Deitar abaixo o governo com pequena equipa de “hackers”? É “extemporâneo e absurdo”

Em entrevista à Renascença, o coordenador do Centro Nacional de Cibersegurança (CNCS) reage às declarações do professor e engenheiro informático José Tribolet, segundo o qual “com 100 mil euros e uma pequena equipa" deitava "abaixo um governo em 15 dias”. Lino Santos classifica-as como “extemporâneas e um pouco absurdas”.

No dia em que o CNCS promove um exercício para testar a segurança do processo eleitoral, o coordenador do centro operacional responsável pela cibersegurança nacional refuta um “cenário dantesco” em caso de ciberataque, admitindo, no entanto, que há sempre debilidades que é preciso estar atento.

Num ano em que o país enfrenta três atos eleitorais – europeias, regionais e legislativas –, o coordenador aborda a possibilidade de se recorrerem a campanhas de desinformação para influenciar as eleições, a forma como tem trabalhado com os partidos para evitar que estes sejam “hackeados” e fala da possibilidade de haver uma alteração legislativa para proteger “hackers” que denunciem debilidades nos sistemas nacionais.

José Tribolet disse que a fragilidade dos sistemas vitais portugueses era assustadora e que com “com 100 mil euros e uma equipa pequena” deitava abaixo um governo. Estamos assim tão frágeis?
São declarações extemporâneas e um pouco absurdas. O que se tentou foi caricaturar uma ideia de que as nossas entidades não estão preparadas para resistir a um ataque de grande envergadura. Não concordo. Acho que temos quatro organismos que se têm vindo a preparar em articulação entre si. Estou a falar na componente da coordenação da resposta a incidentes, que é executada por nós; da Unidade de Combate ao Cibercrime da Polícia Judiciária e da sua missão de identificação de autores e de os levar à justiça; do Centro de Ciberdefesa, da responsabilidade do Estado-Maior-General das Forças Armadas, que é responsável pela componente mais ofensiva; e dos Serviços de Informação, que também dão contexto a esta atividade ilícita.

Estas entidades têm vindo a preparar-se. Cada uma atua em rede com os seus congéneres internacionais e, face a um ciberataque a grande escala, não trabalham sozinhas. Temos o apoio da comunidade internacional, se for necessário para reagir. Não acredito num cenário dantesco a partir de um ciberataque.

Isto não quer dizer que as entidades não tenham as suas fragilidades, que essas fragilidades não possam ser exploradas e que nós não tenhamos de trabalhar para as mitigar. Mas isso é um trabalho contínuo. Vulnerabilidades em sistemas empresariais ou da nossa administração publica surgem todos os dias e o trabalho que fazemos é ajudar a mitigar essas debilidades antes que elas sejam exploradas por agentes maliciosos ou criminosos.

O que é que pretendem avaliar com o exercício que começa esta quarta-feira?
Este exercício é um tipo de exercício de tomada de decisão. Ao contrário da maior parte dos exercícios que temos na área da cibersegurança, que exercitam capacidades técnicas de análise forense, este exercício em particular fica-se pela tomada de decisão e articulação entre autoridades. Queremos testar a capacidade das autoridades que têm participação direta ou indireta no processo eleitoral e, por outro lado, queremos testar a articulação e a partilha da informação necessárias para uma boa reação.

Este é o segundo exercício do género que fazem. O país não deveria ter começado mais cedo a testar a sua capacidade de resposta a ciberataques?
Este é o segundo exercício organizado por nós. O CNCS participa nos exercícios de ciberdefesa da NATO, no exercício organizado pelo Exército português chamado "Ciber Perseu" e, também, nos exercícios europeus organizados pela Agência Europeia de Segurança das Redes e da Informação (ENISA).

O centro foi criado em 2014 e a lei orgânica que o cria atribui-lhe a responsabilidade de organizar exercícios de cibersegurança. O CNCS fê-lo quando verificou que tinha as condições para o fazer. A primeira edição foi em 2018, ou seja, quatro anos depois da sua criação.

