Com a invasão de centenas de manifestantes pró-Trump ao Capitólio há alguns dias, o staff do Congresso dos EUA teve de abandonar os seus postos rapidamente e procurar refúgio. Esta saída abrupta implica que muitos computadores possam ter sido deixados desbloqueados, permitindo o acesso aos invasores que passearam pelos corredores e gabinetes. Há várias fotografias que mostram muitos destes terroristas sentados em frente a computadores e telemóveis, mas os especialistas de cibersegurança dividem-se no que toca ao risco que isso possa trazer.
Ashkan Soltani, o ex-responsável de tecnologia da Federal Trade Commission, explica ao Motherboard que “os terroristas/manifestantes podem facilmente ter tido acesso a ficheiros do Congresso, calendários partilhados e endereços de email (incluindo listas de contactos dos apoiantes de um congressista). Considero que há o potencial de ter sido implementado malware na rede interna através de um destes sistemas, uma vez que houve acesso físico”.
Um outro especialista que atua como consultor de TI para o Senado e para a Câmara desvaloriza o risco dizendo que os sistemas do Capitólio “têm proteções sólidas nos endpoints. E tenho a certeza de que irá haver uma revisão completa, mas, devido à fragmentação ad hoc dos sistemas, deve demorar várias semanas”.
Por outro lado, Matt Tait, que trabalhou na agência de espionagem britânica GCHQ, salienta que os administradores de TI vão provavelmente ter de responder a perguntas difíceis como “porque é que os ecrãs não se bloquearam sozinhos, por exemplo, e se têm implementadas soluções como o Bitlocker [encriptação do disco] e como tornaram os sistemas robustos para cenários em que não está ninguém a utilizá-los”.
Os próximos passos para as equipas de TI devem passar por conduzir auditorias para perceber que ficheiros foram copiados, alterados ou eliminados e que contas foram acedidas durante a invasão e evacuação.
Tait salienta que os responsáveis devem ter em conta a forma como os sistemas e redes estão configurados antes de concluir se houve realmente um ataque informático. “Devem fazer uma análise completa da rede e ao equipamento, bem como ao edifício. Se a rede não tem monitorização de intrusões como quando alguém está em frente a um computador durante 30 minutos sem controlo, devem destruir tudo”, alerta este especialista.