Submetidos à Consulta Pública a 09.12.204:

Spyware em Portugal: Recomendações para Proteger Cidadãos e Instituições

1. Sejam criadas parcerias com universidades, ONGs e empresas especializadas, para desenvolver e implementar e utilizar ferramentas acessíveis que permitam a detecção de spyware em dispositivos móveis de cidadãos e membros de organizações governamentais.

2. Determinar a obrigatoriedade de verificações regulares em dispositivos usados por funcionários públicos, especialmente em áreas sensíveis como defesa, política externa e ministérios críticos.

3. Promover campanhas de informação para alertar os cidadãos e organizações e, sobretudo, funcionários do Estado central e membros do Governo sobre os riscos deste tipo de spyware e fornecer orientações sobre como identificar potenciais infecções.

4. Legislar para proibir a utilização não autorizada de spyware em território nacional, prevendo sanções rigorosas para indivíduos ou organizações que utilizem ou comercializem essas ferramentas sem autorização judicial.

5. O Governo deve participar em iniciativas globais para identificar e sancionar empresas que desenvolvem spyware comercial usado para vigilância abusiva.

6. Reforçar os protocolos de segurança em torno de dados sensíveis do governo e de cidadãos, utilizando criptografia mais robusta e políticas de acesso restrito.

Sobre o uso de Spyware do tipo do NSO Pegasus em Portugal por parte de entidades do Estado português:
1. Determinar limites claros para o uso de spyware, especificando quem pode autorizar, em que circunstâncias, e quais garantias devem ser implementadas.

2. Criar mecanismos de fiscalização por organismos externos e independentes, como o Ministério Público ou comissões parlamentares.

3. Que existam relatórios públicos sobre o uso de tais ferramentas, preservando informações confidenciais, mas promovendo a prestação de contas por parte de todas as entidades que usam e autorizam a utilização destas ferramentas. Todos os acessos internos devem ser monitorizados e devidamente registados e controlados de forma aleatória.

Redução de Riscos de Segurança em Equipamentos do Estado: Propostas de Cibersegurança para Ministérios e Órgãos Sensíveis do Estado

Para reduzir os riscos de segurança decorrentes do furto de computadores e telemóveis utilizados por ministérios e unidades do Estado com atividades sensíveis, a Iniciativa CpC: Cidadãos pela Cibersegurança propõe a emissão de uma portaria normativa que estabeleça diretrizes obrigatórias para todos os órgãos subordinados. As medidas sugeridas são:

1. Implementação de MDM (Gestão de Dispositivos Móveis) nos telemóveis do Estado: Utilização de soluções como o Microsoft Intune para gerir dispositivos, definir políticas de restrição de aplicações (ex.: impedir a instalação de WhatsApp nos dispositivos iOS).

2. Sistemas de backup nos telemóveis do Estado: Ferramentas como o Microsoft Intune podem realizar “Remote Wipe” (apagamento remoto) e garantir backups para proteger os dados.

3. Proibição de comunicações sensíveis através de redes sociais externas: Impedir a instalação de aplicações controladas por potências estrangeiras (ex.: WhatsApp) via MDM.

4. Procedimento formal de desligamento de utilizadores que abandonam a organização: Recolha imediata do telemóvel e computador, e negação de acessos centralizada.

5. Proibição de computadores em modo “standalone”: Todos os computadores devem estar integrados na estrutura de identidade e gestão remota do Ministério (Active Directory).

6. Restrição de privilégios de administrador local aos utilizadores: Impedir que utilizadores possam fazer alterações críticas que comprometam a segurança e estabilidade dos sistemas.

7. Encriptação obrigatória dos discos de computadores com dados sensíveis: Implementar soluções como o BitLocker para garantir a segurança dos dados, com a conservação segura das chaves de recuperação.

8. Bloqueio da ligação de dispositivos USB externos: Restringir o uso de dispositivos de armazenamento USB através de políticas de grupo (Group Policy) e alertar utilizadores sobre tentativas de uso indevido.

9. Proibição de logon sem prévia ligação a VPN: Impedir o uso de cache profiles, forçando o logon com VPN ativa através de políticas de grupo ou alterações no registo do sistema.

10. Instalação de sistemas de antivírus e MDM com capacidades de “shutdown remoto” e geolocalização: Utilizar soluções como Panda Antivirus ou AirDroid Business para permitir o apagamento remoto, bloqueio ou geolocalização de dispositivos perdidos ou roubados.

