Contra-almirante António Gameiro Marques:"Os ataques cibernéticos não só aumentaram em número como se sofisticaram"

(entrevista originalmente publicada no Diário de Notícias a 24 de setembro de 2021)

É licenciado em Ciências Militares Navais, especialista em Comunicações, na década de 1990 trabalhou na modernização e na automatização das estações radionavais, representou Portugal junto dos organismos da NATO responsáveis pelas tecnologias de informação e comunicação. Já contra-almirante desempenhou, em 2009, o cargo de diretor de tecnologias da Marinha, e em 2013 passou a ser secretário-geral adjunto do Ministério da Defesa Nacional. Em 2016 foi nomeado diretor-geral do Gabinete Nacional de Segurança e tem na sua alçada o Centro Nacional de Cibersegurança.

Como a ameaça digital tem crescido no país e no mundo?
A ameaça que decorre da utilização do digital tem vindo a crescer porque os nossos comportamentos dependem cada vez mais do digital. Portanto, se estamos expostos o risco é maior. A ameaça que decorre do digital tem duas declinações: uma, que é aquela óbvia, nós podemos ficar sem os nossos dados, a nossa privacidade pode ser comprometida e por aí fora. Mas há outra mais estruturante, mais profunda, que tem que ver com a forma como o digital modifica a maneira como percecionamos a realidade e a maneira como nos comportamos enquanto cidadãos de uma sociedade. Porquê? Porque há muitas pessoas que vivem quase exclusivamente penduradas nas redes sociais e, portanto, têm uma perceção do mundo que é induzida por isso. E isso é mau, é talvez o perigo mais estruturante, mais profundo, porque depois tem implicações nas democracias. A democracia assenta em quê? Num debate com respeito pela opinião do outro, pela cultura do contraditório, e isso depois perde-se porque as pessoas, como vivem naquela bolha de verdade, não ficam abertas a opiniões que colidam com as delas e depois não têm capacidade de debate. Isso não sou eu que digo, são estudos de sociologia que aprofundam esse tema. Para mim, isso é o maior perigo.

Houve ataques cibernéticos muito mais sofisticados durante a pandemia? Foi alterado o perfil?
Os ataques não só aumentaram em número, e o Relatório Riscos e Conflitos que nós temos publicado no site mostra claramente uma evolução, como se sofisticaram. Como há uma maior exposição da sociedade ao digital, há mais oportunidades de experimentar coisas novas. É lógico. E o que cada vez mais se vê são ameaças de natureza híbrida, ou seja, são aquelas que, pese embora possam nascer no mundo digital, depois têm efeitos no mundo físico. Os órgãos de comunicação social são fundamentais em desconstruir esta mentira, que pode manifestar-se em incidentes de natureza física, como, por exemplo, o que aconteceu na Colonial Pipeline, nos EUA, ou o que estava quase para acontecer na Florida, com uma estação de tratamento de água potável, e outros incidentes dessa natureza. Os incidentes não são verticais, ou seja, não são só no ciberespaço. Começam no ciberespaço mas depois propagam-se para o mundo físico premeditadamente. Aliás, há um centro de estudo e de doutrina, em Helsínquia, que é o centro de excelência de ameaças híbridas, fundado em 2018, e é uma cocriação da União Europeia [UE] e da NATO. Durante a nossa presidência do Conselho Europeu houve excelentes conferências sobre essa temática, que de facto é real.

Essa sofisticação exige mais investimento em cibersegurança ou se virmos aquilo que temos hoje em dia é suficiente para enfrentar esta sofisticação dos ataques?
Nós temos um bom plano de investimento na área da segurança do ciberespaço até 2026.

O que é que é para si um bom plano em termos financeiros?
São dezenas de milhões de euros a investir em cibersegurança no nosso país até 2026. Falo só por aquilo que é da responsabilidade da organização que dirijo, mas sei que há outras entidades do Estado que também têm investimentos nessas áreas. E nós investimos nessa lógica de colaboração que não é só trinta e um de boca, é factual.

