A cibersegurança em Portugal

Principais destaques:

• Os incidentes de cibersegurança e cibercrimes em Portugal continuaram a aumentar em 2022, com um crescimento significativo de incidentes com elevado potencial disruptivo.
• As ciberameaças mais comuns em 2022 foi o ransomware, cibersabotagem/indisponibilidade, o phishing/smishing/vishing, a burla online, outras formas de engenharia social e o comprometimento de contas/tentativas de login.
• As vítimas de incidentes de cibersegurança mais relevantes em Portugal durante 2022 foram os setores da Banca (sobretudo clientes) da Educação e Ciência, Tecnologia e Ensino Superior, dos Transportes, da Saúde, bem como da Comunicação Social. No âmbito dos subsetores da Administração Pública, destaca-se, comparativamente, a Administração Pública Local como alvo com maior número de incidências.
• A perceção de risco aumentou em 2022 e 2023.
• As principais tendências nacionais são a crescente profissionalização do cibercrime, a incerteza resultante da guerra na Ucrânia e algumas ciberameaças específicas, tais como o ransomware, o DDoS, o malware de furto de credenciais e os smishing/ vishing/spoofing oportunistas relativamente ao uso massificado do telemóvel.
• Como cenário persistente, mantêm-se as ameaças típicas do contexto geopolítico e estratégico atual, devido ao prolongamento da guerra na Ucrânia, o que provoca o acentuar de antagonismos que encontram formas de polarização em ações de atores estatais e hacktivistas que pretendem ganhos informacionais ou propagandísticos para o seu lado do conflito. Enquanto a guerra na Ucrânia não terminar, prevê-se que este cenário se mantenha e possa mesmo agudizar-se. 
• Ainda numa fase emergente, e com resultado incerto quanto à transformação que efetivamente poderá trazer, devem considerar-se as ameaças que têm vindo a surgir em resultado da disponibilização de plataformas de Inteligência Artificial para o público em geral e o seu potencial de utilização para o desenvolvimento de ferramentas úteis na realização de ações maliciosas no ciberespaço. Esta disponibilização tem-se mostrado apta a apresentar soluções técnicas para a efetividade de ciberataques, mas também para a criação de campanhas de desinformação.

Porque começo a referir este documento em específico?

Porque considero que temos muita coisa bem feita no nosso país, falta é haver uma notoriedade mais abrangente do que de bem se faz, pois como sabemos no que concerne à problemática da segurança no ciberespaço é algo que está em crescente relevância na vida das pessoas, como um todo, há muito que deixou de ser um tema apenas de preocupação das empresas, em especial para as grandes empresas, aquelas que terão de se preocupar em especial com regulamentos e frameworks, como o é o caso do decreto-lei 65/2021, ISSO 27001, NIS2, DORA, Norma 6/2022-R, obviamente apenas para referir uns quantos de muitos.

As grandes empresas:

Para estas, a cibersegurança é hoje um tema comum na mesa da administração, comum pois este tema deixou de ser uma coisa de índole técnica para algo que está intimamente relacionado com o negócio, já não há dúvida que quem não considera com a devida atenção a cibersegurança simplesmente pode estar a colocar em jogo existência da sua organização. Porque estamos numa sociedade cada vez mais interligada e muito dependente de poucos players, tipicamente grandes organizações, que fornecem serviços essenciais no mundo digital, já se percebeu o perigoso que é o efeito dominó, quando falha uma grande, muitas outras vão por arrasto. Estas grandes empresas devem continuar a investir em qualificação, avaliação comparativa, formação em gestão de crise e protocolos de forma a conseguirem melhorar a sua capacidade de identificar e prevenir ciberameaças, tanto que a resiliência passou a estar no topo das preocupações destas organizações. 

Onde acho que poderíamos melhorar aqui?

Haver uma maior centralização de orientações normas, regulamentos e leis, pois por vezes, o que noto é um atropelo entre orientações e cumprimento com determinados requisitos mais de índole processual que leva a que se invista tempo e recursos para preparar informação por vezes redundante.

Um maior espírito de comunidade dos especialistas em cibersegurança, onde a partilha de boas práticas e das outras que não sendo tão boas, serão de importância o seu conhecimento mais alargado. Sendo isto possível, será dúvida algo de valor acrescentado quer para a comunidade, quer para a sociedade em geral.

