“Ciberrisco é encarado com realismo”, afirma contra-almirante Gameiro Marques

O contexto geopolítico obriga a encarar o tema da cibersegurança com realismo. Refere o contra-almirante Gameiro Marques que o Gabinete Nacional de Segurança (que por inerência é a Autoridade Nacional de Segurança) tem vindo “a criar e a ajudar um conjunto de políticas públicas e a colocá-las em prática, através de um plano de ação e de estratégia com indicadores e metas”. Adianta que o Gabinete presta provas junto do parlamento todos os anos, são lançadas iniciativas de formação e de sensibilização, “comunicamos de forma regular através das redes sociais e trabalhamos em grande parceria com outros atores, caso dos serviços da Defesa Nacional relacionados com este tema, os Serviços de Informação da República e a Unidade de Cibersegurança da Polícia Judiciária”. Adianta que o tema da cibersegurança na administração pública é “demasiado complexo para não se trabalhar em parceria, é fundamental fazê-lo”.

Questionado sobre o tipo de trabalho que tem vindo a ser desenvolvido, o responsável pelo Gabinete Nacional de Segurança e membro do Observatório para a Segurança e Defesa da SEDES, salientou que o trabalho passa “pela divulgação de um conjunto de boas práticas reais”. Frisou que num recente evento onde estiveram todos os representantes de IT, “o engenheiro Lino Santos (Coordenador do Centro Nacional de Cibersegurança) divulgou um conjunto de boas práticas reais e que são também políticas públicas”. E adiantou não estar “apenas a falar na dimensão teórica, mas nas políticas públicas a nível de procedimentos, em assuntos tangíveis que as instituições têm de praticar para manter as estruturas protegidas”. Adianta que essas políticas são feitas “ao recomendarem boas práticas para o setor privado, em particular aquelas que por via da lei estabelece o regime jurídico do ciberespaço e que estão na nossa jurisdição. Refiro-me ao caso dos prestadores de serviços digitais, e que todos têm de cumprir normas que foram recentemente sujeitas a um exigente processo de divulgação dos mesmos e que estão a decorrer”. No início de abril os eventos decorrem no distrito de Évora, sendo que este processo de divulgação das melhores práticas começou a 14 de março e decorrerá até 27 de abril em todos os distritos do país, incluindo as Regiões Autónomas. Refere o diretor geral do Gabinete Nacional de Segurança que estão abrangidas mais de um milhar de pessoas, as quais são responsáveis pelo cumprimento legal no que se refere à implementação das boas práticas de cibersegurança. Adianta o quadro que neste mês e meio de formação serão abrangidos prestadores de serviços digitais, operadores de serviços essenciais e, em geral, toda a comunidade que está abrangida pela lei do ciberespaço. As normas sobre este tema são de 2018 e de 2021, sendo que o enquadramento normativo foi alvo de um novo regulamento em fevereiro último e que pormenoriza tudo o que é necessário fazer por cada uma das entidades envolvidas. A formação que está a decorrer “é focada nestes pormenores”, adianta a mesma fonte.

Relativamente a outros países europeus e no comparativo a nível de implementação de procedimentos o contra-almirante Gameiro Marques salienta que Portugal segue de muito perto todas as orientações com origem na União Europeia. Adianta que o crescimento que o país tem tido em termos de incidentes de cibersegurança ”acompanha de muito perto o que se tem passado no resto da UE”. E reforça que se registou um aumento de incidentes desde o início do ano, algo que considera expetável perante a situação geopolítica vivida na Europa. A nível de implementação de regras e procedimentos o país tem vindo a progredir rapidamente. Salienta a mesma fonte que neste ranking de cibersegurança e tendo em conta os dados da ITU – União Internacional de Telecomunicações, o país passou do 25º lugar na Europa para um 8º lugar. Gameiro Marques reconhece que “há um longo caminho a percorrer”, sendo relevante a aposta feita ao nível dos recursos humanos. Refere que no PRR foi possível inscrever projetos nesta área e que “vão ser estruturantes para a capacitação do país como um todo nesta matéria”. Adianta que o problema que recorrentemente se depara é a questão das pessoas. “Somos competitivos a atrair pessoas para trabalhar à saída das universidades, mas quatro ou cinco anos depois são convidadas por terceiros e embarcam em outros projetos, quase sempre do setor privado. Estes têm mais capacidade atrativa do que nós na componente remuneratória. Mitigamos tudo isto investindo muito na formação e na qualidade a nível de cibersegurança e, desta forma, acabamos por conseguir reter muitos quadros de alto nível nas nossas fileiras”.

