No dia 10 de outubro, a Agência para a Modernização Administrativa (AMA), um instituto público tutelado pelo Governo, admitiu publicamente ter sido vítima de um “ataque informático”.

Nesse primeiro comunicado, em que assumiu “uma disrupção na sua rede”, a AMA também disse que, “preventivamente”, “diversas plataformas e serviços digitais” tinham ficado indisponíveis.

Sobre a resposta ao incidente, a AMA disse que “foram ativados de imediato os protocolos de segurança para responder a este tipo de ataques”, com vista a “restabelecer a normalidade de todas as operações”.

A AMA também envolveu as “autoridades nacionais competentes em matéria de cibercrime”, presumivelmente a Polícia Judiciária e o Centro Nacional de Cibersegurança (CNCS).

No mesmo dia, o CNCS informou também, noutro comunicado, ter sido “notificado” do ciberataque à AMA. Desde então, já divulgou vários pontos de situação sobre o mesmo.

Sabemos que a Agência para a Modernização Administrativa (AMA) foi afetada por um ataque de ransomware, também conhecido por “sequestro de dados”.

Essa informação foi veiculada pelo Centro Nacional de Cibersegurança (CNCS) logo no dia 10 de outubro.

Num típico ataque de ransomware, os hackers conseguem obter acesso a um sistema, do qual vão extraindo informação ao longo do tempo.

No momento de concretizar a burla, os atacantes instalam um programa malicioso que bloqueia o acesso aos mesmos. De seguida, exigem aos responsáveis por esses dados o pagamento de um resgate em troca da chave para restabelecer o acesso.

Normalmente, o pagamento tem de ser feito em criptomoedas, como a bitcoin, para dificultar o rastreio pelas autoridades. Mas não há qualquer garantia de que os burlões cumpram a sua palavra e restabeleçam o acesso, sendo um dos motivos pelos quais as autoridades desaconselham sempre que se ceda a esse tipo de exigências.

Os ciberataques de ransomware podem ainda variar de outras formas. Alguns são tornados públicos pelos próprios hackers para pressionar e humilhar a sua vítima, causando um enorme dano reputacional, entre uma miríade de outros problemas. Outros permanecem em segredo e é exigida uma quantia avultada para que tal assim continue.

Contudo, não se conhecem ao certo as circunstâncias do ataque que vitimou a AMA, nem quais os sistemas em concreto que foram afetados pelo alegado crime. E é pouco provável que as autoridades avancem muitos mais detalhes acerca disso, incluindo como ocorreu, quem o protagonizou e com que intenções.

Importa notar que o primeiro comunicado da AMA aponta que a indisponibilidade dos serviços é uma medida preventiva, talvez enquanto os serviços avaliam o grau de acesso obtido pelos atacantes e que informação terá sido ou não roubada, mas também para bloquear o acesso aos hackers, caso estes, eventualmente, ainda tenham algum nível de acesso ao sistema.

Entretanto, uma página criada pela AMA para indicar os serviços já disponíveis, consultada no dia 15 de outubro, referia-se ao ataque informático como tendo “ocorrido a 10 de outubro”. Contraintuitivamente, apesar de se intitular “indisponibilidade” e de o endereço ser https://indisponibilidade.ama.gov.pt, o portal mostra os serviços que já estão disponíveis.

No dia 11 de outubro, um segundo comunicado do Centro Nacional de Cibersegurança (CNCS) indicou que, “até ao momento”, ainda não tinha sido “possível identificar o método usado pelo agente de ameaça”.

Como já referido, a Agência para a Modernização Administrativa (AMA) tem uma página onde indica os serviços já disponíveis, mas não disponibiliza informação centralizada sobre quais ainda se mantêm inacessíveis.

Um dos que ainda estavam inoperacionais na terça-feira era a aplicação iD.GOV.PT, que permite aos cidadãos apresentarem vários documentos no telemóvel com a mesma validade do documento físico, incluindo o Cartão de Cidadão.

Também não foi possível realizar a autenticação no Gov.pt usando a Chave Móvel Digital (CMD) nem aceder à aplicação Autenticação.Gov, que permite gerar códigos de utilização única para aceder aos serviços públicos na internet.

Entretanto, a AMA avançou que a autenticação com CMD e Cartão de Cidadão, assim como a assinatura digital com Cartão de Cidadão e as notificações eletrónicas já foram repostas.

Esse trabalho tem ocorrido de forma gradual. Num comunicado no dia 11 de outubro, um dia após ter dado conta do ciberataque, a AMA deu conta do “restabelecimento progressivo do atendimento nas Lojas do Cidadão, bem como o acesso a outras plataformas e serviços digitais”.

Entretanto, as ondas de choque do ciberataque também estão a provocar efeitos indiretos. Segundo avançou o Jornal de Negócios na terça-feira, citando o bastonário da Ordem dos Notários, Jorge Batista da Silva, o caso está a levar ao adiamento de muitas escrituras públicas. Fontes do setor falam num número da ordem dos milhares.

De acordo com o jornal, apesar de os serviços estarem gradualmente a voltar ao ativo, continua inoperacional a função que permite a emissão de referências para o pagamento por Multibanco.

Quanto ao portal Gov.pt, o Ministério liderado por Margarida Balseiro Lopes avançou a previsão de que esteja “totalmente recuperado” até ao final da próxima quinta-feira.

