“A capacidade de conter a ameaça é o nosso papel enquanto serviço de cibersegurança”

Como é que olha para o ambiente de cibersegurança atual?

Interpretando de alguma forma aquilo que ouvimos cá hoje, é um ambiente complexo, pode até ser um lugar-comum, mas aqui com talvez dois grandes drivers.

Primeiro, a conflitualidade internacional, os conflitos geopolíticos que vamos assistindo no mundo – como a questão da Ucrânia e mais recentemente o conflito israelo-palestiniano – despoletou um conjunto de ações no ciberespaço. Pelo menos, o número de atores do cibercrime disparou em número e, certamente, em ações. Por outro lado, temos o cibercrime clássico que tem a motivação financeira e continua a ter um grande espaço de atuação e de motivação.

Às vezes, as fronteiras são difusas, mas há claramente estas duas vertentes. Às vezes são contratados como atores de ações de nível de Estado e de nível estratégico, mas são talvez estes dois – o contexto da conflitualidade e o contexto da cibercriminalidade – que marcam o mundo atual.

Por outro lado, a emergência das tecnologias que têm as suas buzzwords, como a inteligência artificial, a computação quântica, não esquecer o 5G, o IoT, entre outros, são as principais questões que modelam o nosso ciberespaço.

O Nuno trabalha no Governo Regional da Madeira. Em termos de cibersegurança, quais são as especificidades de trabalhar num governo regional e como é que a entidade em si olha para o tema?

O Governo Regional é uma entidade política de dimensão e responsabilidade territorial. Quais são as diferenças? Um território insular, descontinuado do território continental, que levanta questões da sua resiliência comunicacional, capacidade de ter ligação à Internet, às redes de comunicações internacionais, dependente dos cabos submarinos, neste caso de um cabo nacional, que liga Açores, Madeira e o continente e de um cabo que foi um investimento do Governo Regional, o EllaLink, em que temos um ramal de ligação do cabo que liga Fortaleza a Sines, para nos dar exatamente essa capacidade, termos alguma redundância, alguma capacidade alternativa em caso de acontecer algum problema.

O Governo Regional tem total superintendência num conjunto de setores da sociedade e tem a responsabilidade: por um lado, daquilo que é o trabalho garantido dentro da organização da administração pública regional, a segurança das suas infraestruturas, sistemas, dados; e, por outro lado, tem de se preocupar, em termos da sociedade em geral, que as suas empresas e que o tecido social esteja também dentro de parâmetros de cibersegurança que sejam aceitáveis.

Ainda dentro da administração pública, é uma administração pública como a nacional. Portanto, tem administração direta, indireta, setor empresarial, com todas as nuances e vicissitudes e complexidade que comportam essa situação.

É muito importante também referir outra diferença, que é a autonomia política, que significa que a capacidade de decisão autónoma da região pode não acompanhar a capacidade de decisão política nacional, e há diferenças, até porque os impactos são também diferentes.

Num cenário, por exemplo, de um ataque à rede elétrica nacional, isso não afeta, salvo por contaminação do agente atacante, mas a rede não tem impacto nas regiões autónomas; são entidades absolutamente diferentes, redes fisicamente segregadas. Há diferenças e a capacidade de decisão própria também faz esta diferenciação entre aquilo que é trabalhar em ciber no ambiente de um governo regional.

Considerando aquilo que o Nuno disse, nomeadamente de ser um território insular, quais são as principais preocupações na cibersegurança?

Em termos macro, aquela primeira que eu referi há pouco, mas já endereçada, a questão das interligações. Em relação às ameaças propriamente ditas, vamos acompanhar aquilo que é um território ligado à Internet, e aí já ultrapassamos aquilo que é o físico e o geográfico; estamos dentro do ciberespaço, suscetíveis a todas as ameaças que existem. Aí, diria que não há grande diferença.

Há um tema que é quase impossível não escapar, que é o ciberataque que o Serviço de Saúde da Madeira sofreu. O que é que pode partilhar sobre este ataque?

