O caso agora revelado pela PGR, envolvendo um ex-adjunto do Ministério da Justiça suspeito de centenas de crimes de pornografia de menores praticados a partir de um computador do próprio Ministério, não é apenas um escândalo criminal. É a demonstração objetiva de uma falha estrutural grave do Estado português em matéria de cibersegurança básica.
1. Factos que não podem ser ignorados
a. O acesso a pornografia infantil terá ocorrido a partir de um computador profissional do Ministério da Justiça.
b. Esse acesso foi continuado e não pontual.
c. Não houve bloqueio automático de conteúdos ilegais.
d. Não houve alerta interno aos serviços de IT ou de segurança.
e. O caso só avançou após sinalização de uma entidade estrangeira, a Homeland Security dos EUA.
f. O endereço IP identificado era do próprio Ministério da Justiça.
Estes factos indicam que a rede do Estado não tem mecanismos mínimos de controlo de conteúdos ilegais.
2. O que isto revela do ponto de vista técnico
a. Não existe proxy institucional com filtragem obrigatória de categorias ilegais.
b. Não existe DNS filtering ativo contra pornografia e pedofilia.
c. Não existem alertas automáticos para tentativas de acesso a conteúdos criminosos.
d. Não existe monitorização eficaz de tráfego em redes governamentais.
e. O acesso à Internet parece ser tratado como se fosse uma rede doméstica, não uma rede de Estado.
Em 2025, isto não é uma falha avançada. É ausência do básico.
3. Um padrão já conhecido: o caso Frederico Pinheiro
O caso ocorrido em 2024 já tinha exposto más práticas graves, entre as quais:
a. Equipamentos do Estado sem gestão centralizada.
b. Ausência de MDM em telemóveis e laptops governamentais.
c. Comunicação de assuntos sensíveis através de aplicações externas sob controlo estrangeiro.
d. Inexistência de procedimentos formais de desligamento de utilizadores que abandonam funções.
e. Laptops em modo standalone, fora do domínio do Estado.
f. Utilizadores com permissões de administrador local.
g. Discos não encriptados em equipamentos com informação sensível.
h. Portas USB abertas a dispositivos externos.
i. Possibilidade de logon offline sem VPN.
j. Ausência de mecanismos de remote wipe, lock ou geolocalização.
Estas fragilidades foram identificadas, explicadas e documentadas. Nada indica que tenham sido corrigidas.
4. O que é hoje evidente
a. As recomendações técnicas feitas pela CpC em 2024 não foram implementadas.
b. O Estado continua sem controlo efetivo sobre os seus próprios sistemas.
c. A deteção de crimes graves depende de alertas externos.
d. A soberania digital do Governo é, na prática, inexistente.
e. O risco não é apenas criminal, mas também político, estratégico e de segurança nacional.
5. Propostas concretas ao Governo da República
a. Implementar imediatamente proxy obrigatório com filtragem de conteúdos em toda a Administração Pública.
b. Bloquear por defeito pornografia, pedofilia, malware e categorias ilegais, sem exceções hierárquicas com alertas automáticos hierárquicos para eventual abertura de processos no Ministério Público.
c. Adotar DNS filtering com listas negras internacionais atualizadas.
d. Tornar obrigatório o uso de MDM em todos os dispositivos do Estado.
e. Impor encriptação de disco como requisito mínimo em qualquer equipamento governamental.
f. Eliminar permissões de administrador local para utilizadores comuns.
g. Bloquear portas USB e armazenamento externo por defeito.
h. Criar e aplicar procedimentos formais de onboarding e offboarding de utilizadores.
i. Proibir comunicações de Estado em plataformas externas fora do controlo institucional.
j. Criar auditorias independentes e regulares à cibersegurança do Governo.
k. Definir responsabilidades políticas e administrativas quando recomendações técnicas básicas são ignoradas.
Nada disto é inovador. É o que sempre se fez em organizações sérias. Continuar a adiar estas medidas é aceitar que novos casos acontecerão. A diferença é que da próxima vez o alerta pode não vir de fora.
