Centro Nacional de Cibersegurança já instaurou 68 processos de contraordenação a grandes organizações
Em 2022 entram em velocidade de cruzeiro um conjunto de iniciativas do Centro Nacional de Cibersegurança (CNCS) destinadas a elevar o nível de preparação e resposta a incidentes no ciberespaço. No centro dessas iniciativas estão os recursos humanos. O Política com Palavra falou com Lino Santos, coordenador do CNCS, sobre os centros de competências a instalar em cada uma das 5 regiões e ilhas, a Academia de Cibersegurança e as ações que têm sido executadas para garantir a resiliência do país e a segurança das pessoas.
Nuno Sá Lourenço: Bom dia e bem-vindos a mais uma edição do podcast de Política com Palavra. Esta semana temos connosco Lino Santos, coordenador do Centro Nacional de Cibersegurança. O Centro lançou uma campanha de sensibilização sobre os cuidados a ter na internet e sobre esse tema e outros da esfera e da responsabilidade do Centro Nacional de Cibersegurança que vamos falar. Nuno Santos Muito obrigado por ter aceitado o nosso convite. Desde há uns anos que temos assistido a notícias recorrentes sobre ataques informáticos a empresas e instituições públicas. A que se deve este aumento que temos assistido recentemente
Lino Santos: Bom dia, de facto, desde que o Centro Nacional de Cibersegurança foi criado, em 2014, que temos vindo a assistir a um crescimento contínuo de cerca de 30% de incidentes ao ano.
NSL: Aumento de 30% por cada ano?
LS: Aumento de 30% todos os anos. Portanto, tem sido contínuo e, digamos, estável, este crescimento. A excepção é, de facto, 2022, onde tivemos um crescimento apenas de 14%. Não deixa de ser um crescimento. Agora, 2022 foi um ano extremamente desafiante para todos nós, para o Centro Nacional de Cibersegurança, para as autoridades de investigação criminal e para todos nós que sentimos os impactos de alguns dos incidentes com maior impacto, passe a redundância, em Portugal. Efetivamente tivemos o maior número de incidentes num trimestre desde que o centro foi criado e tivemos mais do que duplicação do número de incidentes com impacto relevante em Portugal durante aquele ano. O que é que pode explicar este crescimento sustentado do número de incidentes e este ano difícil de 2022? Um fator que contribui com certeza para isso é o aumento da densidade digital. Ou seja, temos mais utilizadores de internet, temos mais aplicações, temos mais usos. Portanto, e tivemos uma pandemia que, de certa medida, até acelerou essa digitalização da sociedade.
NSL: Empurrou as pessoas para estes serviços?
LS: Exactamente. Portanto, um dos fatores poderá ser este aumento da utilização da internet, o que significa uma maior exposição de todos nós aos riscos, aos riscos que ela traz. Por outro lado, temos um quadro de ameaças cada vez mais complexo, cada vez mais estruturado. Ou seja, hoje em dia a componente de cibercrime é um negócio perfeitamente estruturado e é um negócio que é acessível até a entidades e a pessoas com poucos recursos e poucos conhecimentos informáticos. Ou seja, estou a falar em crime como serviço, subscrição de crime como serviço. E também mais difuso, ou seja, as fronteiras entre as categorias de agentes de ameaça tradicionais, como o ativismo político, o cibercrime organizado ou agentes estatais, estas fronteiras estão difusas, ou seja, exatamente porque na componente de crime organizado temos um negócio perfeitamente bem montado. É natural que os outros agentes cibercrime recorram a estes mesmos serviços de cibercrime para as suas ações maliciosas, o que dificulta, obviamente, o trabalho de quem tem que fazer a imputação de quem tem que identificar os autores e levá-los à justiça. Este é o segundo fator. Um terceiro que é extremamente relevante neste contexto, pode ser, os níveis ainda baixos de literacia digital e de literacia digital para a cibersegurança. Ou seja, a capacidade que nós, individualmente ou como sociedade, temos de ter comportamentos seguros, de realizar uma avaliação de risco precisa quando utilizamos estas ferramentas. Portanto, o conjunto destes três fatores eu acho que explica um pouco o estado de coisas, ou seja, os níveis de incidentes que temos vindo a viver.
NSL: E foi por isso que o CNCS avançou com esta campanha da Internet Segura, devido a essa questão da iliteracia?
LS: Também por isso, e por causa da questão da iliteracia. Um número extremamente relevante neste contexto é o número de incidentes que têm por detrás a exploração do fator humano. Ou seja, não são os incidentes meramente técnicos de exploração de vulnerabilidades com, digamos, aquela ideia clássica do hacker com uma lata de coca-cola atrás de um monitor. Estamos a falar de técnicas de phishing, de furto de identidade, de comprometimento de passwords.