Muitas vezes, a cibersegurança é encarada como um custo e não como um investimento, do lado das empresas e do Estado. Será suficiente o que está a ser feito para enfrentar a sofisticação dos ataques?
A convicção de alguns dirigentes de que a cibersegurança é um custo e não um investimento ainda existe, infelizmente. Mas estamos determinados a desmontar isso, porque a história tem-nos mostrado que não há desenvolvimento económico sustentado sem segurança. Não é preciso ir muito atrás na história: século XX, depois da Segunda Guerra Mundial, com a criação das Nações Unidas, da NATO, posteriormente da União Europeia. Se queremos assentar a nossa economia e a nossa sociedade no digital, se não temos segurança não conseguimos desenvolver-nos sustentadamente. É por isso que estamos determinados a desconstruir essa ideia que ainda existe nalguns dirigentes, quer no setor público quer no setor privado. E como é que o estamos a fazer? Através de campanhas fortes de sensibilização, de formação.

Essa é a estratégia para criar um ambiente seguro?
É uma das componentes da estratégia. A estratégia tem uma componente forte na formação.

Na formação de quem?
Na formação da sociedade com nuances em função do grupo-alvo. É evidente que quando nos dirigimos à maioria da nossa população, que é já de alguma idade, temos de ter um discurso diferente daquele que temos para jovens adolescentes ou para pessoas em plena atividade, em pleno período, enfim, da vida de trabalho. Nesse pacote de investimento temos um projeto que me parece que vai ser estruturante a médio prazo, que é criar uma academia de cibersegurança, em Portugal.

Será para produzir pensamento ou formação?
É para produzir pensamento, é para produzir formação e competências, mas é também para produzir pensamento crítico ligado ao digital. E trabalhamos muito de perto com o Ministério da Educação, com a Direção-Geral da Educação, no sentido de fomentar nos nossos jovens esse pensamento crítico. É cientificamente provado que as pessoas aprendem mais através da pergunta, por oposição a aprenderem por imperativo.

E quando é que prevê que a academia esteja a funcionar? Só no final de 2026 ou antes?
A academia tem um modelo descentralizado. Vamos fazer parcerias contratualizadas com politécnicos e universidades espalhadas por todo o nosso território nacional e há um portfólio de formação. Já temos indicadores que temos de cumprir neste ano. Mas é um arranque que vai ter o apogeu da academia em 2023/2024.

O Estado tem boas práticas ou facilita demasiado nas suas comunicações eletrónicas, digitais, e-mails?
Não se pode generalizar porque há setores do Estado que têm isso culturalmente intrínseco, a segurança da comunicação muito na sua cultura genética, já é second nature fazer isso. O que é que há de novo? É a facilidade com que se comunica. É a facilidade com que com um dispositivo móvel, que tem uma capacidade computacional absolutamente avassaladora, comunica. E essa facilidade, muitas vezes, é a armadilha. Para certas coisas, se pensássemos cinco segundos usaríamos outra maneira de comunicar, inclusivamente pelo mesmo dispositivo, mas por canais seguros.

O Presidente da República e o primeiro-ministro devem passar horas ao telefone. Podemos estar descansados que essas comunicações são seguras ou alguém pode estar a escutá-las ou a intercetá-las?
Não tenho informação sustentada que me permita responder à sua pergunta. O que sabemos é que estamos a investir para que isso seja cada vez mais seguro. Posso dizer-lhe que desenvolvemos com universidades portuguesas, ou com empresas associadas a universidades portuguesas, mecanismos para que essa comunicação seja cada vez mais segura. Agora, tenho a noção de que as pessoas a esse nível quando precisam de falar com mais discrição provavelmente não usarão o telemóvel. Ou se usarem usam aplicações que em princípio, em princípio, lhes dão mais segurança. E eu refiro este "em princípio" porque são aplicações comerciais que qualquer um de nós pode fazer o download da respetiva store, seja Android ou IOS, mas que não conhecemos o código, não conhecemos onde é que estão os servidores, e, portanto, alguma cautela é sensata.

Em casos limite, o melhor é uma conversa presencial?
Em casos limite o melhor é uma conversa presencial e em casos limite é melhor uma conversa presencial em sítios controlados.

