A 30 de Outubro, o “Treasury Board of Canada Secretariat” proibiu a instalação e uso da rede social chinesa WeChat e de todo o software do fabricante russo Kaspersky em todos os dispositivos que sejam fornecidos pelo governo. Segundo a nota enviada pelo Conselho do Tesouro do Canadá, as aplicações representam uma séria “ameaça de segurança para o país”. Não foram dados detalhes sobre a natureza ou a especificidade do risco mas o texto publicado refere “Effective October 30, 2023, the WeChat and Kaspersky suite of applications will be removed from government-issued mobile devices. Users of these devices will also be blocked from downloading the applications in the future”: parece significar que, no Canadá, estes equipamentos são geridos centralmente (“will be removed”) conforme a Iniciativa CpC recomendou ao governo e às autarquias portuguesas em https://cidadaospelaciberseguranca.com/2023/07/19/apresentada-a-ar-por-mais-ciberseguranca-nos-equipamentos-dos-gabinetes-dos-ministerios-e-dos-presidentes-de-camara-municipal/ não obtendo – a este propósito – qualquer resposta por parte das autoridades nacionais.

A proibição canadiana visa responder ao tipo de acesso muito elevado que uma aplicação como um antivirus da russa Kaspersky tem para poder funcionar e à certeza de que se a empresa for (ou já tiver sido) abordada pelo Kremlin para ceder dados e acesso aos equipamentos protegidos por este software os funcionários da empresa serão obrigados a colaborar com as autoridades. O WeChat, por sua vez, representa vários riscos. Desde logo porque a aplicação está baseada na China e – como sucede na Rússia – as empresas locais são obrigadas a colaborarem e a cederem dados e informações dos seus utilizadores ao governo. Por outro lado, porque esses dados e informações não estão encriptados se forem mensagens trocadas dentro da aplicação (com um protocolo fechado e muito opaco) havendo a possibilidade de existirem módulos de keylogging (registo de tudo o que é teclado no device) e de captura de clipboard na aplicação. O WeChat – para funcionar – exige uma extensa lista de permissões não sendo claro qual será o seu uso funcional: gravação de audio, MAC address do Wi-Fi, dados do operador móvel, IMEI, modelo, localização GPS, actividade física do device são colhidos pelo WeChat. Muitas destes dados podem ser de alto interesse para um governo estrangeiro e, de facto, são actualmente muito mais intensas e perigosas que aquelas que o polémico TikTok actualmente recolhe (https://tek.sapo.pt/noticias/internet/artigos/devera-portugal-bloquear-o-acesso-ao-tiktok-movimento-cidadaos-apela-a-medidas-semelhantes-as-da-uniao-europeia). Estima-se que, em Portugal, existirão cerca de cem mil utilizadores do WeChat (https://worldpopulationreview.com/country-rankings/wechat-users-by-country) alguns dos quais, provavelmente, terão equipamentos móveis cedidos pelo governo e autarquias locais e a organização está autorizada pelo Banco de Portugal para prestar serviços financeiros (https://www.bportugal.pt/en/entidadeautorizada/wechat-pay-europe-bv) o que aumenta ainda mais a quantidade de informações de natureza financeira que fica assim disponível a esta empresa baseada na China.

Recomendação CpC – Iniciativa dos Cidadãos para a Cibersegurança ao Governo central e às autarquias locais portuguesas:

1. Reiteramos a necessidade de que todos os equipamentos (computadores, tablets e smartphones) entregues para uso profissional a colaboradores e representantes eleitos do Estado central e das autarquias locais tenham software de antivirus e um sistema de MDM: “Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis): Usando, por exemplo, o Microsoft Intune – uma solução de gestão de dispositivos móveis (MDM) que permite gerir dispositivos móveis – teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos”: sendo que, assim sendo, a esta lista se deveria somar o TikTok, o WeChat e todo o software da Kaspersky. No Portal Base da contratação pública apenas o “Centro de Formação Profissional da Indústria Têxtil, Vestuário, Confecção e Lanifícios (Modatex)” e a “Fundação Casa da Música ” parecem ter adquirido este tipo de serviços MDM de gestão centralizada de equipamentos (não sendo claro se estão a ser usados para bloquearem aplicações deste tipo).

