada criação da Escola de Ciberdefesa, em relação à qual a sra. Ministra da Defesa em várias ocasiões atribuiu prioridade, gostaria de colocar as seguintes questões:

2- A decisão do EMGFA de decidir sujeitar este projeto a um concurso público internacional, ignorando todo o trabalho e contactos anteriormente feitos com empresas do setor, teve o parecer favorável da Sra. Ministra?

3- Os evidentes atrasos que tal processo implicaria foram tidos em conta e considerados secundários?

4- Qual o grau de urgência que o ministério atribui atualmente à criação desta capacidade?

5- Uma das exigências do caderno de encargos deste concurso é que as empresas candidatas tenham tido experiência e participado em operações militares no ciberespaço com, pelo menos, duas entidades governamentais.

6- Qual a importância da formação em ciberguerra para o contexto de defesa português, uma vez que se trata de operações ofensivas e não apenas defensivas?

7- O facto, do conhecimento do EMGFA, de apenas terem havido duas empresas concorrentes, não demonstra desinteresse por parte das empresas neste projeto? A que atribuem isso?

8- De acordo com uma pesquisa que fiz em fontes abertas uma das empresas candidatas patrocinou um exercício de ciberdefesa no Exército em 2021. Tendo em conta que nessa altura o Exmo.Sr. CEMGFA era CEME, não terão receio de que possa ser suscitada a dúvida de conflito de interesses e favorecimento, caso seja escolhida?

9- Que plano têm preparado para o caso de nenhum dos dois candidatos que apresentaram propostas, cumprir todos os requisitos?

10- A possibilidade de esta formação, tal como as instalações, serem feitas na Cyber Academy Inovation Hub ainda não é considerada?

Resposta

No que se refere ao concurso público que menciona, a sua condução está a cargo do Estado-Maior-General das Forças Armadas, nos termos das competências conferidas, e o processo é de âmbito classificado, pelo que poderá não ser possível responder a alguns dos aspetos que questiona. Sugere-se contacto com o EMGFA. E recorda-se que a Senhora Ministra se referiu a este assunto em 14 de junho no Parlamento.

Sobre esta capacidade militar, o Governo reforçou significativamente o investimento na capacidade de Ciberdefesa, tendo aumentado em 39% as verbas para esse efeito na Lei de Programação Militar (LPM) recentemente publicada, prosseguindo, concomitantemente, com a capacitação de recursos humanos especialmente qualificados para fazer face aos desafios deste novo domínio militar de operações. Esta LPM prevê mais de 70 milhões de euros de investimento nesta área.

A edificação da capacidade de Ciberdefesa vem sendo realizada através de várias medidas complementares, nomeadamente através da aprovação da Estratégia Nacional de Ciberdefesa (Out2022), da criação da Cyber Academia and Innovation Hub (Mai2023), da aquisição, da manutenção e da atualização de plataformas e equipamentos, da implementação de doutrina militar conjunta para as operações no ciberespaço, do treino, ou da ligação ao sistema científico e tecnológico nacional.

A formação é outro dos vetores e nesse campo está em curso desde 2022 formação de base, contratualizada com o Instituto Politécnico de Beja, abrangendo mais de meia centena de militares, entre os módulos já realizados e aqueles planeados para este ano. A formação avançada (a que se refere o concurso sobre o qual nos questionou) é outra componente, visando capacitar os recursos humanos com as perícias técnicas necessárias ao desenvolvimento sustentado e consolidado da capacidade para conduzir operações militares no ciberespaço. Nesse sentido, a Ministra da Defesa Nacional autorizou a realização da despesa necessária à contratação de serviços de formação e consultoria especializados para 2022-2030.

Ademais, além do previsto na LPM a edificação da capacidade de Ciberdefesa nas Forças Armadas traduz-se ainda em:

1- Implementação do Plano de Reforço do Comando de Operações no Ciberespaço e do Plano de Reforço dos Ramos;

2- Edificação de capacidades do Centro de Ciberdefesa e dos Computer Incident Response Capability dos Ramos, com a aquisição, manutenção e atualização de plataformas e equipamentos;

3- Harmonização dos sistemas de proteção periféricas das redes das Forças Armadas e da Defesa e a harmonização das soluções tecnológicas das redes da Defesa Nacional;

4- Treino permanente das equipas, com participação em exercícios internacionais, garantindo assim a atualização e os esforços cooperativos necessários e incluindo a componente ciber em todos os exercícios das Forças Armadas;

5- Ligação ao sistema científico nacional, através da celebração de parcerias para estágios e para exercícios e investigação.

