Paulo Veríssimo: “Portugal ainda não concretizou a sua estratégia de cibersegurança”
Os ataques informáticos tornaram-se moeda corrente. Porém, não só os riscos de ciberterrorismo ou de ciberguerra parecem não preocupar muito a maioria das pessoas como, mesmo nos países tecnologicamente mais desenvolvidos, poucos são os políticos que estão a levar a sério este novo tipo de ameaça. Um dos maiores especialistas mundiais de cibersegurança é português – mas já não mora aqui.
Foi ao mesmo tempo que recebeu a notícia de que o seu projecto fora aceite e de que a fundação de investigação luxemburguesa lhe disponibilizava cinco milhões de euros ao longo de cinco anos para o pôr em prática, que Paulo Veríssimo soube que a Fundação para a Ciência e Tecnologia portuguesa (FCT) tinha chumbado o seu laboratório lisboeta, o LaSIGE, reduzindo drasticamente o seu financiamento anual. Desde a sua nova “casa” no Interdisciplinary Centre for Security, Reliability and Trust (SnT), na Universidade do Luxemburgo, o investigador falou connosco ao telefone.
Como surgiu o convite para ir trabalhar para o Luxemburgo?
A Universidade do Luxemburgo estava interessada em fazer uma aposta grande numa área específica da cibersegurança: a segurança e a confiabilidade das infra-estruturas de informação críticas. Segurança e confiabilidade consistem, no fundo, em fazer as coisas funcionar bem contra ataques informáticos deliberados (segurança) e contra acidentes (confiabilidade). Ora, o know-how que o meu grupo tem vindo a desenvolver até agora em Portugal, no laboratório LaSIGE da Faculdade de Ciências da Universidade de Lisboa, diz precisamente respeito à abordagem destas duas áreas. Por outro lado, estamos no topo da investigação internacional na área das infra-estruturas de informação críticas.
O que é que são as infra-estruturas de informação críticas?
A rede eléctrica, a rede de telecomunicações, as redes de emergência, o gás, etc. Hoje em dia, nada do que é crucial para o funcionamento das sociedades funciona sem computadores. O tempo da mecânica e da electromecânica já passou. Muitas subestações eléctricas em Portugal e algumas centrais eléctricas são comandadas remotamente – não está lá ninguém. Tudo correu bem durante uns anos, até os hackers – os piratas informáticos, sobretudo aqueles a sério, ciberterroristas, cibercriminosos, agências de espionagem – começarem a perceber como atacar essas infra-estruturas. E aí surgiu um problema gravíssimo para as sociedades modernas, que é a possibilidade de bloquear, de parar um país com um ciberataque. Basta imaginar o que seria Portugal sem rede eléctrica ou sem rede de telecomunicações.
Em que consiste o projecto que vai desenvolver agora?
É um projecto estratégico que eu propus ao Fonds National de la Recherche do Luxemburgo (FNR), a análoga da FCT. Um projecto de desenvolvimento de uma grande capacidade de investigação de topo, a nível internacional, na área da segurança e confiabilidade das infra-estruturas de informação críticas. O programa chama-se PEARL, é muito ambicioso, e a bolsa que foi dada é de cinco milhões de euros, o dobro das maiores bolsas dada pelo Conselho Europeu de Investigação. É muito dinheiro. Um painel internacional avaliou a minha proposta e ela foi muito bem classificada. E aí abriram-se as portas para eu vir, com essa bolsa, para um instituto de investigação da Universidade do Luxemburgo, o SnT. O SnT já se dedicava à segurança e eu espero dar uma grande ajuda para o tornar mais conhecido internacionalmente.
Quantos concorreram para a bolsa da FNR?
Estas propostas não têm uma chamada formal. Foi um convite após um longo processo e só depois disso é que a FNR viu com bons olhos uma candidatura à bolsa. No fundo, foi um convite para submeter a candidatura. Houve uma boa meia-dúzia de candidaturas, mas a minha proposta foi aprovada. Soube formalmente da decisão no fim de Junho.
Foi precisamente nessa altura que soube também que o seu laboratório em Portugal tinha sido “chumbado” na avaliação em curso pela FCT.
É irónico, não é? Enquanto no Luxemburgo as pessoas acreditaram em mim e vão-me dar cinco milhões para gastar, fui confrontado em Portugal com o chumbo do laboratório LaSIGE, do qual fui director e fundador – um laboratório reconhecido e considerado pelos seus pares como um dos melhores. Não se percebe porquê, porque as próprias métricas da FCT colocam o nosso laboratório nos lugares cimeiros da excelência. O LaSIGE deverá receber, nos próximos cinco anos, 7500 euros por ano para suportar a actividade dia a dia de mais de 120 investigadores. A manter-se esta decisão (ainda estão as audiências prévias em apreciação), isto corresponde obviamente a uma intenção de fecho do LaSIGE por parte da FCT. Mas não é por eu me ir embora que deixa de haver investigação nesta área em Portugal. O meu grupo é muito forte, e ficam em Portugal pessoas muito boas que continuam a trabalhar. E eu espero vir a colaborar com elas no futuro.
Por que decidiu submeter a sua proposta ao PEARL?
Foram-se passando tantas coisas más em Portugal... Comecei a sentir que o Governo estava a fazer coisas absolutamente loucas, não tenho outra palavra para as designar. E a dada altura, telefonei a um amigo da Universidade do Luxemburgo a dizer que iria considerar uma candidatura ao PEARL.
Os avaliadores perguntaram-lhe por que queria sair de Portugal. O que respondeu?
