São apenas dois dias – mas valem por quatro. A segunda edição do Exercício Nacional de Cibersgurança (ExCNS) juntou, entre quarta e quinta-feira, 42 entidades públicas e privadas em torno do processo eleitoral de um país imaginário conhecido por Lusoceânia. Apenas 22 dos participantes atuaram como jogadores, com o propósito de fazer frente, de forma coordenada, a manobras de propaganda, fake news ou mesmo ataques aos sistemas de contabilização de votos e infraestruturas críticas. Mais do que a complexidade técnica, o exercício, que este ano teve o apoio da Agência Europeia para Agência Europeia para as Redes e Sistemas de Informação (ENISA), tem por objetivo testar a capacidade de reação e de partilha de informação perante cenários virtuais, que pretendem replicar o frenesim nos dias mais cruciais de um estado democrático.
Na quarta-feira – o primeiro dia do exercício que agregou dois dias fictícios da Lusoceânia – os “jogadores” trocaram mais de 400 mensagens relacionadas com ações e alertas, e produziram cerca de 100 relatórios de situação. O tema das eleições não foi escolhido ao acaso, como confirma António Gameiro Marques, líder do Gabinete Nacional de Segurança e diretor do Centro Nacional de Cibersegurança, no primeiro dia do exercício nacional de cibersegurança: A realização das eleições europeias em Maio, das eleições Regionais na Madeira em setembro, e das Legislativas em Outubro foi determinante para a escolha do tema deste ano.
Quanto aos alertas lançados por José Tribolet, presidente do INESC, sobre a relativa facilidade com que se consegue atacar com sucesso o Estado Português, Gameiro Marques responde numa breve entrevista dada à Exame Informática: «é importante transmitir às pessoas que há um conjunto de pessoas alargado – e não é só no CNCS – que trabalham para que Portugal, do ponto de vista digital, se torne mais seguro, quer com ações permanentes de sensibilização, quer com criação de quadros de referência nacionais para a cibersegurança».
Quais os objetivos desta segunda edição do Exercício Nacional de Cibersegurança (exNC)?
Um dos objetivos é genérico e passa por pôr as organizações a comunicar entre si, para partilharem informação que precisam de partilhar para resolver questões mais complexas. Depois há objetivos mais específicos, que têm a ver com as eleições, que são o tema do exercício deste ano. Porquê este tema? Porque vamos ter este ano três atos eleitorais: um em maio para o Parlamento Europeu; outro para a Região Autónoma da Madeira; e em outubro para o Parlamento nacional. Atendendo ao que sabe que é possível fazer para comprometer os atos de eleitorais, achámos por bem escolher este tema para o exercício deste ano.
Há um risco real de ciberataque contra as eleições nacionais?
Sim, não vamos escamotear. Como a melhor maneira de estar protegido é estar preparado, através destas e de outras ações que vamos implementando ao longo do ano em vários pontos do País, tentamos incrementar a preparação das entidades que estão aqui a jogar, para o caso de viverem uma situação uma situação parecida com aquela que estamos aqui a tentar simular, saberem o que têm de fazer quando forem confrontadas com a situação real.
E em termos de participação de empresas e Administração Pública? Faltou alguma entidade que gostasse que estivesse aqui?
Não, atendendo a este tema, houve uma recetividade bastante grande. Como no ano passado, este não é um exercício do Centro Nacional de Cibersegurança, mas sim um exercício nacional em que o CNCS e a respetiva equipa são facilitadores. Por isso, desenvolvemos o exercício deste ano em estreita colaboração com a Comissão Nacional de Eleições (CNE) e com a Secretaria Geral do Ministério da Administração Interna, que são duas entidades de grande importância nos processos eleitorais. Tivemos uma adesão muito grande de diferentes entidades. Temos aqui a Região Autónoma da Madeira, que tem sido um parceiro espetacular em todas as nossas iniciativas. Temos entidades públicas e empresas privadas a trabalhar connosco. A adesão é bastante grande e estamos bastante satisfeitos com a adesão da sociedade civil a estas iniciativas.
Nas eleições , os ciberataques podem incidir sobre os próprios sistemas de contagem de votos ou nas manobras de persuasão e propaganda com mentiras disseminadas na Internet… Este exercício tem em conta estas duas vertentes?
Refletimos isto nas nossas histórias – ou storylines, como costumamos dizer aqui – que cobrem precisamente essas duas vertentes. Os dois dias de exercício representam quatro dias de calendário: três que antecedem o dia das eleições, e o domingo em que se realiza as eleições. A parte das fake news e da indução de perceções erradas nas cabeças das pessoas ocorre nos dias que antecedem o domingo eleitoral, que só acontece (de acordo com op guião do exercício) amanhã à tarde. É amanhã à tarde que vamos ver a simulação de incidentes mais dirigidos aos sistemas que fazem a contagem e contabilizam a contagem. E depois temos todo um ecossistema de sistemas que estão à volta desse processo que vão ser manipulados em ambiente de simulação, obviamente para levar as pessoas a duvidar de algumas coisas.
As tecnologias e sistemas usados no exercício são similares àqueles que as diferentes entidades usam no dia-a-dia?