Perguntas e respostas ao EMGFA

1. Como interpretam o facto de apenas terem concorrido três empresas, uma delas fora do prazo?

A abertura das propostas ocorreu na data definida no procedimento concursal, considerados os requisitos estabelecidos nas peças do referido procedimento, de acordo com o artigo 42.º do Decreto-Lei n.º 104/2011, de 6 de outubro, tendo para o efeito, estado presentes as empresas legalmente habilitadas. Atendendo a que se encontra em curso a análise das candidaturas apresentadas, que terminará com a elaboração do respetivo relatório preliminar da fase de qualificação, conforme disposto no artigo 184.º do Código dos Contratos Públicos, por remissão do Decreto-Lei n.º 104/2011, de 6 de outubro, não é possível responder na plenitude e com assertividade à questão colocada.

2. Como interpretam o facto de nenhuma das empresas anteriormente envolvidas pelo EMGFA neste processo terem apresentado propostas?

Conforme mencionado na primeira questão, estando ainda em curso a análise das candidaturas apresentadas, que poderão ser realizadas individualmente ou em agrupamentos de empresas, conforme definido no programa do procedimento concursal, não é possível, nem se justifica, responder à questão colocada.

3. Confirmam que um dos requisitos será o candidato atestar, através de terceiros (clientes) que apoiou governos em operações militares no ciberespaço e detalhar quais?

O concurso público limitado por prévia qualificação, em curso, é classificado. Deste modo, a eventual existência deste requisito no procedimento concursal deve ser apenas do conhecimento das empresas envolvidas no mesmo.

4. Como classificam o grau de fiabilidade de um candidato que se disponha a revelar operações para seus clientes?

A matéria em questão é objeto de informação nos requisitos específicos do Caderno de Encargos do concurso que se encontra a decorrer, os quais são classificados, pelo que o solicitado não poderá ser respondido.

5. Que plano têm preparado para o caso de nenhum dos dois candidatos que apresentaram propostas, cumprir todos os requisitos?

No caso de nenhuma das candidaturas apresentadas cumprir os requisitos estabelecidos nas peças do procedimento concursal, este ficará deserto, de acordo com os preceitos legais previstos no Código dos Contratos Públicos, aprovado pelo Decreto-lei n.º 18/2008, de 29 de janeiro, na sua redação atual, por remissão do Decreto-Lei n.º 104/2011, de 6 de outubro. Caso se verifique esta situação, serão adotadas as modalidades de ação legalmente estabelecidas no referido Código.

6. A possibilidade de esta formação, tal como as instalações, serem feitas na Cyber Academy Inovation Hub é considerada?

A definição do local para as instalações da Escola de Ciberdefesa encontra-se em fase de estudo, devendo vir a ocupar uma das infraestruturas existentes no EMGFA.

7- De acordo com uma pesquisa que fiz em fontes abertas, uma das empresas candidatas patrocinou um exercício de ciberdefesa no Exército em 2021. Tendo em conta que nessa altura o Exmo.Sr. CEMGFA era CEME, não terão receio de que possa ser suscitada a dúvida de conflito de interesses e favorecimento, caso seja escolhida? Qual foi o valor deste patrocínio?

O exercício anual do Exército relacionado com a Ciberdefesa tem a designação de Ciber Perseu procurando-se, com a sua realização, contribuir para a promoção do desenvolvimento das capacidades nacionais de Ciberdefesa. Neste sentido, o exercício tem contado com a participação das estruturas de Ciberdefesa do EMGFA, dos ramos das Forças Armadas, de delegações militares de países amigos e aliados, do Centro de Nacional de Cibersegurança e, por vezes, com o patrocínio de empresas da área. Estes patrocínios não envolvem a disponibilização de quantias monetárias, sendo consubstanciados, geralmente, pela disponibilização de prémios físicos a atribuir aos participantes no contexto do exercício ou, ainda, pela disponibilização de infraestruturas para apoio ao mesmo.