Os temas da segurança da informação, digital, informática, de computadores, e cibersegurança não são novos

O famigerado “bug” da passagem do ano 1999 para 2000 teve um impacto global em que foram investidas centenas de milhares de homens-hora para evitar os problemas que se anteviam, e a interminável vaga de vírus, worms e outros malwares que infestaram a primeira década deste século mostra bem como o tema começou a ganhar momentum. Outros eventos marcantes desta década vão desde o surgimento dos Anonymous, como um coletivo autogerido de hacktivistas, em 2003, até aos ataques à Estónia em 2007.

Entre 2010 e 2019 a comunidade de segurança começou a assistir a uma maior profissionalização e até envolvimento de Estados em alguns dos eventos de segurança que foram acontecendo. Alguns exemplos de acontecimentos relevantes são o Stuxnet, a Operação Aurora, as massivas e constantes fugas de informação como no caso da Sony Playstation e dos Panama Papers, as revelações de Edward Snowden, os ataques milionários a plataformas de criptomoedas, diversos ataques a infraestruturas críticas como no caso dos ataques à rede elétrica da Ucrânia em 2015, ou a bancos como o caso do Banco do Bangladesh em 2016. Também nesta década destacamos os ransomwares Wannacry, NotPetya e Bad Rabbit, os acontecimentos com a Cambridge Analytica, a fuga de informação Vault7 em que foram reveladas vários pacotes de software ofensivo utilizados pela CIA e o envolvimento do software Pegasus, desenvolvido pela firma israelita NSO, na morte do jornalista Jamal Kashoggi.

Nos últimos anos não precisamos de sair de Portugal para entender de que forma estas ameaças nos podem afetar. Impresa, Vodafone, Altice, e até a Assembleia da República foram alvo de ataques nos últimos anos, além de ter existido um aumento generalizado de casos durante o período da pandemia.

O Relatório Riscos e Conflitos publicado pelo CNCS refere que a nível internacional, e durante 2021, destacaram-se como tendências com potencial impacto em Portugal o incremento das ameaças híbridas, a persistência de ataques às cadeias de fornecimento, a descoberta de vulnerabilidades relevantes e posterior exploração, a proliferação de ataques de ransomware e um maior envolvimento dos Estados nestas temáticas. A tendência é de crescimento no número de ameaças, ciberataques e crimes com recurso à Internet e à tecnologia em geral, faz sentido fazer uma pausa e perceber de que forma Portugal se encontra posicionado para fazer face a estes desafios.

O nosso país possui uma Estratégia Nacional de Segurança do Ciberespaço desde 2015, e legislação específica desde a Lei 46/2018. O Centro Nacional de Cibersegurança existe desde 2014, dentro do Gabinete Nacional de Segurança e, desde 2017 na sua forma actual.

Ou seja, após três décadas de acontecimentos, alguns dos quais devastadores, Portugal apenas começou efetivamente a preparar-se, do ponto de vista político, na última década. Não é de todo errado dizer que o trabalho efectivo de proteção da sociedade contra as ameaças provenientes do ciberespaço e da utilização das tecnologias de informação e comunicação (TIC) tem sido feito pelos poucos profissionais de segurança existentes no país e pelos profissionais de IT que suportam os sistemas onde a nossa sociedade assenta cada vez mais. Razões, aliás, que levaram ao aparecimento das Confrarias IT & Security em Abril de 2009 de onde viria a nascer a AP2SI em Janeiro de 2012. Seria injusto não referenciar também o trabalho desenvolvido pela Polícia Judiciária ao longo destas três décadas apoiando empresas e indivíduos, na aplicação da lei e na sensibilização.

Em poucos anos as TIC passaram de algo distante para estarem presentes na vida de todos, com uma tendência crescente de ubiquidade. No entanto, a maioria dos cidadãos encara esta mudança apenas como algo que facilita a nossa vida, não se apercebendo da dimensão do mundo de dados e das interconexões que existem, imprescindíveis para que tudo funcione.

Apesar de tudo, somos da opinião que o cidadão tem, atualmente, uma melhor perceção dos riscos do que em 2012. Há mais informação disponível e existem mais entidades, públicas e privadas, a realizar ações além de nós. Também as empresas e organizações estão mais conscientes dos riscos, em particular devido à forma como os meios de comunicação social, o CNCS, a PJ, ou a PGR divulgam cada vez mais informação sobre ciberataques e outros crimes que utilizam a Internet como meio. Também sentimos que tem havido mais investimento por parte das organizações na sensibilização dos seus colaboradores.

No entanto, sentimos que existem ainda grandes disparidades de maturidade na forma como as organizações agem perante estes riscos. Independentemente da sua dimensão, são poucas as que já integram a exposição aos riscos digitais na sua estratégia de negócio de uma forma transversal. Além das empresas que atuam em setores bastante regulados como banca ou telecomunicações e têm requisitos obrigatórios para cumprir, são ainda poucas as que contam com um responsável de segurança, ou uma equipa, a tempo inteiro, nos seus quadros. Para as organizações, acresce ainda que o tema não acaba na proteção dos seus dados ou sistemas, pois quem fornece serviços e produtos a clientes deve assegurar que estes não trazem riscos acrescidos para os seus consumidores.

Atualmente, existe todo um trabalho em atraso para fazer na qualificação de profissionais para colmatar as necessidades. Em 2021, responderam ao inquérito da AP2SI, 330 pessoas que desenvolvem a sua atividade em segurança da informação e cibersegurança. Um terço destas pessoas dedicam menos de 50% do seu tempo a tarefas ligadas à segurança. De acordo com dados do final do ano de 2020, apenas existiam nesta área uma licenciatura, 8 mestrados, 4 cursos de especialização tecnológica e 6 cursos de Técnico Superior Profissional, em todo o país.

São números manifestamente baixos dada a situação nacional e internacional e que afetam também a inovação e desenvolvimento em cibersegurança. Lembramos que as organizações em Portugal e na restante União Europeia dependem quase totalmente de produtos, e em alguns casos de serviços, provenientes de empresas não europeias. Este é um tema que temos que abordar rapidamente e acreditamos que Portugal tem capacidade para se tornar um hub de cibersegurança na Europa se existirem apoios que o permitam.

Estado, empresas e outras organizações precisam de pessoas devidamente preparadas para lidar com estes riscos e que apoiem estas entidades a controlar a sua exposição aos riscos, protegendo a sua actividade e mantendo a necessária segurança e resiliência. É cada vez mais necessário que os profissionais desta área sejam reconhecidos pelas suas competências. Esta é, aliás, a motivação da AP2SI para lançar iniciativas entre os jovens como o CyberSecurityChallengePT, para os motivar para estas áreas, ou o Associado Qualificado, que reconhece a competência e experiência dos nossos associados e exige uma comprovação de 5 anos de experiência profissional, nos últimos 10 anos, em pelo menos dois domínios afetos às temáticas de Segurança da Informação. Entendemos que o reconhecimento pelos pares é a melhor forma de qualificação de profissionais perante o mercado e a sociedade, assim como, na figura de Associado qualificado, de prestar o devido crédito aos que diariamente trabalham para proteger a nossa vida digital.

Estamos melhor que há uma década, mas temos que recuperar ainda as duas décadas em que pouco foi feito.