O foco são as eleições, mas o país não usa um sistema de urnas eletrónicas. Por que é que as eleições são então um assunto de cibersegurança?
O foco do evento não é o sistema de voto em si. O foco é todo o contexto que está à volta do processo eleitoral. Vamos exercitar um conjunto de cenários – que já vimos noutros países – e que podem minar a confiança e a transparência dos resultados eleitorais.

Não é pelo facto de o voto ser em papel que não há a possibilidade de chegarmos ao fim e não haver confiança da sociedade no resultado. Pode haver um processo no meio – por exemplo, no apuramento provisório de resultados, na condução dos eleitores à respetiva urna de voto – que mine a confiança no resultado das eleições.

Uma das preocupações que têm manifestado é a questão das campanhas de desinformação online. Mas essas campanhas acontecem em plataformas que não estão sob a alçada do Estado, como é o caso das redes sociais. Não escapam assim ao raio de ação do CNCS?
Esse é mais um exemplo de uma forma como um processo eleitoral pode ser influenciado por sistemas satélite. Queremos perceber como é que, como país, somos capazes de responder a uma situação dessas. Não sei o que vai acontecer.

É óbvio que essas plataformas são operadas por privados, mas também vivemos num país com liberdade de expressão. Entendemos que o trabalho a fazer nessa área deve passar por formar os cidadãos a ter uma atitude mais crítica na utilização e no consumo de informação. Este é um fenómeno que veio para ficar.

Nas eleições francesas o partido de Emmanuel Macron foi alvo de um ataque e documentos internos do partido foram revelados na fase final da campanha. Como estão os partidos portugueses nesta matéria?
Temos trabalhado com a Comissão Nacional de Eleições (CNE) e preparamos ações de sensibilização junto dos partidos políticos. A ideia é prestar apoio total às campanhas para se precaverem contra ataques de roubo de informação que possam ser usadas em contexto de campanha eleitoral. Estamos a trabalhar de forma preventiva na sensibilização e no aconselhamento das melhores práticas.

Os partidos participarão no exercício?
Os partidos políticos foram convidados a participar apenas na modalidade de observadores. Achamos que a melhor forma de fazer um exercício sobre este tema era construir um cenário completamente falso, com dois partido falsos a lutar entre si para ganhar as eleições.

Há planos para criar eventos como este voltados para a comunidade “hacker” em que estes são convidados a explorar debilidades dos sistemas?
Temos trabalhado essa área. Não na criação de eventos, mas na participação em eventos internacionais. Estamos a trabalhar com universidades portuguesas para participar num encontro desse género de equipas nacionais promovido pela ENISA.

Estamos também a tentar criar uma política nacional de "responsible disclosure", ou seja, ter um ponto de notificação de vulnerabilidades encontradas por esses "hackers".

O objetivo é ter uma política nacional em que o “hacker” dá conta ao CNCS que existe uma determinada vulnerabilidade num sistema de uma empresa ou da administração pública e, depois, nós podermos fazer a mitigação daquela vulnerabilidade com a entidade em causa. Isto pode implicar uma alteração jurídica porque precisamos que criar proteção legal para esse tipo de “hacker”.

Quando recebemos este tipo de notificações temos alguma dificuldade em proteger o individuo. Mas entendemos que essa informação é extremamente útil e contribui para a cibersegurança nacional. Estamos a trabalhar com a PGR para encontrar um enquadramento para esta política nacional.

Esse trabalho que está a ser feito admite a criação de programas que recompensem monetariamente essas pessoas?
Isso já é possível. Qualquer empresa ou entidade pode criar um "bounty program" [programa que recompensa programadores/”hackers” que encontram debilidades em sistemas informáticos], autorizando estes indivíduos que queiram participar a realizar baterias de testes para encontrar vulnerabilidades. Não é preciso enquadramento legal para isso.

Mas nós não incentivamos que isso aconteça de uma forma generalizada. Entendemos que deve haver um ambiente controlado para o fazer.