11. Impedimento de impressão de documentos confidenciais: Utilizar políticas de segurança, como as etiquetas de confidencialidade do Office 365 (Microsoft Purview), para evitar a impressão de documentos sensíveis, aplicando encriptação e marcas de água dinâmicas.

Recomendações para dispositivos móveis e computadores ao serviço do Estado português (a partir do caso de Frederico Pinheiro e do que este exemplifica):

1. Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis):

Usando, por exemplo, o Microsoft Intune – uma solução de gestão de dispositivos móveis (MDM) que permite controlar e gerir dispositivos – teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos.

2. Os telemóveis do Estado não têm sistemas de backup a funcionar:

Como no ponto anterior, o uso da mesma ferramenta Microsoft Intune permitiria também realizar “Remote Wipe” para apagar remotamente os dados de um dispositivo perdido ou roubado, bem como recursos de backup e recuperação para garantir a segurança dos dados aqui conservados.

3. Existem comunicações sensíveis e de Estado a circular e a serem tomadas em redes sociais externas e sob controlo de potencias estrangeiras (WhatsApp):

A instalação destas aplicações pode e devia ser barrada centralmente e de forma centralizada por MDM. Quanto a estas comunicações já tínhamos sugerido em https://cidadaospelaciberseguranca.com/2023/04/24/comunicacoes-em-meios-electronicos-usados-por-politicos-ciberseguranca-justica-material-de-prova-e-historia-acessibilidade-a-arquivistas/  que

“a. Que todos os políticos em funções electivas usem apenas telemóveis de Estado: com uma lista autorizada pré-determinada de aplicações e que excluem aplicações de encriptação ponto a ponto que dependem de estruturas ou organizações estrangeiras.

b. Que seja criminalizado o uso de software de comunicações que não tenham encriptação de mensagens ponto-a-ponto, cujos servidores ou chaves estejam fora do controlo direto do governo, União Europeia ou da autarquia local onde são exercidas as funções electivas.

c. Deve existir um sistema de comunicações nacional, seguro e de acesso reservado a políticos eleitos para instituições europeias, governo e parlamento da República e autarquias locais. Este sistema deve estar fora do alcance de empresas e potências estrangeiras e garantir o acesso aos historiadores do futuro assim como a investigações judiciais. Sugerimos que esta aplicação seja desenvolvida e mantida no contexto das instituições europeias.

d. Que seja criminalmente responsabilizado quem efetuar comunicações de dados sensíveis ou instalar software em equipamentos do Estado Português susceptível de colocar em causa a segurança do equipamento.

e. Que seja criado um arquivo de comunicação digital, com o objectivo de preservar as decisões realizadas entre governantes e políticos, de forma a um dia poderem ser consultadas pelo público e mantendo assim a capacidade de académicos e historiadores no futuro conhecerem a realidade de hoje.”

Estas propostas foram enviadas a 24 de Abril a todos os grupos parlamentares na Assembleia da República, Câmaras Municipais (presidentes de executivo) e ao Ministério da Administração Interna: não recebemos nem sequer um aviso de recepção ou leitura.

4. Não existe (ou não foi aplicado) um procedimento formal de desligamento/apagamento de um utilizador que abandona a organização que incluísse a negação de acesso centralizada de acessos (conseguiu usar o cartão para entrar na garagem) nem permitisse o esquecimento da recolha imediata do telemóvel juntamente com o computador.

5. O laptop de Frederico Pinheiro estava em modo “standalone”:

Isto é, não pertencia à estrutura de identidade, autenticação e gestão remota do Ministério (Active Directory), algo que deveria ser absolutamente proibido e viola qualquer boa prática de segurança organizacional.

6. Frederico Pinheiro era administrador local do equipamento:

Ora existem várias razões pelas quais um utilizador não deva ser um administrador local em um computador:

Segurança: Ao conceder privilégios de administrador a um utilizador, este terá acesso total ao sistema operativo e poderá fazer alterações críticas, como instalar/remover software, modificar configurações de segurança e até mesmo apagar ficheiros essenciais. Isso aumenta o risco de comprometimento do sistema por malware, vírus ou outras ameaças cibernéticas especialmente em equipamentos – como o caso – com dados sensíveis para o interessa da República.

Estabilidade do sistema: Um utilizador com privilégios de administrador pode inadvertidamente fazer alterações que afetem a estabilidade do sistema ou de outras aplicações. Isso pode levar a falhas, bloqueios e problemas de desempenho.

Erros humanos: Mesmo que um utilizador seja experiente, erros podem acontecer. Um clique errado ou uma ação equívoca quando se é administrador pode ter consequências graves, como excluir arquivos importantes ou modificar configurações críticas sem intenção.

