Centro de Cibersegurança nunca excluiu ciberataque no dia do apagão mas aponta falta de indícios

O coordenador do CNCS garantiu esta quinta-feira que a entidade "nunca afirmou" que o apagão de 28 de abril não teve origem num ciberataque, recusando a existência de algum indício e defendendo contenção da desinformação durante a resposta inicial.

Na Comissão de Ambiente e Energia, na Assembleia da República, José Lino Alves dos Santos, frisou que a posição do Centro Nacional de Cibersegurança (CNCS) assentou sempre na ausência de evidência e não numa exclusão categórica de cenários, afirmando que a entidade "nunca afirmou que não foi um ciberataque".

O responsável explicou que, perante um evento atípico e sem sinais claros nas primeiras horas, a prioridade foi cruzar informação com operadores, parceiros internacionais e indústria, não tendo sido identificados indícios técnicos, reivindicações ou atividade preparatória que apontassem para uma origem maliciosa.

"O principal foco foi perceber a origem do problema", disse, sublinhando que, apesar da pressão mediática e da circulação de rumores sobre um eventual ciberataque, "não existe qualquer indício" que sustente essa hipótese.

O coordenador do CNCS destacou a desinformação como uma das principais ameaças durante o incidente, referindo a circulação de uma alegada notícia falsa da CNN que atribuía o apagão a um ciberataque e que gerou "muita confusão" e contactos massivos junto do centro.

Desta forma, a resposta institucional passou por um duplo circuito de comunicação: primeiro junto das comunidades técnicas e operadores críticos e, só depois, para os media.

"Precisávamos de um grau de certeza forte para nos pronunciarmos", afirmou, admitindo implicitamente a tensão entre rapidez e rigor num contexto de crise.

José Lino Alves dos Santos detalhou ainda que o CNCS ativou mecanismos de cooperação internacional, incluindo redes europeias de resposta a incidentes, e manteve contactos diretos com congéneres de Espanha e França, sendo que nenhuma destas entidades reportou indícios de ataque coordenado.

Além disso, a análise de fontes abertas e canais usados habitualmente por grupos cibercriminosos não revelou sinais preparatórios ou reivindicações associadas ao incidente, reforçando a conclusão preliminar.

No dia seguinte ao apagão, o responsável revelou que ocorreram ataques de baixo impacto contra sites da Administração Pública e do Governo, reivindicados por um grupo ativista que procurou "tirar proveito do 'hype'".

Já ao nível estrutural, o coordenador admitiu dificuldades no cumprimento das obrigações de notificação, pois apenas "meia dúzia" de entidades reportaram incidentes no próprio dia, levando o CNCS a notificar posteriormente cerca de 395 organizações, com 174 a reconhecer ocorrências enquadráveis.

O episódio expôs, segundo o responsável, desafios persistentes na maturidade do sistema, num contexto em que o aumento da "densidade digital" amplia a superfície de ataque e dificulta a proteção uniforme.

Questionado sobre a política de divulgação, José Lino Alves dos Santos defendeu uma abordagem seletiva, baseada no princípio da "necessidade de conhecer", privilegiando comunicações direcionadas a entidades afetadas em detrimento de alertas generalizados.

"Há vulnerabilidades que não faz sentido divulgar publicamente se apenas duas ou três empresas são afetadas", exemplificou.