ITS Conf
No palco da IT Security Conference 2023, Nuno Perry, CISO do Governo Regional da Madeira, foi entrevistado em direto, falou do atual ambiente de cibersegurança que as organizações vivem, assim como o recente ataque que o Serviço de Saúde da Madeira sofreu
Por Rui Damião . 30/11/2023
Como é que olha para o ambiente de cibersegurança atual? Interpretando de alguma forma aquilo que ouvimos cá hoje, é um ambiente complexo, pode até ser um lugar-comum, mas aqui com talvez dois grandes drivers. Primeiro, a conflitualidade internacional, os conflitos geopolíticos que vamos assistindo no mundo – como a questão da Ucrânia e mais recentemente o conflito israelo-palestiniano – despoletou um conjunto de ações no ciberespaço. Pelo menos, o número de atores do cibercrime disparou em número e, certamente, em ações. Por outro lado, temos o cibercrime clássico que tem a motivação financeira e continua a ter um grande espaço de atuação e de motivação. Às vezes, as fronteiras são difusas, mas há claramente estas duas vertentes. Às vezes são contratados como atores de ações de nível de Estado e de nível estratégico, mas são talvez estes dois – o contexto da conflitualidade e o contexto da cibercriminalidade – que marcam o mundo atual. Por outro lado, a emergência das tecnologias que têm as suas buzzwords, como a inteligência artificial, a computação quântica, não esquecer o 5G, o IoT, entre outros, são as principais questões que modelam o nosso ciberespaço. O Nuno trabalha no Governo Regional da Madeira. Em termos de cibersegurança, quais são as especificidades de trabalhar num governo regional e como é que a entidade em si olha para o tema? O Governo Regional é uma entidade política de dimensão e responsabilidade territorial. Quais são as diferenças? Um território insular, descontinuado do território continental, que levanta questões da sua resiliência comunicacional, capacidade de ter ligação à Internet, às redes de comunicações internacionais, dependente dos cabos submarinos, neste caso de um cabo nacional, que liga Açores, Madeira e o continente e de um cabo que foi um investimento do Governo Regional, o EllaLink, em que temos um ramal de ligação do cabo que liga Fortaleza a Sines, para nos dar exatamente essa capacidade, termos alguma redundância, alguma capacidade alternativa em caso de acontecer algum problema. O Governo Regional tem total superintendência num conjunto de setores da sociedade e tem a responsabilidade: por um lado, daquilo que é o trabalho garantido dentro da organização da administração pública regional, a segurança das suas infraestruturas, sistemas, dados; e, por outro lado, tem de se preocupar, em termos da sociedade em geral, que as suas empresas e que o tecido social esteja também dentro de parâmetros de cibersegurança que sejam aceitáveis. Ainda dentro da administração pública, é uma administração pública como a nacional. Portanto, tem administração direta, indireta, setor empresarial, com todas as nuances e vicissitudes e complexidade que comportam essa situação. É muito importante também referir outra diferença, que é a autonomia política, que significa que a capacidade de decisão autónoma da região pode não acompanhar a capacidade de decisão política nacional, e há diferenças, até porque os impactos são também diferentes. Num cenário, por exemplo, de um ataque à rede elétrica nacional, isso não afeta, salvo por contaminação do agente atacante, mas a rede não tem impacto nas regiões autónomas; são entidades absolutamente diferentes, redes fisicamente segregadas. Há diferenças e a capacidade de decisão própria também faz esta diferenciação entre aquilo que é trabalhar em ciber no ambiente de um governo regional. Considerando aquilo que o Nuno disse, nomeadamente de ser um território insular, quais são as principais preocupações na cibersegurança? Em termos macro, aquela primeira que eu referi há pouco, mas já endereçada, a questão das interligações. Em relação às ameaças propriamente ditas, vamos acompanhar aquilo que é um território ligado à Internet, e aí já ultrapassamos aquilo que é o físico e o geográfico; estamos dentro do ciberespaço, suscetíveis a todas as ameaças que existem. Aí, diria que não há grande diferença. Há um tema que é quase impossível não escapar, que é o ciberataque que o Serviço de Saúde da Madeira sofreu. O que é que pode partilhar sobre este ataque? Em primeiro lugar, dar uma nota muito rápida sobre o