No dia de ontem soube-se que a Secretaria-Geral do Ministério da Administração Interna (MAI) foi assaltada durante a madrugada de quarta para quinta-feira. Os assaltantes, que não foram filmados porque as câmaras de vigilância não estavam a funcionar, remexeram vários gabinetes e levaram oito computadores.

Mas, o que pode fazer o Estado para evitar que aconteçam males maiores a partir destas situações?

Em maio de 2023, a Iniciativa CpC: Cidadãos pela Cibersegurança, a propósito da polémica com o equipamento do então assessor Frederico Pinheiro, elaborou uma série de propostas que foram enviadas a todas as câmaras municipais do país, a todos os grupos parlamentares e a todos os ministérios do Governo da República.

Até ao momento, nada indica que os equipamentos roubados do MAI, como o da secretária-geral adjunta, Teresa Costa, e o do responsável pela área informática, estivessem a seguir essas mesmas recomendações.

Estas propunham uma “revisão dos procedimentos, práticas e políticas a aplicar a equipamentos do Estado e, muito especialmente, em todos aqueles que possuem documentos ou informações de especial interesse, valor ou essenciais à segurança da República".

A propósito do furto de computadores com dados sensíveis e, provavelmente, credenciais de acesso a sistemas de acesso muito reservado, a CpC: Cidadãos pela Cibersegurança voltou a enviar as mesmas recomendações ao Governo e lançou uma “Petição para a Redução de Riscos de Segurança em Equipamentos do Estado: Propostas de Cibersegurança para Ministérios e Órgãos Sensíveis do Estado”, que foi entregue já hoje aos serviços da Assembleia da República.

Nesta petição, o grupo propõe a emissão de uma portaria normativa, que estabeleça diretrizes obrigatórias para todos os órgãos subordinados, para aumentar a cibersegurança e proteger dados sensíveis no contexto da administração pública portuguesa.

As medidas sugeridas foram as seguintes:

  • Implementação de MDM (Gestão de Dispositivos Móveis) nos telemóveis do Estado: utilização de soluções como o Microsoft Intune para gerir dispositivos e definição de políticas de restrição de aplicações;
  •  Sistemas de backup nos telemóveis do Estado: ferramentas como o Microsoft Intune podem realizar “Remote Wipe” (apagamento remoto) e garantir backups para proteger os dados;
  • Proibição de comunicações sensíveis através de redes sociais externas: impedir a instalação de aplicações controladas por potências estrangeiras (por exemplo, o WhatsApp) via MDM;
  • Procedimento formal de desligamento de utilizadores que abandonam a organização: recolha imediata do telemóvel e computador, e negação de acessos centralizada;
  • Proibição de computadores em modo “standalone”: todos os computadores devem estar integrados na estrutura de identidade e gestão remota do Ministério (Active Directory);
  • Restrição de privilégios de administrador local aos utilizadores: impedir que utilizadores possam fazer alterações críticas que comprometam a segurança e estabilidade dos sistemas;
  • Encriptação obrigatória dos discos de computadores com dados sensíveis: implementar soluções como o BitLocker para garantir a segurança dos dados, com a conservação segura das chaves de recuperação;
  • Bloqueio da ligação de dispositivos USB externos: restringir o uso de dispositivos de armazenamento USB através de políticas de grupo (Group Policy) e alertar utilizadores sobre tentativas de uso indevido;
  • Proibição de logon sem prévia ligação a VPN: impedir o uso de cache profiles, forçando o logon com VPN ativa através de políticas de grupo ou alterações no registo do sistema;
  • Instalação de sistemas de antivírus e MDM com capacidades de “shutdown remoto” e geolocalização: utilizar soluções como Panda Antivirus ou AirDroid Business para permitir o apagamento remoto, bloqueio ou geolocalização de dispositivos perdidos ou roubados.
  • Impedimento de impressão de documentos confidenciais: utilizar políticas de segurança, como as etiquetas de confidencialidade do Office 365 (Microsoft Purview), para evitar a impressão de documentos sensíveis, aplicando encriptação e marcas de água dinâmicas.