Inicio Tags CNCS

Tag: CNCS

Processo Eleitoral testado na segunda edição do Exercício Nacional de Cibersegurança

Este ano, o Processo Eleitoral é o cenário a testar nesta edição, que terá como objetivos exercitar, não só o processo de decisão de forma a garantir uma resposta coordenada a todos os níveis dentro das Entidades Participantes, como também, exercitar e testar os mecanismos de cooperação entre as Entidades Participantes e os processos de troca de informação e ainda as atividades de cooperação e/ou planos de contingência a nível nacional.

Nesta edição, o exercício será organizado em cooperação com a Comissão Nacional de Eleições (CNE) e contará com o apoio da Agência da União Europeia para a Segurança das Redes e da Informação (ENISA).

Para integrar a jogo ao longo dos dois dias do exercício, foram convidadas várias entidades dos setores público e privado, que terão as seguintes metas definidas: exercitar a capacidade de resposta nacional, face a ocorrência de ciberataques de âmbito nacional ou internacional que afetem a integridade e a equidade do processo eleitoral e contribuir para a consolidação da capacidade de Cibersegurança Nacional no âmbito do reforço da resiliência do sistema democrático nacional.

Neste sentido, e tendo em conta a missão definida na Estratégia Nacional de Segurança do Ciberespaço, o CNCS tem como missão organizar e realizar exercícios nacionais de gestão de crises no ciberespaço. O objetivo passa por avaliar o grau de preparação e a maturidade das diversas entidades para lidarem com incidentes de grande dimensão. Com o envolvimento destas entidades, pretende-se desenvolver as sinergias necessárias à gestão de crises no ciberespaço.

Recorde-se que ao longo dos últimos 3 anos, CNCS tem participado no Cyber Europe 2016, NATO Cyber Defence Exercise Cyber Coalition Cyber , Cyber Perseu 2017 e Cyber SOPEx 2018, iniciativas que têm como premissa avaliar a capacidade de desenvolvimento de treino especializado em ciberdefesa e cibersegurança.

“Portugal usa o ciberespaço de uma forma livre, confiável e segura”

Enquanto entidade que atua em articulação e estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, comunicando à Polícia Judiciária os factos de que tenha conhecimento relativos à preparação e execução de crimes, quais diria que são neste momento as maiores preocupações que fazem parte do universo da cibersegurança?

Nesse sentido, tem-se vindo a trabalhar não só em áreas que dizem respeito à regulamentação e implementação da Lei que estabelece o Regime Jurídico de Segurança do Ciberespaço, por forma a criar um quadro de referência em cibersegurança que as organizações poderão adotar, independentemente da sua tipologia ou setor de atividade, para melhor se prepararem para os riscos de segurança a que possam estar expostas, mas também em matérias que promovam uma maior sensibilização e capacitação da sociedade para os temas relacionados com a cibersegurança.

O Governo propôs recentemente uma lei prevê coimas de mil euros para empresas que omitem ciberincidentes, tal legislação dará ao Centro Nacional de Cibersegurança (CNCS) «funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias» e ainda «o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança». Qual a importância desta medida?

A Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, prevê que o incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes de cibersegurança constitui uma infração grave, sendo objeto de coima de € 1000 a € 3000, tratando-se de uma pessoa singular, e de € 3000 a € 9000, no caso de se tratar de uma pessoa coletiva.

Paralelamente, a lei acima referida determina que Centro Nacional de Cibersegurança é a Autoridade Nacional de Cibersegurança conferindo-lhe, nomeadamente, o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança. Deste modo, capacita o Centro Nacional de Cibersegurança para garantir que o Portugal usa o ciberespaço de uma forma livre, confiável e segura e para permitir a implementação de medidas para deteção, reação e recuperação de incidentes que ponham em causa o interesse nacional, designadamente, o funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais.

O facto de as empresas terem de partilhar qualquer tipo de ameaça ou mesmo um ataque é essencial para uma maior segurança? Porquê?

Sim, é sem dúvida essencial pois a partilha dessa informação por parte das empresas, mas não só empresas, permitirá agregar um conjunto de dados que conduza a uma melhor identificação das situações, como, por exemplo, atores envolvidos, motivações, causas e origem. Isto será, certamente, importante para a criação e produção de conhecimento na área da cibersegurança, até de uma forma mais alargada, mas em concreto permitirá que CNCS, nomeadamente através do CERT.PT (que assegura a coordenação operacional na resposta a incidentes), apoie essas organizações com, por exemplo, sugestões e soluções mais robustas para a mitigação dos efeitos desses mesmos incidentes.

Esta abordagem junto das empresas é tarefa fácil?

