“No próprio dia do ataque virem taxativamente dizer que não houve acesso a dados pessoais é precipitado”

A última semana foi uma semana atípica em Portugal, não pelo eventual número total de ciberataques – que, à partida, é desconhecido –, mas pela quantidade de ciberataques que ficaram conhecidos do grande público, nomeadamente os ataques à Vodafone Portugal e ao Centro de Medicina Laboratorial Germano de Sousa.

Existem dezenas – se não centenas ou milhares – de ciberataques todos os dias em Portugal. A diferença da última semana para outras anteriores não está, necessariamente, aí, mas na comunicação ao grande público desses mesmos ciberataques.

No final da última semana, Luís Martins, Vice-Presidente para o mercado português da Cipher, em entrevista à IT Security, comentou estes recentes ataques e deu a sua opinião sobre o que poderá ter acontecido. Ressalvando que não tem “informação suficiente para fazer um comentário que seja minimamente informado sobre o que se passou”, tudo o que comenta é “mais ou menos do conhecimento público”, aliado à sua experiência profissional superior a 25 anos. Luís Martins ressalva que fala “de forma genérica” sobre este tipo de situações, “extrapolando, depois, para o caso da Germano de Sousa, Vodafone, ou outros”.

Tradicionalmente, Portugal estava afastado deste tipo de cenários. “Quando ouvíamos falar que um caso destes tinha acontecido a alguém, era sempre empresas fora do contexto nacional”, com a EDP, em abril de 2020, a ser possivelmente o primeiro caso a ter visibilidade. “Fora isso, é quase sempre empresas fora do contexto nacional e ficávamos com a ideia de que calha aos outros e não a nós”, afirma.

Luís Martins relembra que, na maior parte dos casos, o custo de lançar um ciberataque é relativamente baixo em comparação com o potencial retorno que pode ter e, “mais cedo ou mais tarde, aquilo que aconteceria era que nós também podíamos vir a ser alvo desses ciberataques”.

Acesso a dados pessoais

Sabendo que um dos ciberataques mais simples de realizar – ou que exige menos recursos em termos de preparação – são os ataques de ransomware, uma vez que “tipicamente são baseados em phishing prévio, em que conseguimos de alguma forma – com base no fator humano – que alguém clique num link e, a partir daí, temos uma porta aberta para encriptar a informação e, depois, pedir um resgate”.

Algo que os dois principais ciberataques da última semana têm em comum são as afirmações de que os dados pessoais dos clientes/pacientes não foram acedidos; tanto a Vodafone – na sua primeira conferência de imprensa, logo na terça-feira – como a Germano de Sousa apressaram-se a informar que os dados dos clientes não tinham sido acedidos. No caso do Centro de Medicina Laboratorial, José Germano de Sousa, em declarações ao Observador, explicou que o ataque não tinha resultado numa violação de dados dos pacientes e clientes dos laboratórios e afirmou que esses dados “estão completamente seguros. Não houve intromissão, felizmente, nas nossas bases de dados”.

“Não colocando em dúvida as declarações feitas”, Luís Martins indica que fica “sempre um pouco reticente quando se fazem este tipo de afirmações porque, normalmente, para fazer uma análise a qualquer tipo de evento leva algum tempo. No próprio dia do ataque virem taxativamente dizer que não houve acesso a dados pessoais é precipitado. Percebo a preocupação desta comunicação, mas – e falando uma vez mais de nenhum caso em particular, mas genericamente de todos – o que penso que deviam ter o cuidado de dizer é que ‘ao melhor do nosso conhecimento, com base na informação que temos neste momento e com base na análise que fomos capazes de efetuar em tão curto espaço de tempo, não conseguimos perceber se foram ou não acedidos dados pessoais’ e isto é muito diferente do que dizer que não foram acedidos dados pessoais”.

Roubar informações relevantes

No caso do ciberataque à Germano de Sousa, os primeiros indícios veiculados na comunicação social davam conta de um ataque de ransomware. Luís Martins lembra que este tipo de ataques é direcionado “para ativos que são relevantes para a organização”. Tendo isto em conta, “o pedido de resgate só resulta se tiverem na posse de informações ou ativos que seja relevante. Se eu fosse um atacante, teria como objetivo, como target, esse tipo de dados; não seria meia dúzia de fotos, por exemplo”.

“É difícil conceber que um atacante, seja ele qual for, esteja a fazer um ataque para cifrar informação e pedir resgate de informação que não seja relevante. Sendo que o core em específico da Germano de Sousa são dados clínicos, de pessoas, parece-me que seria o bem mais precioso que a Germano de Sousa teria para cifrar e pedir um resgate”, explica o Vice-Presidente da Cipher, reforçando, no entanto, que não tem informação concreta que permita tirar outras conclusões.

