O ataque informático do blogue “Mercado de Benfica” ao Clube da Luz pode ter recebido mais atenção mediática do que outros, mas a verdade é que Portugal não tem passado ao lado do fenómeno dos ciberataques e das suas consequências. O i contactou a Procuradoria-Geral da República para saber quantas investigações relacionadas com crimes informáticos estão em curso, mas não obteve resposta até ao fecho da edição. Contudo, os dados mais recentes disponibilizados nas estatísticas da justiça, acessíveis online, revelam que em 2017 as autoridades policiais registaram 719 crimes vulgarmente conhecidos como ataques informáticos. Para a contagem entram dois tipos distintos de crime: o de acesso e interceção ilegítimos e o de sabotagem informática, que somaram, respetivamente, 470 e 249 ocorrências.
Os números têm vindo a crescer nos últimos anos – entre 2010 (366 crimes) e 2017 aumentaram 96 % –, o que não surpreende se se considerar que também o acesso à internet tem exponenciado, sustentado numa rápida evolução da tecnologia e na multiplicação dos dispositivos que permitem aceder à rede. Se nos primeiros anos desta década o crime de acesso e interceção ilegítimos registava ocorrências na casa das três centenas e diminuiu para as duas centenas em 2012, em 2014 os números inverteram e passaram a casa das três centenas. Desde aí, têm vindo a aumentar de ano para ano. O mesmo pode dizer-se quanto ao crime de sabotagem informática, que no início da década registava pouco mais de uma dezena de ocorrências.
O crescimento dos ciberataques, de resto, é visível nas notícias. Antes do ataque informático, na segunda-feira, à PLMJ, e do ataque ao Benfica, outras instituições portuguesas já figuravam na lista das entidades alvo de ataques informáticos. Foi o caso da Portugal Telecom (hoje Altice), uma das empresas afetadas pelo ciberataque a empresas a nível mundial e que, em Portugal, levou a EDP a cortar os acessos à internet da sua rede por prevenção.
Mas aquele que é provavelmente o incidente mais grave na história dos ciberataques em território nacional aconteceu em 2014, quando um conjunto de piratas informáticos invadiu os sistemas informáticos da PGR, do Parlamento, de vários ministérios e de diversas câmaras municipais e ainda de várias forças da autoridade – a PJ, a PSP e a GNR. O processo envolve 23 arguidos, que vão ser julgados por crimes de sabotagem informática, associação criminosa e acesso ilegítimo. Nas palavras de um pirata informático que participou no ataque, os envolvidos eram “apenas uma cambada de miúdos com picardias” e não “ativistas”.
As implicações do ataque suscitam dúvidas quanto à preparação do país para este tipo de ataques e a verdade é que existem, realmente, motivos para preocupação. Quem o reconhece é o coordenador do Centro Nacional de Cibersegurança (CNCS) – autoridade nacional especialista em matéria de cibersegurança, cuja missão é contribuir para o uso livre e seguro do ciberespaço, em articulação com as autoridades competentes –, que admitiu em novembro do ano passado, na conferência “Cibersegurança: reduzir o risco, combater as ameaças”, que o país está um “pouco atrasado” na definição de uma estratégia nacional de cibersegurança.
Na mesma ocasião, Lino Santos recusou, contudo, que os responsáveis políticos não estejam despertos para o tema. “Não tenho nenhum problema em dizer que o Estado está um pouco atrasado no tempo relativamente a este assunto. Portugal criou o CNCS em 2014 e devia ter criado esse centro em 2005 ou 2006”, considerou o responsável.
Os números do CNCS, de resto, mostram que o trabalho desenvolvido tem dado resultados. O mais recente Relatório Anual de Segurança Interna (RASI), relativo a 2017, revela que a equipa de reação a incidentes da entidade recebeu 1895 notificações de ataques no ciberespaço. Dessas, 535 “resultaram na abertura de incidentes analisados e resolvidos com sucesso”, lê-se no documento. Entre os casos, mostra o relatório, “17% afetaram direta ou indiretamente entidades do Estado, o que representa um acréscimo de 8% em relação ao ano transato”. A maioria dos crimes teve como objetivo a recolha de informação e as instituições do setor bancário foram as mais afetadas.
Falta de preparação? Se os hackers conseguem entrar nos sistemas governamentais – que deveriam, por princípio, ser os mais bem preparados e os mais seguros –, não haverá algo de errado com a estratégia de cibersegurança do país? Ao i, Nuno Ferreira Neves, Professor Catedrático do departamento de Informática na Faculdade de Ciências da Universidade de Lisboa – que oferece desde 2007 o Mestrado em Segurança Informática –, defende que “o país deu alguns passos importantes que visam melhorar a sua postura no campo da cibersegurança, que envolveram por exemplo a criação do Centro Nacional de Cibersegurança”, ainda que “existam vários aspetos a melhorar, nomeadamente relacionados com a concretização no terreno de algumas das melhores práticas recomendadas internacionalmente”.
A área, assinala o professor, debate-se com uma dificuldade premente: é que “existe atualmente uma carência significativa de recursos humanos especializados em segurança informática, o que torna muito difícil a contratação de peritos”, em particular pelas forças de segurança, que não conseguem competir “em termos de salários com os valores praticados no setor privado”. No entanto, reconhece, “tanto as forças na área da investigação criminal como as forças na área da defesa têm procurado melhorar as suas competências para lidar com atividades ofensivas no ciberespaço”.
A investigação destes casos cabe à Unidade Nacional de Combate ao Cibercrime e a Criminalidade Tecnológica (UNC3T) e vão sendo alocados os investigadores necessários em cada momento, revela fonte ligada à investigação de cibercrimes que preferiu não ser identificada.
E as instituições públicas estão preparadas para lidar com ciberataques? O especialista da Faculdade de Ciências traça um retrato “heterogéneo”, referindo que algumas organizações já investiram na “prevenção e resposta a ataques”, enquanto outras ainda não deram esse passo.
A fonte que optou por não ser identificada tem igual percepção: “Há as que revelam alguma falta de segurança informática”, diz. Tendo em conta essa realidade, as autoridades agem em muitos casos de forma proativa e preventiva. “A PJ tem a atividade preventiva e proativa, esta última sobre casos em concreto. A preventiva tem que ver com alertas que a PJ desenvolve”, explica a mesma fonte, lembrando que neste tipo de crimes é fundamental a cooperação internacional, salientando a da Europol e a da Interpol. Ainda assim, a mesma fonte nota que este tipo de ataques nem sempre são denunciados pelas entidades atingidas, que muitas vezes nem sequer se apercebem. “Há as duas situações: umas vezes as pessoas apercebem-se e denunciam e outras vezes é a PJ que nota e procede à investigação”, esclarece.
Por sua vez, Nuno Ferreira Neves nota que a prevenção não é fácil. “Há um consenso entre os especialistas de segurança informática segundo o qual é extremamente difícil (ou impossível) defender totalmente um sistema complexo”, diz. Ainda assim, há mecanismos que podem ser postos em prática: a autenticação, o controlo de acesso e a monitorização de sistemas são alguns exemplos.
* com Carlos Diogo Santos
