Os desafios no combate ao crime cibernético na Administração Pública

Apesar deste processo ter fluído, na sua maioria rapidamente e de forma bem-sucedida, o número de denúncias de ciberataques nas organizações durante este período aumentou significativamente. Pelo que, deixou clara a capacidade e a rapidez com que os “ciber-atacantes” aproveitam as oportunidades, e tornou evidente a necessidade de se promover uma maior sensibilização em matéria de cibersegurança. Segundo o relatório de 2021 do Centro Nacional de Cibersegurança de Portugal, "as principais vítimas dos agentes de ameaças, em Portugal, são os cidadãos em geral, as PME (Pequenas e Médias Empresas), os Órgãos de Soberania, a Administração Pública e os setores da Banca e da Educação e Ciência, Tecnologia e Ensino Superior (CNCS)".

Vertentes como a digitalização de processos, modelos de colaboração e toda a infraestrutura tecnológica, tornaram-se críticas para os objetivos de continuidade dos serviços. Desta forma, tal como todos os outros setores, também a Administração Pública sentiu a necessidade de introduzir inovação digital nos seus processos e formas de trabalhar. Passou, assim, a privilegiar cenários de trabalho mais abertos, permitindo acessos externos, ainda que controlados, aos datacenters e transitando alguns serviços para a cloud.

A verdade é que o volume de dados que as organizações possuem, aliado à sua exposição e ao crescimento das ameaças de segurança, faz com que estejam cada vez mais preocupadas com a sua proteção. No caso das instituições do setor público, que possuem uma grande quantidade de dados dos cidadãos, nomeadamente dados sensíveis, os ambientes de trabalho em constante mudança revelaram-se uma ameaça aos contextos de segurança, anteriormente considerados inacessíveis.

Com a natureza dos ataques a aumentar de complexidade, as organizações e organismos públicos devem, por isso, avaliar soluções tecnológicas integradas e adequá-las à sua realidade uma vez que os patamares de maturidade digital podem ser muito variáveis. Apenas assim conseguem mitigar ataques complexos que, por vezes, apenas são detetáveis quando correlacionamos eventos de origens desconhecidas ou incomuns. O planeamento e execução da estratégia de cibersegurança deve, por isso, estar integrado na estratégia de transformação digital do setor e traduz-se em inúmeros benefícios:

1. Proteger os ativos física e tecnologicamente contra riscos, ameaças e vulnerabilidades de cibersegurança;
2. Minimizar os impactos corporativos e financeiros através de processos de gestão de riscos bem definidos, estruturados e implementados, assegurando a continuidade do funcionamento da organização;
3. Simultaneamente, preservar a reputação e imagem da organização, e atingir uma vantagem competitiva através de um melhor desempenho e produtividade empresarial no mercado;
4. Conformidade do modelo de governo de segurança com as principais frameworks de referência para o setor.

Esta estratégia deverá estar alinhada com as prioridades de inovação e modernização da Administração Pública, assentes nas oportunidades trazidas pela tecnologia, que se prendem com o capacitar das pessoas, o desenvolvimento da gestão, mas também o reforço da proximidade e envolvimento dos cidadãos. Uma abordagem holística que envolva, além da tecnologia, as pessoas e os processos permitirá uma maior robustez na gestão da cibersegurança.

É igualmente importante que o desenvolvimento da legislação acompanhe todo este processo de modo a prevenir condutas prejudicais e perturbadoras ao bom funcionamento de infraestruturas essenciais para a sociedade, nomeadamente as infraestruturas críticas da informação e das comunicações.

Deste modo, o Decreto-Lei 65/2021 veio juntar-se à legislação já existente, nomeadamente a Diretiva de Segurança e Redes de informação, procurando constituir-se como um instrumento essencial para garantir a conformidade no âmbito da regulamentação do regime jurídico da segurança do ciberespaço. O decreto-lei veio definir os requisitos de segurança das redes e dos sistemas de informação a cumprir e os requisitos de notificação dos incidentes que afetam a segurança das redes e dos sistemas de informação. Este aplica-se não só à Administração Pública, mas também aos operadores de infraestruturas críticas, aos operadores de serviços essenciais e aos prestadores de serviços digitais.

É importante adotar, desde já, comportamentos de conformidade e boas práticas a nível deste e doutros regulamentos já em vigor, como o Regulamento Geral sobre a Proteção de Dados.