Guardiões de informação
A temática do risco cyber para a administração pública é complexo, refere Carlos César, especialista em Sistemas de Informação, Segurança e Comunicações. Refere que “as organizações públicas são, por força da sua razão de existir, os guardiões de informação de qualquer pessoa e de qualquer organização pública, privada ou do terceiro sector. São elas que regulam o funcionamento de qualquer setor da economia e por vezes são elas que detêm o controlo operacional dos sistemas mais críticos para o funcionamento da sociedade, devendo por isso mitigar o risco com forte atenção em qualquer dos vetores acima referidos. Por vezes assistimos à contratação de verbas avultadas para “sistemas de segurança de acessos”, mas as vulnerabilidades não se colmatam apenas injetando dinheiro nos sistemas pois a preparação dos colaboradores e dos dirigentes é essencial para o bom aproveitamento desses investimentos”. Já Sérgio Sá, Associate Partner da EY, Cybersecurity, Consulting Services releva a adoção do Regime Jurídico da Segurança do Ciberespaço, um diploma de 2021. E a nível dos investimentos o mesmo quadro dá o exemplo do PRR e onde estão previstas verbas e metas para a administração pública. A Microsoft, através de Eduardo Antunes, Diretor Executivo do Setor Público da Microsoft Portugal, cita o “Relatório de Defesa Digital” da multinacional e destaca o facto de o cibercrime se ter tornado “uma economia madura, que representa uma ameaça à segurança nacional, à segurança económica e à saúde pública, apresentando um crescimento no número e na sofisticação dos ataques e sobretudo na taxa de sucesso, que passou de 21% para 32% em apenas um ano”. Diz, relativamente à administração pública, ser “fundamental o esforço que tem sido feito pelo Estado português na área da segurança cibernética, através do investimento de 30 milhões de euros do PRR para apoio nesta área, contudo é um valor ainda residual dada a dimensão e escala do problema. Este esforço deve ser assumido e partilhado, em larga medida, tanto pelas organizações públicas como pelas privadas, garantindo que há um investimento transversal em cibersegurança para que possamos, assim, tentar minimizar o impacto que estes ataques podem ter na nossa economia e sociedade”.

E Carla Zibreira, Digital Trust Business Unit Manager na Axians Portugal, refere que “a escassez de quadros, a nível mundial e consequentemente na administração pública, com competências diferenciadas em matérias de segurança, a complexidade organizacional e a heterogeneidade na literacia dos utilizadores digitais em entidades públicas, são os grandes fatores inibidores do processo de gestão do risco de cibersegurança, que se entende cada vez mais exigente pela evolução permanente do contexto de ameaças e risco no ciberespaço”. E reforça o papel da regulamentação que “obrigará a administração pública a endereçar as preocupações inerentes ao risco ciber, buscando o compromisso da gestão de topo, a reserva de fundos de investimento para a implementação de soluções estratégicas de segurança e a capacitação transversal de recursos com responsabilidades de segurança”. E neste sentido o especialista em cibersegurança Carlos César conta um episódio recente quando se deslocou a um organismo de referência e que, para além de outras funções, assegura o alojamento de muitos equipamentos e servidores do Estado. Conta: “Após a creditação numa portaria de elevada segurança, dou por mim a entrar sozinho numa sala técnica recheada de servidores de organismos da administração pública. Nunca tal deveria ter acontecido, nunca um visitante pode ter acesso sem acompanhamento a um datacenter, certo? De quem foi a falha de segurança neste acesso físico? Onde falharam os procedimentos ou a supervisão e acompanhamento destas equipas? Mas se este exemplo ilustrativo se refere a um acesso de pessoa física, que ressalta à vista, o que se passará nas camadas invisíveis das redes de comunicação que interligam esses servidores?”

Como proteger
Quais são então os vetores de risco a que os organismos públicos devem dar atenção. Carlos César diz que a resposta é fácil mas a implementação dos modelos é mais difícil. Refere que “no processo de digitalização das suas atividades as organizações ficam cada vez mais expostas e as falhas transformam-se em problemas que passam a ser pontualmente noticiados. O acesso indevido a dados, sejam os tão falados dados pessoais, ou os dados de segredo industrial e empresarial, o sigilo bancário, os segredos de Estado, etc, é o que terá de ser protegido numa primeira fase, mas nunca descurando que o controlo do sistema não seja passado a personagens indesejáveis. Assim outro vetor a ter em conta é risco de controlo indevido de sistemas, controlos aéreos, sistemas de semáforos, distribuição de energia, comunicações, aparelhos de diagnóstico e de apoio à saúde, de gestão de recursos hídricos, e um universo de equipamentos que dependem de software e de conetividade, ou seja, praticamente tudo no momento atual, desde residências, empresas, fábricas, armazéns…”. Carla Zibreira, da Axians, define um conjunto de pressupostos para a administração pública: “Definição de estratégia de segurança, contemplando, de modo integrado, os três vetores de influência: pessoas, processos e tecnologia; conhecimento dos ativos de informação a proteger; conhecimento das vulnerabilidades, ameaças e riscos a que está exposta no ciberespaço; definição de políticas de segurança, orientadoras dos requisitos de segurança a salvaguardar e implementar; reforço dos controlos tecnológicos de proteção da arquitetura de segurança quer ao nível da cloud, perímetro, rede e endpoint e nos acessos lógicos quer ao nível do controlo de acessos de utilizador final e utilizadores com privilégios”.

