Quiosque
Caps LockQuiosque

LINO SANTOS

Comportamentos seguros reduzem exposição a ciberataques

Muitos desconhecem a sua existência, e ainda mais o seu papel na sociedade, mas o Centro Nacional de Cibersegurança (CNC) existe desde 2014, sob a alçada da Presidência do Conselho de Ministros e integrado no Gabinete Nacional de Segurança. A Shift falou com Lino Santos, coordenador do CNC, para perceber qual o estado do país no que se refere à cibersegurança.

Qual o papel do Centro Nacional de Cibersegurança?
As atividades do Centro distribuem-se pelas várias áreas da cibersegurança, desde a prevenção – temos uma forte aposta na área da sensibilização, um trabalho contínuo, onde ainda há muito a fazer, por exemplo, ao nível dos comportamentos de utilização da tecnologia – até à outra ponta do espectro, a reação – onde temos o serviço de coordenação da reação a ciberincidentes. Trabalhamos em colaboração com as empresas e com a Administração Pública, ajudando-as a reagir ou a recuperar de incidentes que já ocorreram.

O tal trabalho de reação...
Sim. Depois de acontecer, trabalhamos para recuperar a confiança dos sistemas, tentamos perceber a origem do incidente, o que aconteceu e quando aconteceu. A única coisa que não fazemos é identificar quem foi o autor, pois isso é o papel da Polícia Judiciária e de outras forças de segurança com quem trabalhamos de forma muito próxima. Normalmente, o ciberincidente tem associados um ou mais crimes informáticos, portanto cada qual na sua área de competência. Nós, numa lógica de negócio, continuidade da atividade; a Polícia Judiciária numa lógica de persecução criminal para levar os autores à justiça.

Já a sensibilização é mais direcionada para o cidadão ou também promovem ações deste tipo junto das empresas?
Quando falamos em comportamentos, é extremamente difícil dissociar o “eu” cidadão do “eu” colaborador de uma entidade. Portanto, estamos a falar dos conceitos básicos de utilização de tecnologia, que devem ser os mesmos tanto em casa como numa empresa.
Uma das formas de o fazer é através de um curso online e gratuito – Cidadão Ciberseguro –, que está alojado na plataforma NAU e que tem esta dualidade. Serve para criar novos comportamentos de segurança no ciberespaço para cidadãos, em contexto residencial, mas também pode ser utilizado por empresas, para dotar todos os seus funcionários dos comportamentos mínimos desejados e necessários.

Qualquer cidadão pode aceder a essa plataforma e seguir a formação que é dada?
Sim. É um curso relativamente simples e simpático, que tem associado um conjunto de conteúdos textuais, mas também um conjunto de pequenos vídeos. Tem uma duração de 15 horas, mas pode ser feito de forma pausada, com interrupções.

E nas escolas? Têm também algum tipo de colaboração para começar essa sensibilização com as crianças?
Quando criamos estas iniciativas de sensibilização, tentamos não duplicar esforços. Temos trabalhado de forma muito próxima com a Direção-Geral de Educação, e essa, sim, através do projeto SeguraNet, está a trabalhar em conjunto com as escolas e com os alunos diretamente. Este projeto faz parte de um consórcio mais alargado, chamado Centro Internet Segura, que é liderado pela Fundação Ciência e Tecnologia, que tem um outro conjunto de atividades de sensibilização para os riscos e comportamentos seguros. Estou a lembrar-me, por exemplo, de um projeto da PSP chamado Escola Segura, em que os agentes vão às escolas e fazem ações de sensibilização. Tentamos, por isso, complementar os esforços.

Como acha que está Portugal em termos de cibersegurança em relação a outros países europeus?
Essa pergunta não é fácil de responder. Trabalhamos em rede, ou seja, todas as entidades têm alguma responsabilidade operacional nesta área da cibersegurança, onde estamos nós, com a equipa de reação a incidentes, a Polícia Judiciária, com a unidade de combate ao cibercrime e ao crime tecnológico, o Estado-Maior General das Forças Armadas, com o centro de ciberdefesa, e os Serviços de Informação, com a unidade de cibersegurança. Com o trabalho em rede temos uma noção das fragilidades e dos ataques que vão ocorrendo nos vários países que compõem essa rede. O que lhe posso dizer é que não somos diferentes dos outros e os ataques, mais ou menos destrutivos, que apanhamos nas notícias também ocorrem em Portugal, isto numa visão comparada.

