“É UM ERRO” TER MILITARES A INTERFERIR NA CIBERSEGURANÇA
O ex-coordenador do Centro Nacional de Cibersegurança lamenta que o governo não tenha tido “coragem” para reestruturar o setor. Nesta entrevista ao DN não poupa críticas à falta de financiamento “até para questões mais simples, como as missões” no estrangeiro
Um mês depois de ter batido com a porta do Centro Nacional de Cibersegurança (CNCS) que coordenava, Pedro Veiga vem admitir que os problemas orçamentais foram mesmo uma das razões da sua demissão, ao contrário do que disse na altura o governo. Alerta para a “grande carência de políticas de boa gestão da cibersegurança e uma significativa falta de meios humanos”. Considera um “erro político grave” que sejam militares a tutelar o CNCS, denuncia “interferências” da Defesa e lamenta a “falta de coragem” para reestruturar o setor. Porque deixou o Centro Nacional de Cibersegurança (CNCS) em pleno simulacro de um ciberataque? O meu pedido de demissão foi dirigido à senhora ministra da Presidência e da Modernização Administrativa, Maria Manuel Leitão Marques, nos primeiros dias de 2018. Após insistência minha a demissão acabou por ser aceite no dia 9 de maio. Acabou por coincidir com o dia da transposição da Diretiva de Segurança das Redes e Sistemas de Informação (Diretiva SRI) – que eu considerava um marco da minha passagem pelo CNCS – e com a véspera do início do exercício que preparei e decorreu a 10 e 11 de maio. Mas já não queria “dar a cara” em nome do CNCS. Até porque nem considerava que este exercício fosse uma das atividades importantes do CNCS, uma vez que em junho iria haver o CyberEurope 2018, coordenado pela ENISA (Agência Europeia para a Segurança das Redes de Informação) e a nível europeu, o qual entendo que tem grande importância. O que queria ter concluído? Gostaria de ter contribuído para criar um CNCS com autonomia, como deve ter a Autoridade Nacional de Cibersegurança e com o CSIRT (Computer Security Incident Response Team) nacional devidamente estruturados, como preconizado pela Diretiva SRI. Infelizmente a Proposta de Lei n.º 119/XIII que corresponde à transposição da Diretiva SRI extravasou a transposição e reforça que “o Centro Nacional de Cibersegurança funciona no âmbito do Gabinete Nacional de Segurança” e cria o Conselho Superior de Segurança do Ciberespaço. Trata-se de um erro político grave, pois prolonga a “tutela” militar de uma área que é eminentemente civil, a cibersegurança. Aqui, posso dizer que os meus objetivos foram frustrados e isso contribuiu, em parte, para o meu desejo de sair por não me identificar com o facto de o CNCS não se ter autonomizado e continuar sob a tutela do Gabinete Nacional de Segurança (GNS). Esperava que este governo tivesse concretizado uma separação clara da área da cibersegurança, com as suas vertentes eminentemente relacionadas com os serviços essenciais que são operados por empresas que servem a sociedade civil. Parece-me ter havido falta de coragem para fazer uma verdadeira reestruturação desta área que está no centro da transformação digital. Que problemas se colocam com esta “tutela” militar? Os problemas resultam de missões distintas da cibersegurança e da ciberdefesa. Além de que a abordagem metodológica é, e deve ser, muito diferente. Um pequeno exemplo, só o centro de ciberdefesa deve poder fazer ações ofensivas no ciberespaço. E à ciberdefesa cabem tarefas importantes, como o engenheiro António Guterres salientou num discurso na Universidade de Lisboa há poucos meses, como sejam a proteção dos sistemas de comando e controlo em tempo de paz e, em especial, deve ser dada atenção aos ataques híbridos que se iniciam por ciberataques a estes sistemas, como já há vários exemplos a nível mundial, e que precedem ataques convencionais. Já para a cibersegurança há inúmeros desafios resultantes da transformação digital, que dizem respeito principalmente à sociedade civil, aos cidadãos, às empresas, aos Ministérios, às Regiões Autónomas ou às Autarquias. Aqui não faz sentido um envolvimento de militares, que têm missões e âmbitos de intervenção onde devem focar os recursos de que dispõem. Por exemplo, com a “Internet das Coisas” a penetrar nos ambientes domésticos, hospitalares, nos veículos autónomos, no comércio eletrónico, etc., que são setores onde a cibersegurança é uma pedrade-toque essencial, qual seria o papel dos militares? Em minha opinião, não deve ser nenhum. Como tem sido a articulação entre o CNCS e o Centro de Ciberdefesa das Forças Armadas? É excelente. Outra articulação que é exemplar é com a área do Cibercrime, em particular com a unidade UNC3T da Polícia Judiciária. Estas três áreas, cibersegurança, cibercrime e ciberdefesa considero-as três pilares estruturantes do problema ciber em qualquer país. Mas há uma significativa interferência da ciberdefesa com a cibersegurança pela mentalidade prática dos agentes envolvidos. A visão que esteve presente na criação do CNCS foi que a cibersegurança devia estar sob a tutela militar, ficando a funcionar como uma subdireção-geral do GNS, uma estrutura instituída na sequência da criação da NATO. É um erro de base. Como é que o CNCS protege as infraestruturas críticas do Estado? Cada instituição é responsável pela sua cibersegurança, sendo o CNCS um executor de funções onde exista valor acrescentado em serem centralizadas. É o caso do CSIRT nacional, do aconselhamento e difusão de boas práticas, da representação nos fóruns internacionais, na coordenação de políticas a nível nacional. O CNCS pode aconselhar, emitir documentos orientadores, ajudar na identificação de problemas, mas cada entidade tem a sua autonomia. Com a nova Diretiva SRI, o CNCS, na sua qualidade de Autoridade Nacional de Cibersegurança, tem de ser notificado caso existam incidentes relevantes e poder exercer o seu papel de autoridade. Pode dar alguns exemplos concretos? Sem entrar em detalhes, que não posso, já recomendámos a funcionários de embaixadas o cumprimento de um conjunto de medidas de segurança, que não estavam a ser acauteladas, como não utilizar o smartphone, com informações sensíveis, em ambientes públicos de wifi, não utilizar pens para transportar informação classificada ou até mudar as passwords todos os meses.