Outros pressupostos são “a deteção e monitorização de potenciais incidentes de segurança; e a capacitação de resposta e recuperação perante incidentes de segurança”. Na opinião de Eduardo Antunes, da Microsoft, “a administração pública deve apostar em abordagens “zero trust” na delineação das estratégias de segurança, que se adaptem melhor à complexidade do ambiente moderno, compatíveis com modelos de trabalho híbridos e que protejam os cidadãos, os dispositivos, as aplicações e dos dados, independentemente da sua localização”. E o mesmo quadro reforça a necessidade atração de talento, algo que o contra-almirante Gameiro Marques já havia enfatizado. Na mesma linha responde Sérgio de Sá, da EY, ao afirmar que a administração pública “deverá estar atenta aos potenciais impactos da materialização dos riscos do ciberespaço, que poderão afetar direta e indiretamente cidadãos, empresas e instituições em larga escala”. Carlos César acrescenta que a administração pública tem de “caminhar a uma só velocidade na proteção dos seus sistemas de comunicação e alojamento de serviços e dados. Qualquer porta de entrada numa rede do governo compromete todos os sistemas, direta e indiretamente, a ela ligados. Qualquer acesso indevido à informação de defesa de um Estado compromete a segurança de todos os Estados que a ele estejam interligados por ação e tratados bilaterais ou multilaterais”.

Por último, Mauro Almeida, Head of Cybersecurity da NTT Data Portugal, frisa que está “demonstrado que as organizações que prepararam planos de recuperação de serviço e de continuidade de negócio, que incluam cenários de ciberataque, lidam com esses incidentes de uma forma mais eficiente do que as organizações que não têm estes planos. Embora muitas vezes, na realidade, o impacto de um incidente de segurança cibernética nunca reflita totalmente que foi planeado, a verdade é que a preparação e execução de simulacros, com base nestes planos, criam uma mentalidade de consciencialização e melhoram a cooperação das equipas numa situação de crise. Como diz um velho ditado militar – os planos são inúteis, mas o planeamento é indispensável”. Conclui o gestor que é crítico que do lado das pessoas “compreendam e percebam o impacto que as suas ações terão dentro das organizações ou até mesmo nas suas vidas pessoais”.

“Ciberrisco é encarado com realismo”, afirma contra-almirante Gameiro Marques

FlexSea angaria mais de 3,4 milhões em ronda liderada pela Indico Capital

Saiba como pode evitar/prevenir roubo de identidade

Nordea escolhe Lisboa como hub para apostar na subida das receitas do imobiliário

Portugal “sai do mapa” dos investidores com fim da taxa especial para residentes não habituais, alertam mediadores imobiliários

Topo da Agenda: o que não pode perder na economia e nos mercados esta quarta-feira

Galp avisa que “há muita gente” interessada em Sines e defende atribuição inteligente da rede elétrica. Projetos na região já superam 4 gigas

EDP Renováveis cai 8% e bolsa de Lisboa recua para mínimos de quase três meses

CEO da Ryanair: “Queremos crescer em Portugal, mas se aumentam custos vamos colocar os aviões onde obtivermos melhor retorno”

Qual é hoje o limite de idade para pedir crédito habitação?

Recessão está a chegar aos Estados Unidos. Economia americana deverá cair e criar efeito dominó

BPI avança com depósito a prazo com juro de 3,5%

5 Erros crassos na instalação de painéis solares fotovoltaicos

Imobiliárias são uma das principais causas da crise habitacional em Portugal, diz estudo

Dez euros por um litro de azeite. Fundo de capital de risco ganha 20% por ano com crise em Espanha

RECOMENDADO

Uber One. Plataforma lança serviço premium com descontos e taxa de entrega gratuita

Lisbon Digital School explora o tema da IA em evento gratuito

Kyndryl estabelece aliança global estratégica com a Palo Alto Networks para serviços de rede e cibersegurança

Rauva faz parceria com UBI para “democratizar acesso de PME ao crédito”

Bruxelas contra “paranoia” na regulação da Inteligência Artificial generativa

Dona da Nokia fabrica o primeiro smartphone 5G na Europa

Siga-nos

Sobre

Comercial