Os líderes a pensar mais profundamente sobre cibersegurança e ouvir mais atentamente os especialistas nesta matéria , os especialistas incrementarem a sua capacidade de empatia de forma que o diálogo flua a fim de garantir a resiliência corporativa. Infelizmente os líderes cibernéticos ainda lutam para articular claramente o risco que as questões cibernéticas representam para suas organizações numa linguagem que seus colegas de negócios compreendam plenamente e possam agir. Como resultado, chegar a um acordo sobre a melhor forma de lidar com o risco cibernético continua sendo um desafio para os líderes organizacionais.

A transformação digital continua na moda, tanto que muitas organizações estão com grandes projetos de transformação digital. Adicionar tecnologia emergente à TI legada aumenta a complexidade dos ambientes digitais das organizações e, portanto, seu risco de segurança cibernética. É relevante que os decisores tenham preocupação acrescida para equilibrar o valor da nova tecnologia com o potencial de aumento do risco cibernético nas suas organizações.

Creio que faça sentido haver mudanças na estrutura organizacional que incorporem discussões de risco cibernético em toda a empresa e assim promover uma comunicação mais fluida e uma gestão eficaz de riscos cibernéticos.

O recrutamento e retenção de talentos especializados em cibersegurança continua a ser um desafio fundamental para a gestão da ciber resiliência. Creio necessária uma solução mais ampla para aumentar a oferta de profissionais nesta especialidade é expandir e promover esforços de inclusão e diversidade.

Além disso, entender o amplo espectro de habilidades necessárias hoje pode ajudar as organizações a expandir a contratação. Estão já em curso várias iniciativas promissoras, mas não creio que seja suficiente. É preciso tempo, reflexão e investimento para tornar os programas de desenvolvimento de competências cibernéticas escaláveis.

E as empresas que representam 99,9% do nosso tecido empresarial?

Os números mais recentes do INE, PORDATA indicam que em Portugal 99,9% (1.357.657) são PME (que incluem micro, pequenas e médias empresas) e apenas 0,1% (1.378) que são consideradas grandes empresas (>=250 pessoas ao serviço).

Estas organizações não tem nem de perto nem de longe capacidade de investimento em tecnologia e recursos, por isso, é necessária uma abordagem diferente mas necessariamente inclusiva pois os ciberataques estão mais assertivos, o efeito dominó nestas organizações tende a ser tão ou mais nefasto que nas grandes organizações, por isso, é tempo de, em vez de se estar a inventar a roda, é tempo de se tirar partido do que de muito bom se está a fazer qui. Julgo que deve haver uma maior publicitação do CNCS, em especial o que fazem a nível da sensibilização e treino para comportamentos e atitudes mais seguros; produção e disseminação de alertas, orientações e boas práticas par ao uso seguro da tecnologia por parte de todos, assim como recomendações técnicas e produção de normativos e referenciais para as organizações e não esquecer que através do seu serviço CERT.PT realiza efetiva coordenação da resposta a incidentes que afetem o ciberespaço de interesse nacional.

Os fabricantes de tecnologias / serviços de segurança terem ofertas verdadeiramente inclusivas para este tipo de empresas.

É com agrado que vejo uma start-up nacional, que está a mostrar que o paradigma tem de mudar, pois a sua convicção é que a única forma de providenciar um serviço eficaz e acessível, sobretudo às PME, passa por combinar inteligência artificial e humana numa relação simbiótica na identificação das vulnerabilidades e resolvê-las proactivamente.

Não duvido que temos de incentivar a criação de mais empresas com este foco, por isso é preciso criar condições para que isso aconteça, nomeadamente com uma maior ligação à academia, que provavelmente deve ter conteúdos programáticos com maior assertividade para este tipo de realidade.

Porque o tema da cibersegurança não se pode limitar a Portugal...

Foi uma agradável surpresa que reparo que a Presidência Espanhola do Conselho da União Europeia (de 01JUL a 31DEZ23) debaixo do pilar “Reindustrializar a EU e assegurar a sua autonomia estratégica aberta” coloca a inteligência artificial e a cibersegurança com grande relevância. É na minha opinião um excelente ponto para dar a tão necessária relevância europeia nestes domínios, o que irá atrair/criar empresas e empregos para solo europeu e reduzir as nossas dependências estrangeiras.