“Queremos, até 2026, requalificar cerca de dez mil especialistas em cibersegurança”

Qual foi o impacto da pandemia na questão da cibersegurança das organizações portuguesas?

A pandemia obrigou algumas entidades a acelerar processos de digitalização e, principalmente, a explorarem novas formas de negócio. Também obrigou a proporcionarem formas de trabalho diferentes, como o teletrabalho, tendo em conta as restrições a que o confinamento obrigou alguns negócios, e levou a uma aceleração dos processos de digitalização com os riscos inerentes.

Não é uma inevitabilidade que um processo de transformação digital traga problemas de cibersegurança; temos é que assegurar que esse processo de transição seja feito de forma segura. Obviamente, ao fazê-lo num contexto de obrigação e fazê-lo num curto espaço de tempo correm- se riscos acrescidos.

Outra coisa que observamos e que está expresso no Relatório de Riscos & Conflitos de 2021, é o incremento no número de incidentes na ordem dos 80% relativamente a 2019 e observamos, também, picos nesse número de incidentes perfeitamente coincidentes com os momentos mais restritivos do ponto de vista de liberdade de circulação. Isto está relacionado não só do lado das organizações com o aumento da superfície de ataque, mas também com a maior utilização por parte dos utilizadores; o aumento foi muito sentido nas componentes de fraude e de infeção por malware. Temos um aumento no número de campanhas – até aproveitando as diferentes narrativas direta ou indiretamente ligadas à situação pandémica.

A cibersegurança já é um tema presente nas grandes empresas. Nas PME temos a mesma realidade?

Não temos dados para responder de forma cabal. Temos é, e isso veio num relatório que foi publicado no final do ano passado, dados que, do ponto de vista das perceções, as PME sentem que estão mais bem preparadas para responder a riscos de cibersegurança, mas isso é uma perceção.

Em 2019, o CNCS procurava ter um Modelo de Avaliação da Maturidade das Organizações. Como é que está esse ponto?

Produzimos efetivamente um Quadro de Avaliação de Maturidade em Cibersegurança que mede o nível de conformidade que as organizações têm relativamente às medidas que estão inscritas no Quadro Nacional de Referência, que é o nosso corpo normativo de referência para a cibersegurança em Portugal. Criámos um website onde as organizações podem fazer isso de forma voluntária; chama-se Cibercheckup. Não tem muita utilização, embora já falámos com várias entidades que vêm ter connosco a pedir auxílio na implementação de uma ou outra medida na sequência da utilização desse instrumento.

O que estamos a trabalhar, e isso foi um trabalho que iniciámos no ano passado, é na criação de um Quadro de Certificação Nacional em Cibersegurança e que implementa o regulamento de cibersegurança europeu nesta matéria. Neste momento estamos na fase final; o diploma que cria este Quadro Nacional de Certificação em Cibersegurança teve uma consulta pública, que terminou no dia 3 de maio, e estamos neste momento a incorporar as boas propostas que recebemos.

Contamos até ao final do ano – temos isso no nosso roadmap – criar um esquema de certificação relativo ao selo digital, uma iniciativa do Ministério da Economia e da Secretária de Estado da Transição Digital. Este selo digital tem por objetivo avaliar o compromisso de organizações – estamos a falar de certificação de organizações – relativamente a quatro dimensões distintas. Uma delas é cibersegurança, mas também permite avaliar as organizações relativamente ao seu compromisso com a proteção de dados pessoais, com a sustentabilidade e com a acessibilidade dos seus websites. Pretendemos ter este esquema de certificação aprovado e operacional durante este ano.

Este selo destina-se, essencialmente, às PME e as organizações podem se candidatar a receber a certificação relativamente ao conjunto das boas práticas que este selo comporta e que entendemos que devem ser os requisitos mínimos que as PME devem ter.

Qual é esse mínimo que as PME devem ter assegurado?

O selo divide-se em três níveis de conformidade de acordo com o quadro europeu. Tem um conjunto de controlos que vão desde a sensibilização e formação de recursos humanos, ou seja, dotar todos os recursos humanos da organização com competências digitais; questões relativas à autenticação e controlo de acessos, portanto, as organizações devem ter autenticação multifator instalados nos seus sistemas; e medidas processuais como ter uma política de segurança, ter uma política de uso aceitável de equipamentos digitais, realizar análise de risco, ter um responsável pela área de cibersegurança e guardar evidências do funcionamento dos seus serviços.

Qual é o nível de preparação dos próprios serviços públicos e como é que o plano de resiliência e recuperação (PRR) vai ajudar a cibersegurança desses serviços?

Temos estado a trabalhar nos últimos anos na criação dos referenciais; grande parte do nosso trabalho dos últimos anos foi na produção do Quadro Nacional de Referência em Cibersegurança, do Quadro de Avaliação, a criação do roteiro para capacidades mínimas, na criação de cursos de ciberhigiene – seja o cidadão ciberseguro, cidadão ciberinformado ou o consumidor ciberseguro.

