O Centro Nacional de Cibersegurança (CNCS) investiu 500 mil euros em 2015 na compra de uma plataforma de monitorização do tráfego dos diferentes ministérios, repartições ou departamentos da Administração Pública (AP) – mas esta ferramenta nunca chegou a ser implementada nos diferentes serviços do Estado durante os últimos quatro anos. O Centro de Gestão da Rede Informática do Governo Centro (CEGER), que gere a rede privada que liga gabinetes de ministros e secretários de estado, deu o exemplo, aderindo ao sistema de monitorização de tráfego voluntariamente, logo na primeira hora, mas foi a única entidade a fazê-lo na AP. A Exame Informática apurou que os ministérios da Administração Interna, Justiça, Segurança Social e Trabalho recusaram a instalação da ferramenta que, através da monitorização do tráfego, revela padrões que poderão indiciar tentativas de ciberataque ou de extração de dados por hackers. A presidência do Conselho de Ministros, que tutela o CNCS, informa que pretende fazer uso do poder político para inverter este cenário, através da interligação de seis entidades durante 2019.
Sob anonimato, diferentes fontes da AP confirmam que os ministérios da Justiça, Segurança Social e Administração Interna invocaram, em reuniões realizadas entre 2015 e 2016, questões técnicas e legais para rejeitar a adesão à plataforma de monitorização de tráfego.
A plataforma dá pelo nome de Panorama. É uma ferramenta desenvolvida pela empresa Edisoft, que é detida pelo Estado português e o gigante tecnológico francês Thales. Com a Panorama, o CNCS pretendia garantir a possibilidade de recolher informação sobre padrões relacionados com a entrada e a saída de dados dos servidores da Administração Pública – mas não dos conteúdos veiculados nos e-mails, na navegação na Internet ou nos ficheiros que os funcionários públicos enviam para as diferentes bases de dados. Para fazer uma monitorização em tempo real, a plataforma pressupõe a instalação de “sondas” ou “sensores” que registam a atividade dos servidores de acesso à Net usados pela AP.
Contactada pela Exame Informática, a Edisoft remeteu todas as explicações sobre o uso da Panorama para o CNCS, que contratou a solução.
Todas as fontes contactadas pela Exame Informática deram a conhecer um ponto de vista em comum nos três ministérios que se sabe que rejeitaram as sondas da Panorama: uma desconfiança quanto aos dados que iriam ser recolhidos. Essa desconfiança tanto se prendeu com questões de privacidade dos profissionais da AP como com questões associadas à própria informação que pode ser considerada “sensível” e que é trabalhada todos os dias na área da Justiça e Administração Interna.
Do ponto de vista técnico, os reparos incidiram sobre a alegada falta de informação: «Ninguém nos explicou ao certo onde e como é que as tais sondas iriam ser instaladas ou como é que deveriam funcionar», refere uma das fontes contactadas pela Exame Informática.
O Governo garante que a falta de monitorização do tráfego da AP deverá começar a ser revertida nos tempos mais próximos. «Para a criação de um quadro situacional da cibersegurança em Portugal, o Centro Nacional de Cibersegurança está a convidar os organismos que possuem um grau de maturidade mais elevado para ligarem os seus sistemas de correlação de eventos ao sistema (…) denominado Panorama e para partilharem os eventos de segurança relevantes para a construção daquele quadro. Neste enquadramento, conta-se ligar até seis entidades em 2019», responde o Ministério da Presidência e Modernização Administrativa, sem confirmar ou desmentir as recusas ministeriais no que toca à adoção dos sensores da plataforma Panorama.
A recusa de instalação das sondas não impede que os ministérios façam essa recolha e enviem os dados para posterior análise do CNCS, confirmou a Exame Informática. Esta opção tem a vantagem de permitir uma filtragem de incidentes que realmente importa dar a conhecer ao CNCS, mas pode limitar a operacionalidade, uma vez que os dados poderão não ser fornecidos em tempo real – e passam a estar sujeitos a uma análise de perigosidade que é feita pelos recursos internos de cada entidade que poderão não seguir os mesmos padrões do CNCS.