Em primeiro lugar, dar uma nota muito rápida sobre o ecossistema, como é que funciona, até porque os serviços de cibersegurança que dirijo foi criado em 2020, tem três anos e é um serviço com um grau de maturidade ainda muito inicial, literalmente inicial. Fizemos aqui um trabalho de avaliação usando o Quadro Nacional de Referência para saber a segurança, portanto, estamos no nível inicial.

Por outro lado, como referi também, a organização do Governo Regional tem os estabelecimentos públicos, empresariais, e, no caso, o setor de saúde é um estabelecimento público-empresarial, sobre o qual nós, serviços de cibersegurança, não temos visibilidade técnica; não tenho capacidade, nem alarmística para verificar o que está a passar nesse setor.

É o IT do SESARAM, do Serviço Regional de Saúde, que faz esse trabalho, mas nós temos alguma capacidade própria, alguma experiência em resposta a situações mais difíceis, a situações de crise, e somos o ponto de contacto do Centro Nacional de Cibersegurança na região. É nessa qualidade que vamos em auxílio, em complemento ao incidente que o Serviço Regional de Saúde sofreu.

Isso foi muito bom até porque permitiu à equipa da entidade dedicar-se quase totalmente a lidar com o problema que tinha em mãos, deixando a componente administrativa e a gestão comunicacional para o exterior com o C-Level, neste caso com nível político.

O ataque foi um ataque de ransomware com o grupo Rhysida – que, segundo as informações públicas, também impactou Gondomar – e teve um impacto global. O Serviço Regional de Saúde da Madeira, ao contrário do Serviço Nacional de Saúde, está totalmente integrado. Os hospitais e os centros de saúde estão debaixo de um IT único, um centro de dados e uma infraestrutura de comunicações únicas, que é excelente do ponto de vista da higiene, da limpeza e da maturidade que ele já tem em termos de IT, mas também tem um nível de risco correspondente a essa circunstância, que significa que, se eu afetar um ponto desta infraestrutura, vou impactar todo o resto.

Novamente numa região insular, isto do ponto de vista do impacto societal e daquilo que pretende a Diretiva NIS prevenir, nomeadamente daquilo que são as entidades agora importantes ou essenciais, é muito relevante porque não temos alternativa. Se o serviço de saúde não está no seu funcionamento normal ou com níveis de qualidade diferenciados, não é fácil logisticamente transferir os doentes para outro território; não se ataca aqui o Garcia da Horta e do outro lado da ponte há três hospitais alternativos. Isto tem outro grau de relevância.

Os processos, como devem calcular, são muito recentes e ainda estão sob processos de investigação, mas não seria nada de estranho e expectável, até porque o modo de operação do grupo é conhecido: daquilo que deriva da engenharia social, do comprometimento de credenciais, dos acessos exploratórios e da persistência dentro das redes e depois, em determinada altura, o lançamento da execução do payload e, depois, a expansão da encriptação da infraestrutura. Isto não é nada, é um playbook comum e não fugiu sem entrar em outro tipo de detalhe a estes pormenores.

Sobre a resposta também posso dar uma nota que foi interessante. Entre as fantásticas qualidades da equipa técnica que lá estava e a dedicação das pessoas, muitas vezes ficam cansadas na monitorização, mas ficam muito cansadas nas respostas aos incidentes porque querem dar o melhor que têm da sua capacidade técnica para ajudar a sua organização a recuperar. Foi uma lição fabulosa da dedicação dos meus colegas.

É esse o nosso papel enquanto Serviço de Cibersegurança: ajudar na contenção, identificar o vetor, identificar o paciente zero, preparar um plano de recuperação e extinguimos aí a nossa missão. No dia 17 [de setembro], para mim, o paciente saiu dos intensivos e foi entregue ao seu respetivo dono, terminando o meu papel em termos de missão. A abordagem foi criar uma infraestrutura limpa, uma infraestrutura verde em paralelo com a infraestrutura afetada, garantindo logo de início, tendo com grau de certeza muito elevado que tínhamos um processo clínico preservado, aquilo que são os dados clínicos, dando- -nos algum leverage, alguma capacidade de não termos de lidar com temas mais complexos, nomeadamente com a relação com o atacante. A partir daí, sobre essa rede verde, sobre essa rede protegida, ir levantando serviços gradualmente, ir gerindo o potencial de haver contaminações, que é um processo também muito complicado.