"Ninguém está a salvo e os ciberataques vão continuar"

Os ataques vão continuar, garante o diretor-geral do Gabinete Nacional de Segurança e do Centro Nacional de Cibersegurança, desde 2016. Natural da Figueira da Foz, António Gameiro Marques tem 63 anos. O mar faz parte da sua vida: vela, remo, Escola Naval e Marinha são etapas do percurso. Hoje, está nas várias linhas da frente da cibersegurança. Licenciado em Ciências Militares Navais e mestre em Engenharia Eletrotécnica e de Computadores, foi, de 2004 a 2007, conselheiro militar de Marinha do embaixador de Portugal na NATO, em Bruxelas, com o pelouro das tecnologias da informação. Depois, foi chief information officer (CIO) da Marinha e secretário-geral adjunto do Ministério da Defesa.

 

A sua especialidade é engenharia eletrotécnica e de computadores.

Sim. Integrei o primeiro curso, em 1976, com um pendor de eletrónica, programação e computação. Especializei-me na área das comunicações. Entretanto, abriu um concurso de mestrado em Electrical and Computer Engineering numa universidade dos EUA. Concorri e fui escolhido. Quando regresso, em 1987, está já bastante consolidado um programa de aquisição de novos navios para a Marinha Portuguesa, que deu origem às fragatas da classe Vasco da Gama, cujo ciclo de vida acompanhei até 1998: fui responsável pela equipa que atualizava o software do sistema de combate e de uma equipa que ajudava os navios a treinarem-se aqui e a certificarem-se no Reino Unido.

Quando surge a cibersegurança no seu percurso?

Entre 2004 e 2007, estou a desempenhar funções como conselheiro militar de Marinha do embaixador na NATO, em Bruxelas: tinha o pelouro das tecnologias da informação, representava Portugal no IT board da NATO e foi lá que esse tema apareceu, em 2007, quando ocorreu o ataque a Taline, na Estónia, que é talvez dos primeiros incidentes de cibersegurança, motivado sobretudo por razões políticas. Na altura, as autoridades de Taline decidiram mudar uma estátua que existia na cidade em honra de um soldado russo para outro sítio menos digno... O ataque à infraestrutura de telecomunicações e a vários serviços fundamentais do país foi desencadeado por russos, mas teve manifestações em todo o mundo. Na NATO, o assunto deixou a dimensão tecnológica e passou à dimensão política, porque foi discutido no North Atlantic Council.

Em Portugal, quando é que a cibersegurança ganha importância?

Um estudo anterior a 2012 já identificava a necessidade de o País ter um centro de cibersegurança e uma estratégia nacional de segurança da informação. Há uma orientação política de Passos Coelho para que, nesse ano, se crie uma comissão instaladora do Centro Nacional de Cibersegurança (CNCS), da qual faço parte. Era um investimento de dois milhões de euros, que ficou adiado até 2014 (estávamos com a troika). O centro arranca a 7 de outubro desse ano, com a missão de coordenar a resposta aos incidentes de cibersegurança em Portugal, mas também de capacitar a sociedade e ser um regulador da cibersegurança e uma autoridade para a certificação na área.

 

 

 

Nos últimos meses, houve uma sucessão de ataques cibernéticos. O que explica este cenário?

Há uma alteração de contexto forte, que é o facto de, em março de 2020, termos todos passado a trabalhar sobretudo através do digital. Eu fui para casa com o portátil que a organização me fornece, que era mais seguro. Mas houve organizações que não conseguiram fazê-lo. Em muitos casos, as pessoas começaram a trabalhar de casa usando o seu sistema, que era partilhado pelo filho para jogar, etc. Não se sabia como estavam esses dispositivos, em termos de saúde digital; muitos estavam “doentinhos”... e os ataques dispararam. O último relatório de riscos e conflitos [relativo a 2021] mostra o declive, que sobe brutalmente a partir de 2020 e volta a subir em 2021. E o número de incidentes aumenta quando há lockdown. Neste momento, temos um nível superior ao que existia antes da pandemia. Porquê? Porque as pessoas usam muito o digital. E os piores ataques são os que não sentimos, porque estão a roubar-nos a informação. Há muito roubo de informação de Estado e de indústrias críticas em Portugal.