Em teoria, sim — geralmente, um ataque de ransomware como o que vitimou a Agência para a Modernização Administrativa (AMA) envolve alguma fuga de dados e o bloqueio de sistemas. Mas, na prática, as autoridades têm passado a mensagem de que os dados dos cidadãos permanecem seguros.

O próprio Governo está suficientemente confiante ao ponto de ter emitido um comunicado nesta terça-feira garantindo que não surgiram sinais de que tenha ocorrido uma fuga de dados.

Nessa nota, o Ministério da Juventude e Modernização, que tutela a Agência para a Modernização Administrativa (AMA), afirma que “até ao momento não existe evidência de exfiltração” de dados neste ciberataque.

Nesse mesmo dia, o Centro Nacional de Cibersegurança (CNCS) indicou que “o processo de análise forense e resolução deste incidente decorre a bom ritmo”.

Pelo sim, pelo não, o jornalista do ECO fez uma chamada para a linha de apoio da AMA (210 489 010) na terça-feira com o intuito de saber até que ponto os seus dados pessoais podiam ter sido comprometidos.

O operador transmitiu uma mensagem de tranquilidade e disse não ser necessário alterar nenhuma palavra-passe devido a este incidente. Mas a AMA tem vindo a alertar para a possibilidade de “existirem eventuais contactos” com os cidadãos que “devem ser ignorados”.

“Ressalva-se que a AMA não vai solicitar, por qualquer canal, informações pessoais para recuperação de credenciais da Chave Móvel Digital (CMD) ou para aceder a serviços. Esses eventuais contactos devem ser ignorados pelo cidadão”, lê-se na página lançada pela agência após este incidente.

No rescaldo do ciberataque, surgiram rumores sobre o alegado surgimento na internet de uma lista com milhares de credenciais de acesso ao Portal das Finanças. Naturalmente, alguns cidadãos especularam nas redes sociais se tal poderia estar relacionado com o ciberataque à Agência para a Modernização Administrativa (AMA) ou sinalizar um qualquer outro incidente envolvendo a Autoridade Tributária (AT).

Segundo as entidades oficiais, uma coisa não tem nada a ver com a outra. Contactado pelo ECO sobre a existência dessa lista, o Ministério das Finanças, que tutela a AT, respondeu: “Segundo a informação de que dispomos, os dados constantes da referida lista não resultam de qualquer acesso ilegítimo aos sistemas da AT, mas antes da exfiltração de dados em sistemas de terceiros ou através do comprometimento dos equipamentos dos respetivos utilizadores.”

O comunicado do Centro Nacional de Cibersegurança (CNCS) do dia 15 de outubro também menciona a inexistência de uma ligação entre essa fuga de dados e o problema da AMA.

“Relativamente a um leak [fuga de informação] da AT, que tem sido mencionado publicamente, o mesmo não está relacionado com o incidente que afeta as infraestruturas da AMA. O leak em causa, constituído por grupos de credenciais expostas, resulta de atividade criminosa com recurso a infostealers [um tipo de código malicioso desenvolvido para sub-repticiamente recolher dados sensíveis de um sistema] e instrumentos semelhantes”, explicou o CNCS.

Tanto o Governo como o CNCS disseram que, quando a AT toma conhecimento da existência desses dados, força os utilizadores com credenciais expostas a renovarem as mesmas, alterando as respetivas palavras-passe.

Segundo noticiou o Expresso na terça-feira, em causa está uma lista com 15 mil entradas, incluindo cerca de 9.000 que ainda estariam válidas à data de segunda-feira, 14 de outubro.

Em suma, apesar de as entidades oficiais não negarem a existência dessa lista, e de se saber que pelo menos parte da informação é verídica, ela terá sido compilada com recurso a dados roubados aos próprios utilizadores (por exemplo, através de programas vulgarmente conhecidos por “vírus informáticos”) e não a uma invasão da base de dados central da AT.

Criada em 2007, a Agência para a Modernização Administrativa (AMA) apresenta-se como o instituto público “responsável pela promoção e desenvolvimento da modernização administrativa” no país.

Este organismo é tutelado pelo Ministério da Juventude e da Modernização, encabeçado pela ministra Margarida Balseiro Lopes, e tem uma liderança muito recente. A sua presidente, Sofia Mota, está em funções desde 16 de maio de 2024, tendo sido escolhida já pela atual tutela.

Até chegar à AMA, Sofia Mota era diretora do TicAPP – Centro de Competências Digitais da Administração Pública, entidade que opera sob a chancela da AMA.

Antes, o cargo de presidente da AMA era ocupado por João Dias desde janeiro de 2023, que foi “apanhado” na vaga de exonerações desencadeadas pelo novo Governo da Aliança Democrática (PSD/CDS).

Foi também uma das exonerações mais polémicas, com o próprio a admitir contestar o despedimento em tribunal.

Na altura, o Governo justificou a exoneração de João Dias com o “incumprimento” de metas do Plano de Recuperação e Resiliência (PRR) e “gestão danosa” e acusou a anterior gestão da AMA de terem sido “incumpridos diversos compromissos e responsabilidades críticas à operação” da agência.

Por seu turno, João Dias acusou a ministra Margarida Balseiro Lopes de nunca lhe ter dado a “oportunidade de contraditório” e de só ter tido com a ministra “duas reuniões” de “cinco minutos cada”.

“Pondero tomar todas as medidas necessárias para defender a minha honra e o meu bom nome enquanto gestor público”, afirmou o responsável ao ECO.