Administração Pública Regional pôs em marcha plano para travar ciberataque

O que se recomenda fazer em caso de ciberataque?

De acordo com o diretor regional da Direção Regional do Património e Gestão dos Serviços Partilhados (PaGeSP), Hélder Fernandes, a primeira medida deve ser a  atualização imediata dos sistemas operativos, em particular aplicando o patch que endereça esta vulnerabilidade; depois, a atualização regular do antivírus e sua execução para deteção e remoção de malware.

Se o quadro existente for de infeção, o equipamento da rede elétrica e da rede de dados, deve ser desligado imediatamente sem preocupações procedimentais e deve ser reportada reportar a situação aos serviços técnicos de suporte.

Deverá ser efetuada uma recolha de prova, nomeadamente imagem binária e memory dump, para efeitos de análise forense pelas autoridades.

Para evitar aqui chegar, mantenha os sistemas e aplicações atualizados, não abra correio eletrónico não solicitado ou de origem duvidosa, e mais importante, não clique em hiperligações (links) ou execute ficheiros anexos a essas mensagens, mesmo que sugestivas quanto a potenciais vantagens financeiras para si ou imagens de invulgar beleza.

A informação foi hoje partilhada através de uma nota emitida pela Secretaria regional das Finanças e da Administração Pública.

Segundo essa nota, na passada sexta-feira, dia 12 de maio, a PaGeSP foi alertada, através da rede de contatos técnicos existente, para o facto de estar em curso um ciberataque complexo e com consequências potencialmente desastrosas.

Tratava-se de uma ciberameaça avançada e persistente (APT), que opera tirando partido de uma vulnerabilidade nos sistemas operativos Microsoft, concretamente no SMB (protocolo de partilha de mensagens) que permite a partilha de recursos em rede, e que leva à replicação de um código malicioso (worm), que uma vez executado num computador encripta toda a informação, sequestrando os dados e exigindo um resgate em criptomoeda (bitcoin) para a respetiva recuperação, o que se designa por ransomware. Não existem casos reportados de recuperação da informação sequestrada, mesmo depois de efetuados os pagamentos de regaste.

Perante o impacto global da ameaça e do potencial dano daí decorrente, a PaGeSP, enquanto provedor de tecnologias de informação da Administração Pública Regional, decidiu ativar uma célula de gestão de crises de geometria variável, composta por recursos humanos cujo perfil foi considerado adequado para dar resposta à situação ao nível técnico e ao nível de decisão estratégica.

Esta solução permitiu obter rapidamente a análise situacional, identificar os alvos vulneráveis e acionar as medidas corretivas, nomeadamente no que diz respeito à atualização dos sistemas vulneráveis com o patch de segurança da Microsft constante no boletim 17-010, que corrige a falha do SMB.

Em paralelo, foram despoletadas ações de monitorização fina de toda a infraestrutura de informação, de forma a detetar infeções existentes e ativar os mecanismos de recuperação de recursos/continuidade de serviço, bem como de recolha de prova para reporte à Polícia Judiciária, que tem responsabilidades no domínio do combate à cibercriminalidade.

A adoção desta abordagem no pico da crise, permitiu prevenir o ataque e os seus efeitos, não se tendo registado nenhuma incidência na administração pública direta, nem existido qualquer comunicação à PaGeSP na administração indireta.

Para o efeito, contribuiu o trabalho de sensibilização que a PaGeSP tem realizado junto dos utilizadores, sobretudo através da realização de vários simulacros, em contexto real, de um ataque de phishing (furto de dados) e potencial ransomware (extorsão), que deixou nos utilizadores uma maior consciencialização das ameaças e do seu papel na respetiva contenção, enquanto elos mais fracos de um sistema permeável a vectores de infeção que são muito difíceis de bloquear através de automatismos tecnológicos. As pessoas são o centro de gravidade da cibersegurança.