Especialistas de cibersegurança de empresas, das forças armadas e de autoridades portuguesas estiveram durante dois dias a defender um país fictício de ataques informáticos. O objectivo era ver se conseguiam proteger a Lusitânia – nome de código para Portugal – no primeiro exercício do género realizado à escala nacional feito pelo Centro Nacional de Cibersegurança. No final, cerca de 90 ameaças foram travadas.

“Não surgiu nada particularmente complicado. É o equivalente ao que fazemos no nosso dia-a-dia”, explicou ao PÚBLICO o major Jesus Cardoso, chefe de repartição de análise de informação criminal da GNR, durante o segundo dia da simulação. “Por exemplo, agora alguém deu as credenciais de entrada na plataforma de acesso à GNR da Lusitânia. É preciso dar início a algumas análises da nossa parte para cessar essa vulnerabilidade, desde passar a informação ao militar que tem de trocar a password, até falar com outros militares.”

Nas três salas dedicadas ao exercício, os portáteis e tablets espalhados pelas mesas eram as principais ferramentas para contra-atacar. Faziam-se chamadas e enviavam-se emails para diferentes entidades a fazer perguntas e a pedir ajuda (o evento decorreu na mesma altura em que o coordenador do Centro Nacional de Cibersegurança se demitiu).

“Queríamos simular aquilo que sentimos que é mais frequente de acordo com a própria experiencia do CERT [a equipa responsável pela resposta aos ataques]. Não são exercícios muito complexos”, disse ao PÚBLICO o Almirante António Gameiro Marques, director geral do Gabinete Nacional de Segurança.

Os esquemas de phishing (estratégias, como emails fraudulentos, para levar um utilizador a fornecer dados confidenciais), e ransomware (programas maliciosos que "sequestram" informação e exigem dinheiro para desbloquear o acesso) foram alguns dos ataques simulados. “E tivemos uma situação de ameaça de situação de bomba”, notou Jesus Cardoso. “Porque o nosso trabalho também envolve a parte de recolha de informação."

Além da GNR, também o Santander, a Marinha, o Turismo de Portugal, a ANA (que gere os aeroportos), o Montepio e a EDP estiveram entre as 48 entidades que se juntaram à simulação. Podiam participar no papel de jogadores, a reagir aos ataques feitos contra a Lusitânia, ou no papel moderadores, que geriam a dificuldade das ameaçadas enviadas em função da resposta.

“Convidámos empresas do sector público e privado que fornecem serviços essenciais”, explicou Gameiro Marques. “O nosso objectivo não é só ver se as pessoas conseguem resolver os exercícios, mas pôr a comunidade a falar a mesma linguagem num conjunto de procedimentos adequados. Nesta área é fundamental a cooperação e a colaboração.” O almirante nota, por exemplo, que o aviso do Wannacry, o ataque de ransomware à escala global que começou em Maio de 2017 e levou alguns serviços portugueses a suspender temporariamente a recepção de emails, veio de uma rede europeia segurança informática com quem Portugal colabora.

O exercício serviu ainda para ajudar as entidades nacionais a adequarem as suas respostas à legislação em vigor e à nova directiva sobre a Segurança das Redes e dos Sistemas de Informação, que entra em vigor este ano. As empresas dos sete sectores que fornecem serviços essenciais (energia, transportes, sistemas bancários, sistemas de saúde, fornecimento de água potável e insfraestrutura) terão de avisar o Centro  Nacional de Cibersegurança sempre que forem alvo de um ataque de relevo, com impacto para os seus utilizadores.

A comunicação social também fez parte do cenário montado. A agência Lusa fez o papel da imprensa da Lusitânia: ia fazendo perguntas aos vários jogadores para saber o que estava a acontecer e para ver como reagiam sob pressão. “São quem liga e traduz o que está a acontecer para o cidadão comum”, explicou Gameiro Marques. “Era mais realista. Quando há um problema de cibersegurança, todos os envolvidos são bombardeados pelos órgãos de comunicação social. Porque não aqui? É preciso saber como comunicar.”