Jorge Pinto, presidente da Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI), considera que, tendo em conta a escassez de especialistas em cibersegurança e a necessidade de uma monitorização «24 horas em cada um dos sete dias da semana», «é cada vez mais habitual empresas e entidades públicas recorrerem a Centros de Operações de Segurança externos».
O dirigente da AP2SI recorda que os centros que supervisionam a cibersegurança em Espanha e Reino Unido têm vindo a apostar em sistemas de monitorização em tempo real e admite que «faz sentido haver uma monitorização conjunta das diferentes entidades do Estado, com o CNCS a prestar esse serviço». Apesar da eventual perda de operacionalidade, Jorge Pinto admite que esta monitorização também possa ser feita por cada ministério internamente, limitando o envio de informação aos incidentes ou eventos que realmente interessam ao CNCS.
À espera desde 2015
A instalação da plataforma Panorama começou a ganhar forma em 2015, quando o Centro Nacional de Cibersegurança era dirigido por Torres Sobral (que viria a ser sucedido por Gameiro Marques em 2016).
Em julho de 2015, Filipa Calvão, presidente da Comissão Nacional de Proteção de Dados (CNPD), deu provimento a um pedido do CNCS para a recolha de dados de tráfego de diferentes serviços da Administração Pública, para efeitos de monitorização de diferentes ameaças que circulam na Internet. A deliberação da presidente da CNPD não refere a ferramenta Panorama, mas confirma os propósitos do Centro Nacional de Cibersegurança em recolher dados relativos aos números de Protocolo de Internet (conhecidos na gíria por IP), que permite obter algumas pistas sobre a localização, os operadores de telecomunicações ou mesmo das entidades que trocam informação com os diferentes serviços do Estado.
Devido aos «motivos de interesse público importante», a presidente da CNPD autorizou o tratamento de dados solicitado pelo CNCS, mas impôs restrições: todos os dados considerados pessoais ou que não estejam contemplados pelas funções definidas para a análise de ciberincidentes deverão ser prontamente eliminados. O CNCS também fica obrigado a comunicar à PJ todo e qualquer incidente que possa indiciar um crime, e deve eliminar os dados ao cabo de cinco anos (o CNCS tinha solicitado o armazenamento da informação durante 10 anos).
Apesar da autorização do tratamento de dados, o CNCS fica incumbido de solicitar por escrito o acesso à informação de tráfego de cada entidade pública ou operador de infraestruturas críticas, e o tratamento dessa informação deverá ser definido através de um protocolo assinado entre ambas as partes. Cada um destes protocolos. que aparentemente, nunca chegaram a avançar na AP, terá de ser apreciado igualmente pela CNPD.
Entre as fontes contactadas pela Exame Informática há quem lembre que a proposta de instalação das sondas da Panorama terá sido levada a cabo junto de dirigentes da AP diretamente pelo CNCS – uma entidade que foi criada em 2014, já com dois anos de atraso face às datas determinadas pelas diretivas da UE, e que, desde o início, se deparou com a alegada falta de poder político para obrigar entidades públicas a tomar medidas na área da cibersegurança. Uma lacuna que, em princípio, poderá ser superada com a vontade agora expressa pelo Ministério da Presidência em avançar com a instalação das sondas da Panorama em seis entidades públicas.
O CNCS confirma que a Panorama começou a ser instalada em 2015 e permitiu «edificar conhecimento sobre o ciberespaço de interesse nacional». A entidade que supervisiona o ciberespaço em Portugal também garante que, desde a instalação, a plataforma Panorama «evoluiu consideravelmente» em termos de arquitetura e requisitos funcionais, mas não se pronuncia sobre o facto de nenhuma entidade estatal, com exceção do CEGER, ter instalado as sondas da plataforma Panorama. O CNCS confirma ainda que a plataforma Panorama poderá ser importante para enviar relatórios mais detalhados sobre a cibersegurança de cada entidade. «É um sistema fulcral para a atividade operacional do CNCS e para a segurança do ciberespaço de interesse nacional», sublinha o CNCS, num e-mail enviado para a Exame Informática.
