A 10 de outubro, a Agência para a Modernização Administrativa (AMA) sofreu um ataque de ransomware. Fazendo uma analogia, poder-se-ia dizer que um ou mais assaltantes acederam a uma qualquer repartição pública e rasuraram os registos em papel, utilizando um código secreto que apenas os próprios conhecem.
Poderemos nunca saber quem foram os autores do ataque e uma associação criminosa com objetivos financeiros é apenas uma das possibilidades. O ataque visou serviços críticos do Estado português e pode ser interpretado como uma ação de sabotagem. Este ataque está em linha com outros realizados a infraestruturas críticas por todo o continente europeu que têm vindo a ser registados.
É certo que o atacante teve acesso aos dados mas poderemos nunca vir a saber se os copiou para outro local, um processo designado de "exfiltração de dados". Saberemos que tal aconteceu se, algures no tempo, começarem a surgir no domínio público dados que estavam confiados à AMA (documentos de identificação, telemóveis, PIN) ou subprodutos desses dados. A resposta da AMA tem sido a possível: "Não existem evidências de que ocorreu exfiltração de dados". Mas o facto de os dados não terem sido expostos pelo atacante até hoje não garante que não venham a ser expostos no futuro. No pior cenário possível, cuja ocorrência é muito improvável, poderia haver documentos alegadamente assinados pelo cidadão, mas gerados pelo atacante.
Uma lacuna importante na comunicação da AMA foi não ter, até à data em que este artigo foi escrito, assegurado publicamente que este tipo de incidentes não será possível.
O tempo decorrido entre o ataque e a reposição dos serviços explica-se porque, primeiro, é necessário garantir que a vulnerabilidade utilizada pelo atacante é encontrada e eliminada. A celeridade com que os primeiros serviços foram repostos sugere que a AMA tinha cópias dos dados devidamente protegidas. Mas não faria sentido repor essas cópias apressadamente permitindo uma repetição do ataque. Tal como em qualquer investigação criminal, também aqui faz sentido aplicar a expressão "para não prejudicar a investigação". É vantajoso para as autoridades que o criminoso não saiba o que já se sabe sobre o ataque.
O que podemos dar como certo é que um ataque como este acontecerá novamente. Seja ele à AMA ou a outras infraestruturas críticas. Por motivações financeiras, políticas ou fúteis. Tal como para a proteção civil, os peritos em segurança informática não se preparam para "se acontecer", mas para "quando acontecer". Cada nova funcionalidade pode introduzir novas vulnerabilidades. Algumas são descobertas atempadamente. Outras permanecem latentes durante anos e só são descobertas quando o primeiro ataque ocorre.
Mas os utilizadores também são parte dos sistemas informáticos e nos últimos anos têm sido uma das mais frequentes fontes de vulnerabilidades. Atitudes que revelam desleixo na sua própria proteção, por exemplo utilizando passwords facilmente inferíveis das páginas nas redes sociais ou reutilizando-as em múltiplos websites são vulnerabilidades cada vez mais exploradas pelos atacantes.
São vários os casos de empresas que faliram por terem sofrido ataques informáticos. Cabe a cada um fazer a sua parte para proteger o seu emprego e a sua privacidade. O respeito pelas políticas ditadas pelas organizações deve ser um dos primeiros passos.
A qualidade da resposta aos ataques futuros dependerá da atualização permanente da infraestrutura tecnológica e da especialização, disponibilidade e empenho dos recursos humanos. Nem uma nem outra são compatíveis com o peso burocrático do Estado português. Em condições normais, a auditoria contratada por ajuste direto nos dias seguintes estaria sujeita a um concurso público internacional e dependente de cabimentos, vistos, pareceres e impugnações.
Nos recursos humanos a situação não é melhor, com o Estado a oferecer quase 4000 euros a quem atinge o topo da carreira de "Especialista de sistemas e tecnologias de informação". Em contraste, os alunos que concluíram um dos cursos de Informática da Faculdade de Ciências da Universidade de Lisboa em 2011 declararam num inquérito realizado dez anos depois auferir em média um vencimento bruto mensal superior a 5000 euros.
O Estado está a perder diariamente os melhores especialistas de informática e já só restam os poucos cuja dedicação à instituição onde trabalham supera as necessidades financeiras.
Os organismos públicos dificilmente conseguem acompanhar o ritmo de inovação dos atacantes. Vão sobrevivendo com sistemas informáticos que são mantas de retalhos, para as quais o vencedor de cada concurso contribui com uma peça e dificilmente existe uma visão coerente ou uma responsabilização global pela qualidade, disponibilidade e segurança.
É certo que ocorrerão novos ataques. Mas não é certo que a qualidade da resposta ou as suas consequências sejam comparáveis àquelas a que assistimos desta vez.
Hugo Miranda, subdiretor de IT e Qualidade da Faculdade de Ciências da Universidade de Lisboa