Verifica-se uma maior perceção da existência de riscos no ciberespaço e uma consequente maior abertura para aprofundar o conhecimento em matérias relacionadas com a cibersegurança. Prova disso, no âmbito do balanço Mês Europeu de Cibersegurança (que decorreu ao longo do mês de outubro do ano transato) identificámos que este ano houve maior adesão por parte das empresas privadas, bem como da administração pública para promoção de iniciativas de sensibilização para estas questões, o que denota maior preocupação e consciencialização sobre tema. Há, no entanto, muito trabalho por fazer e observamos, ainda, a falta de enquadramento da cibersegurança, em algumas organizações, como fator de risco de negócio.

Em que medida os ciberincidentes fazem parte da consciência dos colaboradores e das entidades empregadoras? Serão os riscos e as consequências bem medidas?

A educação de todos os envolvidos (empresas, cidadãos e da própria sociedade civil) para uma cultura de segurança é essencial. Deste modo, é fundamental que exista uma maior preocupação em adotar comportamentos em conformidade, ou requisitos de segurança para proteção das suas redes e sistemas de informação. A título de exemplo, a Estratégia Nacional de Segurança, Regime Jurídico de Segurança do Ciberespaço preconizam uma abordagem baseada na gestão do risco.

Um dos objetivos do CNCS é promover projetos de inovação e desenvolvimento na área da cibersegurança. Neste sentido, que projetos estão neste momento em curso?

Como já aqui foi referido, há uma necessidade bastante grande de criação e produção de conhecimento nesta área, que permita o desenvolvimento e a tomada de decisões mais informadas no domínio das políticas públicas. Nesse sentido, há um conjunto de projetos em curso que visa a produção de materiais de referência, para cidadãos e organizações. Ainda neste campo, para além de todas as ações desenvolvidas por entidades públicas, estão em curso algumas iniciativas que contam com a participação de entidades dos setores público e privado. Através dos vários protocolos estabelecidos, e de outros que se estabelecerão no futuro, pretende-se a criação de uma rede de colaboração que contribua para a identificação dos melhores instrumentos, mecanismos e formas de capacitação que respondam da melhor forma às necessidades das organizações e dos cidadãos em geral.

A vertente de cooperação, seja ao nível nacional, seja ao nível internacional, é bastante importante e também contribui neste campo da inovação e desenvolvimento. Igualmente importante é a aposta na capacitação, treino e sensibilização de pessoas, e a título de exemplo podemos referir o projeto “Cidadão Ciberseguro”, uma medida Simplex, que será lançada já no próximo dia 5 de fevereiro, ou mesmo a dinamização de conferências e workshops, como é o caso da Conferência Anual de Cibersegurança – C-DAYS.

 

“Portugal ainda gatinha em questões de cibersegurança”

A Redshift Consulting está presente no mercado desde 2010 com colaboradores com mais de 25 anos de experiência e atua especialmente em duas vertentes: Data Networking e Information Security. Especializados em cibersegurança avaliam que lacunas existem no Estado e nas organizações.

João Manso começa por explicar que a grande “dificuldade atual do mercado está na conquista de investimento. Os líderes das empresas têm algumas dificuldades em entender o benefício da segurança como um investimento e não como um custo. Na cibersegurança temos tido algumas dificuldades neste sentido. Mesmo quando começou a haver mais capacidade de investimento, os empresários continuaram, na sua maioria, a olhar para a segurança como custo. O facto de as entidades, vítimas de ciberataques que acontecem hoje no nosso país com prejuízos significativos infligidos, não partilharem as suas experiências, contribui de forma significativa para esta ausência de sensibilidade para o problema”.

A segurança informática é facilmente entendida como um gasto uma vez que não produz capital. Algumas organizações começam a mudar esta filosofia, segundo o nosso interlocutor, e a definir estrategicamente na empresa a questão da necessidade de protecção como fator crítico de sucesso.

Desafios Redshift

“A cibersegurança exige hoje que se tenha uma visão holística do problema da Segurança de Informação requerendo uma equipa especializada multidisciplinar para suportar a implementação de projetos nos nossos clientes. A gestão das equipas técnicas, numa área de oferta em que escasseiam recursos especializados, é atualmente um grande desafio para qualquer empresa nacional ou internacional.

A contínua avaliação da indústria e a seleção dos melhores parceiros tecnológicos é também um desafio numa área que tem neste momento uma grande dinâmica de inovação e exigência.