NSL: E com um cidadão informado, se calhar, era evitável na maior parte dos casos…,
LS: São modus operandi que exploram a vulnerabilidade humana, não a vulnerabilidade técnica. Ou seja, nesse sentido, o Conselho Superior de Segurança do Ciberespaço - e esta campanha nasce no seio do Conselho Superior de Segurança do Ciberespaço - percebeu que precisávamos de melhorar os níveis de literacia do cidadão comum numa lógica de utilização doméstica, note-se, mas esse mesmo cidadão, com essas competências para lidar com o uso da internet de forma segura, vai ter esse tipo de comportamentos dentro das organizações e, portanto, é um fator também de cibersegurança para as organizações. Portanto, foi um bocadinho este o móvel que levou à criação desta campanha. A campanha “Ler Antes e Clicar Depois”. Muito focada nos comportamentos e nas atitudes, ou seja, endereçar as questões relativas ao manuseamento de passwords, à gestão de passwords, à atualização de software.
Temos vindo também a assistir recentemente a uma maior utilização, ou melhor, a uma diminuição das janelas de tempo entre o lançamento de um update de software e a sua exploração ativa, de forma maliciosa. Ou seja, isso diminui o tempo que o utilizador comum tem para realizar os seus updates nos telemóveis ou nos computadores. Questões relativas à securização das redes Wi-Fi em casa, à utilização de acessos remotos às organizações. Portanto, tudo o que tenha a ver com comportamentos e atitudes básicas. O objetivo aqui era, no limite, que cada um de nós tivesse as competências necessárias para realizar uma análise de risco em tempo real, ou seja, tornar natural um comportamento quando usamos redes sociais.
NSL: Que é o que nós fazemos na vida real, quando trancamos a porta da casa… Já falou nisso, mas da avaliação que faz, em que o comportamento da pessoa é o fator determinante para o incidente, estamos a falar de que diferença entre esse tipo de problemas e aqueles que são influenciados por questões técnicas?
LS: Mais de metade, 53% dos incidentes exploram o fator humano. Portanto, estes são dados das nossas estatísticas de situações.
NSL: Situações como a força da password que nós utilizamos, não utilizarmos a mesma password para diferentes aplicações, esse tipo de problemas mais simples
LS: Ou saber identificar um e-mail verdadeiro de um potencialmente falso, as questões relativas a clicar, antes de pensar, num anexo de um ficheiro, sem verificar a sua veracidade, sim, esse tipo de situações são muito exploradas e representam mais de metade dos acidentes que nós tratamos.
NSL: E em relação às empresas portuguesas, também existe aqui um esforço que tem que ser feito ao nível das empresas portuguesas para se protegerem melhor deste tipo de problemas.
LS: Sim, nós temos alguns dados que apontam para uma tendência de crescimento naquilo que são a adoção de melhores práticas. Estamos a falar, por exemplo, em notificação de problemas às autoridades, e estamos a falar, inclusive, da percepção de segurança e do nível de preocupação que os responsáveis dentro das empresas têm para este assunto. Aqui eu devo dizer que criámos um observatório de cibersegurança que tem vindo a medir um conjunto de indicadores produzidos pelo Eurostat ou produzidos a nível nacional, através de inquéritos, e temos vindo a ver um crescimento, nesta adopção das melhores práticas, nesta perceção da importância da cibersegurança para organização bastante positivo. Partimos de uma posição que estávamos abaixo da média europeia, para uma posição em que estamos acima da média europeia em grande parte destes indicadores. Agora, um incidente é uma situação sempre dramática e, portanto, também aqui temos muito trabalho a fazer para aumentar a resiliência destas organizações. Temos dois dois públicos-alvo e duas abordagens distintas. Aquilo que são os operadores essenciais, os operadores de infraestruturas críticas e os grandes organismos da administração pública
(tipicamente aqueles que têm uma forte utilização de tecnologia ou que prestam serviços de tecnologia de forma partilhada a outros organismos) para esses, nós temos um regime jurídico de segurança ciberespaço que traz um conjunto de obrigações, obrigações essas que têm por objetivo atingir um elevado patamar de cibersegurança. Ou seja, temos um referencial de cibersegurança, que foi definido pelo Centro em 2019, e estas organizações têm que, anualmente, realizar análises de risco e implementar as medidas de segurança que mitigam esses riscos até um nível aceitável.
NSL: E esse processo já está em andamento?
LS: Esse processo está em vigor.
NSL: E as empresas e as instituições já estão, neste momento, obrigadas a fazer esse tipo de procedimentos de segurança?
LS: Desde 2021 que estão obrigadas a ter esta gestão de ciclo, de gestão da segurança da informação.
NSL: Só para percebermos que tipo de serviços é que estamos a falar, quando fala em áreas críticas, seja públicas, seja de privadas?
