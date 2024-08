Após o assalto ao Ministério da Administração Interna, confirmado ontem com o roubo de alguns computadores, a Iniciativa CpC - Cidadãos pela Cibersegurança recorda hoje os alertas que endereçou aos diferentes partidos na Assembleia da República e ao então Governo da República sobre os riscos no Estado Português, mas que foram ignorados.

"Em Maio de 2023 a Iniciativa CpC: Cidadãos pela Cibersegurança a propósito da polémica com o equipamento do então assessor Frederico Pinheiro: 'O que deveria ter sido feito (e não foi) com o telemóvel e computador de Frederico Pinheiro'

https://cidadaospelaciberseguranca.com/2023/05/18/o-que-deveria-ter-sido-feito-e-nao-foi-com-o-telemovel-e-computador-de-frederico-pinheiro/ tinha elaborado uma série de propostas que foram enviadas a todos os partidos com assento parlamentar e ao governo da República: Ficaram sem resposta", garante.

Agora, a 29 de Agosto de 2024 "soube-se que a 'Secretaria-geral do Ministério da Administração Interna foi assaltada. Ladrões remexeram gabinetes e levaram 8 computadores de responsáveis. Assalto aconteceu na madrugada desta quarta-feira. Foram levados vários computadores, sendo que dois seriam de chefias da secretaria. Câmaras de vigilância não estavam a funcionar", citam notícias, confirmadas ontem em comunicado do MAI.

Secretaria-Geral do Ministério da Administração Interna assaltada hoje de madrugada O edifício da Secretaria-Geral do Ministério da Administração Interna, na Rua de São Mamede, em Lisboa, foi hoje de madrugada assaltado, estando a investigação a cargo da Polícia de Segurança Pública, disse à Lusa fonte da PSP.

E continuam: "Segundo esta notícia 'os ladrões terão mesmo conseguido furtar os equipamentos informáticos utilizados por chefias desta secretaria, como por exemplo o computador de Teresa Costa, secretária-geral adjunta e o do responsável pela área informática'. Estranhando-se que exista uma tentativa de diminuir a gravidade do sucedido: 'furtados alguns computadores', sendo que alguns deles 'ainda não tinham tido uso já que são de reserva/substituição' assim como a facilidade com que o furto ocorreu: o segurança de serviço não se apercebeu de nada; as câmaras estavam desligadas e o acesso foi facilitado pela presença de andaimes."

A CpC realça ainda que "na resposta do MAI nada indica que estes equipamentos sensíveis (como o da secretária-geral adjunta e o do responsável pela área informática.) estivessem a seguir as recomendações que fizemos em 2023 e que propunham a 'revisão dos procedimentos, práticas e políticas a aplicar a equipamentos do Estado e, muito especialmente, em todos aqueles que – como sucedeu – possuem documentos ou informações de especial interesse, valor ou essenciais à segurança da República nomeadamente:

5. O laptop de Frederico Pinheiro estava em modo 'standalone': Isto é, não pertencia à estrutura de identidade, autenticação e gestão remota do Ministério (Active Directory), algo que deveria ser absolutamente proíbido e viola qualquer boa prática de segurança organizacional.'

6. Frederico Pinheiro era administrador local do equipamento: Ora existem várias razões pelas quais um utilizador não deva ser um administrador local em um computador:

Segurança: Ao conceder privilégios de administrador a um utilizador, este terá acesso total ao sistema operativo e poderá fazer alterações críticas, como instalar/remover software, modificar configurações de segurança e até mesmo apagar ficheiros essenciais. Isso aumenta o risco de comprometimento do sistema por malware, vírus ou outras ameaças cibernéticas especialmente em equipamentos – como o caso – com dados sensíveis para o interessa da República.

Estabilidade do sistema: Um utilizador com privilégios de administrador pode inadvertidamente fazer alterações que afetem a estabilidade do sistema ou de outras aplicações. Isso pode levar a falhas, bloqueios e problemas de desempenho.

Erros humanos: Mesmo que um utilizador seja experiente, erros podem acontecer. Um clique errado ou uma ação equívoca quando se é administrador pode ter consequências graves, como excluir arquivos importantes ou modificar configurações críticas sem intenção.

Políticas de segurança: Em ambientes organizacionais, é comum aplicar políticas de segurança rígidas para proteger informações confidenciais. Ao limitar os privilégios dos utilizadores, o ministério poderia ter reduzido o risco de perda de dados e garantir a conformidade com as regulamentações de proteção de informações em vigor.

Geralmente, restringir os privilégios de administrador para os utilizadores finais dos equipamentos é uma prática recomendada para manter a segurança, a estabilidade e a integridade do sistema operativo e dos dados armazenados. Os utilizadores devem ter apenas as permissões necessárias para realizar suas tarefas diárias, enquanto os privilégios de administrador devem ser reservados para administradores de sistemas informáticos", apontam.

7. Um laptop com dados sensíveis, confidenciais e estratégicos para a República não tinha o disco encriptado: Esta opção é gratuita e está disponível em todos os equipamentos MacOS, Windows e Linux. No Windows trata-se da 'BitLocker Device Encryption in Windows' e quando é iniciada permita a gravação e conservação externa e em local seguro das chaves para eventual futura recuperação do acesso em caso de necessidade de acesso por parte das autoridades judiciais ou da hierarquia do ministério.”