Políticas de segurança: Em ambientes organizacionais, é comum aplicar políticas de segurança rígidas para proteger informações confidenciais. Ao limitar os privilégios dos utilizadores, o ministério poderia ter reduzido o risco de perda de dados e garantir a conformidade com as regulamentações de proteção de informações em vigor.

Geralmente, restringir os privilégios de administrador para os utilizadores finais dos equipamentos é uma prática recomendada para manter a segurança, a estabilidade e a integridade do sistema operativo e dos dados armazenados. Os utilizadores devem ter apenas as permissões necessárias para realizar suas tarefas diárias, enquanto os privilégios de administrador devem ser reservados para administradores de sistemas informáticos.

7. Um laptop com dados sensíveis, confidenciais e estratégicos para a República não tinha o disco encriptado:

Essa opção é gratuita e está disponível em todos os equipamentos MacOS, Windows e Linux. No Windows trata-se da “BitLocker Device Encryption in Windows” e quando é iniciada permita a gravação e conservação externa e em local seguro das chaves para eventual futura recuperação do acesso em caso de necessidade de acesso por parte das autoridades judiciais ou da hierarquia do ministério.

8. O laptop permitia a ligação de Storage Devices USB externos:

Os quais usou várias vezes para copiar ficheiros importantes e que estavam no equipamento.

Este uso pode ser bloqueado por Group Policy se o computador estiver ligado a uma Active Directory (não estava) e é igualmente possível enviar um mail alertando o utilizador para essa tentativa de uso em contrário aos procedimentos em vigor.

9. O laptop estava em modo “standalone”: isto é: não pertencia ao Domain AD do Ministério (?) e, logo, não podia receber um conjunto centralizado de políticas e configurações:

Teria sido possível impedir que o equipamento tivesse em disco cópias únicas (assim o disse a Chefe de Gabinete) de determinadas extensões (.pdf, .docx, .xlsx) obrigando à sua presença única em shares de rede sob controlo do Ministério.

10. O laptop permitia a existência de cache profiles e, logo, permitia o logon sem o prévio estabelecimento de VPN para com a rede do Estado: Isto pode ser forçado centralmente através de uma Group Policy de Active Directory ou, se o computador não estiver em AD é possível também desligar estes logins com uma alteração de registry mas esta pode ser desfeita se o utilizador for um administrador local como parecia ser o caso de Frederico Pinheiro.

11. O laptop não tinha um sistema de AV ou MDM que permitisse o shutdown remoto/remote wipe ou lock em caso de perda de controlo nem a geolocalização do equipamento em caso de perda ou furto:

Isto mesmo – por exemplo – é fornecido pela solução Panda de Antivírus e por outras soluções de MDM tais como

AirDroid Business é um software de limpeza remota MDM compatível com dispositivos Android, iOS, Windows e macOS. Executa apagamentos remotos, bloqueia écrans e arquivos do dispositivo, força redefinições de senha e redefine automaticamente um dispositivo de fábrica. O Apple Business Manager que é uma plataforma baseada na web que faz apagamentos remotos de dispositivos iOS, iPadOS e macOS. Os arquivos ainda podem ser recuperados até 30 dias após a limpeza.

O Google Workspace que permite que os administradores de TI dessas organizações limpem remotamente os dispositivos ou o Knox Manage, uma ferramenta semelhante para dispositivos Samsung que também possui uma opção de restauração e pode rastrear dispositivos perdidos.

12. Foram feitas impressões de documentos confidenciais: É possível impedir a impressão deste tipo de documentos sensíveis com políticas de segurança adequadas e usando, por exemplo, as etiquetas de confidencialidade do Office 365 (Microsoft Purview).

Isto permitiria – se estas etiquetas tivessem sido usadas – encriptar e-mails, convites para reuniões e documentos para impedir que pessoas não autorizadas acedam a estes dados, usar marcas de água em documentos confidenciais dinâmicas e geridas centralmente.

Por Group Policy – se o computador fosse parte de uma AD e já sabemos que não o era – teria sido possível impedir a impressão de documentos confidenciais ou de outro tipo.

13. Terá sido possível enviar documentos de trabalho para mails pessoais: É possível bloquear através de policies de restrição de mail o envio de documentos/anexos de mail para endereços de mail pessoais (gmail, hotmail, mail.com, etc).

Iniciativa CpC: Cidadãos pela Cibersegurança https://cidadaospelaciberseguranca.com