O MP afirma ter perdido o rasto dos mesmos devido a sucessivos ataques de hackers.
Há alguns dias fomos surpreendidos com a informação de que hackers fizeram desaparecer documentos sobre o Caso dos Generais Kopelipa e Dino, que se encontra em julgamento no Tribunal Supremo. Como especialista em cibersegurança, no seu ponto de vista, que medidas devem tomar os órgãos de justiça e de investigação criminal para se prevenirem ou protegerem de ataques do género?
Como profissional de cibersegurança, posso mencionar algumas boas práticas internacionais para protecção de evidências digitais em sistemas judiciais. Neste caso, e para órgãos de justiça e investigação criminal, considero essenciais medidas como backups seguros e redundantes, controlo rigoroso de acessos, segmentação de redes, aposta na monitorização contínua e na formação permanente dos técnicos.
Quais as valências de se ter backups seguros e redundantes?
Os sistemas que guardam evidências críticas devem ter cópias em múltiplos locais, incluindo sistemas offline (air-gapped), que não estão conectados à Internet. Casos internacionais mostram que o ransomware pode cifrar tanto os sistemas principais como os backups em linha. O controlo de acessos rigoroso implica autenticação multifactor, concessão de privilégios mínimos e registos detalhados de acessos, que criam uma cadeia de custódia digital verificável. Quanto à segmentação de redes, é necessário garantir que os sistemas com evidências judiciais estejam isolados das redes administrativas gerais, o que limita a propagação de um ataque.
E como pode ser feita a monitorização contínua?
Sistemas do tipo SIEM (Security Information and Event Management) podem identificar actividades anómalas antes de os dados serem comprometidos. Por outro lado, defendo a necessidade de formação contínua porque muitos ataques começam com phishing, por exemplo. Os funcionários precisam de formação constante para melhor identificarem e evitarem este tipo de ataques. A implementação adequada destas medidas requer investimento, mas o custo da prevenção é sempre inferior ao custo da perda de evidências importantes.
Neste caso em concreto, o Ministério Público não especificou em que instituição ocorreram os ataques nem o período. É possível rastrear esses dados através do sistema e recuperar tais documentos?
Sem conhecer os detalhes técnicos específicos do incidente tipo de ataque, sistemas afectados, momento da ocorrência e medidas de segurança existentes- é impossível dar uma resposta definitiva sobre a recuperação.
De forma geral, a recuperabilidade dos dados depende de vários factores. Se existirem backups adequa dos (offline, air-gappedou em ambientes cloud seguros), a recuperação é, regra geral, possível. Tribunais internacionais que mantinham backups robustos conseguiram restaurar dados mesmo após ataques com impactos graves. Se os dados foram apenas apagados (não encriptados ou destruídos fisicamente), existem técnicas forenses que podem ajudar na recuperação de informação em discos rígidos ou outros meios físicos, dependendo do tempo decorrido e se os sistemas continuaram ou não em utilização.
Há algum mecanismo para rastrear o local onde se encontravam os hackers que fizeram desaparecer tais documentos?
Um dos tipos mais comuns de evidências forenses são os logs ou registos de sistema. Se existirem e não tiverem sido comprometidos, podem revelar quando e como o ataque ocorreu.
Mas estes não são os únicos ele mentos que podem ser utilizados para reconstruir a linha temporal de um ataque. Há ainda timestamps de sistema de ficheiros, entradas de registo, registos MFT, eventos de criação de utilizadores, ficheiros temporários, rastos de navegadores web, tarefas agendadas e outros artefactos digitais.
Uma correcta análise forense pode ajudar a identificar indicado res de comprometimento. Contudo, atacantes altamente sofisticados frequentemente apagam logs e outros artefactos para encobrir os seus rastos.
A realidade é que, sem backups adequados e segregados, a recuperação de dados críticos após um ataque é extremamente difícil. Por isso, a prevenção e os backups são fundamentais vez perdidos, documentos digitais podem desaparecer permanentemente.
Essa revelação pode servir de alerta para que todas as instituições públicas ou privadas que prestam serviços ao Estado criem um melhor sistema de protecção de dados?
Sem dúvida. Incidentes como este, independentemente dos detalhes específicos, servem sempre de alerta para todas as organizações, públicas ou privadas.
A nível internacional, tribunais e instituições judiciais estão entre os alvos mais visados por ciber-criminosos, precisamente por que detêm informações extremamente sensíveis e críticas.
Nos últimos anos, tribunais nos Estados Unidos, Brasil, Reino Unido, Colômbia, Austrália outros países sofreram ataques significativos que paralisaram operações e comprometeram dados. Para as instituições públicas angolanas, isto reforça a necessidade urgente de avaliar e melhorar a sua postura de cibesegurança e protecção de dados, implementar as medidas essenciais que mencionei e alocar orçamento adequado para a segurança digital. As instituições devem tratar a cibersegurança como prioridade estratégica e de gestão de risco, e não apenas como uma questão "técnica de TI".
A cibersegurança não é um custo, é um investimento na protecção das funções essenciais de qualquer organização. É menos oneroso prevenir do que remediar. Como avalia os níveis de importância que as instituições públicas dão à segurança cibernética?
Penso que as instituições angolanas, à semelhança da maioria dos países em desenvolvimento, enfrentam desafios semelhantes: orçamentos limitados, falta de profissionais qualifica dos, sistemas legados desactualizados e concorrência de prioridades.
Noto algum progresso no quadro regulatório e institucional, nomeadamente com a criação do Gabinete de Cibercrime e Prova Electrónica da PGR, o desenvolvimento de nova legislação específica de cibersegurança e a revisão da Lei de Protecção de Dados Pessoais.
Estes desenvolvimentos de monstram, a meu ver, que há reconhecimento, ao nível legislativo e institucional, da importância crescente da cibersegurança e da protecção de dados.
Contudo, o desafio global é que a cibersegurança frequentemente só recebe atenção adequa da após um incidente sério. Isto não é exclusivo de Angola: vemos o mesmo nos Estados Unidos, Reino Unido e outros países desenvolvidos, onde investimentos significativos só foram aprovados após ataques com impactos extremamente negativos.
Tem sido frequente algumas instituições que prestam serviços públicos divulgarem comunicados relatando ataques do género. No seu ponto de vista, até que ponto os ataques de hackers podem pôr em causa o normal funcionamento do sistema de justiça?
Esta é uma questão extremamente séria.
Com base em casos internacionais recentes, os ataques cibernéticos podem paralisar completamente sistemas de justiça. Vejamos alguns exemplos:
Nos Estados Unidos, o Tribunal Superior de Los Angeles o maior do país foi forçado a encerrar todas as 36 sedes durante vários dias em 2024. No Kansas, os tribunais ficaram offline durante mais de um mês, impedindo o acesso a processos e atrasando a justiça para milhares de pessoas.
No Brasil, o Superior Tribunal de Justiça suspendeu todas as operações durante quase uma semana após um ataque de ransomware em 2020. OPAIS