Apesar de utilizar o exemplo da Germano de Sousa, Luís Martins diz que, em qualquer organização, “para um atacante que utiliza a técnica de ransomware, o objetivo é o retorno rápido e imediato de quando pede um resgate e isso se torna óbvio para a organização de que tem de fazer alguma coisa”.

Partilhar informação

Particularizando o caso da EDP, “não se sabe, ao dia de hoje, todos os detalhes do que é que constituiu os vetores de ataque – ainda que se tenha falado muito –, de como é que foi feito o ataque”. Para qualquer outra entidade se defender deste tipo de ataques, diz, “é importante que haja a partilha de indicadores de compromisso, como é que foram os vetores de ataque. Não estamos a falar dos detalhes, dos pormenores, mas, se houver esta partilha e colaboração, estamos todos mais salvaguardados”.

A Rede Nacional de CSIRT é um dos locais existentes em Portugal para que este tipo de partilhas seja feito, sem o perigo de sair para a comunicação social. Esta rede agrega um conjunto de empresas com as quais é possível partilhar este tipo de dados e “é extremamente importante para as empresas que se querem proteger melhor e eventualmente fazer o reforço nas áreas dos vetores de ataque identificados”.

Mesmo para as empresas que fornecem este tipo de serviços, como é o caso da Cipher, esta partilha é relevante, uma vez que permite que se aconselhe melhor os seus clientes. “Os atacantes partilham e trocam este tipo de informações e nós estamos mais contidos, de forma mais concorrencial, de forma a posicionarmo-nos. Isso vê-se muitas vezes na comunicação social; as pessoas estão mais preocupadas em veicular que ‘somos muito bons e especialistas na área de cibersegurança’ em vez de estarem abertos a partilharem esse tipo de conhecimento de uma forma que beneficie a todos. Isto pode tocar a qualquer um, por mais avançada que sejam as tecnologias que usam, por mais testados que estejam os processos que têm implementados, por mais maturidade do ponto de vista da organização na implementação de medidas de controlo técnicas e organizativas”, diz.

O que diferencia a capacidade de resposta, explica Luís Martins, é a maturidade que se reflete no “conjunto de processos que estão ou não documentados”, no “treino que as pessoas tiveram para colocar in place essas medidas e processos” e, também, na “recuperação daquilo que é o seu negócio core”.

“No contexto nacional, as empresas não têm a prática de investir naquilo que é o básico. Não podemos olhar para a cibersegurança ou segurança da informação e desejar implementar todos os mecanismos porque não é viável – financeiramente ou de capacitação, por exemplo –, mas é necessário escolher onde investir, quais os ativos mais importantes. Isso faz-se com gestão de risco, que pouca gente faz”, explica.

‘Um cibercriminoso não é um vândalo’

No dia em que se ficou a conhecer o ciberataque à Vodafone Portugal, Mário Vaz, CEO da operadora de telecomunicações, utilizou a sua página do LinkedIn para explicar que o ataque “se traduziu na destruição intencional de vários elementos centrais das nossas redes, incluindo nos sistemas redundantes que temos preparados para ativar numa situação de falha de rede”.

Convidado a comentar, Luís Martins indicou que, de uma forma geral, “o meu entendimento relativamente a qualquer ciberataque, é que são cibercriminosos que não são vândalos. Com base na informação a que tenho acesso publicamente – não tenho acesso a outro tipo de informação –, posso concluir é que há sempre uma intenção de obtenção de lucro por parte de um cibercriminoso”.

O Vice-Presidente continua dizendo que este tipo de comunicação lhe  "faz alguma espécie; no caso do grupo Impresa, um ataque à liberdade de imprensa. No caso da Vodafone, chamou-se um ataque terrorista. Temos de pesar bem o que estamos a dizer. Do meu ponto de vista – e não necessariamente da empresa que represento – um cibercriminoso tem a intenção de obter lucro. Não é um vândalo, como alguém que vai fazer um grafiti para fazer um statement. Tem outro tipo de enquadramento”.

“Quando se fala de ciberterrorismo, normalmente estamos a falar de nações, como o que aconteceu entre a Rússia e a Ucrânia, quando se lança um ataque com intenção de diminuir as capacidades de um país. Diria que isso é claramente uma coisa muito diferente do que aconteceu na Vodafone”, acrescenta Luís Martins.

O representante da Cipher diz, ainda, que, no caso da dona da SIC e do Expresso, o objetivo primário não foi "de certeza" atacar a liberdade de imprensa. Um destes ataques "pode resultar na indisponibilização de um conjunto de sistemas e da atividade que seria core, mas no caso concreto do grupo Impresa o objetivo primário é a obtenção do lucro. Provavelmente, o que aconteceu foi uma resposta à não aceitação do pedido de resgate, que dizem não ter havido, refere.

