Iniciativa CpC: Cidadãos pela Cibersegurança

Falhas na Cibersegurança do Estado: Roubo de Computadores e Riscos para a Segurança Nacional: o caso da demissão do secretário-geral do MAI e a PEN com dados confidenciais no Gabinete de António Costa

Published by

Rui Martins

on

Segundo o Observador: “Assalto e falhas na compra de viaturas e equipamentos para as polícias terão levado à demissão do secretário-geral do MAI”: https://observador.pt/2025/01/31/ministra-da-administracao-interna-demite-secretario-geral-da-secretaria-geral-da-administracao-interna/
em que um dos principais argumentos para esta demissão terá sido “o assalto que resultou no roubo de 8 computadores”. O Observador recorda que apesar de “na altura, o MAI ter desvalorizado o caso”: algo sobre o qual tivemos muitas dúvidas dado que um dos equipamentos era utilizado, precisamente, pelo secretário geral agora admitido (credenciais locais em cache accounts, guardadas nos browsers e ficheiros localmente disponíveis).

Em maio de 2023 a Iniciativa CpC: Cidadãos pela Cibersegurança a propósito da polémica com o equipamento do então assessor Frederico Pinheiro: “O que deveria ter sido feito (e não foi) com o telemóvel e computador de Frederico Pinheiro” já tinha apresentado: https://cidadaospelaciberseguranca.com/2023/05/18/o-que-deveria-ter-sido-feito-e-nao-foi-com-o-telemovel-e-computador-de-frederico-pinheiro/ uma série de propostas que foram enviadas a todos os partidos com assento parlamentar e ao governo da República:
https://cidadaospelaciberseguranca.com/2024/08/30/roubo-de-computadores-no-mai-recomendacoes-ignoradas-a-ciberseguranca-em-risco-no-estado-portugues/.

Na altura, a CpC propôs “revisão dos procedimentos, práticas e políticas a aplicar a equipamentos do Estado e, muito especialmente, em todos aqueles que – como sucedeu – possuem documentos ou informações de especial interesse, valor ou essenciais à segurança da República nomeadamente:
“O laptop permitia a ligação de Storage Devices USB externos: Os quais usou várias vezes para copiar ficheiros importantes e que estavam no equipamento. Este uso pode ser bloqueado por Group Policy se o computador estiver ligado a uma Active Directory (não estava) e é igualmente possível enviar um mail alertando o utilizador para essa tentativa de uso em contrário aos procedimentos em vigor.”

Mais recentemente soube-se de uma USB pen que deu origem à abertura de um inquérito por parte do Ministério Público por suspeitas de violação de segredo de Estado e do sigilo fiscal e que estaria guardada no interior de um cofre no gabinete de trabalho de Vítor Escária e que conteria dados de agentes do SIS, do SIED, da PJ e da Autoridade Tributária. A referida PEN (ou uma sua cópia) já estaria na posse de jornalistas pelo que o risco de divulgação dos seus dados aumentou exponencialmente (estaria, alegadamente, há anos no cofre do gabinete).

A pen foi encontrada em novembro de 2023 no gabinete de Vítor Escária, antigo chefe de gabinete do ex-primeiro-ministro António Costa, e teria dados de agentes do Serviço de Informações e Segurança (SIS), Serviço de Informações Estratégicas e Defesa (SIED), Polícia Judiciária (PJ) e Autoridade Tributária (AT). Os seus ficheiros terão sido copiados para a pen em 2019 e, segundo Observador “era do tempo do antecessor de Escária no cargo, Francisco André, e que terá chegado a São Bento de forma anónima, tendo sido guardada num cofre”. Se os computadores do Estado e destes serviços tivessem implementado a nossa recomendação
“8. O laptop permitia a ligação de Storage Devices USB externos: Os quais usou várias vezes para copiar ficheiros importantes e que estavam no equipamento. Este uso pode ser bloqueado por Group Policy se o computador estiver ligado a uma Active Directory (não estava) e é igualmente possível enviar um mail alertando o utilizador para essa tentativa de uso em contrário aos procedimentos em vigor.”
https://cidadaospelaciberseguranca.com/2024/08/30/roubo-de-computadores-no-mai-recomendacoes-ignoradas-a-ciberseguranca-em-risco-no-estado-portugues/ não estaríamos certamente com este assunto – de novo – na agenda mediática. Por outro lado, a existência destes ficheiros nesta PEN indica que estas bases de dados não estão encriptadas e que provavelmente ou não existe ou existe apenas um controlo ineficiente na forma e identidade de quem acede a estes dados.

A propósito deste furto de computadores do MAI com dados sensíveis e, provavelmente, credenciais de acesso a sistemas de acesso muito reservado tornámos a enviar estas recomendações e lançámos a petição “Petição para a Redução de Riscos de Segurança em Equipamentos do Estado: Propostas de Cibersegurança para Ministérios e Órgãos Sensíveis do Estado” que foi entregue a 30 de agosto aos serviços da Assembleia da República:
https://participacao.parlamento.pt/initiatives/4369

Deixe um comentário

Previous Post
Next Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

← Back

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.