homepage
"A Rede Tecnológica Privativa do Estado (RTPE) sofreu um ciber-ataque na madrugada de quinta-feira. O nosso centro de monitorização da rede por volta das 5 da manhã detectou os primeiros eventos", explicou, ao fim da manhã desta segunda-feira, em conferência de imprensa o PCA do NOSi, Carlos Pina.
O mesmo responsável garantiu que a actuação do NOSi foi imediata, "no sentido de corrigir e de se defender desses ataques. Mas poucos minutos depois apercebemo-nos que a natureza do ataque e a rapidez com que o malware se estava a propagar na rede seria quase impossível continuar a combater mantendo a rede a funcionar".
A decisão de desligar toda a RTPE foi tomada pelas 10 da manhã desse mesmo dia "para podermos estancar a propagação e recuperar os dados".
"Concluímos que o ataque bloqueou alguns servidores, nomeadamente a nossa estrutura de autenticação e alguns servidores que garantem serviços online, mas o facto de termos tomado a decisão rápida de desligar a rede garantiu-nos que aquilo que são os dados da soberania, os dados que garantem a governação digital, se mantivessem intactos e sem nenhum tipo de ameaça".
No entanto, havia a necessidade de se fazer uma avaliação de como "colocar os servidores afectados em produção para podermos garantir os serviços. Porque um dos servidores tem que ver com o fornecimento de emails na rede do Estado e também com a própria autenticação", esclareceu.
Depois de criada uma equipa de crise foram convidadas "duas entidades internacionais com expertise na área para trabalhar connosco. Estamos em sintonia com a Procuradoria Geral da República que accionou as suas parcerias internacionais, para fazer uma investigação forense" uma vez que os responsáveis do NOSi constataram que "esta ameaça tem uma origem identificada a nível internacional".
"É uma rede criminosa internacional que tem células espalhadas por vários países e, não temos essa evidência, mas está em aberto a possibilidade que poderemos, eventualmente, ter alguma célula em Cabo Verde". O PCA do NOSi realçou ainda que será feita "uma auditoria forense para apurar as causas efectivas para este ataque".
"Temos evidências que nos permitem aferir que este ataque começou, sobretudo, por ataques de spam e phishing que a RTPE já sentia há cerca de um mês e meio e que temos estado a defender", disse.
Actualmente "todos os serviços já estão recuperados" e o NOSi está em processo de "reposição dos serviços de autenticação e serviços de email. Nesta componente tivemos de tomar uma medida disruptiva, porque constatamos que o serviço de email e todo o processo de autenticação tem sido uma das componentes mais frágeis em termos de ataque".
Carlos Pina explicou que já foram mapeados quase todos os computadores que foram infectados e avançou que "esses computadores vão ser higienizados" e não vão entrar na rede.
Quanto à necessidade de existir uma rede redundante para a RTPE, o PCA no NOSI reconheceu que esse é um problema que será resolvido com a entrada em funcionamento do Data Center do Mindelo. "Com a implementação do Parque Tecnológico temos mais duas infraestruturas, uma aqui ao lado que vai aumentar a nossa capacidade e outra em São Vicente que vai servir exactamente para termos essa redundância que nos dará uma maior capacidade de resposta" a eventos deste género. "Estamos aqui há quatro dias", lembrou Carlos Pina reconhecendo que com a existência de uma rede secundária o problema poderia ter sido resolvido "numa hora, no máximo duas".
Ainda quanto à origem do ataque, é "uma informação que não posso avançar porque está sob investigação e os peritos que estão a trabalhar connosco e a recolher evidências" que serão depois entregues à Procuradoria Geral da República, "que está a trabalhar em parceria com a Interpol e outras organizações internacionais. O que eu sei é que é uma rede já identificada que tem estado a actuar. Mas não posso avançar o país até porque tem células noutros países".
Os ataques deste tipo - ransomware - prevêem sempre um pedido de resgate por parte dos seus autores, algo que acabou por não acontecer no caso de Cabo Verde. "Primeiro a avaliação que fizemos e a decisão rápida de desligar a rede deve ter inviabilizado a captura dos dados e nós não recebemos nenhum pedido". No entanto, o PCA do NOSi acredita que "o que pode estar a acontecer em alguns computadores individuais é aparecerem links a pedir para as pessoas clicarem ali para receberem uma password para recuperarem os seus dados. Mas esses pc's estão fora da rede".