2. Todas as autarquias e hospitais públicos que adquiriram software da Kaspersky devem terminar imediatamente esses contratos e substituir este fornecedor
https://www.base.gov.pt/Base4/pt/pesquisa/?type=contratos&texto=kaspersky&tipo=0&tipocontrato=0&cpv=&aqinfo=&adjudicante=&adjudicataria=&sel_price=price_c1&desdeprecocontrato=&ateprecocontrato=&desdeprecoefectivo=&ateprecoefectivo=&desdeprazoexecucao=&ateprazoexecucao=&sel_date=date_c1&desdedatacontrato=&atedatacontrato=&desdedatapublicacao=&atedatapublicacao=&desdedatafecho=&atedatafecho=&pais=0&distrito=0&concelho=0
Entre estas entidades encontramos, entre outras, organizações com acessos a dados potencialmente interessantes a serviços de informações estrangeiros e que, apesar disso, usam ou usaram até recentemente software da Kaspersky:
ANAC – Autoridade Nacional da Aviação Civil
ASAE
Águas de Lisboa e Vale do Tejo, S. A.
Águas do Norte, SA
Águas do Tejo Atlântico, S. A.
Câmara Municipal de Barreiro
Câmara Municipal de Portimão
Câmara Municipal de Pedrógão Grande
Câmara Municipal de Portimão
Centro Hospitalar de Leiria, E. P. E.
Comissão de Coordenação e Desenvolvimento Regional de Lisboa e Vale do Tejo
Comissão de Coordenação e Desenvolvimento Regional do Norte
Direção-Geral de Alimentação e Veterinária
Direção-Geral de Energia e Geologia
Direção-Geral de Recursos Naturais, Segurança e Serviços Marítimos
Direção Regional de Agricultura e Pescas do Alentejo
Direção Regional de Agricultura e Pescas do Centro
EPAL – Empresa Portuguesa das Águas Livres, S. A.
Estado-Maior-General das Forças Armadas
Hospital Distrital da Figueira da Foz, EPE
Hospital Garcia de Orta, E. P. E.
Instituto de Financiamento da Agricultura e Pescas – IFAP, I. P.
Instituto Nacional de Estatística, I. P.
Instituto Português de Acreditação, I. P.
Instituto Português de Oncologia de Lisboa Francisco Gentil, E. P. E.
ISEG – Instituto Superior de Economia e Gestão
Municipio da Marinha Grande
Município de Évora
Município de Sabrosa
Município de São Brás de Alportel
Município de Valongo
Município de Vila Nova de Gaia
Santa Casa da Misericórdia de Lisboa
Secretaria-Geral do Ministério da Economia
Serviço Estrangeiros e Fronteiras
Serviços Municipalizados da Câmara Municipal de Torres Vedras
Serviços Municipalizados de Transportes Urbanos de Coimbra

Destes contratos públicos 4 foram assinados depois da invasão da Ucrânia:
Município de Castro Daire, Centro Hospitalar de Leiria, Serviços Municipalizados de Transportes Urbanos de Coimbra e Hospital Distrital da Figueira da Foz. Castro Daire, por exemplo, celebrou em 28-06-2023 um contrato de três anos com a empresa russa… Outras entidades – de elevado risco de segurança como a Secretaria-Geral do Ministério da Economia (2021-2022) e o Estado-Maior-General das Forças Armadas (2021) parecem já não usar o software mas a Rússia é um risco de segurança óbvio e evidente pelo menos desde a invasão da Crimeia em 2014: como se compreende que estas entidades tenham assinado um contrato de serviço que, na prática, concede a uma empresa russa o acesso a todos os ficheiros em todos os computadores onde é instalado o seu software?

Em março de 2022, o BSI alemão emitiu um alerta contra o uso do antivírus Kaspersky, alegando riscos de ciberataques estrangeiros. Em resposta, a Kaspersky negou as acusações e prometeu colaborar para esclarecer a situação. Além disso, várias entidades, como o governo italiano, cancelaram parcerias com a Kaspersky devido às preocupações de segurança. Em março, a FCC dos EUA também incluiu a Kaspersky em sua lista de ameaças à segurança nacional. Nada de semelhante parece ter acontecido em Portugal estando essa possibilidade legalmente ainda ao dispôr de qualquer entidade pública portuguesa.

Em maio de 2023 o Parlamento Europeu produziu o relatório “on foreign interference in all democratic processes in the European Union, including disinformation (2022/2075(INI))” que se refere explicitamente à Kaspersky:
Este texto discute os esforços do Parlamento Europeu para lidar com desinformação e potenciais riscos de segurança relacionados a empresas estrangeiras, especialmente aquelas de países de alto risco como China e Rússia e existe uma força-tarefa do Parlamento que coordena as acções em áreas como consciência situacional, construção de resiliência e promoção de um ambiente de informação saudável mas apesar dos mecanismos de triagem de investimentos estrangeiros, empresas chinesas como a Nuctech conseguiram contratos em infraestruturas críticas na Europa, representando riscos de segurança. O relatório pede ainda ao Conselho e à Comissão que excluam equipamentos e software de países de alto risco e insta sectores vitais a evitar o uso de hardware e software que possam ameaçar a integridade dos dados. Especificamente, o texto destaca preocupações sobre o TikTok e da Kaspersky sabendo-se que as instituições da UE já restringiram o uso do TikTok em dispositivos corporativos, e o texto recomenda a proibição do TikTok em níveis governamentais nacionais e nas instituições da UE, especialmente durante processos eleitorais sendo implicitamente a mesma sugestão é dada para com software da Kaspersky. Posteriormente, foi aprovada no Parlamento Europeu uma resolução (com 476 votos favoráveis e 151 contra) em que este é classificado como “malicioso”. Apesar de tudo isto: o eco parece ainda não parece ter chegado ao Estado central Português (hospitais públicos) nem às nossas autarquias locais.

Enviada às câmaras municipais de Portugal, Governo da República, Grupos Parlamentares e, em particular, ao Ministério da Saúde.

Para saber mais:
https://www.canada.ca/en/treasury-board-secretariat/news/2023/10/minister-anand-announces-a-ban-on-the-use-of-wechat-and-kaspersky-suite-of-applications-on-government-mobile-devices.html
https://www.jstor.org/stable/resrep26120.8?seq=1
https://en.wikipedia.org/wiki/Kaspersky_bans_and_allegations_of_Russian_government_ties
https://www.europarl.europa.eu/doceo/document/A-9-2023-0187_EN.pdf