É consultor há 15 anos e tem visto praticamente de tudo. Ricardo Oliveira explica hoje ao Tugaleaks um pouco do que se passa ao nível da segurança informática em Portugal.
É consultor há quanto tempo?
Ao longo dos 15 anos de experiência profissional, comecei por assumir funções técnicas na área de administração de sistemas e segurança, passando a director técnico e actualmente consultor; a segurança informática sempre foi o meu foco, não só no que diz respeito às responsabilidades profissionais mas também em termos de especialização.
Quais são os perigos na Internet que podem ter um maior impacto negativo nos sites de instituições ou empresas?
De uma forma surpreendente (uma vez que não se verifica noutras indústrias, mais maduras), os perigos estão quase sempre relacionados com situações que poderiam ser evitadas à partida. A utilização de software desactualizado em sistemas expostos à Internet (cuja actualização depende exclusivamente dos quadros técnicos das empresas ou instituições) é só a maior causa de intrusões em sistemas informáticos, suplantando em muito as fragilidades em todas as outras componentes dos sistemas informáticos (firewalls, redes, etc). Ao contrário do que se pensa, muitas intrusões são conseguidas à custa de vulnerabilidades conhecidas, e para as quais existem correcções há vários meses.
Como é que uma instituição ou empresa pode certificar-se que está segura na Internet?
Ainda que as equipas técnicas internas possam ser competentes, profissionais e conhecedoras, e independentemente da marca, modelo, preço e capacidade dos sistemas existentes (firewalls, IDS/IPS, etc), o seu grau de conhecimento vai estar sempre limitado ao tipo de ataques a que já estiveram sujeitos anteriormente. A realização de auditorias / testes de intrusão externos, realizados por entidades que tenham experiência e, principalmente, que prestem serviços a um conjunto heterogéneo de entidades (ou seja, que não estejam focadas apenas em determinados tipos de organizações) é uma das formas mais eficazes de avaliar a segurança dos sistemas informáticos. As equipas internas acabam também por ganhar conhecimentos sobre novas estratégias e métodos, informações estas que são fundamentais para implementar novas soluções ou antever ataques aos serviços existentes.
O recente fenómeno de “hackers”, que aparecem a obter e-mails e desfigurar websites, é uma preocupação acrescida para os consultores e para a segurança informática?
Os ataques a sistemas informáticos não têm nada de recente, nem a sua associação a causas políticas, sociais ou humanas (muito menos em Portugal); verifica-se no entanto uma muito maior colaboração a nível global ente movimentos com ideais semelhantes, conjugada com uma maior exposição da comunicação social. Uma das iniciativas com maior exposição esteve relacionada com Timor-Leste, há vários anos, realizada na altura por hackers Portugueses. Verifica-se no entanto que as intrusões são publicitadas com muito maior celeridade (as redes sociais são um dos veículos privilegiados), estando também a comunicação social mais atenta; infelizmente, em algumas situações pequenos incidentes são publicitados de forma catastrófica, e outros problemas consideravelmente mais graves passam ao lado desta exposição.
Como classifica as empresas de segurança informática em Portugal?
Tem-se verificado que existe um número crescente de empresas que dizem abordar a área da segurança informática; no entanto, a julgar pela forma como se promovem, as que o fazem de forma profissional e metódica são muito poucas. As boas referências são no entanto bem conhecidas a nível nacional.
Pensando numa perspectiva tanto global como nacional, pensa que daqui por cinco ano as empresas e entidades do estado vão estar mais conscientes dos perigos informáticos e também da sua resolução?
As organizações estão cada vez mais conscientes dos perigos que as ameaçam, e como qualquer indústria, a informática caminha para a utilização de standards que são comuns (em diferentes âmbitos) em indústrias mais maduras. No que diz respeito à capacidade de resolução, não é fácil, no contexto nacional e especificamente da Administração Pública, que os recursos técnicos (já pressionados em termos de capacidade de execução) consigam aumentar a atenção dada à segurança, uma vez que é muito difícil justificar o tempo investido (se comprasse uma firewall melhor, teria recebido menos ataques? se tivesse mais X recursos técnicos, teria sido mais eficaz a impedir intrusões?). As organizações privadas terão, naturalmente, uma posição diferente, até porque cada vez mais os recursos sensíveis estão no mundo digital, e devem como tal ser protegidos adequadamente.
Consideras as equipas de investigação da PJ e o Ministério Público se encontram suficientemente informados sobre estes temas, tanto na investigação como na punição como crime?
A investigação de um problema de segurança pode envolver conhecimentos profundos em várias disciplinas (redes, sistemas, bases de dados, tecnologias de desenvolvimento, etc). Por esse ponto de vista, os conhecimentos técnicos têem melhorado consideravelmente; no entanto, é um caminho que não tem fim, ou seja, é importante existir espaço (e disponibilidade) para a progressão contínua. E acaba por ser inglório que a investigação acabe, aparentemente, nas nossas “fronteiras” digitais. No que diz respeito à punição, está a cargo dos tribunais, e como tal envolve muito mais do que apenas as questões técnicas associadas aos incidentes de segurança. Tenho a impressão que a comunicação social dá pouca exposição às condenações, e por outro lado, não existindo imprensa local especializada, o detalhe sobre os que se conhecem não é explorado. Convenhamos que os bits e bytes de uma qualquer intrusão informática são pouco interessantes para o público em geral…
