A Agência para a Modernização Administrativa (AMA) do Estado foi alvo de um ataque informático com um “impacto substancial” de acordo com o Centro Nacional de CiberSegurança – CNCS que afectou particularmente as plataformas de autenticação, Autenticação.Gov, o Gov.ID e a Chave Móvel Digital, assim como outras plataformas, serviços, aplicações e sites (gov.pt) geridos pela AMA.
O ataque de tipo ransomware terá permitido ao(s) atacante(s) bloquear o acesso a dispositivos ao criptografar os dados, para exigir o pagamento de um resgate, regra geral em criptomoedas (moedas virtuais), sob pena desses dados serem permanente bloqueados até que o(s) resgate(s) sejam pagos ou os dados sejam destruídos. No caso em apreço, para além de vários sites e ferramentas inoperacionais, o ataque impossibilitou a utilização da assinatura digital, inviabilizando assim a assinatura de contratos, pedidos de certidões ou a renovação de documentação.
Curiosamente, este ataque ocorreu a escassos dias do final do prazo concedido (17 de outubro de 2024) para a transposição para o direito interno português da Directiva (UE) 2022/2555 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 (Directiva SRI 2 ou NIS 2) relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União Europeia. Neste âmbito, a Directiva SRI 2 tem o objetivo de estabelecer requisitos mínimos para a cibersegurança das infraestruturas críticas, de forma a enfrentar as ameaças emergentes da cibersegurança, e acima de tudo, proteger a infraestrutura crítica e os serviços essenciais contra ataques provenientes do ciberespaço.
Para tal, a Directiva SRI 2 visa: 1- exigir que os Estados-Membros garantam um elevado nível de cibersegurança; 2- reforçar a cooperação europeia entre as autoridades competentes pela cibersegurança; 3- exigir que os principais operadores dos sectores-chave da nossa sociedade adotem as medidas de segurança necessárias e notifiquem às autoridades competentes – presume-se que a Autoridade Nacional de Segurança e o Centro Nacional de Cibersegurança – qualquer incidente que tenha um impacto significativo na prestação dos seus serviços. Esta Diretiva estabelece também o Princípio de Responsabilidade, segundo o qual os órgãos de topo/administração das organizações passam a ter responsabilidade em caso de incumprimento ou falhas, a necessidade de ser feita uma avaliação de fornecedores e prestadores de serviços directos, a implementação de práticas básicas de ciber-higiene e formação em cibersegurança, entre outras.
Quais os sectores abrangidos? De entre os Sectores Essenciais: Energia (eletricidade, petróleo, água, hidrogénio), Saúde (hospitais, laboratórios, investigação e desenvolvimento, farmacêuticas, fabricantes de dispositivos médicos), Transportes (aéreos, ferroviários, marítimos, rodoviários), Banca e finanças, Água potável, Águas residuais, Infraestruturas digitais (IXPs, fornecedores de serviços de cloud, centros de dados, rede de fornecimento, entrega e distribuição de conteúdo, fornecedores de comunicação electrónica), Gestão de serviços de tecnologias de informação (B2B), Sector Espacial, Administração Pública (governo central e governos regionais). Definidos como Setores Importantes estão: Serviços postais e de correio, a Gestão de resíduos, Produtos químicos, Alimentação, Indústrias de processamento/manufatura, Serviços digitais (marketplaces online, motores de pesquisa, redes sociais) e Investigação.
Apesar de Portugal não ter cumprido o prazo para a transposição da Directiva SRI 2 ou NIS 2 para o direito interno – estima-se que até ao final do ano, início de 2025 isso possa ser uma realidade -, este regulamento representa um passo significativo em termos de cibersegurança a nível europeu, abrangendo como vimos um conjunto de setores essenciais e críticos. O objetivo é aumentar a resiliência e a capacidade de resposta das organizações (empresas, administração local e pública, e não só) perante este tipo de ameaças. As penalizações são severas e poderão incentivar a adoptar uma postura mais activa e atenta em termos de cibersegurança.
