Final da tarde de sexta-feira, 4 de janeiro: Pedro Veiga recebe um telefonema de um gabinete ministerial. Do outro lado da linha, o responsável, cuja identidade não é referida por questões de segurança, informa o presidente da recém-extinta Fundação para Computação Científica Nacional (FCCN) de que há dados que apontam para uma vaga de ataques à rede de um ministério durante o fim de semana.
Sem demoras, Pedro Veiga encaminha o alerta para o serviço que é conhecido pela sigla CERT.pt (de Computer Emergency Readiness Team, de Portugal). Pouco depois, os peritos do CERT.pt avaliam o estado de segurança do ministério em causa e apresentam várias recomendações. Coincidência ou não, a referida vaga de ataques acabou por não se verificar – mas se tivesse sido bem sucedida, a entrada em campo dos especialistas do CERT.pt ficaria dependente do sentido de Estado e do que mais ditasse a consciência dos responsáveis ministeriais. E isto porque, apesar de ser a única unidade com algum grau de operacionalidade, o CERT.pt não tem poder legal para assumir o controlo de situações de crise que resultam de ciberataques a infraestruturas críticas. Este cenário não deverá mudar tão depressa: desde 1 de janeiro que o Estado Português está em incumprimento das normas europeias, que previa a criação de uma unidade operacional com capacidade técnica e poder institucional até ao final de 2012 – que no limite poderá estender-se a 2013.
É o próprio Pedro Veiga que o confirma: o CERT.pt foi criado e gerido por uma fundação com fins privados e legalmente não pode ser reconhecido como representante do Estado Português tanto a nível nacional como a nível internacional – ainda que, na prática, empresas e ministérios portugueses, e a própria Agência da Rede Europeia de Segurança e Informação (conhecida pela sigla ENISA) considerem que a unidade de cibersegurança alojada na FCCN é o interlocutor a que devem recorrer sempre que se trata de analisar possíveis ameaças e vulnerabilidades de cibersegurança.
A boa vontade institucional não chega para evitar situações mais complexas: em casos de ataques, conflito de interesses e instituições, ou de procedimentos errados, os profissionais do CERT.pt pouco podem fazer – porque não há uma lei ou um diploma nacional que lhes confira o poder para assumir o controlo das operações.
Fernando Freire, especialista em cibersegurança do Instituto de Defesa Nacional, não hesita em classificar a inexistência de uma unidade operacional com poder atribuído pelo Estado Português como «preocupante». «Estamos (em Portugal) demasiado vulneráveis. Até mesmo para questões de ciberespionagem. Ninguém sabe se acontecem ou não porque ninguém as declara. Acredito que hoje há intrusões nos serviços do Estado… se são de ordem criminal ou espionagem pura é outra questão. Caso houvesse um Centro Nacional de Ciberespionagem, seria possível tomar consciência do que está a acontecer e eventualmente fechar portas que hoje estão abertas. Haveria mais competência e capacidade de atuação», acrescenta o perito do IDN.
Não é por acaso que Fernando Freire menciona o Centro Nacional de Cibersegurança (CNC). Em abril de 2012, o Governo deu provas de querer criar um centro de combate a hackers e ciberespiões – e aprovou mesmo uma resolução de conselho de ministros que atribui à Autoridade Nacional de Segurança (ANS) a responsabilidade de definir o modo de funcionamento do futuro CNC. Depois de auscultar vários quadrantes da sociedade e do Estado, a Comissão Instaladora nomeada pela ANS elaborou um documento que elenca os moldes e procedimentos da futura unidade operacional. Segundo a ANS, o documento foi entregue ao Governo em junho – ainda a tempo de permitir o cumprimento das normas europeias que estipulam a criação de centros de combate à cibersegurança em todos os Estados-membros até ao final de 2012.
As críticas ao CNC
A Comissão Instaladora da ANS propunha a constituição de um centro com 15 operacionais, que poderia entrar em ritmo de cruzeiro ao cabo de dois anos – já com a equipa expandida para 30 especialistas. O documento previa também um investimento de dois milhões de euros na compra de equipamentos e ainda dois milhões euros anuais para custos de pessoal e despesas relacionadas com operações.
Apesar de ter merecido o apoio em Conselho de Ministros, o CNC não tardou a receber reparos. Nos corredores dos organismos de Estado é criticado o facto de a Comissão Instaladora não ter solicitado uma opinião ao Sistema de Informações da República Portuguesa (SIRP), que agrega os serviços secretos nacionais. Posteriormente, o projeto ganha o primeiro adversário com rosto visível: o recém-criado Grupo de Projeto para as Tecnologias de Informação e Comunicação (GPTIC), que está a implementar um plano de racionalização de investimentos e despesas relacionadas com ferramentas tecnológicas usadas pela Administração Pública, dá um parecer negativo quanto ao raio de ação definido para o CNC. Este parecer acaba por contrastar de alguma forma com o que consta no documento intitulado «Plano Global Estratégico de Racionalização e Redução de custos nas TIC na Administração Pública – Horizonte 2012-2016» que prevê a constituição do CNC.
O parecer da entidade liderada por Marta Sousa, assessora do primeiro-ministro, não é vinculativo, mas a verdade é que o Governo acabou por não avançar com o projeto apresentado pela ANS – e, apesar de não ser o único Estado-membro a fazê-lo, acabou por ficar em incumprimento face às normas europeias e condicionar, em parte, as relações com a NATO ao nível da estratégia de cibersegurança.