Outra área de preocupação é a da saúde. Durante a pandemia houve ataques a hospitais. Como prevenir para que os nossos dados médicos não vão parar às mãos de terceiros?
Os dados não só são sigilosos como valiosos. Os dados pessoais mais valiosos são precisamente os registos médicos, por causa da sua riqueza, da sua densidade. Eles, aliás, estão priorizados em alto nível no próprio Regulamento Geral de Proteção de Dados. Ciente disso, a UE nas suas diretivas nesta área, a diretiva de Segurança das Redes de Informação, que nós já transpusemos para a nossa legislação, tem precisamente a saúde como uma das áreas essenciais. Por causa disso, no ano passado, propusemos, ao nível da Comissão Europeia, e foi aceite, que Portugal coordenasse um subgrupo precisamente na área dessa diretiva, e esse subgrupo é justamente na área da saúde. Temos uma relação muito forte com o Ministério da Saúde, concretamente com os Serviços Partilhados do Ministério da Saúde, e ajudámo-los a construir uma estrutura de governance para a cibersegurança na saúde. Temos excelentes relações ao nível tático, ao nível operacional e ao nível estratégico. Durante a pandemia houve ainda incidentes em relação a laboratórios e a universidades e a centros de investigação que estavam na produção das vacinas no sentido de roubar literalmente todos os segredos científicos que estavam ali a ser desenvolvidos para a produção destas vacinas.

Ninguém está imune aos ciberataques?
Exatamente.

Com o teletrabalho e com o confinamento, as pessoas usaram mais as tecnologias. As empresas escancararam as portas. Consideram que correram sérios riscos em áreas estratégicas? Chegou-se ao nível vermelho?
As empresas mais críticas no nosso país têm grandes capacidades de investimento nessas áreas. Mas não estão livres. Aliás, referiu precisamente uma, a da energia, que foi sujeita a um ataque, que foi entretanto mitigado. Agora, há outras... O nosso evento de 2019, no Porto, foi inteiramente dedicado às pequenas e médias empresas, que certamente correm sérios riscos. E, por vezes, só temos a noção do risco quando somos sujeitos às consequências desse risco. É por isso que temos de investir na formação das pessoas, porque um cidadão mais bem formado é mais protegido. E isto não se aplica só ao digital, também às democracias, a tudo na sociedade.

Em Portugal, nos últimos anos, tem havido uma crise de talento também nas áreas da cibersegurança?
Há muito mais procura do que oferta e nós sentimos isso na nossa organização. Estou lá [no Centro Nacional de Cibersegurança] há seis anos e tenho visto, todos os anos, cada vez mais pessoas a serem aliciadas, e algumas vão para o privado e só lhes desejo muita sorte. O setor privado, a partir de um certo nível, é muito mais competitivo do que o setor público. Mas também gosto de ver o lado positivo do problema: estamos a plantar sementes, estamos a contribuir para que as próprias empresas, as próprias entidades que recebem esses nossos ex-colegas ou colegas, também fiquem com essa cultura, criem essa cultura. Estou a lembrar-me de que na semana passada despedi-me de um que foi para uma grande empresa da área alimentar e vai trabalhar em cibersegurança. Isto para mim é um sinal de que os dirigentes dessa empresa percebem que há uma exposição ao risco digital mesmo numa área que assim diretamente poderia não parecer relevante. Isso é positivo para nós. E nós o que fazemos? Vamos buscar jovens a sair das universidades. Temos é de ter a capacidade de os enquadrar. Portanto, há determinados quadros médios que, desejavelmente, não gostaríamos de perder sob o risco de depois não termos capacidade de os enquadrar, culturalmente falando.

Estão a recrutar neste momento junto das universidades?
Sim, estamos recrutadores.

Vamos falar dos riscos da desmaterialização. Hoje em dia, o cidadão quer tudo fácil e essa facilidade comporta riscos. Estou a lembrar-me, por exemplo, do Simplex, em que todos os dados estão digitalizados. Como conciliar segurança com acessibilidade?
Temos de trabalhar, e estamos a trabalhar, em várias dimensões para isso. Na recentemente aprovada (em julho, se não estou em erro) Estratégia para a Valorização do Estado há um indicador em particular que estabelece que 80% das entidades públicas têm de ter o quadro nacional de referência em cibersegurança implementado até, salvo erro, 2023. O que é que é este quadro? Este quadro é um referencial de cibersegurança, que está disponível no nosso site. Muitas empresas e instituições já estão a usar, com um guia para verificar se está ou não a cumprir com aquele quadro.

É obrigatório ou opcional?
É obrigatório. E, no dia 19 de novembro vamos fazer o segundo Fórum para a Administração Pública, onde é um dos temas. Eu já estive do outro lado, fui secretário de Estado adjunto do Ministério da Defesa Nacional, e, mesmo com a formação que tenho, gostaria que me dessem orientações sobre como é que vou implementar. É importante que tenhamos esta atitude, colocarmo-nos no lado do outro para podermos perceber as dificuldades que poderá ter e ajudá-lo.

