As empresas e entidades públicas estão preparadas para o aumento exponencial do risco?
O CNCS trabalha com um conjunto alargado de parceiros nas componentes fundamentais da cibersegurança, como a prevenção, a deteção e a reação a ciberincidentes. No que respeita à questão que aborda, a transformação digital vem alargar a superfície de ataque e, por conseguinte, o risco para as organizações. Para tirar proveito dos benefícios de uma transição digital, precisamos de implementar uma gestão de risco e estabelecer as prioridades face a critérios de aceitação do risco e objetivos relevantes para a organização. O Quadro Nacional de Referência, desenvolvido pelo CNCS (publicado em junho do ano passado), propõe precisamente uma implementação processual orientada à gestão do risco, que permite às organizações a tomada de decisão quanto às medidas de cibersegurança a aplicar, decisão essa proporcional, priorizada e informada. Estas decisões devem, sempre, estar igualmente orientadas à garantia da confidencialidade, disponibilidade e integridade na prestação do bem ou serviço para uma determinada organização.
Quando se fala de risco online, de que estamos exatamente a falar?
Entende-se como risco online uma circunstância ou um evento identificável, com um efeito adverso potencial na segurança das redes e dos sistemas de informação. É importante percecionarmos que, tal como acontece no ‘mundo físico’, o ser humano tanto é capaz de desenvolver e inovar, como de tirar proveito das novas tecnologias para práticas ilícitas e criminais.
De facto, a grande totalidade dos incidentes de cibersegurança configuram crimes. A responsabilidade do CNCS e do seu serviço de coordenação de resposta a incidentes (CERT.PT) tem por objetivo a identificação da vulnerabilidade explorada e a definição de medidas de recuperação do sistema informático. Como quase de certeza estamos perante um crime informático, compete à UNC3T da Polícia Judiciária a investigação criminal, com vista à identificação dos autores e consequente ação judicial. O CERT.PT trata todo o tipo de casos, desde o simples spam a situações mais complexas, tais como ações de espionagem ou sabotagem. Quanto a tendências, observamos um aumento de campanhas de phishing e smishing.
Seguidamente, denota-se um aumento de sistemas/equipamentos infetados, que podem ter como origem ataques de malware, trojans bancários e/ou roubo de credenciais.
Também tratamos casos relativos à mineração de criptomoeda (‘criação’ de moeda digital). Estes agentes criminosos perceberam que é mais vantajoso e silencioso penetrar em computadores alheios para este efeito. Neste caso, na maior parte das vezes o utilizador não sabe que o seu computador está infetado, aquilo que sente é uma diminuição das capacidades da máquina, que se torna mais lenta – e isso pode ser um indicador de que está a ser utilizada por terceiros.
Que preparação será necessária – a nível humano e tecnológico – para que esses riscos sejam conhecidos e prevenidos?
Qualquer tecnologia nova introduz riscos, temos é que nos preparar para lidar com eles e também utilizar a própria tecnologia em proveito da cibersegurança.
Neste sentido é necessário fazer uma análise de risco, adotar medidas de mitigação e desenvolver estratégias de capacitação do fator humano e das organizações. Para isso, também desenvolvemos um Programa de Sensibilização e Treino em Cibersegurança, através do qual se pretende massificar a formação e sensibilização dos cidadãos e dos colaboradores das nossas organizações para os riscos do uso desinformado do ciberespaço, com a realização de ações de sensibilização e formação em Cibersegurança em diferentes locais do país, de Norte a Sul, passando pelas ilhas, contando, para isso, com o apoio de parceiros. Já temos uma rede com cerca de 100 formadores em todo o país que colaboram connosco neste esforço de sensibilização.
O CNCS criou também um curso online gratuito que promove a adoção de comportamentos seguros designado “Cidadão Ciberseguro”, que está a ter uma grande taxa de adesão junto de organismos da Administração Pública, mas também de grandes grupos económicos que pretendem apostar na criação de competências digitais dos seus quadros, dessa forma melhorando a segurança das suas organizações.
Em Portugal, o risco online já é uma prioridade das entidades?
O nosso tecido económico é composto maioritariamente por pequenas e médias empresas (PME). Se voltarmos atrás e falarmos de preocupação para o tema praticamente todas têm. A cibersegurança tem estado nas capas dos jornais nos últimos anos. Denota-se com regularidade nos órgãos de comunicação social que o tema é a ciberintrusão, empresas que vão à falência por causa de ciberataques ou que foram alvo de esquemas de extorsão (como o ransomware). Por isso, a noção do risco online e da cibersegurança está cada vez mais presente no nosso quotidiano e consequentemente das empresas. Exatamente por termos um grande número de PME queremos perceber se elas sabem como se preparar e daí os instrumentos que desenvolvemos – o Roteiro para as Capacidades Mínimas em Cibersegurança, que apresenta um conjunto de ações que se dividem em cinco fases, sendo que estas foram pensadas para uma adaptação gradual, a implementar em cada organização, quer seja por meios próprios internos, ou mesmo recorrendo a subcontratação ou externalização de soluções. Neste sentido, é ainda de referir que este conjunto de atividades, enquadradas no âmbito do Quadro Nacional de Referência para a Cibersegurança, constituem o plasmar de uma capacidade mínima em cibersegurança, fornecendo assim às organizações visadas os instrumentos necessários para que estas possam fazer face às ameaças e perigos do mundo digital.
Na nova década que se avizinha, qual será o papel do CNCS?
Um trabalho continuo de capacitação e adaptação das empresas e cidadãos para responder ao acelerado progresso tecnológico e, por outro lado, acompanhar o desenvolvimento das orientações da UE no que respeita aos instrumentos de regulação dessa mesma tecnologia.