O concurso público internacional em curso,
no valor de 10,5 milhões de euros, para a criação da escola de ciberdefesa no
Estado-Maior-General das Forças Armadas (EMGFA) exige aos candidatos experiência comprovada em operações de ciberguerra e
a revelação de duas entidades governamentais a quem prestaram serviços,
sendo este o principal motivo a justificar que só duas empresas – nenhuma delas conhecida no setor por
possuir tal qualificação – tenham apresentado
propostas de candidatura a este projeto, a executar em sete anos.
O caderno de encargos a que
acederam, pelo menos 11 empresas,
que, por ser classificado com grau
de “confidencial”, tiveram de o levantar no Gabinete Nacional de Segurança (GNS), estabelece como um dos
requisitos, para serem candidatos a prestarem “Serviços de Formação e Consultoria em Ciberdefesa”, a
demonstração de que foram consultores, nos últimos cinco anos, no “suporte,
apoio e orientação para a condução de operações militares no ciberespaço a,
pelo menos, duas entidades governamentais”. Além disso, impõe-se que tal
demonstração contenha, no mínimo, informação
das caraterísticas principais dos serviços prestados, das suas componentes, dos
objetivos principais, da data do início e do tempo do projeto.
Foi, pois,
com grande estupefação que
as empresas, entre as quais alguns gigantes mundiais, leram o caderno de
encargos e não se apresentaram a concurso. E, face a esta originalidade, só
duas empresas apresentaram propostas e uma terceira concorreu fora do prazo.
Um perito em ciberdefesa, envolvido,
inicialmente, na criação da escola – prioritária pelo Ministério da Defesa
Nacional (MDN), está há quatro anos a ser preparada, mas, com a mudança do
CEMGFA, tudo voltou à estaca zero – considera aberrante “exigir que as empresas
revelem o que fizeram para os seus clientes”, o que é “uma quebra total do sigilo a que
estão obrigadas”. E, se o objetivo era descredibilizar o concurso ou deixá-lo deserto, foi atingido.
As desistentes ficaram apreensivas com
a possibilidade de o governo ter permitido isto e perguntam se empresas
portuguesas ou o EMGFFA divulgariam operações em que participem em contexto
idêntico.
Instado a clarificar
este requisito específico, o porta-voz
do EMGFA escudou-se com a classificação do concurso (“concurso
público limitado por prévia qualificação”). Assim, a existência deste requisito
no procedimento concursal deve ser apenas do conhecimento das empresas
envolvidas. E, sobre o facto de só haver propostas
de duas firmas, sustenta que, por estar em curso a análise das
candidaturas, que terminará com a elaboração do relatório preliminar da fase de
qualificação, “não é possível
responder, na plenitude e com assertividade”.
Entretanto, sabe-se que uma das empresas que apresentou proposta é uma
das maiores operadoras nacionais de telecomunicações, em relação à qual
se desconhece experiência em ciberguerra. A outra, uma corporação, apresenta-se no seu site como líder do mercado tecnológico, em Portugal, na área da cibersegurança
e refere ter estado envolvida como patrocinadora, pelo menos, num exercício de ciberguerra
organizado pelo Exército, em 2021, sendo chefe
de Estado-Maior do Exército (CEME) o general José Nunes da Fonseca, agora chefe de Estado-Maior-General das Forças Armadas (CEMGFA).
Após a
tomada de posse do novo cargo (a 1 de março), o CEMGFA decidiu abrir concurso
público internacional, obrigando a voltar à estaca zero o trabalho para a
construção desta capacidade que vinha sendo desenvolvido pelo seu antecessor
Almirante Silva Ribeiro. Esta medida surpreendeu as quatro empresas que foram chamadas pela
equipa do anterior CEMGFA e que aguardavam, desde fevereiro último, o convite
para apresentarem propostas, depois de algumas terem passado os últimos três
anos envolvidas no projeto. Tal envolvimento terá sido levado ao mínimo detalhe
de confiança entre o EMGFA e as empresas (uma americana, duas israelitas e uma
de Singapura, todas com credenciação para tratar informação classificada) ao
ponto de terem sido preparados programas para os cursos. Nenhuma apresentou
propostas, agora.