Voltando ao caso da Vodafone, Luís Martins não acredita que alguém se dedique à destruição ou desativação dos meios “se não tiver um passo prévio”. “Consigo intuir que ninguém destrói só para destruir, para provar que está correto, que alguém devia ter feito qualquer coisa. Isso eram os miúdos que se chamavam script kiddies nos anos 80 e que faziam dephased de sites para provar que, efetivamente, conseguiam fazê-lo”, explica, acrescentando que não crê “que estamos, de todo, nesse patamar. Estamos num patamar completamente diferentes, onde as coisas são monetizadas, têm um objetivo concreto que é sempre a obtenção de lucro rápido, eficaz e, de preferência, untraceable”.

Investigação dos ciberataques

Qualquer ciberataque precisa de passar por um período de investigação; do que aconteceu, de como aconteceu, por exemplo. Mesmo sabendo que cada caso é um caso, que tem as suas próprias particularidades, em média, esse processo de investigação demora “entre três a seis meses”. A investigação destes recentes ciberataques vai depender “dos vetores de ataque, da complexidade, dimensão, dos sistemas afetados, da extensão, amplitude”.

“Estamos a falar de processos que são sempre muito morosos”, indica Luís Martins, que explica que “a recolha da prova digital é uma coisa muito frágil, por vários motivos”.

“Quando estamos a falar da recolha da prova digital, estamos a falar de, se desligarmos um computador, haver um conjunto de informação que desaparece, pura e simplesmente. Para recolha de algum tipo de prova digital, para algum tipo de ataques, é necessário que o computador não seja desligado porque a forma como vou recolher a prova – com um conjunto de técnicas e ferramentas – é algo que está ainda em memória, que é libertada quando o computador é desligado”, esclarece Luís Martins.

“Só permanecem eventuais evidências no disco – uma memória permanente – e só permanece se o atacante não implementar um conjunto de técnicas para cobertura de rasto digital. Os atacantes mais experientes e conhecedores tentam apagar o rasto digital que deixaram quando entram através de um determinado vetor de ataque”, acrescenta. “Depois de ter acesso a uma infraestrutura, o atacante procura criar vários outros pontos possíveis de acesso e apagando o rasto de que foi criado esses novos pontos”.

Aumento dos ciberataques em Portugal

Um dos serviços que a Cipher fornece é a monitorização de ciberataques. Estando presente em Portugal – e tendo clientes nacionais – a Cipher tem a perceção real se existe, ou não, um aumento no número de ciberataques contra organizações nacionais.

Luís Martins explica que a Cipher procura redobrar a sua atenção a uma série de eventos que possam sair fora daquilo que é o comum e estar mais atento ainda do que estava previamente. De qualquer maneira, “sim, temos assistido a um aumento, mas este aumento não é só de agora”.

O aumento a que a Cipher está a assistir no número de ciberataques “já vem crescendo e não somos só nós que o dizemos. Quando falamos com entidades como o Centro Nacional de Cibersegurança, com a Rede Nacional de CSIRT e outras entidades com os quais temos contacto, e os observatórios que se dedicam a olhar para estes números, vemos que vêm a crescer nos últimos três, quatro anos”.

É sabido que durante a pandemia houve um crescimento substancial no número de ciberataques. Luís Martins é da opinião que “as pessoas estão mais alertas e há uma diferença grande entre aquilo que é sofrer um ciberataque e, depois, fazer todos os passos para a apresentação da queixa, da formalização” junto da Polícia Judiciária, por exemplo, mesmo sabendo que é “muito difícil levar à justiça” esses atores, mesmo tendo conhecimento de quem é que são, uma vez que se podem encontrar noutras geografias.

“Em suma, temos assistido a um crescimento no número de ciberataques, mas não é só este ano. Este ano tem-se dado uma maior visibilidade porque são empresas que atuam no mercado nacional e que estamos habituados a ver todos os dias. Antigamente, é que muitas vezes nos desligávamos dessa realidade porque se pensava que só aconteciam às grandes entidades nos Estados Unidos e noutros países maiores, e nós, aqui, somos um canteiro à beira-mar plantado que não sofre nem padece desse tipo de necessidades. Fomo-nos habituando a passar pelos pingos da chuva sem passar por este tipo de ataques”, refere.

Por fim, Luís Martins acredita que o número de ciberataques e a visibilidade desses mesmos ciberataques vá continuar a aumentar e vai ser uma constante. “Daí o meu apelo para que exista uma maior colaboração entre as várias entidades que atuam no espaço nacional e com outras entidades no espaço europeu. Quanto maior for a colaboração entre várias entidades, mais bem preparados estaremos para responder. É necessário olhar com outro cuidado, diferente do que tem vindo a ser feito no contexto da proteção e da implementação de controlos nesta área”, conclui.