Como avalia o panorama nacional?

Uma grande parte das empresas está mais desperta. Somos cada vez mais solicitados por empresas e associações empresariais, e este aumento é revelador da importância que se dá ao tema. Mas há empresas – cada vez menos, felizmente – que consideram que este assunto é tecnológico. Embora o mercado nacional de cibersegurança valha, em 2020, cerca de 120 milhões de euros, as empresas que olham para o tema como um tema de negócio são aquelas cujo produto é de alto valor acrescentado. Aquelas cujo produto é de baixo valor acrescentado quase não ligam aos assuntos de cibersegurança.

E em relação ao setor público?

O setor público acaba por ser mais controlável por nós. Fazemos a monitorização do ciberespaço de interesse nacional, que inclui administração pública e órgãos de soberania. Estamos sempre disponíveis para ajudar essas entidades a melhorarem.

A informação classificada e as comunicações do Governo são seguras?

A informação classificada é talvez o tipo de informação no Estado mais regulada. Quer a União Europeia quer a NATO nos obrigam a tal. Somos inspecionados por estas duas entidades regularmente. Enquanto Autoridade Nacional de Segurança, sou responsável, perante a UE, em relação à forma como essa informação é tratada aqui.

Todos os membros do Governo são sujeitos a regras na matéria?

Têm regras estipuladas pela Autoridade Nacional de Segurança. O Centro de Gestão da Rede Informática do Governo tem um projeto no Plano de Recuperação e Resiliência num estado bastante avançado, que vai permitir aos membros do Governo e aos elementos dos gabinetes terem comunicações seguras através de apps certificadas por nós.

Neste momento, usam as que querem?

Usam as que são definidas no Governo. Posso recomendar veementemente, that’s all. De resto, continuo a dizer: se quer ter uma conversa privada sobre assuntos importantes, essa conversa deve ser presencial e sem telemóveis ao pé. E não em qualquer sítio.

A pandemia foi uma agravante em matéria de ciberataques?

Foi um acelerador. Já havia ataques antes, mas este ano houve casos impactantes: à Impresa, à Vodafone, à Assembleia da República no dia das eleições (felizmente, com pouco impacto), à Germano de Sousa, ao Garcia de Orta, à Sonae… Mesmo entidades muito preparadas foram atacadas, e alguns ataques foram pura destruição: entraram e apagaram, deixaram só os servidores físicos a funcionar, sem nada lá dentro. A diferença entre as entidades que estavam preparadas e as menos preparadas é que as primeiras conseguiram recuperar os serviços todos num tempo finito, e toda a informação. As outras conseguiram recuperar parcialmente os serviços e, se calhar, perderam informação para sempre. Se não houver um plano de preservação digital, corre-se o risco de se perder informação para sempre.

O phishing ainda está no topo destes ataques. Por que razão?

Por culpa das pessoas. Apague-se, não se clique! Recomendamos vivamente que as empresas tenham múltiplo fator de autenticação, façam backups e guardem a informação mais valiosa offline. Muitas vezes, recomendamos fazer analogias com o mundo físico e aplicar no mundo virtual.

Os ataques tornaram-se mais sofisticados. O que mudou? A natureza dos vírus?

Sim, sobretudo isso. São inventadas novas formas mais dissimuladas e mais complexas de debelar [os sistemas de segurança], e mais rapidamente: técnicas de phishing, ransomware, intrusões que têm como propósito roubar e destruir. Esse tipo de atividade pode deitar uma organização abaixo. Já houve entidades que perderam 50 anos de informação.

Quais os setores que suscitam mais preocupações?