Torres Sobral, presidente da ANS, confirma que, até à data, ainda não recebeu qualquer informação do Governo sobre o lançamento do CNC. «Pode ser que o Governo tenha avançado sem que eu saiba…», responde quando a Exame Informática insiste na questão.
Apesar de não comentar o assunto, o responsável da ANS confirma que a criação de Centros Nacionais de Cibersegurança até ao final de 2012 é um dos desígnios definidos pela UE e já foi alvo de solicitação similar da NATO. Portugal não é o único estado-membro em incumprimento: até ao final de 2012, sete dos países da UE não tinham criados os seus CNC.
Afinal só em 2016
O último Diário da República de 2012 pode ajudar a encontrar uma resposta sobre o possível destino do projeto de constituição do CNC. No dia 31 de dezembro, o Governo publica mais uma resolução do Conselho de Ministros. Desta feita trata-se da nova Agenda Portugal Digital – que já contém uma referência à constituição de um organismo similar ou eventualmente equivalente a um centro nacional de cibersegurança. Eis o excerto da resolução do Conselho de Ministros: «Promover a criação de um centro de reporte de incidentes e de gestão de situação operacional agregada das redes e serviços de comunicações eletrónicas, incluindo a Internet, bem como a realização de exercícios de preparação das redes e serviços. Pretende-se, também, promover a criação do sistema nacional de gestão de risco e a criação do sistema de certificação de segurança».
A execução do projeto, que foi agendada para 2016, foi entregue ao Ministério da Economia e do Emprego, à Autoridade Nacional das Comunicações (Anacom), ao Ministério da Educação e da Ciência e à própria Presidência do Conselho de Ministros. Não há nenhuma referência à ANS e à Comissão Instaladora, ou sequer ao Centro de Gestão da Rede Informática do Governo (CEGER) que também constou no plano de racionalização de custos das tecnologias da Administração Pública como uma das entidades que deveriam criar o CNC. O que talvez possa ajudar a compreender por que é Torres Sobral ainda não foi informado sobre o destino dado ao primeiro projeto de constituição do CNC.
O Diário da República é omisso quanto aos moldes de funcionamento e raio de ação do futuro “centro de reporte de incidentes e de gestão de situação operacional agregada das redes e serviços de comunicações eletrónicas” – e também não refere se este centro vai seguir o que foi delineado originalmente pela Comissão Instaladora da ANS. Também não há qualquer explicação para o facto de a ANS, pelas funções que ocupa e pelas competências que tem, não ser integrada na lista de entidades que deveriam instalar o “centro de reporte de incidentes” que é descrito no Diário da República – mas este último ponto pode estar relacionado com o facto de a ANS e o CEGER dependerem da Presidência do Conselho de MInistros que, eventualmente, poderá delegar esta missão mais tarde às duas entidades que tutela.
A Exame Informática contactou a presidência do Conselho de Ministros, mas não obteve qualquer comentário ou informação sobre este assunto.
CERT.pt não chega
Fará sentido esperar três anos para ter um centro operacional de cibersegurança com poderes reconhecidos por todo o organismo do Estado e empresas de âmbito nacional? Um especialista, que pediu para não ser identificado, explica o que está em causa: «Hoje, se houver um ataque à rede elétrica da REN o problema é da REN – e é a REN que tem de o resolver».
O mesmo especialista, que tem acompanhado de perto todo o processo, não hesita em chumbar a capacidade operacional de Portugal no que toca à cibersegurança. «É verdade que existe o CERT.pt, mas não temos (Portugal) uma verdadeira unidade operacional. O CERT.pt funciona essencialmente como um centro de respostas a incidentes», garante.
Num cenário de ciberguerra, com ataques de grande escala, a questão já será diferente, como recorda a mesma fonte: «Nesse caso, Portugal teria de solicitar a ajuda à NATO, para que pudesse enviar uma equipa de intervenção rápida».
Fernando Freire também é da opinião de que o raio de ação do CERT.pt está limitado – tanto em termos legais, como operacionais. «Uma unidade mais operacional teria capacidade não só para tapar vulnerabilidades, como também ripostar de forma ponderada e discreta contra quem nos inflige o ataque, podendo causar estragos, mas sem que isso seja encarado como uma declaração de guerra», acrescenta.
O especialista do IDN lembra ainda que a constituição de um CNC também seria importante no que toca às relações entre Portugal e a NATO. «Deveria ser o CNC a assumir a aplicação dos requisitos mínimos de cibersegurança que são definidos para os membros da NATO», acrescenta Fernando Freire.
Desde que foi criado até aos dias de hoje, o CERT.pt funcionou como um departamento da FCCN. E é possível que assim se mantivesse por muito mais tempo, não fosse o caso de o Governo ter decidido extinguir a FCCN através de uma integração na Fundação para a Ciência e Tecnologia (FCT). O que deixa em aberto mais uma questão: o que vai acontecer ao CERT.pt, que nem sequer tem estatuto de entidade estatal, mas que está em vias de ser integrado numa fundação do Estado? Apesar de presidente demissonário da FCCN, Pedro Veiga dá uma ideia do que poderia ser feito: «Fazia sentido que a equipa do CERT.pt transitasse para o CNC, caso seja criado. Trata-se de uma estrutura que devia ter uma capacidade de intervenção nacional».