8. O laptop permitia a ligação de Storage Devices USB externos: Os quais usou várias vezes para copiar ficheiros importantes e que estavam no equipamento. Este uso pode ser bloqueado por Group Policy se o computador estiver ligado a uma Active Directory (não estava) e é igualmente possível enviar um mail alertando o utilizador para essa tentativa de uso em contrário aos procedimentos em vigor.

9. O laptop estava em modo 'standalone': isto é: não pertencia ao Domain AD do Ministério (?) e, logo, não podia receber um conjunto centralizado de políticas e configurações: Teria sido possível impedir que o equipamento tivesse em disco cópias únicas (assim o disse a Chefe de Gabinete) de determinadas extensões (.pdf, .docx, .xlsx) obrigando à sua presença única em shares de rede sob controlo do Ministério.

10. O laptop permitia a existência de cache profiles e, logo, permitia o logon sem o prévio estabelecimento de VPN para com a rede do Estado: Isto pode ser forçado centralmente através de uma Group Policy de Active Directory ou, se o computador não estiver em AD é possível também desligar estes logins com uma alteração de registry mas esta pode ser desfeita se o utilizador for um administrador local como parecia ser o caso de Frederico Pinheiro.

11. O laptop não tinha um sistema de AV ou MDM que permitisse o shutdown remoto/remote wipe ou lock em caso de perda de controlo nem a geolocalização do equipamento em caso de perda ou furto (…)

12. Foram feitas impressões de documentos confidenciais: É possível impedir a impressão deste tipo de documentos sensíveis com políticas de segurança adequadas e usando, por exemplo, as etiquetas de confidencialidade do Office 365 (Microsoft Purview)."

Lembram, pois, que "em Maio de 2023 estas sugestões (e outras aplicáveis a telemóveis de serviço) foram enviadas a todas as câmaras municipais do país, a todos os grupos parlamentares e a todos os ministérios do Governo da República".

E "a propósito deste furto de computadores com dados sensíveis e, provavelmente, credenciais de acesso a sistemas de acesso muito reservado", afiançam, "tornámos a enviar estas recomendações e lançámos a petição 'Petição para a Redução de Riscos de Segurança em Equipamentos do Estado: Propostas de Cibersegurança para Ministérios e Órgãos Sensíveis do Estado', que foi entregue a 30 de Agosto aos serviços da Assembleia da República:



Petição para Redução de Riscos de Segurança em Equipamentos do Estado: Propostas de Cibersegurança para Ministérios e Órgãos Sensíveis do Estado



"Para reduzir os riscos de segurança decorrentes do furto de computadores e telemóveis utilizados por ministérios e unidades do Estado com atividades sensíveis, a Iniciativa CpC: Cidadãos pela Cibersegurança propõe a emissão de uma portaria normativa que estabeleça diretrizes obrigatórias para todos os órgãos subordinados. As medidas sugeridas são:



1. Implementação de MDM (Gestão de Dispositivos Móveis) nos telemóveis do Estado: Utilização de soluções como o Microsoft Intune para gerir dispositivos, definir políticas de restrição de aplicações (ex.: impedir a instalação de WhatsApp nos dispositivos iOS).

2. Sistemas de backup nos telemóveis do Estado: Ferramentas como o Microsoft Intune podem realizar “Remote Wipe” (apagamento remoto) e garantir backups para proteger os dados.

3. Proibição de comunicações sensíveis através de redes sociais externas**: Impedir a instalação de aplicações controladas por potências estrangeiras (ex.: WhatsApp) via MDM.

4. Procedimento formal de desligamento de utilizadores que abandonam a organização: Recolha imediata do telemóvel e computador, e negação de acessos centralizada.

5. Proibição de computadores em modo standalone: Todos os computadores devem estar integrados na estrutura de identidade e gestão remota do Ministério (Active Directory).

6. Restrição de privilégios de administrador local aos utilizadores: Impedir que utilizadores possam fazer alterações críticas que comprometam a segurança e estabilidade dos sistemas.

7. Encriptação obrigatória dos discos de computadores com dados sensíveis: Implementar soluções como o BitLocker para garantir a segurança dos dados, com a conservação segura das chaves de recuperação.

8. Bloqueio da ligação de dispositivos USB externos: Restringir o uso de dispositivos de armazenamento USB através de políticas de grupo (Group Policy) e alertar utilizadores sobre tentativas de uso indevido.

9. Proibição de logon sem prévia ligação a VPN: Impedir o uso de cache profiles, forçando o logon com VPN ativa através de políticas de grupo ou alterações no registo do sistema.

10. Instalação de sistemas de antivírus e MDM com capacidades de “shutdown remoto” e geolocalização: Utilizar soluções como Panda Antivirus ou AirDroid Business para permitir o apagamento remoto, bloqueio ou geolocalização de dispositivos perdidos ou roubados.

11. Impedimento de impressão de documentos confidenciais: Utilizar políticas de segurança, como as etiquetas de confidencialidade do Office 365 (Microsoft Purview), para evitar a impressão de documentos sensíveis, aplicando encriptação e marcas de água dinâmicas.

E concluem que "estas medidas visam aumentar a cibersegurança e proteger dados sensíveis no contexto da administração pública portuguesa".