A energia tem empresas com uma maturidade muito forte e com capacidade financeira para contratar os melhores – e os recursos humanos fazem toda a diferença. Mas foram atacadas em 2020, ou seja, não é pelo facto de se estar muito preparado que não se é atacado. A área da saúde é muito relevante, pela sua natureza e porque é muito heterogénea (tem entidades privadas, públicas, EPE, centros de saúde), o que traz complexidade. É uma área que requer muito foco, sobretudo quando tem uma verba muito generosa do PRR para melhorar. E melhorar não passa só por investir em tecnologia e em pessoas: é preciso investir em governance. Nós trabalhamos de muito perto com os serviços partilhados do Ministério da Saúde. Outra área que requer a nossa atenção são as autarquias. Há munícipes com preocupações muito mais tangíveis do que a cibersegurança para tratar nas suas autarquias. Isto preocupa-nos tanto que dedicámos ao assunto um painel na conferência anual, a 8 de junho. Por exemplo, instalar sensores nas cidades, as smartcities: para onde vai essa informação? Estará a ser espiada por alguém? Porque, hoje em dia, a informação é monetizável, tem muito valor.

O investimento público nesta área tem sido suficiente?

Sim. Só esta casa tem 47 milhões de euros do PRR para executar até ao fim do primeiro semestre de 2026.

O que tem feito o Gabinete Nacional de Segurança?

Temos trabalhado em várias frentes. Há um documento-referência, a Estratégia Nacional de Segurança do Ciberespaço, que tem um plano de ação (2019-2023) que vamos adequando. Além disso, fazemos formação, sensibilização, temos o Centro Internet Segura a trabalhar desde 2021, fazemos a monitorização permanente do ciberespaço de interesse nacional, com investimentos fortes, medimos os efeitos através do observatório, medimos a oferta formativa em cibersegurança no País, que é heterogénea – há mais de 200 cursos.

O que fará a academia?

A C-Academy é uma criação do CNCS, um programa nacional avançado de formação em cibersegurança. A 9 de junho foi assinado um protocolo com 22 entidades de ensino universitário e politécnico: vamos produzir cursos com essas entidades, que serão ministrados por essas entidades. Faremos o controlo de qualidade, para ver se os cursos estão a produzir os efeitos que desejamos. Vão começar no segundo semestre deste ano. São módulos de 35 horas que vão subindo em complexidade, do operador de base ao gestor de topo.

Que cuidados deve ter o cidadão no dia-a-dia? Evitar aplicações?

Não, tem é de garantir que as aplicações são fidedignas. Se pedirem muitos dados ao instalar, não deve dar. Deve ter antivírus e antispam; usar biometria, se possível; usar, pelo menos, duplo fator de autenticação no telemóvel; fazer os cursos online do CNCS, que são gratuitos...

E quem está em teletrabalho e usa o computador próprio?

Tem de pedir à empresa uma verificação para ficar seguro. E deve ter VPN. Sabemos que já há programas de inteligência artificial que veem padrões de mudança de passwords – daí a importância do duplo fator de autenticação.

Os selos de maturidade digital são uma iniciativa nova? Quantos pedidos de empresas receberam?

Em dezembro de 2021, fizemos, com o Instituto Português de Qualidade, a Imprensa Nacional-Casa da Moeda e o Portugal Digital, o roteiro para a maturidade em cibersegurança. No fundo, é um caminho, que nos inspirou a fazer uma norma que o IPQ produziu. O selo de maturidade digital tem quatro declinações, sendo uma a maturidade em cibersegurança, já pronta. Atesta-se que a empresa está num de três níveis (bronze, prata ou ouro) em conformidade com o roteiro para a maturidade digital, que se inspira no quadro nacional de referência para a cibersegurança. Já há várias dezenas de selos atribuídos. Há um mês, havia 820 pedidos.

Continuaremos a assistir a ataques?

Sim, tal como há acidentes na estrada. Desejamos é que haja menos acidentes na estrada, porque as pessoas se protegem mais e sabem como viver nesse mundo híbrido: essa é a dificuldade. Sempre houve ameaças híbridas na História. O que é diferenciador agora é o digital e o ciberespaço, que fazem com que isso seja brutalmente amplificado.

A guerra na Ucrânia é um exemplo?

Sim, é uma manifestação clara. Veja-se a desinformação. Veja-se como o presidente da Ucrânia usa uma ferramenta na qual está muito à vontade: a da comunicação em tempo real. O digital é uma ferramenta com muito alcance, que pode transformar-se numa arma, ou não.