O ataque informático de que a Agência para a Modernização Administrativa (AMA) foi alvo, no passado 10 de outubro, afetou diversos serviços e aplicações do Estado, transtornando a vida de cidadãos e empresas. Saiba o que aconteceu, que serviços foram afetados e que cuidados devem ter os cidadãos.
O que é que aconteceu?
No dia 10 de outubro, dia da apresentação da proposta do Orçamento do Estado para 2025, houve um ataque informático à Agência para a Modernização Administrativa (AMA), que gere diversas plataformas digitais do Estado. De acordo com o Centro Nacional de Cibersegurança (CNCS), tratou-se de um ransomware, ou seja, um ataque que visa a encriptação fraudulenta de dados, com a ameaça de destruí-los ou bloqueá-los, até que um resgate seja pago, por norma, através de criptomoedas.
De acordo com a Microsoft, a maioria dos ataques ransomware costumava ser direcionado a utilizadores individuais, contudo, mais recentemente, as organizações tornaram-se o principal alvo, sendo a "maior ameaça e a mais difícil de impedir e remediar".
Que serviços foram afetados?
Segundo o CNCS, o ciberataque teve um "impacto substancial" ao nível dos serviços suportados pela AMA, tais como a Autenticação.Gov e o Gov.ID, o que afetou, entre outros, o recurso à chave móvel digital ou à assinatura digital. A AMA acrescenta que já foi realizado o restabelecimento do atendimento nas Lojas do Cidadão e que "já se encontram operacionais vários serviços, plataformas, portais e sites públicos geridos pela AMA, como o serviço de Autenticação com chave móvel digital e cartão de cidadão, plataforma de integração da iAP e a abertura de conta desmaterializada (parcial)".
Na prática, o ataque informático deixou inacessível ferramentas como a assinatura digital, o que impossibilitou a assinatura de contratos, a renovação de documentos ou a obtenção de certidões.
O que foi feito?
No dia do ataque, a AMA utilizou as redes sociais para informar que tinham sido "de imediato" ativados os protocolos de segurança para responder a este tipo de ataques, "de modo a restabelecer a normalidade de todas as operações", e que as autoridades nacionais competentes em matéria de cribercrime já estariam a investigar o caso. O ciberataque foi comunicado à Comissão Nacional de Proteção de Dados (CNPD) no dia seguinte ao ataque, a 11 de outubro.
Quatro dias depois, na segunda-feira, o organismo do Estado informou que estava a implementar "um conjunto de medidas preventivas e corretivas" para garantir que a normalização dos serviços acontecesse de forma "progressiva e segura". Na terça-feira, o CNCS assegurou ainda, em comunicado, que "o processo de análise forense e resolução deste incidente decorre a bom ritmo, tendo sido implementadas medidas paliativas e de reforço, que garantem a segurança adequada no restabelecimento dos serviços afetados".
De modo a informar os cidadão sobre os serviços disponíveis e repostos, a AMA criou um site onde é feita a atualização.
Houve roubo de dados?
O Ministério da Juventude e da Modernização informou, na terça-feira, que "até ao momento não existe evidência de exfiltração" de dados pessoais no ciberataque a que a AMA foi alvo. O Governo reforçou que a equipa envolvida "continua a trabalhar de forma exaustiva, para garantir a reposição de todos os serviços, com as condições de segurança adequadas".
Que cuidados devem ter os cidadãos?
Caso existam contactos, através de qualquer canal, com pedidos de informação pessoais para a recuperação de dados, nomeadamente de credenciais da chave móvel digital, estes devem ser ignorados. A ressalva foi feita pela AMA, logo no dia seguinte ao ciberataque.
O "leak" da Autoridade Tributária está relacionada com este ataque?
De acordo com o CNCS, não. Em comunicado, a entidade refere que o leak [fuga de informação] da Autoridade Tributária (AT) "que tem sido mencionado publicamente não está relacionado com o incidente que afeta as infraestruturas da AMA". Segundo o organismo, este tipo de leaks "é algo que ocorre com alguma regularidade" e é "constituído por grupos de credenciais expostas" que resulta "de atividade criminosa com recurso a infostealers", ou seja, "um tipo de código malicioso (malware) desenvolvido para sub-repticiamente recolher dados sensíveis de um sistema".
"A AT, sempre que tem conhecimento de grupos de credenciais expostas, tem como procedimento forçar a renovação de credenciais dos utilizadores visados", explica o CNCS.
Na terça-feira, o semanário "Expresso" noticiou que nove mil credenciais do Portal das Finanças foram divulgadas, alertando para a necessidade de os cidadãos alterarem as palavras-passe de acesso.