A falta de consciência para a CiberSegurança do IMT

Cada vez mais se chega à conclusão de que o pilar fundamental da segurança da informação é a consciencialização, só pessoas informadas é que se podem efectivamente proteger de ameaças no ciberespaço.

Ora um papel fundamental que as entidades governamentais devem ter, é  potenciar ao máximo consciencialização dos cidadãos, foi com esse objectivo que surgiu a Resolução do Conselho de Ministros n.º 34/2016, que tem como sumário o seguinte:

Determina que todos os órgãos, serviços e estruturas da administração direta do Estado devem registar o seu sítio na Internet sob o domínio classificador .gov.pt., reservando-se a possibilidade da administração indireta do Estado, a título facultativo, proceder ao mesmo registo.

Este documento pode ser consultado no seguinte endereço: https://dre.pt/home/-/dre/74708573/details/maximized

Resumindo os sites governamentais devem ter sempre a terminação gov.pt

Qual não é o espanto quando o IMT  lança o seu novo site sobre transporte individual e remunerado de passageiros em veículos descaracterizados ( TVDE ), ou seja UBER e afins.

E o espanto vem do facto que não usa um subdomínio de imtt.pt nem de gov.pt mas sim de webnode.pt como podemos ver no endereço https://imt-tvde.webnode.pt/ e na seguinte imagem

 

 

Ou seja, o IMT decidiu que era boa ideia levar as pessoas a visitar um site sem nenhuma ligação oficial à instituição, usando um endereço que nada tem a ver com o IMT, nem com a terminação gov.pt.

Inclusive existe uma zona de formulários como se pode ver aqui:

 

 

E o que é a webnode ?

Segundo a wikipedia temos que:

Webnode é um sistema online de criação e edição de Websites desenvolvido pela Westcom, sro, uma empresa sediada em Brno, República Checa. Ela pode ser comparada com outras plataformas online como Weebly.

Vamos então ver onde está alojado este site do IMT

Na Republica Checa !

 

Podemos perguntar o que separa este site de um site de Phishing ? E a resposta é: NADA !

 

Não existe nada neste site que indique que é legitimo, e é aqui que existe o perigo desta situação, estamos a dizer às pessoas que é normal que um site governamental esteja alojado na república checa com um domínio qualquer.

A partir deste momento como vamos poder educar as pessoas?

Não existe ninguém a pensar nestas coisas quando lança estas plataformas ?

Formar, educar e consciencializar  são as bases para uma sociedade segura no ciberespaço, é dever das organizações fomentar estes três pilares.

About the Author:

CISO | Ethical Hacker | Security Evangelist | InfoSec Researcher | Speaker | Red Team Leader “Não é preciso ter olhos abertos para ver o sol, nem é preciso ter ouvidos afiados para ouvir o trovão. Para ser vitorioso você precisa ver o que não está visível.”

Deixe o seu comentário

%d bloggers like this: