Nunca tinha havido um ataque informático com um impacto tão transversal no país. Encontra precedentes?
Temos tido ataques relevantes, quer a sistemas públicos, quer privados, mas este ataque aparentemente visou atingir e fazer uma disrupção numa estrutura fundamental do país. A Vodafone é um dos nossos três grandes operadores, nos quais assentam imensos serviços de todo o tipo, não só da nossa vida pessoal e empresarial mas de administração e segurança. Este ataque vem de alguma forma mostrar que começaram a ser atingidas infraestruturas vitais da nação. Não é nenhuma novidade no mundo, mas em Portugal com esta amplitude é a primeira vez que sucede e essa é uma circunstância muito importante. Ocorre num momento de tensão geopolítica e militar em que Portugal está envolvido porque é membro da NATO e tem forças empenhadas ativamente na defesa do Ocidente na sua fronteira com a Rússia. Na minha cabeça, há uma alta probabilidade de isso estar relacionado com este ataque.
De ter sido um ataque com origem na Rússia?
É típico de um ataque que visa atingir infraestruturas críticas, como na Segunda Guerra Mundial víamos os ataques em que rebentavam com pontes nas estradas, com os reservatórios de petróleo e gasolina. Não estamos em guerra aberta mas no ciberespaço já estamos em guerra há muitos anos. Tem havido regularmente ataques nos países do Báltico que pertencem à NATO, como Estónia e Lituânia, e a Ucrânia tem sido todos anos sujeita a ataques massivos às suas infraestruturas. Não falo apenas de operadoras de telecomunicações mas serviços de energia, água, transportes, estruturas vitais. Portanto, neste sentido o que digo é que não é surpresa para mim e não será surpresa para as estruturas político-militares do Ocidente. É absolutamente expectável.
E porquê Portugal?
Nós não somos muito grandes mas também existimos. E estando a falar da Vodafone, uma companhia mundial com serviços em todo o Ocidente, atingiram Portugal mas isto pode ser um ensaio. Estou a pôr uma hipótese e pode dizer-se que é pessimismo, mas penso que é uma hipótese com alta probabilidade de realismo. Não é certeza nenhuma, mas não acredito que uma companhia com a capacidade técnica e financeira e a responsabilidade da Vodafone possa ser penetrada por um conjunto de hackers que estejam a brincar.
Houve recentemente ataques à Impresa e à Cofina, empresas que podendo investir mais ou menos, não terão o mesmo nível de segurança. É isso que faz suspeitar de algo de outra a dimensão?
Há uma diferença brutal entre uma companhia de comunicação social e uma infraestrutura deste género. Há empresas que estão mais conscientes e têm mais capacidades e outras menos, mas quando estamos a falar de infraestruturas de comunicação têm capacidades técnicas do mais avançado que há no mundo e uma responsabilidade impressionante. Estamos a falar de infraestruturas que têm de funcionar 24 horas por dia e que têm de ser resilientes aos mais diferentes eventos, a terramotos, a inundações. Até das próprias declarações que foram feitas pelo responsável da Vodafone, foi um ataque à rede, não foi um ataque para roubar dados de clientes, o que não deveria ser fácil até porque acredito que estejam muito bem protegidos. Portanto isto não foi algo para lá ir roubar uns dadozinhos. Não foi para roubar, foi para desestabilizar e interromper. É uma demonstração de força. Há uns anos alertei que era relativamente fácil destabilizar o país e deitar um Governo abaixo. Era a coisa destas que me que estava a referir. Atacaram a Vodafone, mas se tivessem atacado as três empresas ao mesmo tempo, estávamos num grau de perturbação nacional exponencialmente superior.
Disse na altura que se podia deitar o Governo abaixo em 15 dias, alertando para as fragilidades de segurança dos sistemas vitais do país. Tendo sido possível mandar abaixo uma operadora durante quase um dia, fica ainda mais à vista esse risco?
Aquilo para que tenho procurado alertar é que todos os nossos sistemas vitais, os sistemas de água, as redes de abastecimento e distribuição de energia, dependem de computadores, todos são passíveis de ataques e têm de ser defendidos. Tenho curiosidade de perceber como foi possível este ataque, mas agora acima de tudo há que tirar lições para se conseguir mais robustez. Não há nada como sermos expostos à intempérie para percebermos como nos devemos proteger. Portanto podemos ver isto pela positiva e nesse sentido é bem-vindo: é um alerta a sério para os responsáveis nacionais, e não me refiro só ao Governo porque às vezes atira-se tudo para cima do Governo. É um alerta para os responsáveis das instituições todas do país perceberem que todas as questões de informática e cibersegurança são estruturais da vida em sociedade. Tudo se passa no ciberespaço, esse espaço tem de ser organizado, tem de ter forças de defesa, não apenas de defesa militar mas defesa civil e tem de haver uma coligação de competências articulada sob um comando único. Esta divisão entre defesa militar e defesa civil é do século passado.
Mas o que considera necessário, um ramo de defesa para o ciberespaço?
É um pouco como propôs recentemente o almirante Gouveia e Melo para a Armada, uma Marinha que não seja só de guerra mas de paz. A ideia de uma Marinha que projete a nossa presença e soberania no mar. Precisamos de ter presença e soberania no ciberespaço. Isto não se consegue apenas com uma força militar mas com capacidades civis ativas e articuladas.
Temos o Centro Nacional de Cibersegurança, que está a colaborar na investigação.O que falta em concreto?