ecossistema, como é que funciona, até porque os serviços de cibersegurança que dirijo foi criado em 2020, tem três anos e é um serviço com um grau de maturidade ainda muito inicial, literalmente inicial. Fizemos aqui um trabalho de avaliação usando o Quadro Nacional de Referência para saber a segurança, portanto, estamos no nível inicial. Por outro lado, como referi também, a organização do Governo Regional tem os estabelecimentos públicos, empresariais, e, no caso, o setor de saúde é um estabelecimento público-empresarial, sobre o qual nós, serviços de cibersegurança, não temos visibilidade técnica; não tenho capacidade, nem alarmística para verificar o que está a passar nesse setor. É o IT do SESARAM, do Serviço Regional de Saúde, que faz esse trabalho, mas nós temos alguma capacidade própria, alguma experiência em resposta a situações mais difíceis, a situações de crise, e somos o ponto de contacto do Centro Nacional de Cibersegurança na região. É nessa qualidade que vamos em auxílio, em complemento ao incidente que o Serviço Regional de Saúde sofreu. Isso foi muito bom até porque permitiu à equipa da entidade dedicar-se quase totalmente a lidar com o problema que tinha em mãos, deixando a componente administrativa e a gestão comunicacional para o exterior com o C-Level, neste caso com nível político. O ataque foi um ataque de ransomware com o grupo Rhysida – que, segundo as informações públicas, também impactou Gondomar – e teve um impacto global. O Serviço Regional de Saúde da Madeira, ao contrário do Serviço Nacional de Saúde, está totalmente integrado. Os hospitais e os centros de saúde estão debaixo de um IT único, um centro de dados e uma infraestrutura de comunicações únicas, que é excelente do ponto de vista da higiene, da limpeza e da maturidade que ele já tem em termos de IT, mas também tem um nível de risco correspondente a essa circunstância, que significa que, se eu afetar um ponto desta infraestrutura, vou impactar todo o resto. Novamente numa região insular, isto do ponto de vista do impacto societal e daquilo que pretende a Diretiva NIS prevenir, nomeadamente daquilo que são as entidades agora importantes ou essenciais, é muito relevante porque não temos alternativa. Se o serviço de saúde não está no seu funcionamento normal ou com níveis de qualidade diferenciados, não é fácil logisticamente transferir os doentes para outro território; não se ataca aqui o Garcia da Horta e do outro lado da ponte há três hospitais alternativos. Isto tem outro grau de relevância. Os processos, como devem calcular, são muito recentes e ainda estão sob processos de investigação, mas não seria nada de estranho e expectável, até porque o modo de operação do grupo é conhecido: daquilo que deriva da engenharia social, do comprometimento de credenciais, dos acessos exploratórios e da persistência dentro das redes e depois, em determinada altura, o lançamento da execução do payload e, depois, a expansão da encriptação da infraestrutura. Isto não é nada, é um playbook comum e não fugiu sem entrar em outro tipo de detalhe a estes pormenores. Sobre a resposta também posso dar uma nota que foi interessante. Entre as fantásticas qualidades da equipa técnica que lá estava e a dedicação das pessoas, muitas vezes ficam cansadas na monitorização, mas ficam muito cansadas nas respostas aos incidentes porque querem dar o melhor que têm da sua capacidade técnica para ajudar a sua organização a recuperar. Foi uma lição fabulosa da dedicação dos meus colegas. É esse o nosso papel enquanto Serviço de Cibersegurança: ajudar na contenção, identificar o vetor, identificar o paciente zero, preparar um plano de recuperação e extinguimos aí a nossa missão. No dia 17 [de setembro], para mim, o paciente saiu dos intensivos e foi entregue ao seu respetivo dono, terminando o meu papel em termos de missão. A abordagem foi criar uma infraestrutura limpa, uma infraestrutura verde em paralelo com a infraestrutura afetada, garantindo logo de início, tendo com grau de certeza muito elevado que tínhamos um processo clínico preservado, aquilo que são os dados clínicos, dando- -nos algum leverage, alguma capacidade de não termos de lidar com temas mais complexos, nomeadamente com a relação com o atacante. A partir daí, sobre essa rede verde, sobre essa rede protegida, ir levantando serviços gradualmente, ir gerindo o potencial de haver contaminações, que é um processo também muito complicado. |