E em termos de maturidade?
Do ponto de vista da maturidade e do nosso desejo de ter as entidades capacitadas para responder de forma eficaz a estes desafios temos um longo caminho pela frente. Há um conjunto de entidades privadas, e também da Administração Pública, que tem um elevado grau de maturidade por razões naturais. O setor da banca, por exemplo, está habituado a lidar com o risco, faz parte do negócio, e muito cedo teve de se preocupar com estas questões, pois foram dos primeiros a ter serviços online. Temos, por isso, um elevado grau de maturidade na banca e noutros setores da Administração Pública, como as finanças e a defesa, também pela forma e pelo caminho que percorreram na introdução da tecnologia nos seus sistemas e nos seus processos. Mas há outros setores que estão aquém do desejado, e, portanto, temos ainda trabalho a fazer.

Em que pode o Centro Nacional de Cibersegurança ajudar?
O Centro Nacional de Cibersegurança trabalha muito na produção de normas e referenciais para as entidades saberem qual o grau de maturidade desejado, quais os processos, quais as tecnologias que devem ser implementadas para atingir um patamar mínimo e, digamos, harmonioso de cibersegurança nacional. Nesse contexto, estamos a produzir um quadro de referência nacional para a cibersegurança, um documento de adesão voluntária, mas que cria pela primeira vez um referencial do que é o estado mínimo de cibersegurança desejado nas organizações. Acreditamos que irá ajudar as nossas empresas e as nossas entidades da Administração Pública a definirem um caminho nesta área da cibersegurança.

A cibersegurança ainda é muitas vezes vista pelas empresas como um custo, e não como um investimento. Não será essa mentalidade que se tem de mudar?
É verdade. Temo-nos apercebido disso nas várias conversas com as empresas, e é uma área em que estamos a trabalhar com alguns parceiros do setor privado para criar um módulo – queremos fazê-lo até ao final do ano – específico de sensibilização para decisores ou donos de empresas exatamente para inverter essa lógica de que a cibersegurança é um custo e não um investimento. E também acautelar a tomada de decisão da introdução de inovação tecnológica face ao risco dessa introdução no processo de negócio. Ou seja, vemos que algumas das inovações que são implementadas acarretam mais risco do que benefício, e normalmente as empresas olham para a inovação tecnológica e para a introdução de tecnologia nos seus processos numa perspetiva apenas do benefício, descurando o risco que acarreta em relação ao seu estado atual. Portanto, a inovação tecnológica é importante, é uma questão de sobrevivência nalgumas áreas, mas requer uma avaliação de risco à priori que julgo que não está a ser feita na maioria das vezes.

E isso é o que pretendem com esta ação de sensibilização?
Exatamente. A ação de sensibilização é focada na introdução do risco de cibersegurança no risco do negócio.

Em relação às falhas de segurança que são verificadas no nosso ecossistema empresarial, quais as mais frequentes?
A maior parte dos ataques ainda são da categoria de malware ou associados a esquemas de extorsão. É aquele esquema em que o computador, depois de infetado, fica bloqueado e depois é pedido um resgate para darem a senha. Mais recentemente tem havido um forte incremento na utilização desses computadores que estão infetados com malware para fazer cryptomining. Os criminosos vão sempre atrás do dinheiro e verificaram que conseguem ganhar mais, por exemplo, a colocar o computador silenciosamente a gerar criptomoeda, pois o visado nem percebe que tem o computador infetado.

Temos um tecido empresarial com mais de 90% de PME com uma, duas ou três pessoas. Estas empresas estão preparadas ou ainda lhes falta sensibilização?
Para as PME, aquele problema do risco da digitalização, da transformação digital, é maior do que nas empresas de maior dimensão. Estamos conscientes disso, e quando falei em criarmos normas que ajudem as empresas a identificar um caminho e a colocar a análise do risco de cibersegurança dentro do contexto de risco de negócio, isso será mais importante para as PME. O quadro de referência nacional em cibersegurança terá um subconjunto vocacionado para as PME. É extremamente importante termos guias simples para orientar os investimentos e o crescimento em maturidade nas componentes de prevenção, de deteção e de reação a ciberincidentes específicos para as empresas de menor dimensão.

Mas nas PME também tem de haver transformação digital...
Sim, e ainda temos níveis muito baixos de transformação digital nas pequenas e médias empresas, por isso os próximos anos vão ser de transformação digital também nas PME. Queremos estar preparados para as poder ajudar nas tomadas de decisão relativamente ao investimento em cibersegurança.