Em Portugal a maturidade em cibersegurança é globalmente reduzida, não só em IT, mas principalmente em OT (Operational Technology), o que nos transporta para a necessidade de investimentos em áreas de intervenção que aumentem a visibilidade e proteção sobre a superfície de ataque alargada, como a gestão de vulnerabilidades, a gestão de identidades para a autenticação de todo o tipo de utilizadores em todo o tipo de dispositivos, aplicações e sistemas operativos, gestão de configurações e patching, a deteção de ataques avançados através da correlação de eventos e utilizando Machine Learning que permita identificar comportamentos anormais dos diversos componentes dos sistemas de informação e dos utilizadores.”

A transformação digital veio trazer alguma confusão e João Manso explica que “se tem dado elevada prioridade à transformação digital mas a segurança fica muitas vezes esquecida. Só a encaramos depois de outras questões, como por exemplo o tratamento de dados pessoais. A transformação digital tem que andar a par da segurança, nunca antes, nunca sozinha”, alerta.

Boas práticas existem

Em Portugal existe uma boa legislação em termos de proteção de informação. Mas porquê é que não há mais preocupação em torno da proteção?

“Existem normas internacionais, que apesar de não estarem ainda previstas na nossa legislação, começam agora a ser vistas como uma referência em termos de cibersegurança. Portugal preocupou-se muito com a proteção de dados e só depois se apercebeu que tinha que trabalhar melhor a segurança.

Estamos muito atrasados nestas questões, falta-nos maturidade, talvez devido à crise e à falta de recursos humanos. Pensarmos que não somos um alvo é perigoso. No dia em que alguém quiser fazer de Portugal um exemplo vamos ter problemas sérios”.

O ideal passa sobretudo pela educação para a cibersegurança, que na opinião do nosso entrevistado “tem de começar a ser ensinada às mais recentes gerações. Temos de aprender a usar a tecnologia de forma responsável. Os menos jovens são desmotivados perante a tecnologia e alguns são mesmo iletrados a nível informático e não entendem a dimensão dos perigos”.

Ciberataques acontecem e são difíceis de prevenir

Normalmente os ataques são dirigidos à direção de uma empresa. E são mais frequentes do que se pensa. Para evitá-los ainda falta formação a par da informação.

Uma das atividades que mais contribui para a cibersegurança é o treino. Treino do pessoal, das equipas e entre equipas. Neste âmbito ainda falta muito em Portugal, é preciso mais investimento na criação da capacidade de treino e em exercícios mais regulares e mais abrangentes.

Os responsáveis por segurança informática dizem, há anos, que uma pessoa que trabalhe numa organização não pode considerar que o computador em que trabalha é seu, há que ter cuidado com a instalação de software, e com a utilização feita em ambiente familiar, por exemplo. É necessário o envolvimento de todas as pessoas da empresa para garantir a segurança dos dados, esse é um trabalho longo e que requer formação. As pessoas são o elo mais fraco de qualquer sistema de segurança.

“Vemos muitas empresas que já começam a estar atentas a estas questões, mas ainda somos imaturos”, refere João Manso.

“Não estamos preparados nem enquanto empresas nem enquanto país, para lidar com as consequências de um ciberataque de grande dimensão”

Em Portugal, existem três grandes áreas no Centro Nacional de Cibersegurança (CNCS). A primeira missão tem a ver com a preparação das organizações, do Estado, das empresas, para o tema da cibersegurança. O CNC tem ainda o Centro de Resposta a Incidentes de Segurança (cert.pt), com ligação privilegiada aos membros da União Europeia, Israel, Brasil e outros países

Porém o grave problema é a falta de fundos, nas organizações e, principalmente, no Estado, de modo a que haja forma de fazer funcionar o sistema neste sentido.

Quando há um ataque e não há partilha as consequências triplicam. “Uma parte muito importante da cibersegurança é a partilha. Mais tarde ou mais cedo surgirão regulamentos que nos obriguem a fazê-lo. Por partilha entende-se avisar que fomos vítimas de um ataque. É o princípio mais importante, já que quanto mais ajuda tiver, mais depressa resolvo o meu problema. No entanto, ainda há uma certa vergonha associada ao facto de se ser atacado”.

Neste momento, as empresas e o Estado não estão preparados para as consequências de um ataque e em muito se deve à falta de dois recursos: humano e financeiro.

O Phishing em Portugal

De acordo com o relatório de spam e phishing realizado pela Kaspersky Lab em 2017, Portugal encontra-se em 8º lugar no top dos países que mais phishing recebem estando apenas acompanhado por outros dois países Europeus, a Albânia (6º) e a Rússia (10º). As organizações mais vulneráveis a ataques phishing e spam são as da área da banca, sistemas de pagamento e lojas online, encontrando-se Portugal com um nível médio de risco, sendo este valor idêntico aos restantes valores europeus.

EMPRESAS