Em que situação estamos depois do ataque que a Rede Tecnológica Privativa do Estado (RTPE) foi alvo?
A situação está estável. Neste momento temos quase 50% dos computadores já na rede, num processo faseado. O nosso objectivo era, hoje [segunda-feira], começar de forma centralizada e remota a colocar todos os computadores na rede, mas ainda faltam alguns testes laboratoriais para concluir. Mas todos os serviços essenciais para o país estão a funcionar de forma estável. Faltam ainda alguns postos de trabalho, de backoffice, mas isso não condiciona o funcionamento dos serviços. Neste momento, para garantir a segurança, criamos um saneamento muito forte da Rede Tecnológica Privativa do Estado, para mitigar riscos futuros. Portanto, respondendo de forma muito objectiva, a situação está estável, todos os dados de soberania que garantem a governação digital foram salvaguardados e estiveram sempre intactos e os serviços foram recuperados e estão a trabalhar normalmente, pelo menos os serviços essenciais para cidadãos e empresas.
Qual foi a gravidade do ataque?
Muito grave. Muito grave pelo impacto. Tivemos praticamente cinco dias de downtime e isto teve um impacto enorme. Terá de ser feita uma avaliação do ponto de vista material. E depois há o impacto reputacional que foi grande. Mas vamos sair desta crise mais fortes, porque já estamos a tomar um conjunto de medidas do ponto de vista tecnológico. Estamos a rever toda a nossa arquitectura de firewall, com regras muito mais apertadas do ponto de vista de procedimentos. Está em curso uma auditoria interna, a ser feita por uma entidade externa e independente ao nosso sistema de gestão de acessos a toda a governança. Já temos o relatório e um conjunto de medidas e esta crise vai obrigar-nos a implementar essas medidas, algo que já estamos a fazer e vamos acelerar essa implementação. Estamos a fazer um saneamento muito forte, antecipando possíveis ataques de phishing e malware. Estamos a sanear a nossa rede. O impacto é muito grande, mas estamos a sair mais fortes desta crise e com melhores condições para o futuro.
Diz que o impacto foi forte. O que é que se perdeu?
Nada se perdeu. Nós recuperamos tudo. O que temos, neste momento, são situações de alguns postos de trabalho, neste momento à volta de 300 dos cerca de sete mil que já estão na rede, que foram comprometidos. Os ficheiros, alguns são institucionais, mas muitos são pessoais, ficaram comprometidos, ficaram encriptados, bloqueados. Mas estão nos pc’s. O que fizemos foi isolar esses computadores, em muitos dos casos retiramos os discos e securizamos. Depois, penso que na próxima semana, vamos olhar para essas situações. Estamos a trabalhar de uma forma muito estreita com o fabricante, porque o único sistema afectado foram os sistemas da Microsoft e estamos a trabalhar com eles no sentido de encontrarmos uma solução no sentido de desencriptar e desbloquear esses ficheiros. Os ficheiros não foram perdidos. A estrutura de autenticação que ficou comprometida nós recuperámos. No fundo, os dados não foram perdidos, existem. Naturalmente que estamos a acompanhar esse processo a nível internacional. Quanto às passwords que foram capturadas, nós fizemos um reset de todas elas, desde passwords individuais a passwords de administração de sistemas. Essas passwords que eventualmente estejam capturadas já não têm validade nenhuma. Poderão ser eventualmente vendidas no mercado negro, mas quem comprar perde o dinheiro, porque não têm qualquer validade do ponto de vista de acesso.
Porquê um ataque ao NOSi, porquê Cabo Verde?
Esta é uma tendência mundial. Várias instituições públicas e privadas têm sido alvo de ataques. As motivações deste ataque, nós neste momento não podemos afirmar nem tirar conclusões, mas poderão ser várias. Podem ser económicas e financeiras, poderá ter motivações do ponto de vista de sabotagem, poderá ser um acto de terrorismo. São motivações que, neste momento, não podemos concluir ou tirar qualquer tipo de ilação. É um ciber-crime, isso não há dúvidas. Porquê Cabo Verde, também não posso dizer porque este é um movimento que aumentou com a pandemia. Os trabalhos remotos aumentaram significativamente e esses movimentos têm fins económico-financeiros e outros. Não sei dizer o porquê de um ataque a Cabo Verde. Mas houve ataques a outros países. Por exemplo, o sistema eleitoral brasileiro foi atacado, o Pentágono e a Casa Branca estão permanentemente a ser atacados.