O que vamos fazer agora com o PRR vai ser dar apoio às organizações na implementação destes referenciais. Temos dois grandes projetos inscritos, um focado na capacitação ou na criação de competências das pessoas, ou seja, queremos, até 2026, requalificar cerca de dez mil especialistas em cibersegurança, habilitados a implementar estes referenciais que referi nas suas várias componentes.

Por outro lado, vamos criar uma rede de centros de competências com, pelo menos, um centro de competências em cada região, em cada NUTS de nível 2 – incluindo regiões autónomas –, para dar apoio de proximidade quer às PME, quer ao poder local, na implementação destes mesmos instrumentos. Sentimos que há a necessidade de promover este instrumento numa lógica de proximidade e que há a necessidade de termos uma bolsa de profissionais dentro destas organizações habilitados a implementar estes instrumentos. Esse vai ser o nosso foco.

Estes centros de competências estão previstos para 2026 também?

Em princípio, queremos já no início de 2022 ter o primeiro operacional.

E este primeiro centro será, à partida, onde?

A escolha dos parceiros para esta rede de centro competências vai seguir um conjunto de critérios e vai ser feito um concurso público para essa atribuição de financiamento. Isto quer dizer que ganhará aquele que, no fundo, contribuir melhor para os nossos objetivos.

Numa entrevista em 2019, falámos da Estratégia Nacional da Segurança do Ciberespaço, que procurava ser mais inclusiva, com um plano de ação que incluía medidas planeadas e algumas que tinham de ser feitas. Esse plano foi cumprido?

Esta estratégia é muito abrangente; é uma boa estratégia nesse sentido. Vê a cibersegurança de uma forma bastante alargada. O cumprimento da estratégia como um todo implica o envolvimento de todas as forças na sua execução. Temos vindo a fazer uma gestão do que chamamos o ciclo de vida desta estratégia, elaborando planos anuais. Foi uma decisão estratégica elaborar não um plano de ação para toda a estratégia de cinco anos, mas planos de ação bianuais todos os anos. Realizamos relatórios de avaliação de execução numa base anual, que, aliás, devem ser entregues à Assembleia da República até ao final de março de cada ano.

O que identificamos é que as organizações e os participantes, na elaboração deste plano, têm focado a sua atenção na criação de capacidades, seja de competências em pessoas ou capacidades de cibersegurança da organização ou instituição.

Temos algumas franjas da estratégia que têm avançado com um ritmo mais lento. Dou como exemplo a componente de investigação e desenvolvimento que, nestes dois primeiros anos, tem tido pouca atenção por parte das entidades responsáveis. Achamos que esse cenário se vai alterar com a criação de um Centro Europeu de Competências em Cibersegurança e que vai estar sediado em Bucareste, na Roménia, e que deverá arrancar ainda durante este ano. Prevê a criação, também, de um centro de coordenação em cada um dos países. Este Centro Europeu vai gerir os fundos de investigação, de desenvolvimento e de inovação. Vamos ter, com certeza, um reforço das capacidades de investigação e de inovação nesta área da cibersegurança durante os próximos anos, respondendo a essa aparente lacuna na execução da nossa estratégia.

2020 foi o ano em que se soube publicamente que grandes empresas nacionais – nomeadamente a EDP e a Altice – sofreram ciberataques. O que é que pode partilhar sobre estes ataques?

Sobre os detalhes dos ataques temos, por norma, não comentar. Os exemplos que deu e também tudo aquilo que vem descrito no Relatório de Riscos & Conflitos demonstram que temos uma tendência de crescimento nos ataques direcionados, ou seja, aquilo que chamamos o ransomware de elevado perfil, por oposição àquele ransomware que pede em bitcoins o equivalente a 120 euros para libertar um PC que acabou de ser cifrado. Tivemos mais recentemente um caso extraordinário nos Estados Unidos desse mesmo tipo [Colonial Pipeline]. Temos um conjunto de redes de cibercrime que veem neste ransomware de elevado perfil uma atividade bastante proveitosa. É uma tendência que observámos durante o ano passado e que achamos que se vai acentuar durante 2021.

Isso reforça a necessidade de as organizações serem mais resilientes a este tipo de ataques e olhar para este tipo de ataques não só numa perspetiva clássica de continuidade de negócio – no sentido em que a cifra dos seus temas informáticos inibe o funcionamento da atividade –, mas também ver este tipo de ataques como puro pedido de resgate; estes organismos já nem se dão ao trabalho de cifrar equipamentos. O que fazem a partir do momento em que têm acesso à rede informática destas organizações é furtar informação que é sensível e que pode prejudicar a reputação da organização e ameaçam publicá-la. Estes casos que acabou de referir reforçam uma tendência para a qual nos temos que preparar melhor.