No caminho para a digitalização, para a desmaterialização, voto eletrónico nas eleições: sim ou não?
Nós acompanhamos esse assunto de muito perto há já algum tempo. A nossa posição, que já está escrita em vários documentos oficiais, é que tem de haver cautela.

Isso quer dizer o quê?
O que quer dizer é isso mesmo. Não vamos embarcar em algo que, se calhar, diminuía bastante a abstenção e faria que muitas pessoas que não querem deslocar-se às assembleias de voto votassem, mas que traz riscos de segurança enormes. É um sistema altamente complexo e há vários escritos e até testemunhos verbais sobre esse assunto. O ideal, reconheço, era termos uma app onde pudéssemos votar em qualquer sítio. Mas depois como é que se fazia o escrutínio? Como é que o processo eleitoral alguma vez acabava? Porque alguém ia sempre colocar em questão se o voto no partido A, B ou C era real ou se poderia ter sido manipulado.

Colocaria em risco a democracia?
No atual panorama tecnológico sim. Até sobre a própria Rússia, que teve eleições no fim de semana passado, foi amplamente noticiado que houve tentativas de alteração dos resultados eleitorais. Portanto, estamos a acompanhar experiências. Nas últimas eleições foi feita uma experiência em Évora, que nós acompanhámos e em que ajudámos a Comissão Nacional de Eleições [CNE]. Aliás, o nosso exercício de 2019, ano em que houve muitas eleições, foi focado precisamente nisso, e estamos, por exemplo, a acompanhar o que os franceses estão a fazer, o que outros países da UE estão a fazer. Mas a nossa recomendação é passos nesse sentido, sim, mas passos pequeninos para não entrarmos em situações das quais depois seja muito difícil sair.

O novo Regulamento Geral de Proteção de Dados, de alguma forma, apertou o cerco em relação à proteção de dados individuais, mas essa proteção ajuda ou complica quando se trata depois de tentar perceber crimes, por exemplo, de cibersegurança?
Sim, sim, eu percebo a pergunta. Acho que uma coisa é indissociável da outra. E, aliás, trabalhamos muito de perto com a Comissão Nacional de Proteção de Dados e de uma forma muito simbiótica. É como se fosse um puzzle em que as duas peças têm de ser harmoniosamente encaixadas.

Mas quanto mais segurança menos liberdade?
Não. Isso é um mito. Se a segurança for colocada logo à partida do desenvolvimento de um sistema ou de um ecossistema de sistemas, ela é natural. Os carros hoje são muito mais seguros do que eram há dez anos e não é por causa disso que os carros são menos confortáveis, menos libertadores. E, portanto, esse mito é algo que devemos também desmistificar. Quando a segurança vai para patamares ligados com informação classificada, que é outra área da instituição que dirijo, já limitam espaço. Porquê? Porque têm requisitos de segurança física muito apertados. Nem todas as pessoas podem aceder, não se pode aceder àquela informação em qualquer sítio, tem de ser em sítios que cumpram determinados requisitos, e assim sucessivamente. Agora, claro que torna os sistemas mais complexos e mais caros. Mas se aquilo estiver nos requisitos logo à partida, e mais, se se generalizar, torna-se mais simples, mais natural. Antigamente quando se queria pôr um extra que colocasse mais segurança num carro - por exemplo um ABS que não era standard - tinha de se pagar mais um X. Agora é um produto standard. O cinto de segurança a mesma coisa. Quando foi inventado pela Volvo há não sei quantos anos era um extra caro, agora não. Portanto, acho que isso vai evoluir e pensar que a segurança é um limitador da liberdade é ab initio um pensamento que me parece que não é certo. Agora, e isso é que é fundamental, tem de haver equilíbrio. Saber para onde é que devemos levar a segurança para que o sistema seja utilizável, seja fácil de usar e cumpra o requisito para o qual foi pensado.

Quantos processos-crime já foram abertos por ataques detetados pelo Centro de Cibersegurança?
Quem tem de abrir os processos-crime é a Polícia Judiciária [PJ], a Unidade de Combate ao Cibercrime Tecnológico. Portanto, o Relatório Riscos e Conflitos, salvo erro, menciona isso, mas temos uma estrutura de ligação com quatro entidades da qual a Unidade de Combate ao Cibercrime Tecnológico faz parte e com a qual temos uma relação excelente. Quando tratamos do que temos a tratar, que é repor o serviço que foi comprometido decorrente de um incidente ou de um comprometimento, passamos essa informação à Unidade de Combate ao Cibercrime Tecnológico da PJ para eles prosseguirem com a área que mencionou.