Sim, ainda bem que temos, assim como PJ com equipas especializadas e a Autoridade Nacional de Segurança e felizmente uma articulação com a NATO, que leva isto muito a sério, porque estamos a falar de vida ou de morte da nossa civilização. O que falta desde logo é a conceptualização do que é Portugal, a nação portuguesa, no ciberespaço. É preciso ordenamento e definir competências e atuações da soberania no ciberespaço. É preciso definir a organização política no ciberespaço e isto compete em primeiro lugar à organização política da nação, que fala de muitas coisas e faz leis, mas corremos atrás do prejuízo, porque estes tipos estão dez à frente. Segundo, temos de ter tropas. Temos de ter milhares de especialistas identificados pela nação portuguesa para defender os nossos bens no ciberespaço. E não temos especialistas suficientes nem os estamos a formar. Ando há dez anos a chamar a atenção para isto e é preciso termos um desastre a sério. Agora que temos tanto dinheiro do PRR para aplicar, olho para os mapas e matrizes cheios de cores, fico emocionadíssimo, mas não consigo ler ali um propósito e compromisso de dizer que daqui a cinco anos temos 20 mil novos especialistas em cibersegurança. Ou temos ou não temos, o resto é excesso de conversa. Ou se faz ou não. É um bocado como a vacinação: ou se vacina ou não se vacina.
Em que áreas vê mais fragilidades?
As áreas mais importantes são as áreas que têm informação de que a nação depende para viver. Nem sequer isto está definido. Quem é que é cidadão português? Quais são as empresas portuguesas? Quem são os responsáveis e dirigentes dos organismos públicos? Estas informações hoje estão todas em computadores e não estão devidamente protegidas. Podem ser atacadas com certeza mas, pior que isso, falsificadas. E o pior que podemos ter é estar a trabalhar com informação que julgamos fidedigna e não é.
Vimos na pandemia por exemplo aparecerem sites que emitem certificados de vacinação usando assinaturas de responsáveis de laboratórios reais.
Esse é um campo muito complicado que é o da identidade digital. Como se comprova? Temos grupos que estão a pensar nestas coisas todas, mas andam por vezes a um ritmo de caracol. Precisamos de definir objetivos com realismo. Não encontro objetivos com métricas, dizemos que temos milhões, que vamos qualificar, mas parece mais para dar números para queimar o dinheiro que aí vem.
Ainda recentemente se discutiu o voto eletrónico. O país está pronto para isso?
Nada é 100% fiável mas continuo a não perceber qual é a enorme resistência a que se implante o voto eletrónico com precauções e medidas que minimizem os riscos. Há sempre riscos. No voto não eletrónico também há: nestas eleições houve imensa gente que não votou porque as cartas não chegaram a tempo. Há muita gente que diz que com os computadores há maior probabilidade de uma fraude gigantesca que com o papel não é possível. Não creio que seja por aí: há muitas maneiras de nos protegermos e há sistemas de voto eletrónico, inclusivamente nacionais, que funcionam com segurança. No INESC fez-se já duas vezes a auditoria do voto eletrónico da Ordem dos Advogados. Há muita gente que não quer voto eletrónico por razões de natureza ideológica bem fundamentadas e que se discuta, mas há também muita gente que não quer voto eletrónico porque não quer que o povo todo vote.
Acredita que será possível chegar a uma conclusão rápida sobre este ataque?
Não sei, não faço prognósticos. Já estive a conversar com os meus colegas do INESC, colocam-se algumas hipóteses sobre como foi possível, mas não sabemos detalhes.
A empresa fala de um ataque terrorista. É nestes termos que considera que deve ser investigado?
Não lhe chamava terrorista, chamava-lhe um ataque de origem político-militar, geoestratégico, no quadro das tensões atuais que temos no Ocidente. Todos os estados membros da NATO estão a ser sujeitos a ataques deste tipo e muito piores. Os Estados Unidos no ano passado tiveram ataques assustadores, com uma penetração em sistemas de defesa inacreditável e dos quais não se conhecem os impactos todos. Não se fala disso nos jornais todos os dias, por razões óbvias. E já agora é preciso dizer que o contrário também sucede, porque os EUA também o fazem noutros sítios. Não estamos a falar de meninos do coro. A NATO é uma estrutura complexa, uma aliança. Se há uma frente de luta no leste na fronteira de Rússia, vai querer-se perturbar na maior extensão possível a NATO, porque isso vai obrigar a dispersão de forças. É uma atitude racional de quem ataca.
Muitas vezes o que ouvimos é mais vale não se falar pedidos de resgate de hackers. Neste caso, divulgar poucos detalhes seria também benéfico?
Não é a minha área, mas a forma de gerir a comunicação à volta disto será certamente complexa. Mas há uma coisa que sei: é muito importante que todos os portugueses percebam que já estamos a viver e a depender brutalmente do que se passa no ciberespaço. Tivemos uma maior consciência destas dependências na interrupção de cadeias de abastecimento: percebemos que estamos dependentes de elos mais fracos nos sítios mais esquisitos do mundo. E o que devemos pensar não é “então não quero estar no ciberespaço”, mas como é que a minha vida e a minha organização pode estar de uma forma mais robusta e mais resiliente neste espaço, o que implica olhar para a informática de uma forma muito diferente. É olhar para a informática como hoje se olha para energia, para o gasóleo, em que as empresas têm de conseguir ser mais eficientes. Com a informática é a mesma coisa.
