"Cibercrime tem grande dinâmica e vai aumentar"

Depois do ataque da semana passada, Pedro Veiga, coordenador do Centro Nacional de Cibersegurança, considera que as PME's devem reforçar a segurança informática
Publicado a
Atualizado a

Um ataque informático à escala mundial pôs Portugal no mapa das vítimas do chamado ransomware, uma forma de ataque informático que tem evoluído e que se prevê que se mantenha como tendência. Criado em 2012, o Centro Nacional de Cibersegurança (CNCS) é a primeira linha de defesa dos serviços públicos a ataques informáticos, mas o seu coordenador, Pedro Veiga, pretende que, sobretudo, as pequenas e médias empresas interiorizem a necessidade de segurança informática.

O mais recente ataque informático pôs, novamente, na ordem do dia a questão da segurança online. Como é que Portugal tem evoluído nesta matéria?

Não é só o cibercrime online que é relevante mas também outros tipos de aspetos a que temos de atender, ligados à necessidade de assegurar que as organizações não param quando há problemas técnicos, por exemplo, devido a falhas na conceção de produtos ou de serviços. A proteção de redes e sistemas de informação, em Portugal, tem vindo a ser concretizada a nível da administração e das maiores empresas, a um bom ritmo e se virmos os indicadores internacionais e o que aconteceu neste ataque, em Portugal e visto como um todo, podemos considerar que estamos com um nível de preparação bom. Mas isto não significa que não necessitemos de melhorar, pois a quantidade e o tipo de problemas de segurança digital que podem acontecer é grande e há que garantir padrões muito elevados de preparação para proteger os bens no mundo digital. É necessário garantir a disponibili- dade e a proteção de informação crítica, em especial a informação de carácter pessoal, e é necessário encarar este problema segundo várias facetas, a de gestão, a organizativa e a técnica e tecnológica. Será com uma visão integrada destes temas que se conseguirão atingir níveis superiores de segurança digital e isso exige uma abordagem transversal, exige investimentos em recursos humanos e tecnológicos. Mas há ainda um longo caminho a percorrer, em especial para o tecido das PME.

A criação do CNCS reflete uma necessidade de centralizar a segurança informática dos organismos do Estado?

Não, não há centralização, até porque a Estratégia Nacional de Segurança do Ciberespaço preconiza que é seguido o princípio da subsidiariedade, ou seja, cada entidade (ministério, instituto, empresa, indivíduo) deve cuidar da sua segurança digital. O CNCS é responsável pelas atividades em que há necessidade ou benefícios em serem feitos centralmente. Por exemplo, e isso aconteceu durante este ataque, foi a centralização e distribuição de informação sobre o que ia acontecendo, a coordenação a nível internacional com outros centros análogos noutros países e a interação com fornecedores tecnológicos o que garantimos. Estas vertentes ganham em serem feitas de modo centralizado para aumentar a eficácia e garantir a coerência das ações.

O CNCS limita-se a fazer análise e prevenção de ataques ou tem outras competências, como ciberpatrolling? Monitoriza a segurança informática de todos os organismos públicos, incluindo autarquias?

Não temos, ainda, todas as condições técnicas para fazer monitorização de todos os organismos públicos e mesmo a nível formal há instrumentos que é necessário instituir para viabilizar esta monitorização. Teremos de atualizar a estratégia nacional para garantir uma maior abrangência e que não existem lacunas quer a nível organizativo quer a nível operacional. É uma área de enorme dinâmica em que nos devemos ir adaptando e evoluindo para estarmos mais capacitados para fazer frente aos novos desafios de segurança que vão ocorrendo.

A última Lei das Prioridades da Política Criminal coloca a cibercriminalidade nas principais preocupações. Prospetivamente, considera que se assistirá a um aumento deste tipo de crimes?

Sim, o cibercrime é uma realidade e o reforço que foi decidido dos meios de combate ao cibercrime, aprovado no final de 2016, em especial o aparecimento na UNC3T, mostra que se estão a criar mais condições para defrontar este problema. Com efeito o cibercrime tem vindo a aumentar e é natural que apareçam novos tipo de crimes, que em muitos casos não serão completamente novos, correspondem só ao uso ou à transposição de antigos crimes usando este novo meio. O ramsomware é um tipo de crime que tem tendência para aumentar e a melhor maneira de o combater, que até nem é muito complexa, consiste em aplicar um conjunto de boas práticas para diminuir a possibilidade de ter impacto. A nível organizacional é necessário reforçar a configuração dos sistemas de e-mail para diminuir a receção de e-mails de origens indesejáveis, ainda é crucial manter os sistemas sempre atualizados para garantir os mais altos padrões de qualidade das tecnologias em uso, fazer cópias de segurança frequentes para poder recuperar o estado saudável dos sistemas de informação caso sejam comprometidos e, finalmente, estar atento e nunca abrir mensagens de fontes desconhecidas.

Em Portugal existe uma cultura de segurança informática - desde o setor público ao privado - ou os responsáveis políticos e gestores apenas "acordam" para o problema quando há um ataque?

A pergunta pressupõe uma visão global que é muito difícil de ter. Há setores, na administração e em empresas, que têm níveis de preparação ao nível do que melhor se faz internacionalmente. Mas há outras entidades onde isso não ocorre e sobre as quais deve incidir a nossa preocupação como, por exemplo, as PME ou os cidadãos menos capacitados para estes desafios do mundo digital.

Existe ou não uma vulnerabilidade nas webcams? Quando liga o seu computador, tapa a webcam?

As webcams dos portáteis e tablet e até as câmaras com que vêm equipados alguns smartphones e smartTV podem e têm sido alvo de intrusões. Isso é preocupante e deve-se ao facto de os fabricantes destes equipamentos não conceberem estes sistemas com a segurança como um requisito central no projeto. A pressa em chegar ao mercado e em reduzir custos levam a que a segurança não seja bem tratada. O mesmo acontece com os microfones destes equipamentos que podem ser ativados remotamente e, assim, ouvirem as nossas conversas. De salientar que estas duas situações não são muito vulgares, e a sua incidência será limitada se mantivermos o software atualizado. Mas devemos ser cautelosos. No meu caso utilizo uma proteção sobre a câmara que só retiro quando pretendo usá-la, por exemplo para fazer videoconferências. Sugiro que todos sejam cuidados e tenham práticas semelhantes.

Em Portugal há uma cultura de hactivismo ou o fenómeno está perfeitamente identificado e circunscrito?

O CNCS não tem uma visão sobre esta área, na medida em que a competência para tratar do assunto é de outras entidades. Mas posso dizer que antes de assumir as funções de coordenador do CNCS e como professor universitário a visão que tinha, comparando com contextos de outros países que conhecia, estamos longe de ser um país onde esta prática tenha índices que nos devam causar alarme.

Artigos Relacionados

No stories found.
Diário de Notícias
www.dn.pt