“Portugal usa o ciberespaço de uma forma livre, confiável e segura”

Lino Santos, Diretor do CNCS (Centro Nacional de Cibersegurança), aborda a missão da entidade e que desafios fazem parte da atualidade em matéria de cibersegurança. Saiba tudo.

503

Enquanto entidade que atua em articulação e estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, comunicando à Polícia Judiciária os factos de que tenha conhecimento relativos à preparação e execução de crimes, quais diria que são neste momento as maiores preocupações que fazem parte do universo da cibersegurança?

Nesse sentido, tem-se vindo a trabalhar não só em áreas que dizem respeito à regulamentação e implementação da Lei que estabelece o Regime Jurídico de Segurança do Ciberespaço, por forma a criar um quadro de referência em cibersegurança que as organizações poderão adotar, independentemente da sua tipologia ou setor de atividade, para melhor se prepararem para os riscos de segurança a que possam estar expostas, mas também em matérias que promovam uma maior sensibilização e capacitação da sociedade para os temas relacionados com a cibersegurança.

O Governo propôs recentemente uma lei prevê coimas de mil euros para empresas que omitem ciberincidentes, tal legislação dará ao Centro Nacional de Cibersegurança (CNCS) «funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias» e ainda «o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança». Qual a importância desta medida?

A Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, prevê que o incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes de cibersegurança constitui uma infração grave, sendo objeto de coima de € 1000 a € 3000, tratando-se de uma pessoa singular, e de € 3000 a € 9000, no caso de se tratar de uma pessoa coletiva.

Paralelamente, a lei acima referida determina que Centro Nacional de Cibersegurança é a Autoridade Nacional de Cibersegurança conferindo-lhe, nomeadamente, o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança. Deste modo, capacita o Centro Nacional de Cibersegurança para garantir que o Portugal usa o ciberespaço de uma forma livre, confiável e segura e para permitir a implementação de medidas para deteção, reação e recuperação de incidentes que ponham em causa o interesse nacional, designadamente, o funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais.

O facto de as empresas terem de partilhar qualquer tipo de ameaça ou mesmo um ataque é essencial para uma maior segurança? Porquê?

Sim, é sem dúvida essencial pois a partilha dessa informação por parte das empresas, mas não só empresas, permitirá agregar um conjunto de dados que conduza a uma melhor identificação das situações, como, por exemplo, atores envolvidos, motivações, causas e origem. Isto será, certamente, importante para a criação e produção de conhecimento na área da cibersegurança, até de uma forma mais alargada, mas em concreto permitirá que CNCS, nomeadamente através do CERT.PT (que assegura a coordenação operacional na resposta a incidentes), apoie essas organizações com, por exemplo, sugestões e soluções mais robustas para a mitigação dos efeitos desses mesmos incidentes.

Esta abordagem junto das empresas é tarefa fácil?

Verifica-se uma maior perceção da existência de riscos no ciberespaço e uma consequente maior abertura para aprofundar o conhecimento em matérias relacionadas com a cibersegurança. Prova disso, no âmbito do balanço Mês Europeu de Cibersegurança (que decorreu ao longo do mês de outubro do ano transato) identificámos que este ano houve maior adesão por parte das empresas privadas, bem como da administração pública para promoção de iniciativas de sensibilização para estas questões, o que denota maior preocupação e consciencialização sobre tema. Há, no entanto, muito trabalho por fazer e observamos, ainda, a falta de enquadramento da cibersegurança, em algumas organizações, como fator de risco de negócio.

Em que medida os ciberincidentes fazem parte da consciência dos colaboradores e das entidades empregadoras? Serão os riscos e as consequências bem medidas?

A educação de todos os envolvidos (empresas, cidadãos e da própria sociedade civil) para uma cultura de segurança é essencial. Deste modo, é fundamental que exista uma maior preocupação em adotar comportamentos em conformidade, ou requisitos de segurança para proteção das suas redes e sistemas de informação. A título de exemplo, a Estratégia Nacional de Segurança, Regime Jurídico de Segurança do Ciberespaço preconizam uma abordagem baseada na gestão do risco.

Um dos objetivos do CNCS é promover projetos de inovação e desenvolvimento na área da cibersegurança. Neste sentido, que projetos estão neste momento em curso?

Como já aqui foi referido, há uma necessidade bastante grande de criação e produção de conhecimento nesta área, que permita o desenvolvimento e a tomada de decisões mais informadas no domínio das políticas públicas. Nesse sentido, há um conjunto de projetos em curso que visa a produção de materiais de referência, para cidadãos e organizações. Ainda neste campo, para além de todas as ações desenvolvidas por entidades públicas, estão em curso algumas iniciativas que contam com a participação de entidades dos setores público e privado. Através dos vários protocolos estabelecidos, e de outros que se estabelecerão no futuro, pretende-se a criação de uma rede de colaboração que contribua para a identificação dos melhores instrumentos, mecanismos e formas de capacitação que respondam da melhor forma às necessidades das organizações e dos cidadãos em geral.

A vertente de cooperação, seja ao nível nacional, seja ao nível internacional, é bastante importante e também contribui neste campo da inovação e desenvolvimento. Igualmente importante é a aposta na capacitação, treino e sensibilização de pessoas, e a título de exemplo podemos referir o projeto “Cidadão Ciberseguro”, uma medida Simplex, que será lançada já no próximo dia 5 de fevereiro, ou mesmo a dinamização de conferências e workshops, como é o caso da Conferência Anual de Cibersegurança – C-DAYS.