Suspeitas de ‘queima de arquivo’ com ataque cibernético

Sonangol, parcialmente operacional

Crime cibernético. Petrolífera foi alvo de um ataque de ‘hackers’ no início do mês. Sistemas informático e de comunicação foram invadidos e extraídos diversos documentos. Fontes na empresa apontam clima de suspeições, enquanto especialista crítica fragilidades na companhia.

Sonangol, parcialmente operacional

Após duas semanas paralisadas devido a uma invasão de ‘hackers’, os sistemas informáticos e de comunicação da petrolífera Sonangol voltaram ao activo a semana passada, embora de forma parcial.

“As pastas de rede associadas aos trabalhos dos funcionários já estão visíveis”, garantiu fonte da petrolífera ao VALOR, acrescentando, entretanto, que “todas as informações que estavam na memória de todos os PC do grupo desapareceram”, o que leva a um clima de “fortes suspeições no edifício da empresa”, com receios de “queima de arquivo à mistura”.

Segundo vários técnicos seniores ouvidos pelo VALOR, os receios entre os trabalhadores da Sonangol são associados às mexidas que têm ocorrido a nível da administração da empresa e que “levam a crer que muito boa gente teria informações sensíveis a esconder”, como precisa um funcionário sénior.

No entanto, a petrolífera não confirma nem desmente, oficialmente, a informação sobre a retoma parcial da actividade, prometendo esclarecimentos “para breve”. Até ao momento, desconhecem-se os danos da paralisação iniciada a 5 de Junho. Os ‘hackers’ terão acedido a mais de sete mil computadores da companhia, dos quais teriam extraído informação privilegiada.

“NÃO HÁ SURPRESA”

Padoca Calado, especialista em crimes cibernéticos, explica que a invasão à Sonangol “não constitui surpresa”, mas entende que “surpreendente foi o tempo de paralisação”, e que isso mostra não existirem planos de recuperação, de contingência e de continuidade eficazes. “Temos de nos questionar como é que chegamos a essa situação e como é que a empresa está a laborar e que informação poderá estar a perder em virtude deste ataque. Não só a que já existia e, entretanto, perdeu, mas a que não estará a processar desde a falha nos sistemas”, esclarece.

Uma fonte citada pelo ‘Novo Jornal’ admite que o ataque terá deixado a gestão da empresa “desorientada” e que poderá “resultar em prejuízos financeiros e danos reputacionais”.

Tudo desligado

Devido ao ataque e para a protecção dos activos críticos, a Direcção de Tecnologias de Informação (DTI) optou por fazer ‘shutdown’ (desligar) dos sistemas informáticos e da rede de comunicações.

Padoca Calado explica que o procedimento é “normal” já que, “num primeiro momento, há que isolar os sistemas infectados dos restantes, para impedir que o vírus se espalhe”. “Em casos extremos, pode justificar-se o isolamento de todos os equipamentos ligados à rede informática. Por exemplo, se não se conseguiu identificar a fonte da infecção ou se já estiverem muitos recursos comprometidos.” Mas essa medida, explica, tem outras consequências como a perda de arquivos. “Isto significa que as cópias dos ficheiros têm de estar isoladas fisicamente dos outros sistemas para que não seja possível a sua alteração, mas é preciso que a empresa tenha uma gestão de cópias de segurança robusta.”

Vírus moderno

O especialista acredita que se trata de ‘cripto-ransomware’, um vírus com “um impacto muito negativo nos sistemas das empresas porque encripta ficheiros, impedindo o acesso”. E acredita que ataques semelhantes, como o que a Sonangol sofreu, podem ser prevenidos, entre outras, através de uma política de detecção pró-activa de ameaças, utilização ‘software’ de defesa, manutenção dos sistemas operativos actualizados. “Os ataques podem ter origem externa, mas também podem ser perpetrados por funcionários ao serviço de terceiros ou descontentes, por alguma razão, com a empresa”, alerta. E considera também a possibilidade de os funcionários facilitarem o ataque por desconhecimento ou negligência, com a utilização de palavras-passe fracas ou abrindo ‘links’ ou ficheiros maliciosos que recebem através de mensagens de e-mail. Por essa razão, defende ser “fundamental que as empresas proporcionem aos utilizadores uma formação que lhes proporcione conhecimentos para evitar riscos”.

A Sonangol não foi a primeira petrolífera alvo de um ciber-ataque. Em Junho de 2017, a principal produtora de petróleo da Rússia, a Rosneft, também sofreu um ataque em larga escala. Ao contrário do sucedido na Sonangol, a Rosneft teve os sistemas reactivados horas depois. No caso das duas petrolíferas, há duas coincidências: o mês em que aconteceu e o vírus utilizado pelos invasores. Trata-se do Ransomware, um vírus maligno e moderno que bloqueia os arquivos de um computador até ao pagamento de um resgate financeiro. O mesmo vírus, que em 2017, colocou em ‘xeque’ empresas, bancos e instituições na Ucrânia, Rússia, Dinamarca, Espanha, Reino Unido, Índia, Suíça, Itália, Polónia, Alemanha e EUA.

Um risco global

Em Portugal, o estudo ‘A Visão das Empresas Portuguesas sobre os Riscos 2019’, divulgado em Abril, pela corretora de seguros Marsh, mostra que 66% das empresas acreditam que o principal risco que o mundo enfrenta este ano são os ataques cibernéticos.

Em Angola, desconhecem-se a existência de estudos semelhantes, pelo que Padoca Calado lamenta que as instituições não estejam preparadas para travar a invasão cibernética.