E desses processos que foram passados, tem ideia de quantos terão sido?
Não tenho ideia, de memória.

Mas é um número crescente?
Sim, é. Semanalmente, às sextas-feiras, fazemos o briefing da semana e, inclusivamente, o Observatório de Cibersegurança Pública faz regularmente boletins, e temos visto que, por exemplo, a fraude por meios digitais tem sido uma ameaça crescente. Não é uma ameaça, é factualmente crescente, precisamente porque as pessoas usam mais os meios de pagamento eletrónico...

Estamos a falar de fraude?
Fraude através dos pagamentos, sobretudo MB Way. O MB Way é uma aplicação segura, mas a forma como as pessoas a usam é que pode ser, enfim, ludibriada. Na verdade, basta que o MB Way esteja num dispositivo móvel comprometido que isso traz logo ali problemas ou potencial de problemas. Enfim, sabemos de casos em que isso aconteceu.

Temos assistido ao crescendo do terrorismo. A guerra do terrorismo também é cada vez mais digital e através desses meios. A divulgação dos conteúdos extremistas nas redes é uma ameaça global. Como é que se combate?
Como disse há bocado, parece-me que a guerra é cada vez mais híbrida. Mas sim, esses grupos usam muito os meios digitais por causa da velocidade e do alcance, da propagação quase instantânea. Uma das chaves para mitigar isto é a colaboração interdepartamental, quer ao nível nacional quer ao nível internacional, e isso nós temos a sensação que acontece. Por exemplo, temos um embaixador para a ciberdiplomacia, que é um embaixador de carreira do Ministério dos Negócios Estrangeiros [MNE], que também é um veículo da participação e colaboração inter-Estados. E depois, definir ações coordenadas e conjuntas por oposição em cada um estar no seu canto.

E isso está a ser conseguido?
Isso está a ser conseguido, porque nós - enfim, não é da competência do Centro Nacional de Cibersegurança, é de outros serviços do Estado - sabemos que muitos ataques estavam a ser planeados e não aconteceram precisamente por causa desta colaboração que existe entre Estados para este propósito.

Uma das notícias das últimas semanas, que espantou os portugueses, foi o facto de dois suspeitos de terrorismo, que foram depois até extraditados, terem servido à mesa o primeiro-ministro e o Presidente da República e tirado selfies. Isso faz de nós uma república das bananas? O tal país de brandos costumes que nem aos terroristas interessa, como diria Ricardo Araújo Pereira [RAP] na sua crónica? Ou é só uma falha grave, um laissez faire, laissez passer tão característico português?
Vou responder-lhe como cidadão.

Mas eu gostava que me respondesse, além de cidadão, como responsável por esta organização.
Sim. Então, vou primeiro responder-lhe como responsável por esta organização. A minha organização não tem, no seu portfólio de serviços, competências nessa área. Não me estou a escapar à pergunta. Como cidadão também fiquei surpreendido. Fiquei surpreendido como é que isto acontece no nosso país, porque nem me passa pela cabeça que aquelas pessoas não estivessem, digamos assim, na lista de algum dos serviços como pessoas que, enfim, tinham um currículo daquela maneira.

Está habilmente a escolher as palavras...
Estou, estou.

Este foi tema de conversa no país inteiro. A questão é: como é que é possível? O que é que falhou?
O que terá falhado foi ou a identificação efetiva e profunda daquelas pessoas na altura certa, ou então foi o não avaliar efetivamente o risco que tal situação conferia. Ou então, enfim, quem sabe se o RAP não terá razão na sua alocução, mas já estou a ser um bocadinho irónico. Mas surpreendeu-me completamente. Surpreendeu-me e confesso-lhe que falámos entre nós sobre isso, mas, mais uma vez, como diretor-geral do Gabinete Nacional de Segurança e do Centro Nacional de Cibersegurança, as nossas competências não abarcam [essa área].

Mas há responsáveis?
Há responsáveis.

Quem são?
Todo o ecossistema ligado ao Serviço de Informações. Não os quero responsabilizar, nem pouco nem mais ou menos, quem sou eu para responsabilizar um serviço desses, mas conheço, trabalhamos muito bem com eles. Agora, alguma coisa na cadeia de valor falhou para que isso aconteça. E vermos, de facto, o mais alto magistrado da nossa nação exposto daquela maneira... Fiquei surpreendido, no mínimo, e estou a medir as palavras.