O Centro Nacional de Cibersegurança (CNCS) considera que o bloqueio que afetou o sistema que suporta os domínios de topo portugueses entre 10 e 11 de julho não teve «impacto relevante».
A indisponibilidade do sistema, que foi denunciada em primeira-mão pelo site Tugaleaks, resultou de uma migração tecnológica que terá limitado o registo e as funcionalidades de gestão dos endereços terminados em .pt. O bloqueio do sistema começou a fazer sentir-se na madrugada do dia 10 de julho e só terá terminado ao final da tarde do dia 11 de julho.
A associação DNS.pt, que gere os domínios de topo relativos a Portugal, confirma a existência do referido período de indisponibilidade: «O .PT procedeu à transição para um novo sistema de registo e gestão de domínios, de forma a oferecer um serviço que – baseado em tecnologia de referência e garantindo os mais elevados padrões de fiabilidade, segurança e qualidade – se configure como exemplo de usabilidade de excelência».
Apesar de lembrar que a migração tem por objetivo a melhoria da gestão de domínios, a DNS.pt não fornece detalhes sobre o impacto do período de indisponibilidade, nem refere o número de endereços, contas ou funcionalidades afetadas pelo período de indisponibilidade.
Contactado pela Exame Informática, o CNCS informa que não esperou pelo envio de alerta de ocorrência da DNS.pt, tendo contactado associação por iniciativa própria, mal teve conhecimento do bloqueio.
O CNCS refere ainda que a equipa de operacionais (o CERT.pt), que tem por missão ajudar entidades públicas ou privadas a acudir às várias ocorrências, ajudou a DNS.pt a debelar o bloqueio dos endereços terminados em .pt. «Não se tratando de um incidente com impacto relevante, o CERT.pt trabalhou em conjunto com o .PT, no sentido de mitigar as vulnerabilidades entretanto identificadas», informa o CNCS por e-mail.
A Lei nº46/2018, que regula os sistemas de cibersegurança de entidades públicas e empresas privadas com infraestruturas críticas, prevê coimas entre um mínimo de 500 euros para casos de negligência menos gravosos e as infrações consideradas muito graves que estão relacionadas com a implementação dos requisitos de segurança para os sistemas críticos e que são punidas com um máximo de 50 mil euros. O CNCS, que tem a função de fiscalizar medidas de cibersegurança e aplicar coimas sempre que necessário, admite que a indisponibilidade registada entre 10 e 11 de julho poderá não justificar a aplicação de coima: «O CNCS pode atuar de acordo com a sua missão e competências tal como previsto na Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço. O regime sancionatório previsto nesta Lei prevê a possibilidade de aplicação de sanções, nomeadamente, perante o incumprimento da obrigação de notificar o CNCS dos incidentes com impacto relevante. No entanto, mais uma vez cumpre esclarecer que a situação em apreço não configurou um incidente com impacto relevante».
Entretanto o sistema que suporta os domínios de topo já terá regressado à normalidade. A 15 de julho, a DNS.pt informou que «a estabilização das respetivas funcionalidades que já se encontra em fase de conclusão». «O novo sistema estará disponível e a funcionar na totalidade das suas potencialidades em tempo próximo», acrescentou a associação que gere os endereços terminados em .pt.