Mesmo em coisas mais simples, como as missões, as dificuldades orçamentais foram uma dificuldade. (...) É lamentável
Há equipamentos em falta para esta proteção do Estado? O projeto para colocar sensores de deteção de ataques nos servidores das áreas de soberania não foi concluído porquê? Mais do que equipamentos em falta há uma grande carência de políticas de boa gestão da cibersegurança e uma significativa falta de meios humanos. A tecnologia deve ser usada para implementar políticas de cibersegurança e é necessário ter os meios humanos que saibam gerir as tecnologias. E formar as pessoas, todas as pessoas, até porque o elo mais fraco e que é a causa de muitos problemas é a ignorância ou a displicência no uso das tecnologias. Quanto aos sensores eles podem desempenhar um papel de relevo, nalguns casos, mas não são uma panaceia para todos os problemas. A eventual colocação e o papel de sensores deve ser adaptado caso a caso, tem que ver com a arquitetura de rede de cada organização, ou com as componentes aplicacionais. Colocar sensores na interface da rede de uma organização (por exemplo um ministério, uma direção-geral ou um instituto público) e depois não serem seguidas políticas do uso interno da rede, das aplicações, não existirem mecanismos de autenticação fortes e atualizados, não formar os utilizadores aos vários níveis, etc. é gastar dinheiro em sensores e tem pouco resultado. Mas em que ponto está o projeto? Praticamente a zero. Houve também razões de natureza orçamental para a sua saída? Houve mas não foi a principal razão. Havia sérias restrições ao funcionamento do CNCS mas resultantes do modo como está organicamente a funcionar. Todos os funcionários do CNCS estão nomeados para as suas funções por períodos de 1, 2 ou 3 anos. Isto serve muito bem para os interesses dos militares, que têm as suas carreiras estáveis na instituição de origem e fazem comissões de serviço no CNCS como um local de passagem para valorizarem as suas carreiras. Mas para outros funcionários não dá estabilidade nenhuma. Como se pode compreender, gerir uma estrutura que trata da cibersegurança sem carreiras e sem garantia de continuidade torna difícil o recrutamento de peritos. E em especial nalgumas áreas técnicas, em que há uma enorme competição com o setor privado, que pode pagar vencimentos elevados, dar outro tipo de regalias aos funcionários, como viaturas de serviço, a capacidade do CNCS de recrutamento e fixação de recursos humanos é problemática. Mas também se verificaram limitações orçamentais que herdei. Quando cheguei ao CNCS, em abril de 2016, um dos projetos relacionados com os “famosos sensores” não estava orçamentado. Havia um financiamento com participação de fundos comunitários aprovados, mas a contrapartida nacional não tinha sido prevista pelo diretor-geral da altura. Aí tive toda a abertura da ministra da Presidência e da Modernização Administrativa que, com grande rapidez, aceitou a alteração orçamental necessária. Infelizmente a burocracia administrativa da aprovação pelo Ministério das Finanças contribuiu para um atraso bastante penalizador no desenvolvimento do projeto. Mesmo em coisas mais simples como missões as restrições orçamentais foram uma dificuldade. A área da cibersegurança é uma prioridade a nível da União Europeia e era necessário ter orçamento para fazer face a várias missões. Posso dizer-lhe, por exemplo, que no início de abril de 2018 não pude ir a uma reunião em Sofia, promovida pela Presidência búlgara, por a viagem não ter sido prevista no plano de missões elaborado para 2018 e não haver margem orçamental para a concretizar. Lamentável.