EDP: imune à crise, mas não aos hackers

1.Como foi feito o ataque informático à EDP?

A própria EDP e as autoridades estão ainda a avaliar a forma como o ataque foi levado a cabo. Foi a 13 de abril que os hackers avançaram na darkweb (uma área da internet onde os acessos não são rastreáveis, habitualmente usada para negócios paralelos) com o anúncio do ataque e um pedido de resgate de 1580 bitcoins (€10 milhões), mas tudo indica que terão entrado nos sistemas informáticos da EDP vários dias antes. Socorreram-se de um ransomware (um vírus) que bloqueou parte da rede da empresa e que reclama o pagamento de um resgate para libertar os ficheiros. O vírus, denominado Ragnar Locker, terá já sido usado em ataques a outras empresas. Desconhece-se ainda o país de onde partiu e os autores, que na darkweb conseguem ocultar a sua identidade. Os autores do ataque publicaram numa página criada para o efeito um conjunto de capturas de ecrã para demonstrar as áreas da rede da EDP a que acederam. Na mesma página também publicaram alguns ficheiros de texto listando milhões de ficheiros e pastas do grupo EDP, para tentarem forçar a empresa a pagar o resgate. Deram um prazo que expira este sábado e uma referência para uma carteira virtual onde as bitcoins devem ser depositadas. Caso contrário, ameaçam tornar públicos os documentos obtidos no ataque.

2.Que informação levaram os piratas?

Os hackers garantem estar na posse de mais de 10 terabytes (TB) de informação da EDP. Mas a empresa e as autoridades não podem para já saber se isto é verdade ou não. De facto, alguns dos ficheiros de texto listando os diretórios e pastas visualizadas no ataque mostram elevados volumes de informação: só um diretório da EDP Soluções Comerciais tem mais de 10 TB de informação (em 4,6 milhões de ficheiros), aí se incluindo listas relativas a clientes que a EDP classifica como “ouro” e “prata”, abrangendo empresas, embaixadas, partidos políticos e particulares (o Expresso identificou vários banqueiros, empresários e gestores). Os documentos não foram publicados, mas a listagem na darkweb já identificava centenas de clientes e os respetivos números de identificação fiscal e, em alguns casos, as moradas. Um outro ficheiro lista um diretório (com 2 milhões de ficheiros e 1,9 TB) relativo à holding EDP, com informação profissional e pessoal de vários gestores do grupo, mostrando a localização de documentos, como os passaportes e cartões de cidadão dos administradores, bem como atas de reuniões do Conselho Geral e de Supervisão e ainda notas sobre reuniões mantidas entre a gestão de topo da EDP e o Governo. Não é para já claro se os piratas informáticos descarregaram todos esses documentos ou apenas acederam à respetiva localização na rede (muitos ficheiros podem estar protegidos por senhas ou níveis de acesso que os piratas podem não ter conseguido furar).

3.Que proteções tinha a EDP e que medidas tomou?

Esta quinta-feira, após a assembleia-geral de acionistas, o presidente executivo da EDP, António Mexia, sublinhou a solidez financeira da empresa e a sua capacidade para manter os investimentos previstos e o pagamento de dividendos. O gestor indicou também que recentemente o grupo investiu €50 milhões em segurança informática. No seu relatório e contas anual, a empresa já abordava este tema, reconhecendo que, como qualquer outra, está sujeita a riscos. Para a sua mitigação foram estabelecidos “tempos de indisponibilidade máximos admissíveis para cada uma das principais famílias de aplicações, tendo sido dimensionados e implementados sistemas redundantes de disaster recovery de forma a corresponder às especificações do negócio (particularmente exigentes para sistemas críticos associados, por exemplo, à execução de transações financeiras, comunicação e operação de redes e trading de energia)”. “Adicionalmente, no âmbito da segurança cibernética, tem vindo a ser recentemente desenvolvido um conjunto de medidas de mitigação”, acrescenta a empresa. Entre elas, a criação de um Security Operations Center (SOC) dedicado à monitorização contínua da segurança das infraestruturas tecnológicas bem como “a criação de um cyber range para simular e testar a reação dos colaboradores em caso de ciberataque”. A empresa diz ainda que contratou um seguro para “risco cyber” e que realizou formações e outras ações de sensibilização sobre os principais princípios de segurança de informação.

4.Que impacto pode ter este ataque na empresa?

Os hackers exigem 1580 bitcoins (€10 milhões) para libertar os ficheiros que dizem ter tomado. Além deste potencial impacto, caso a empresa aceda a pagar (sem ter a certeza de que a informação não vá parar a terceiros), a EDP enfrenta um risco reputacional com um impacto intangível no imediato, pela forma como parte importante e relevante da sua documentação (incluindo dados de clientes e fornecedores) ficou acessível a terceiros. Segundo um estudo da Kaspersky (comercializadora de antivírus), 29% das empresas inquiridas revelaram ter tido problemas em atrair novos clientes após uma violação de dados. Mas não é claro para já se a vulnerabilidade da EDP neste ataque será suficiente para afastar clientes, até porque a empresa continua a ser em Portugal uma das que têm os mais baixos índices de reclamações, segundo dados publicados esta semana pelo regulador da energia. Para já, a empresa deverá prosseguir a avaliação dos danos do ataque e, se conseguir identificar a origem do mesmo, adotar medidas adicionais para proteger melhor algumas das suas áreas de negócio e tornar a sua segurança informática mais robusta (o que exigirá investimento adicional).