Respondi-lhes a verdade. Disse que em Portugal ia ser quase impossível uma pessoa montar projectos grandes. Não só porque não houvesse dinheiro, mas porque não há disposição, as pessoas estão umas contra as outras, não querem facilitar as coisas. E acho que eles perceberam. A fundação deu-me o montante máximo, o que não é sempre o caso. Eu não sabia, só soube quando se criou um ambiente de euforia aqui no SnT, com as pessoas a dizer: “Deram-te mesmo os cinco milhões!” E eu: “Porquê? Não eram para dar?” [ri-se]. Mas eu sei em que vou gastar cada euro, portanto queria mesmo os cinco milhões! [ri-se]
Portugal tem um sistema de segurança e confiabilidade das infra-estruturas de informação críticas?
Em Portugal, os responsáveis no Estado por montar uma estratégia nacional de cibersegurança, de protecção de infra-estruturas críticas, nunca quiseram ligar muito ao que eu dizia… [ri-se]. Nunca ninguém pôs em causa a minha expertise (era o que faltava), mas o que eu digo desagrada porque dou um toque de realidade. Na verdade, em Portugal, as pessoas nunca estiveram muito interessadas no que eu tinha para dizer e, portanto, não vão notar muito a minha falta.
Qual é a situação dos países em geral e de Portugal em particular em termos de ciberseguranca? Existe realmente o risco de um ataque informático parar um país?
Existe. É possível a uma força bem organizada, com o financiamento, tempo e expertise suficientes, fazer danos de monta e que vão desde parar um país até danificar infra-estruturas críticas. E penso que é possível fazer isto, hoje em dia, mesmo a países que sempre levaram esta questão a sério e que têm uma estratégia e uma política de cibersegurança activa. Mesmo nesses países, ainda é possível fazer danos – e estamos a falar de uma América, de uma Holanda, de uma Inglaterra e de alguns outros países. Acerca de Portugal, só lhe posso dizer que está dez ou 15 anos atrasado em relação a esses países. Portugal ainda não concretizou a sua estratégia de cibersegurança e não tem um centro de cibersegurança completamente operacional (está agora a ser montado).
O que é um centro de cibersegurança?
O que devia ser é uma entidade que faz a supervisão estratégica e táctica dos problemas de cibersegurança com que o país se confronta e que serve para agilizar as capacidades de defesa. Quando as coisas estão a correr extremamente mal, este centro, que está em contacto permanente com o primeiro-ministro, devia ser capaz de fazer compreender ao Governo que é preciso passar para outra esfera, que é a ciberdefesa, que entra com outro músculo, com outras capacidades e com as suas alianças internacionais. Em Portugal, a ciberdefesa [sob a alçada do exército] está mais adiantada do que a cibersegurança. Mas um centro nacional de cibersegurança não pode ser um super-bunker. Na informática distribuída e segmentada de hoje em dia, seria um erro gravíssimo centralizar. No fundo, o Centro de Segurança é uma estrutura onde estão os contactos, a capacidade de acção, a capacidade de reacção imediata do ponto de vista estratégico. E que orienta vários outros centros, chamados CERT [Serviço de Resposta a Incidentes de Segurança Informática], que devem ser sectoriais e existir em todo o país.
Existem CERT em Portugal?
Há vários. O primeiro, que inspirou os outros, foi criado pela FCCN [Fundação para a Computação Científica Nacional], na altura dirigida pelo meu colega da Universidade de Lisboa, Pedro Veiga. E tem tido um papel absolutamente crucial no país, substituindo-se (lá está…) à tal estratégia e política que não existiram durante muito tempo. Mas como entretanto a FCCN foi extinta e passou para a égide da FCT, nem sequer sei como está agora a capacidade de acção do CERT.
E as armas da ciberdefesa, também são informáticas?
Sim. A cibersegurança é para quando o país está equilibrado – é uma actividade de todos os dias. Toda a gente tem de ter, todas as grandes empresas têm de ter peritos de cibersegurança e trabalhar em rede. Em tempos normais, as pessoas não desatam aos tiros, pois não? É essencialmente uma capacidade de defesa e alerta – contra vírus informáticos, por exemplo. Mas quando as coisas começam a correr mal, a ciberdefesa prevê a utilização de ciberarmas. Sei que isto pode fazer confusão, mas as ciberarmas de hoje em dia podem fazer tudo, incluindo destruir coisas. E acho que é precisa uma Convenção de Genebra das ciberarmas.
Ou seja, não é por se tratar de software que não causam danos físicos.
Exactamente. Há já uns anos, lembro-me de ter escrito um artigo no PÚBLICO sobre infra-estruturas críticas, com um parágrafo muito mansinho a explicar que o software podia fazer explodir coisas, porque senão os leitores iam achar que eu era um marciano… E esse cepticismo era mundial. Durante a década de 2000, só uma meia-dúzia de grupos de investigação no mundo previram que seria possível causar danos violentos apenas com pacotes [de dados] da Internet. Um deles foi o nosso. Entretanto, em 2010, surgiu o Stuxnet. Foi uma ciberarma [um worm] que sabemos que foi desenvolvida pelos serviços secretos americanos e israelitas – e não tenho dúvidas nenhumas, com a intervenção de investigadores de topo. É uma arma muito complexa, que se propagou na Internet, que foi andando pela rede e foi essa ciberarma que atacou as centrifugadoras de urânio iranianas e deu cabo de uma série delas. Nós já falávamos dessa possibilidade há dez anos.
Tenciona voltar para Portugal quando acabar o projecto?
Nada é impossível. Gosto muito de mar e de sol e, portanto, tudo vai depender da minha capacidade de me adaptar aqui. Mas o meu próximo prazo são cinco anos. Depois, logo penso.