O exercício é concebido tendo em conta a possibilidade de algo acontecer. Não decorre de um primeiro levantamento que tenhamos feito. Fomos criar situações, cuja a probabilidade de ocorrência é aquela que se sabe, mas independentemente da robustez dos sistemas, criámos eventos que são verosímeis. Mas esses eventos não têm um mapeamento relacionado com fragilidade ou a robustez dos sistemas A ou B.
A cibersegurança é uma componente determinante no jogo político da atualidade?
Cada vez mais estamos expostos ao digital e cada vez mais as gerações mais novas preferem o digital – até para exercer o direito de voto. E por essa razão temos de garantir que todos esses mecanismos que são opacos, porque não sabemos o que lá está dentro, também são confiáveis; que os cidadãos podem confiar neles, e que quando fazem uma determinada opção, ela não é modificada entretanto. Eu (enquanto cidadão) tenho de ter a certeza de que quando escolho a opção A, ela não é transformada em C ou D, que não é a minha opção. É algo que é fundamental e é uma coisa que, quando se põe uma cruz numa opção, permite ter mais certeza, porque o voto depois é registado quando é colocado na urna. É essa confiança que se tem de transmitir.
Essa comparação com os sistemas analógicos tem alguns pontos em comum com a recente descrição feita por José Tribolet, presidente do Inesc, sobre as bases de dados e repositórios do Estado, que estão mais ou menos desligadas do mundo…
Pelo que li na entrevista do Professor Tribolet (à Agência Lusa), penso que não era disso que falava… conhecemos o professor Tribolet, com toda a sua criatividade, reconhecemo-lo como uma referência nesta área em Portugal, mas é importante transmitir às pessoas que há um conjunto de pessoas alargado – e não é só no CNCS – que trabalham para que Portugal, do ponto de vista digital, se torne mais seguro, quer com ações permanentes de sensibilização, quer com criação de quadros de referência nacionais para a cibersegurança… o primeiro vai estar publicado até ao final deste mês e vai estar disponível para as entidades públicas e privadas adotarem; com mecanismos que permitem medir o grau de maturidade das diferentes entidades, e descobrirem como é que podem passar do nível A para o nível B, sendo que o nível B tem maior maturidade que o A. Estamos a fazer um conjunto de coisas… assim todas as entidades não gerassem pânico na sociedade. Todos sabemos que o ser humano, quando lhe instigam pânico, age com emoção e não com a razão.
Reconhece como possível o cenário de que em 15 dias, com 100 mil euros seria possível mandar abaixo com um ciberataques o Governo de Portugal, como diagnosticou o professor Tribolet?
As palavras do professor Tribolet deveriam ser colocadas num contexto muito mais alargado que aquele que é dado com a entrevista…
… Sim, na mesma entrevista o Professor Tribolet, também diz que o mesmo cenário poderia ser aplicado a outros governos!
Também há áreas com diferentes maturidades, devido à própria natureza das organizações. Temos áreas do setor público com nível de maturidade bastante elevado e com um nível de consciência também bastante elevado. No setor privado acontece a mesma coisa: há empresas bastante maduras e empresas menos maduras – e são todas estas que queremos trazer para um nível mais elevado, através de ações de sensibilização. Diria que, mesmo o transporte mais seguro – o avião – tem as suas falhas, como nos mostra mais recente, mas não deixou de ser o transporte mais seguro que existe. Se quase todos os cidadãos estão expostos ao digital, logo há situações em que as pessoas ficam desprotegidas. Temos de investir muito nas pessoas. Mas não é só nos engenheiros. É em todas as pessoas. Daí termos publicado o curso do cidadão ciberseguro. Há todo um conjunto de ações que estamos a fazer; temos uma estratégia que já está a ser executada; e temos outra que está em processo legislativo (a Estratégia Nacional para o Ciberespaço), que já foi entregue à tutela e que vai substituir a primeira. Estamos também a desenvolver os requisitos de segurança que decorrem da Lei 46/2018, que transpõe a diretiva europeia da segurança das redes de informação… estamos a atuar em diversas frentes, que vão contribuir para que todos nós estejamos mais seguros… agora se alguém se dedicar a mandar abaixo sistemas governamentais…
… Terá de arcar com as consequências?
Nem mais.
No próximo ano, haverá novo exercício nacional de cibersegurança?
Queremos fazer um exercício por ano. Ainda não pensámos no tema… mas queremos exercícios dirigidos para determinados temas… o do ano passado foi um teste, um exercício mais genérico. Este ano tivemos este tema (das eleições); para o ano, até tendo em conta as experiências alcançadas durante este ano, vamos pensar certamente num tema que tenha ressonância no nosso País. E quero assinalar que este exercício está a ser levado a cabo em estreia colaboração com a Agência Europeia para a Segurança das Redes e dos Sistemas de Informação, que nos enviou duas pessoas e também uma plataforma de incidentes, para uso dos jogadores que participam no exercício. No ano passado, não tivemos a ENISA connosco, mas ainda bem que temos este ano, porque dá uma relevância alargada a esta nossa iniciativa e a este tema.
