"Cibercrime tem grande dinâmica e vai aumentar"
Um ataque informático à escala mundial pôs Portugal no mapa das vítimas do chamado ransomware, uma forma de ataque informático que tem evoluído e que se prevê que se mantenha como tendência. Criado em 2012, o Centro Nacional de Cibersegurança (CNCS) é a primeira linha de defesa dos serviços públicos a ataques informáticos, mas o seu coordenador, Pedro Veiga, pretende que, sobretudo, as pequenas e médias empresas interiorizem a necessidade de segurança informática.
O mais recente ataque informático pôs, novamente, na ordem do dia a questão da segurança online. Como é que Portugal tem evoluído nesta matéria?
Não é só o cibercrime online que é relevante mas também outros tipos de aspetos a que temos de atender, ligados à necessidade de assegurar que as organizações não param quando há problemas técnicos, por exemplo, devido a falhas na conceção de produtos ou de serviços. A proteção de redes e sistemas de informação, em Portugal, tem vindo a ser concretizada a nível da administração e das maiores empresas, a um bom ritmo e se virmos os indicadores internacionais e o que aconteceu neste ataque, em Portugal e visto como um todo, podemos considerar que estamos com um nível de preparação bom. Mas isto não significa que não necessitemos de melhorar, pois a quantidade e o tipo de problemas de segurança digital que podem acontecer é grande e há que garantir padrões muito elevados de preparação para proteger os bens no mundo digital. É necessário garantir a disponibili- dade e a proteção de informação crítica, em especial a informação de carácter pessoal, e é necessário encarar este problema segundo várias facetas, a de gestão, a organizativa e a técnica e tecnológica. Será com uma visão integrada destes temas que se conseguirão atingir níveis superiores de segurança digital e isso exige uma abordagem transversal, exige investimentos em recursos humanos e tecnológicos. Mas há ainda um longo caminho a percorrer, em especial para o tecido das PME.
A criação do CNCS reflete uma necessidade de centralizar a segurança informática dos organismos do Estado?
Não, não há centralização, até porque a Estratégia Nacional de Segurança do Ciberespaço preconiza que é seguido o princípio da subsidiariedade, ou seja, cada entidade (ministério, instituto, empresa, indivíduo) deve cuidar da sua segurança digital. O CNCS é responsável pelas atividades em que há necessidade ou benefícios em serem feitos centralmente. Por exemplo, e isso aconteceu durante este ataque, foi a centralização e distribuição de informação sobre o que ia acontecendo, a coordenação a nível internacional com outros centros análogos noutros países e a interação com fornecedores tecnológicos o que garantimos. Estas vertentes ganham em serem feitas de modo centralizado para aumentar a eficácia e garantir a coerência das ações.
O CNCS limita-se a fazer análise e prevenção de ataques ou tem outras competências, como ciberpatrolling? Monitoriza a segurança informática de todos os organismos públicos, incluindo autarquias?
Não temos, ainda, todas as condições técnicas para fazer monitorização de todos os organismos públicos e mesmo a nível formal há instrumentos que é necessário instituir para viabilizar esta monitorização. Teremos de atualizar a estratégia nacional para garantir uma maior abrangência e que não existem lacunas quer a nível organizativo quer a nível operacional. É uma área de enorme dinâmica em que nos devemos ir adaptando e evoluindo para estarmos mais capacitados para fazer frente aos novos desafios de segurança que vão ocorrendo.
A última Lei das Prioridades da Política Criminal coloca a cibercriminalidade nas principais preocupações. Prospetivamente, considera que se assistirá a um aumento deste tipo de crimes?
Sim, o cibercrime é uma realidade e o reforço que foi decidido dos meios de combate ao cibercrime, aprovado no final de 2016, em especial o aparecimento na UNC3T, mostra que se estão a criar mais condições para defrontar este problema. Com efeito o cibercrime tem vindo a aumentar e é natural que apareçam novos tipo de crimes, que em muitos casos não serão completamente novos, correspondem só ao uso ou à transposição de antigos crimes usando este novo meio. O ramsomware é um tipo de crime que tem tendência para aumentar e a melhor maneira de o combater, que até nem é muito complexa, consiste em aplicar um conjunto de boas práticas para diminuir a possibilidade de ter impacto. A nível organizacional é necessário reforçar a configuração dos sistemas de e-mail para diminuir a receção de e-mails de origens indesejáveis, ainda é crucial manter os sistemas sempre atualizados para garantir os mais altos padrões de qualidade das tecnologias em uso, fazer cópias de segurança frequentes para poder recuperar o estado saudável dos sistemas de informação caso sejam comprometidos e, finalmente, estar atento e nunca abrir mensagens de fontes desconhecidas.
Em Portugal existe uma cultura de segurança informática - desde o setor público ao privado - ou os responsáveis políticos e gestores apenas "acordam" para o problema quando há um ataque?
A pergunta pressupõe uma visão global que é muito difícil de ter. Há setores, na administração e em empresas, que têm níveis de preparação ao nível do que melhor se faz internacionalmente. Mas há outras entidades onde isso não ocorre e sobre as quais deve incidir a nossa preocupação como, por exemplo, as PME ou os cidadãos menos capacitados para estes desafios do mundo digital.
Existe ou não uma vulnerabilidade nas webcams? Quando liga o seu computador, tapa a webcam?
As webcams dos portáteis e tablet e até as câmaras com que vêm equipados alguns smartphones e smartTV podem e têm sido alvo de intrusões. Isso é preocupante e deve-se ao facto de os fabricantes destes equipamentos não conceberem estes sistemas com a segurança como um requisito central no projeto. A pressa em chegar ao mercado e em reduzir custos levam a que a segurança não seja bem tratada. O mesmo acontece com os microfones destes equipamentos que podem ser ativados remotamente e, assim, ouvirem as nossas conversas. De salientar que estas duas situações não são muito vulgares, e a sua incidência será limitada se mantivermos o software atualizado. Mas devemos ser cautelosos. No meu caso utilizo uma proteção sobre a câmara que só retiro quando pretendo usá-la, por exemplo para fazer videoconferências. Sugiro que todos sejam cuidados e tenham práticas semelhantes.
Em Portugal há uma cultura de hactivismo ou o fenómeno está perfeitamente identificado e circunscrito?
O CNCS não tem uma visão sobre esta área, na medida em que a competência para tratar do assunto é de outras entidades. Mas posso dizer que antes de assumir as funções de coordenador do CNCS e como professor universitário a visão que tinha, comparando com contextos de outros países que conhecia, estamos longe de ser um país onde esta prática tenha índices que nos devam causar alarme.