Cibersegurança em Portugal: “Estamos a caminhar quando devíamos correr”

O coordenador da Unidade de Informática do Conselho Superior de Magistratura (CSM) considera não haver “vontade política” para investir e melhorar a segurança dos sistemas de informação (SI) em geral. Sérgio Silva considera positivo a criação do CNC, mas diz que falta à agência portuguesa capacidade para impor medidas com carácter obrigatório.

Sérgio Silva coordenador-da-Unidade-de-Informática-do-Conselho-Superior-de-MagistraturaA situação da cibersegurança em Portugal “é extremamente preocupante”, apesar de as estatísticas não o revelarem, afirmou Sérgio Silva, na 18ª edição do Security Meeting. E não obstante a constituição do Centro Nacional de Cibersegurança (CNC), o coordenador da Unidade de Informática do Conselho Superior de Magistratura (CSM) considera não haver “vontade política” para investir e melhorar a segurança dos sistemas de informação (SI) em geral.

“Estamos a caminhar quando devíamos correr”, ilustra, criticando o grau de consciencialização existente no país até de organizações com grandes responsabilidades, incluindo na Administração Pública (AP). Embora reconheça que o problema está associado à iliteracia digital da sociedade, nota que “quem passa o cheque [que viabiliza o investimento], não está virado para a cibersegurança”.

É necessário haver uma autoridade capaz de implantar estratégias e medidas com carácter de implantação obrigatória, defende, e esse problema envolve neutralizar fenómenos de uma gestão feita por responsáveis demasiado centrados nos seus egos. Uma dificuldade particularmente forte em Portugal, aponta Sérgio Silva.

O responsável admite que no cenário vigente o CNC “tem pouco recursos, pouco orçamento e muita coisa para fazer”. Sérgio Silva concorda que uma linha estratégica a seguir é a de “informar” insistentemente as pessoas sobre segurança informática e os SI.

Mas a informação tem de ser prática, não académica, respondendo a duas questões: “o que pode acontecer” e “como me devo proteger”.

Porque, no caso de um incidente de cibersegurança, quem não se defende, deve ser criminalizado. Tal “como quem deixa um carro destravado numa descida”, exemplifica.

Quem também não está a ser devidamente responsabilizado são as empresas que implantam sistemas de forma insegura, nota o gestor, por exemplo em micro-empresas. A existência nestas organizações, de um elemento de ligação com o CNC, não lhe parece prática.

Para Sérgio Silva, a iliteracia digital de administradores e outros cidadãos estão no mesmo patamar, quanto a prioridades para eliminá-la no todo. E, no sentido de haver maior correspondência entre realidade e estatísticas, o responsável sugere que se deve dar importância ao indicador dos cibercrimes e individualizá-lo, para não haver diluição noutros conjuntos de dados.

Quanto à necessidade de haver maior transparência por parte de empresas e de outras entidades sobre incidentes, considera que Portugal não pode esperar pela transposição da nova directiva europeia do cibercrime.

7 situações reais de insegurança e displicência

Sérgio Silva criticou várias situações de insegurança, com as quais já teve de lidar.

‒ Vários sites da AP portuguesa, como alguns do Ministério da Justiça, têm segurança baseada em certificado SHA1, quando é reconhecida a obsolescência desta versão. Segundo o coordenador do CSM, a infra-estrutura para emitir os certificados está pronta mas a emissão não é feita, por falta de decisão, quando a implantação nos servidores deve demorar dez minutos.

‒ Na plataforma de banca online de alguns bancos falta encriptação no processo de autenticação, particularmente quanto aos elementos de identificação.

‒ Apesar de serem empresas certificadas segundo normas internacionais, MEO e Vodafone têm processos de pedido de segundas vias de cartões SIM, que permitem a usurpação de números de telemóvel alvo, com transposição para a conta de quem os pede. A falha principal é não exigir a autorização do detentor do primeiro cartão, aponta Sérgio Silva. Além disso, o processo de recuperação “é moroso”.

‒ As redes móveis de segunda geração continuam a funcionar com vulnerabilidades capazes de afectar muitos utilizadores. Devido à falta de um motivo económico para os operadores investirem em protecção, deverão continuar assim.

‒ A versão 2.3 do Android tem falhas de segurança identificadas, mas continuam à venda em Portugal dispositivos com esse sistema operativo. Face à sugestão de se fazer uma actualização por iniciativa do utilizador, os operadores avisam que o contrato da garantia é violado. Deviam disponibilizar um “voucher” para se fazer a actualização, defende o coordenador.

‒ Ao detectar uma falha de segurança num site da eSPap, contactou a organização para falar com responsáveis. O processo demorou três horas, mas recebeu a informação de que seria contactado, o que aconteceu cinco horas depois. Contudo a vulnerabilidade não foi corrigida. Aconteceu há três meses.

‒ Sérgio Silva identificou uma vulnerabilidade na plataforma da loja electrónica de um retalhista, capaz de permitir ofensivas do tipo “SQL injection”, para extracção da base de dados de clientes. O gestor avisou a loja, mas a falha persiste.

 

Autores
Tags , , ,

Artigos relacionados

O seu comentário...

*

Top