Apesar da realidade e urgência da preparação da sociedade e das instituições do Estado para a resistência a incidentes de cibersegurança Portugal continua sendo um dos países menos preparados na União Europeia e um dos alvos principais das organizações de cibercriminosos, sejam elas estatais ou com fins meramente financeiros.

Assim sendo é particularmente grave que não se conheça um componente de planeamento para a redução do risco ou para uma reacção integrada a incidentes de cibersegurança que possam ocorrer entre 1 e 6 de agosto em Lisboa. Nada pode ser encontrado nos planos do governo, do grupo de projeto para a Jornada Mundial da Juventude, coordenado por José Fernandes, nem na Fundação JMJ Lisboa 2023, nem da CML, nem no site do Centro Nacional de Cibersegurança.

Nada existe, mas algo devia existir a menos de 15 dias de um evento que trará a Portugal entre 600 a 900 mil pessoas, que colocará o país no alinhamento noticioso mundial e que irá necessariamente aumentar o risco e a incidência de ataques cibernéticos contra as organizações que organizam as JMJ a começar pelas Câmaras Municipais de Lisboa e Loures, Polícia Municipal, PSP, instituições governamentais como o INEM, Infraestruturas de Portugal, ANA, TAP, ou a própria organização da JMJ.  E, contudo, tal plano deveria existir de modo a prevenir incidentes que possam comprometer a privacidade e a segurança dos participantes. 

No particular, devia ter sido equacionada:

1. Uma componente de formação para a cibersegurança de todas as entidades envolvidas, assim como dos voluntários e participantes. Nessa formação temas essenciais e simples, tais como o uso de passwords complexas, reconhecimento de phishing e a importância de manter uma boa cultura de cibersegurança poderiam e deveriam ter sido abordados.

2. A rede informática que a Altice preparou para disponibilizar acesso à rede de fibra ótica, o acesso a rede Wi-Fi é resistentes a ataques de DDoS e usa criptografia adequada e firewalls para evitar acessos não autorizados limitando o acesso à rede apenas para dispositivos confiáveis e com autenticação de dois factores?

3. Como se garantiu que todos os dados registados pelos participantes no site das Jornadas fossem tratados com cuidado? Existiram auditorias de segurança e não haverá dados a serem transmitidos para fora da União Europeia, designadamente para o Estado do Vaticano? Os dados pessoais estão anonimizados e alguém auditou o cumprimento do RGPD?

4. Todos os sistemas associados às Jornadas e, designadamente, os do site https://www.lisboa2023.org têm o máximo nível de actualização e de patches de segurança implementados?

5. Existem sistemas de monitorização de actividades de cibersegurança implementadas nos sistemas web e de mail da https://www.lisboa2023.org? Existem sistemas de detecção de intrusões, análise agregada de logs (SIEM) e de monitorização de tráfego de rede?

6. Como se realizam os controlos de acessos à rede das JMJ? O controlo inclui autenticação de duplo factor, uso exclusivo de VPNs, autenticação biométrica, formação específica contra acções de phishing e uma equipa dedicada de SOC?

7. O Site e mail estão alojados na estrutura Azure da Microsoft e usam Office 365: Existem sistemas de backup e recuperação de dados e um plano de recuperação de desastres para lidar com possíveis incidentes e garantir a continuidade das operações em caso de falhas de segurança durante e antes da realização das jornadas? Todos os níveis máximos de licenciamento Microsoft foram adquiridos e estão a ser usados? Existe controlo geográfico (Conditional Access), acções regulares de simulação de phishing, obrigatoriedade de uso do Microsoft Authenticator com dados biométricos e o uso obrigatório de equipamentos compatíveis com regras de segurança especialmente desenhadas para o efeito?

8. Quais foram ou são as entidades especializadas em cibersegurança que participaram ou participam na elaboração e execução do plano de segurança das JMJ?

9. Existe um plano específico de resposta a incidentes de cibersegurança que inclua ações a serem tomadas em caso de incidentes? Nada pode ser encontrado no site do CNCS ou de outra entidade associadas às JMJ. Este subplano deveria incluir uma equipe de resposta a incidentes e procedimentos claros de notificação, investigação e mitigação.

10. Deveria existir uma comunicação diária de nível de risco, incidentes em curso, ameaças previstas ou percepcionadas e incluindo contactos alternativos, sistemas paralelos e medidas básicas de reacção que pudessem ser seguidas em caso de incidente.

Portugal em 2022 foi o terceiro país europeu com mais ataques informáticos a que a IBM respondeu em 2022 sendo os dados fornecidos pelos participantes das JMJ um dos alvos preferenciais para as atividades de roubo e fuga de informação. As organizações que manterão os serviços essenciais a funcionar durante este grande evento mundial estarão nesses dias de agosto especialmente vulneráveis a tentativas de extorsão ou a puras atividades de sabotagem como a vaga de ataques DDoS com origem em grupos de ciberactivistas russos que aconteceu há alguns meses contra empresas privadas, tais como hotéis, empresas privadas e organismos públicos. Se algo foi preparado e incluído no Plano de Segurança para as JMJ: nada foi encontrado no site ou nos sites das organizações associadas às Jornadas e isso é muito preocupante…


Recomendações para entidades (como a JMJ em www.lisboa2023.org) que usem Office 365 (clicar para ler)