LS: Isto resulta da transposição de uma diretiva europeia que define um conjunto de sete setores de atividade: o setor da energia, o setor de prestadores de cuidados de saúde, o setor da banca e serviços financeiros, o setor dos transportes aéreos, marítimos e rodoviários. Portanto, é um conjunto alargado de grandes setores de atividade que…
NSL: São essenciais para o dia a dia da sociedade.
LS: São essenciais para o dia a dia da sociedade e estamos a falar apenas das empresas que foram identificadas como tal. Ou seja, nem todas as empresas destes setores são consideradas operadores de serviços essenciais. São consideradas apenas aquelas cuja disrupção tem um forte impacto na economia e na vida de todos nós. Estamos a falar de grandes empresas, um conjunto de cerca de 460.
NSL: Sim, e desde a aprovação de toda essa legislação, essas empresas e essas entidades já são obrigadas a cumprir esses requisitos. E neste momento o Centro Nacional de Cibersegurança está satisfeito com a maneira como essas entidades estão a responder a essas obrigações.
LS: O Centro Nacional de Cibersegurança começou este ano a realizar ações de inspeção, e decorrente destas ações inspeção já instaurou 68 processos de contraordenação. Portanto, estamos atentos ao não cumprimento deste regime jurídico.
Agora, paralelamente, estamos a criar instrumentos que ajudem as organizações a cumprirem este regime jurídico. Portanto, também este ano lançámos um esquema de certificação de conformidade com este quadro de referência, que eu mencionei, que é, no fundo, um guia para as organizações perceberem como é que podem executar os controlos que nesse quadro referências estão inscritos. Temos aqui também trabalho de criação de conteúdos e de pedagogia às organizações para as ajudar neste cumprimento.
Agora estava a explicar o processo que temos para aquelas que são as grandes organizações. Depois temos todo o tecido PME que, em bom rigor, são mais de 99% do tecido das empresas portuguesas. Para essas empresas, a ideia é ter um regime de adesão voluntária. Foi criado um selo de maturidade digital, com três níveis de conformidade. O mais básico endereça estes problemas que eu acabei de referir, a questão da formação de todos os seus funcionários com os conhecimentos básicos, a questão de ter uma boa gestão de passwords, aliás, a utilização do múltiplo fator de autenticação dentro dos seus sistemas informáticos, a questão da gestão e atualização de software. Portanto, o nível mais básico representa a maior parte dos problemas que temos. A ideia aqui é ter um esquema de certificação do selo Maturidade Digital para a Cibersegurança, e temos um regime de adesão voluntária para as pequenas e médias empresas, e eu diria também para administração pública local, fazerem crescer os seus níveis de cibersegurança.
NSL: E em que é que isso se concretiza, essa aposta na formação e na certificação para essas entidades é só o selo, ou há mais algum esforço que seja feito para essas empresas ou entidades melhorarem as suas competências e capacidades?
LS: Como referi, a capacitação das empresas passa muito pela adesão das boas práticas. Estes selos estruturam aquilo que são as boas práticas de cibersegurança num conjunto de níveis, ou seja, num caminho que as organizações devem percorrer. Esse selo existe e pode ser usado. Agora, aquilo que nós temos pensado para impulsionar a utilização deste selo passa, por um lado, por criar um guia, ou seja, criar conteúdos que ajudem as organizações a estar conforme estes estes referenciais, mas também criar, esse é um grande projecto que temos no nosso PRR, criar nós regionais (um por cada região de NUT2) que prestam o apoio às organizações a identificar esse caminho a percorrer, quais são os instrumentos que devem adotar. Portanto, se a solução é o selo de maturidade digital, se a solução é o quadro de referência ou outro referencial que seja mais adaptado àquele tipo de organização, dar conta das necessidades de formação que eventualmente estas empresas possam ter nos diferentes níveis, para todos os funcionários ou para a área de informática que gere a cibersegurança da organização ou mesmo para os gestores. Ajudar eventualmente as organizações a identificar oportunidades de financiamento, ou seja, como é que se podem financiar exatamente a implementar estes planos de crescimento na maturidade. Esse é um grande projeto que temos e que visa criar um centro de competências em cada uma das regiões, exatamente para ajudar as organizações a responder às necessidades das organizações. Uma das coisas com que que nós muitas vezes nos cruzamos - e nós temos muitos conteúdos, temos muito material que pode ajudar as pequenas e médias empresas a crescer no seu nível de maturidade - é que estas empresas não sabem como utilizar esse instrumento. E portanto, esta relação de proximidade pode ajudar a identificar o caminho.
NSL: E está prevista alguma data para a instalação desses centros de competências regionais?
LS: Contamos lançá-los no último trimestre deste ano. Esta semana foi lançado o aviso para apelo a candidaturas.