Interpelado
sobre se o patrocínio ao Exército da corporação candidata não suscitará dúvidas de favorecimento ou
conflito de interesses, se for a escolhida, o porta-voz do EMGFA assegurou que tais patrocínios não envolvem quantias
monetárias, sendo consubstanciados, geralmente, pela disponibilização de
prémios físicos aos participantes, no contexto do exercício, ou pela
disponibilização de infraestruturas para apoio. E adiantou que o exercício anual do Exército conexo com a
ciberdefesa tem a designação de Ciber Perseu, procurando-se, com ele, contribuir para a
promoção do desenvolvimento das capacidades nacionais de ciberdefesa. O
exercício tem contado com a participação das estruturas de Ciberdefesa do
EMGFA, dos ramos das Forças Armadas, de delegações militares de países amigos e
aliados, do Centro de Nacional de Cibersegurança e, por vezes, com o patrocínio
de empresas da área.
A dita empresa (a corporação), segundo o
portal dos contratos públicos, tem 849
contratos com o Estado, no valor de 57,3 milhões de euros. Com o EMGFA assinou oito, desde 2016,
no valor de cerca de 400 mil euros,
dois deles, de cerca de 170 mil, por concurso público, já depois da tomada de
posse de Nunes da Fonseca, e um deles, no valor de 151 mil euros (o mais
elevado de todos), para fazer, em 30 dias, um “licenciamento checkpoint”, que tinha
custado, em 2022, pouco mais de 90 mil euros. Também o Estado-Maior do Exército (EME) fez 17
contratos com esta empresa. Destes, 13 foram no mandato de Nunes da
Fonseca enquanto CEME (19 de outubro de 2018 a 29 de fevereiro de 2023). Ainda,
a 29 de agosto, foi registado,
no portal, um contrato entre esta entidade e o Exército, no valor de 15 mil
euros – incluído o imposto sobre o valor acrescentado (IVA) –, para a expansão
da rede de dados do ramo. E, a 18
de agosto, o Exército tinha registado outro contrato, de cerca de 10 mil
euros, para a instalação do “Sistema Integrado de Controlo de Acessos e
Videovigilância do Exército”. A empresa tem, ainda, diversos contratos com o MDN,
com a Marinha e com a Força Aérea.
Além do
requisito específico já referido, houve outros
fatores que podem ter contribuído para afastar concorrentes, sobretudo
estrangeiros, apesar de se tratar de concurso público internacional. Por
exemplo, a exigência de
certificado de qualidade de saúde e segurança no trabalho emitido pelo Instituto
Português de Acreditação e a prova de capacidade financeira através
de um banco português, garantindo ao candidato uma linha de crédito de 4,5 milhões de euros que o habilite
a sacar, para efeitos contratuais, os referidos meios financeiros.
Estes
quesitos tinham de ser conseguidos
em cerca de seis semanas (o concurso foi aberto em 30 de junho e o prazo
de entrega de propostas foi, primeiro, a 6 de agosto, em plena Jornada Mundial
da Juventude e visita do Papa a Portugal, com o país a meio gás) e, depois,
prorrogado para 22, tornando impossível
o cumprimento. Por isso, não surpreende que das 11, nove tenham
desistido.
Em despacho
de agosto de 2022, a ministra da
Defesa Nacional, Helena Carreiras, autorizou a despesa de 11,5 milhões de euros (+IVA) até
2030, para este plano, valor a que veio a acrescentar mais um milhão, para a
construção/adaptação das infraestruturas onde será construída a escola de
ciberdefesa, pois considera imperativo
a qualificação dos recursos
humanos afetos à ciberdefesa nacional, “garantindo a capacidade de
realizar todo o espetro de operações militares no, e através do, ciberespaço de
interesse nacional, assegurando a sua defesa e a salvaguarda da soberania
nacional”.
Poucas
situações poderiam impulsionar mais a criação de uma capacidade de ciberdefesa
que ser alvo de um ataque cibernético com repercussões internacionais. Mas,
apesar dos sinais de alerta de
há um ano, quando o MDN e o EMGFA foram alvo de graves ciberataques (pouco
antes do despacho da ministra), o processo ensarilhou-se e não se prevê data para a sua concretização.