Fiz-lhe essa pergunta porque quando deu a conferência de imprensa, sobre o ataque à RTPE, fez referência à violência do ataque e à disciplina de quem atacou. Uma expressão que foi usada, alguns dias depois, após um ataque à FireEye, uma empresa de segurança cibernética em que davam a entender o patrocínio de um Estado. Pode o ataque ao NOSi e a outras instituições partir de um ensaio para um ataque de maior escala?
O ataque foi ao Estado de Cabo Verde. Porque atacando a RTPE está-se a atacar o Estado de Cabo Verde e sobre isto não pode haver dúvidas. O NOSi gere essa rede e, como tal, tem responsabilidades sobre as quais têm de ser tiradas ilações e assumidas as consequências. Estamos a trabalhar neste sentido. Há um relatório que, depois, será submetido ao governo. Mas o ataque e as evidências que temos apontam que foi um ataque devidamente pensado. E hoje podemos afirmar que aquele ataque em massa, quase um mês e meio de spam e phishing, à rede e a vários computadores, que felizmente conseguimos reverter, que houve premeditadamente esse ataque no sentido de penetrar na rede. E durante os dois dias antes do ataque houve de uma forma muito metódica procurou-se atingir aquilo que é a rede nuclear, a espinha dorsal da RTPE. E, atacando ali o sistema de autenticação, rapidamente propagava na rede. Foi um ataque devidamente pensado e planeado. Sobre isso não temos dúvidas. Agora a motivação, os autores... Já identificamos a rede, é uma rede internacional. Mas os autores, neste mundo cibernético, dificilmente conseguimos identificar no imediato. Mas agora o processo está na alçada da justiça e não nos podemos pronunciar.
Mas volto a perguntar, sente que pode ter sido um ensaio para algo maior?
A pergunta é pertinente, mas eu não quero acreditar que está na calha um segundo ataque, mais forte, ao Estado ou ao país. Mas o que posso garantir é que neste momento estamos a tomar todas as medidas estruturantes para estarmos precavidos de ataques que vão continuar a acontecer, porque as motivações são grandes.
A recuperação teria sido mais rápida se o Data Center do Mindelo estivesse a funcionar?
Claramente. No primeiro semestre de 2021 vamos ter essa possibilidade. O que significa que potenciais parceiros ou clientes que pretendam criar a sua própria rede não podem pensar que vão ficar mais protegidos. Muito pelo contrário.
Houve ou não um pedido de resgate?
Não. Oficialmente não temos nenhum pedido de resgate. Nós estamos a acompanhar, e os peritos que estão connosco, e não temos nenhum pedido de resgate. Nos computadores, nos ficheiros txt, eles deixam lá aqueles que são os passos que o utilizador deve seguir para desencriptar os ficheiros. Nós recomendámos que não se fizesse isso. Por isso é que os ficheiros e os computadores afectados estão todos offline. No passo seguinte vamos tentar desbloquear esses ficheiros e disponibilizá-los ao utilizador.
O pagamento do resgate não é uma garantia de segurança...
Exactamente. E depois o Estado não pode negociar com criminosos. Isso é um princípio. Um Estado, um país não pode negociar com criminosos. E neste momento não estão em causa os dados da soberania, não estão em causa os dados pessoais das empresas. Poderão, eventualmente, estar em causa credenciais que já não valem, porque fizemos o reset. Não há aqui nenhum risco de maior e, mesmo havendo algum risco, em circunstância nenhuma o Estado negociaria com criminosos.
Texto originalmente publicado na edição impressa do Expresso das Ilhas nº 994 de 16 de Dezembro de 2020.