NSL: Pelo que sei também o CNCS está apostado na formação de competências e melhorias com a criação da Academia Cibersegurança. Essa academia será para estar no terreno, quando?
LS: Nós já estamos numa fase-piloto da Academia e contamos entrar em velocidade de cruzeiro com o arranque do ano lectivo. Esta foi uma uma necessidade que identificamos, quando se começou a desenhar os PRR das diferentes organizações, identificámos claramente que a falta de recursos humanos especializados era de facto um obstáculo, a acelerar este crescimento da maturidade das organizações.
E, portanto, entendemos criar uma academia dispersa pelo país. Os cursos desta Academia serão leccionados nas instituições de ensino superior em todo o território continental e ilhas, como oferta formativa com 14 percursos formativos, 14 diferentes profissões na área, por exemplo, de técnico de cibersegurança, analista forense, até no limite, Chief Information Security Officer, o responsável pela área de cibersegurança nas organizações.
É um projecto grande, que estamos a fazer em colaboração com praticamente todas as entidades de ensino superior universitárias e do ensino universitário politécnico e contamos que venha a ter um grande impacto nos índices de cibersegurança do país. O objetivo aqui é requalificar quadros que existam nestas organizações. O enfoque muito grande naqueles que são os operadores essenciais, operadores de infraestruturas críticas e administração pública portuguesa, mas obviamente aberto a qualquer cidadão ou a qualquer funcionário de uma de uma PME. O projeto piloto já concluiu um conjunto de ações de formação, ou seja, já realizamos três ações de formação. Estão em curso mais duas. O que significa entrar em velocidade cruzeiro? Significa arrancar com a oferta formativa em todo o território nacional e com uma oferta formativa e eu diria que cerca de 30 dos 44 cursos em funcionamento. O objectivo é, no primeiro trimestre de 2026, ter 10.000 especialistas requalificados.
NSL: Aproveitando que está aqui presente, tenho uma questão sobre a guerra da Ucrânia. Durante anos ouvimos falar nos piratas informáticos apoiados pelo Estado russo. Deixámos de ouvir falar dos ciberataques russos.
LS: É uma perceção, porque, em bom rigor, os nossos relatórios de riscos e conflitos mencionam sempre a existência deste agente-ameaça que é o agente estatal, isto para não identificar nenhum país em concreto. Ele é presente, digamos, na avaliação da ameaça que nós fazemos com as restantes autoridades nacionais desde que o Observatório foi criado ainda em 2019, portanto sempre existiu e continua pendente. Agora temos um conjunto de instrumentos entretanto criados que nos ajudam a identificar, que nos ajudam a proteger e que nos ajudam a reagir a este tipo de incidentes.
NSL: Está a falar a nível nacional ou internacional?
LS: A nível internacional. Na nossa área, no domínio da resiliência e da resposta a incidentes, existe uma rede europeia de equipas de resposta a incidentes que partilham informação de forma constante. Fazendo, por exemplo, a relação que fez com o início do conflito na Ucrânia, o nível e a intensidade da partilha de informação cresceu, ou seja, nós percebemos o que é que se passa no contexto da Europa e são partilhados os indicadores técnicos necessários para realizar uma proteção ativa do nosso ciberespaço de interesse nacional. Só para ter uma ideia da dimensão, fez com que o Centro Nacional de Cibersegurança emitisse para a sua lista de distribuição dos operadores essenciais, dos operadores de infraestruturas críticas e das principais entidades da Administração Pública, cerca de 60 instruções para proteção perimétrica das suas redes durante 2022. Não é algo que seja muito publicitado, nem interessa que seja muito publicitado, mas está a ser feito.
NSL: Desde que começou o conflito notou-se uma maior atividade deste tipo de situações que envolvam Estados?
LS: Como eu disse, há uma diluição muito grande neste momento entre os diferentes tipos de ameaça, o que dificulta a questão da imputação ou identificação. Agora, fenómenos como o crescimento do ransomware, em 2022 e continua em 2023, - ransomware são aquelas técnicas da extorsão digital, tornando os sistemas inacessíveis ou inoperacionais e depois com um pedido de um resgate para os libertar - ou ainda um fenómeno que surgiu no início de 2022, que podemos chamar de cibervandalismo - a destruição de dados e de sistemas sem uma aparente mensagem política por detrás ou um interesse financeiro por detrás - podem muito bem estar associados com este contexto geopolítico. Agora, ataques direcionados tivemos já alguns que foram fáceis de atribuição, tipicamente de grupos de milícias pró-russas ou pró-ucranianas. Só para ter uma ideia da dimensão, hoje em dia existem mais de 100 grupos a atuar no ciberespaço que alegam alguma afinidade quer com com a causa russa ou com a causa ucraniana. Portanto, é um espaço de conflitos, o ciberespaço.
