Tendo em vista a escala do investimento em atividades ofensivas no campo do ciberespaço por organizações baseadas e protegidas por países como a Rússia e a China e o contexto intensificador actual da guerra na Ucrânia é preciso criar um ambiente que prepare as organizações do Estado Central, autarquias e Infraestruturas críticas para resistirem melhor a ciberdesastres.

Assim como é preciso criar uma estrutura que permita às organizações resistir a catástrofes naturais é preciso fazer o mesmo para com ciberdesastres que ameacem diretamente a vida dos cidadãos. Com efeito, a cada dia em que o regime de Putin resiste no poder e se prolonga a guerra na Ucrânia é preciso que todos os países membros da OTAN se preparem para a eclosão de uma vaga de ataques destrutivos às Infraestruturas críticas e às redes do Estado conduzidas a partir de entidades estatais residentes, sobretudo, no território da federação russa. Seguramente que estas entidades baseadas na Rússia estão a recolher informação há bastantes meses para uma escala destes ataques sem precedentes e que – assim que estiverem preparados o farão numa escala e intensidade sem precedentes.

Para além das organizações do Estado Central os sectores financeiro e da energia e transportes devem estar especialmente preparados dado que são os alvos preferenciais destas organizações. São elas que têm assumir uma cultura de cibersegurança que esteja muito para além dos responsáveis de Tecnologia de Informação e dos especialistas em Cibersegurança. Em particular estas organizações têm que colocar como uma das suas prioridades a resiliência a um ataque deste género.

Em primeiro lugar ainda estamos a atravessar – ainda – um período de pandemia que expôe vários sectores da economia a um nível de vulnerabilidades superior ao normal: desde uma força de trabalho remota, a uma maior dependência da cadeia de fornecedores, à redução de disponibilidade e fuga para o estrangeiro de muitos profissionais de cibersegurança devido aos salários e condições de trabalho em Portugal. Em segundo lugar a “emergência COVID” levou a que em muitos serviços – públicos e em empresas privadas – fosse adoptadas soluções de contingência ou de improviso que pela sua própria natureza temporária são mais vulneráveis e frágeis do que soluções devidamente planeadas e implementadas.

Todas as organizações devem preparar-se para um ciberdesastre, exactamente assim como se devem preparar para um desastre natural ou outra ocorrência que possa ameaçar a sua sobrevivência. Em qualquer plano de resposta devem estar componentes ligados às fases de planeamento, formação, equipamento e exercícios.

Na fase de planeamento, a inventariação de assets, necessidades de segurança, riscos e consequências em caso de interrupção de serviço são fundamentais. Mas é preciso também desenvolver a quantidade e qualidade de formações online ao dispor dos colaboradores e, sobretudo, é preciso inscrever nas nossas consciências e culturas organizacionais que um ciberdesastre de larga escala é – a prazo – inevitavelmente e que no momento em que escrevo estas linhas já existem certamente APTs russos, chineses ou norte-coreanos a explorarem as nossas infraestruturas críticas, instalando software latente e criando redes de botnets que podem ativar a qualquer momento. De facto, tudo indica que um ciberdesastre de larga escala que pare, por exemplo, os transportes públicos numa grande cidade portuguesa, que interrompa o abastecimento de água, gás ou energia ao país ou a largos sectores do mesmo, será um desafio maior que alguns desastre naturais pela sua natureza técnica muito especializada, pelo elevado grau de impreparação da maioria dos serviços, pela carência radical de quadros e de especialistas em cibersegurança e pela inexistência de estruturas de apoio em quantidade e qualidade suficiente na Polícia Judiciária ou no Centro Nacional de Cibersegurança.

Assim como nos devemos preparar para o próximo – inevitável – grande terremoto em Lisboa também nos devemos preparar para uma grande ciberdesastre em Lisboa ou noutra grande cidade ou região em Portugal. E esta preparação deve passar por realizar um grande ciberexercício que envolva vários serviços e empresas, um número alargado de cidadãos numa simulação muito realista e que permita aferir o nosso grau de preparação e resistência a uma ocorrência desta natureza.