Em entrevista ao jornal OPAÍS, Ivo Martins, especialista em cibersegurança, apresenta alguns dos mecanismos técnicos que podem ajudar o Ministério Público (MP) e o Tribunal Supremo a recuperar os documentos desaparecidos que supostamente certificam a transferência indevida de 150 milhões de dólares do extinto Gabinete de Reconstrução Nacional (GRN) para a empresa China International Found (CIF) Hong Kong. O MP afirma ter perdido o rasto dos mesmos devido a sucessivos ataques de hackers
Há alguns dias fomos surpreendidos com a informação de que hackers fizeram desaparecer documentos sobre o Caso dos Generais Kopelipa e Dino, que se encontra em julgamento no Tribunal Supremo. Como especialista em cibersegurança, no seu ponto de vista, que medidas devem tomar os órgãos de justiça e de investigação criminal para se prevenirem ou protegerem de ataques do género?
Como profissional de cibersegurança, posso mencionar algumas boas práticas internacionais para protecção de evidências digitais em sistemas judiciais. Neste caso, e para órgãos de justiça e investigação criminal, considero essenciais medidas como backups seguros e redundantes, controlo rigoroso de acessos, segmentação de redes, aposta na monitorização contínua e na formação permanente dos técnicos.
Quais as valências de se ter backups seguros e redundantes?
Os sistemas que guardam evidências críticas devem ter cópias em múltiplos locais, incluindo sistemas offline (air-gapped), que não estão conectados à Internet. Casos internacionais mostram que o ransomware pode cifrar tanto os sistemas principais como os backups em linha. O controlo de acessos rigoroso implica autenticação multifactor, concessão de privilégios mínimos e registos detalhados de acessos, que criam uma cadeia de custódia digital verificável. Quanto à segmentação de redes, é necessário garantir que os sistemas com evidências judiciais estejam isolados das redes administrativas gerais, o que limita a propagação de um ataque.
E como pode ser feita a monitorização contínua?
Sistemas do tipo SIEM (Security Information and Event Management) podem identificar actividades anómalas antes de os dados serem comprometidos. Por outro lado, defendo a necessidade de formação contínua porque muitos ataques começam com phishing, por exemplo. Os funcionários precisam de formação constante para melhor identificarem e evitarem este tipo de ataques. A implementação adequada destas medidas requer investimento, mas o custo da prevenção é sempre inferior ao custo da perda de evidências importantes.
Leia mais em