O gabinete da ministra, em relação às
dúvidas sobre o caderno de encargos para a aquisição de serviços de consultoria,
remete para o EMGFA todas as questões
conexas com o concurso. Porém, salienta, que “o governo reforçou significativamente o
investimento na capacidade de Ciberdefesa, tendo aumentado em 39%, num total de
mais de 70 milhões de euros, as verbas para esse efeito na Lei de
Programação Militar (LPM) recentemente publicada”. E, quanto ao treino, além
da “formação de base,
contratualizada com o Instituto
Politécnico de Beja”, confirma que a “formação avançada”, a que se destina o concurso, visa “capacitar os recursos humanos com as
perícias técnicas necessárias ao desenvolvimento sustentado e consolidado da
capacidade para conduzir operações militares no ciberespaço”. Nada
refere sobre os requisitos exigidos, nem sobre o facto de só duas empresas
terem apresentado propostas, nem se pronuncia sobre o facto de uma delas ter
patrocinado anteriormente o Exército.
Os atrasos
são consideráveis e, em meu entender, condicionados às ambições de protagonismo
quer do Exército, quer do MDN, a que se alia o EMGFA (como verifiquei em tempos),
bem como às óticas das diversas personalidades que lideram o projeto. Não
obstante, é de referir que a edificação da capacidade de Ciberdefesa vem sendo
realizada através de várias medidas complementares, nomeadamente através da
aprovação da Estratégia Nacional de Ciberdefesa (outubro de 2022), da criação
da Cyber Academia and Innovation Hub (maio de 2023), da aquisição, da
manutenção e da atualização de plataformas e equipamentos, da implementação de doutrina
militar conjunta para as operações no ciberespaço, do treino, ou da ligação ao
sistema científico e tecnológico nacional.
A formação é
dos principais vetores e, nesse campo, está em curso desde 2022 formação de
base, contratualizado com o Instituto Politécnico de Beja, abrangendo mais de
meia centena de militares, entre os módulos realizados e os planeados para este
ano. E a formação avançada é outra componente, visando capacitar os recursos
humanos com as perícias técnicas necessárias ao desenvolvimento sustentado e
consolidado da capacidade para conduzir operações militares no ciberespaço.
Nesse sentido, a tutela autorizou a realização da despesa necessária à
contratação de serviços de formação e consultoria especializados para
2022-2030.
E, além do
previsto na LPM, a edificação da capacidade de Ciberdefesa nas Forças Armadas
traduz-se, ainda, segundo o MDN, na implementação do Plano de Reforço do
Comando de Operações no Ciberespaço e do Plano de Reforço dos Ramos; na edificação
de capacidades do Centro de Ciberdefesa e dos Computer Incident Response
Capability dos Ramos, com a aquisição, manutenção e atualização de plataformas
e equipamentos; na harmonização dos sistemas de proteção periféricas das redes
das Forças Armadas e da Defesa e a harmonização das soluções tecnológicas das
redes da Defesa Nacional; no treino permanente das equipas, com participação em
exercícios internacionais, garantindo a atualização e os esforços cooperativos
necessários e incluindo a componente ciber em todos os exercícios das Forças
Armadas; e na ligação ao sistema científico nacional, pela celebração de
parcerias para estágios e para exercícios e investigação.
O processo
de criação da escola de ciberdefesa, cujo local de funcionamento estava
previsto para a Academia Militar, já com salas equipadas, sofreu vários atrasos.
Ainda está em aberto a questão do local onde vai funcionar; e o novo concurso,
com os requisitos de candidatura, de duvidosa eficácia, veio complicar ainda mais
as coisas. Aliás corre-se o risco de nenhuma das candidaturas cumprir os
requisitos estabelecidos nas peças do procedimento concursal, o que o tornará deserto,
nos termos do Decreto-lei n.º 18/2008, de 29 de janeiro, na sua redação atual.
E, apesar de o MDN classificar esta área como prioridade, as últimas decisões terão
efeitos na instalação das capacidades de ciberdefesa do país, “já comprometidas
pela fraca taxa de execução do orçamento para este setor, que foi de, apenas,
30%, em 2022.
2023.08.31 – Louro de Carvalho
Sem comentários:
Enviar um comentário