Há estudos que revelam que muitas das falhas de segurança partem do interior da empresa, como, por exemplo, partilha de passwords. Isso é também uma realidade em Portugal?
Há um elemento comum tanto na ameaça interna como na ameaça externa que é o funcionário ou colaborador e os comportamentos mais ou menos seguros que ele tem. Os agentes de ameaças externas exploram as vulnerabilidades, e essas são de alguma forma endémicas à tecnologia, como, por exemplo, uma peça de software, um programa ou uma aplicação que tem uma vulnerabilidade não conhecida. Portanto, o comportamento que muitas vezes está por trás do acidente passa por não se fazerem as atualizações de software no seu devido tempo. O mesmo se aplica à ameaça interna, como partilhar passwords, negligência, entrada em produção de sistemas que não estão devidamente testados, por exemplo. Muitos dos leaks dos dados pessoais que observámos nos últimos tempos dizem respeito a sites que têm alguma interação com o utilizador e que não foram sujeitos a testes de segurança antes de serem implementados e por isso são vulneráveis a esquemas como cross-site scripting. Testes exaustivos de segurança antes de aquele site aparecer na Internet ou uma atualização do mesmo teriam evitado os incidentes de segurança.

Com a entrada em vigor do Regulamento Geral de Proteção de Dados há uma maior sensibilidade nas empresas para estas questões da segurança e da cibersegurança?

Acho que todo o processo de entrada em produção do Regulamento Geral de Proteção de Dados constituiu um momento de sensibilização para o tema da cibersegurança, sendo, portanto, uma nota extremamente positiva. Penso que houve uma mudança de paradigma e há aí um efeito muito, muito útil doRegulamento Geral de Proteção de Dados para a cibersegurança, porque proteger dados pessoais também ajuda a proteger o funcionamento do negócio.

Se não protegerem os dados pessoais dos clientes, as empresas também perdem em termos de competitividade, pois perdem a confiança dos clientes...
É uma preocupação da União Europeia, que olha para a cibersegurança numa perspetiva de mercado e de mercado único digital. Ou seja, é uma lógica de confiança dos utilizadores neste mercado único e digital que estão a construir. Os Estados membros também perceberam isto e as suas estratégias nacionais de cibersegurança apontam nesse sentido. A prosperidade não é possível sem segurança, e segurança também neste meio digital, o que põe em causa uma lógica de regulação e criação de patamares mínimos de cibersegurança. Há um documento muito importante de uma diretiva europeia, chamada diretiva de segurança das redes e da informação, que tem exatamente este objetivo de criar um patamar mínimo de cibersegurança com um conjunto de operadores e prestadores de serviços digitais de vários setores e subsetores de atividade. Isso já foi transposto para o nosso regime jurídico em agosto do ano passado, com o nome de regime jurídico de segurança do ciberespaço. O que se pretende não é uma abordagem de adoção voluntária de medidas de segurança, mas sim a definição de um conjunto de requisitos obrigatórios para o que são considerados serviços com forte impacto na vida dos cidadãos.

A Estratégia de Segurança Nacional do Ciberespaço, criada em 2015, foi revista o ano passado. O que mudou?
Uma das mudanças diz respeito ao processo como foi criada. A estratégia de 2015 foi criada pelo Centro Nacional de Cibersegurança, logo após a sua criação, em outubro de 2014, e sem a participação dos principais stakeholders desta área. Houve agora uma grande mudança com a revisão da estratégia, pois a Estratégia Nacional de Segurança no Ciberespaço 2.0 foi criada, no contexto de um grupo de trabalho, para o Conselho Superior de Segurança no Ciberespaço e já envolveu o nosso ecossistema de cibersegurança. Foram cerca de 20 entidades que trabalharam na elaboração desta estratégia nos vários setores da Administração Pública, forças e serviços de segurança e outras entidades. Foi participada e inclusiva, e isso faz toda a diferença, porque melhor do que ter uma estratégia é ter um plano que atinja os objetivos que lá estão definidos.

Acaba de decorrer a segunda edição do Exercício Nacional de Cibersegurança com um cenário relacionado com as eleições. Qual o objetivo?
É um exercício que tem como público alvo as autoridades nacionais e os responsáveis por este tema das eleições. O objetivo é colocar em stress estas entidades com um conjunto de incidentes que despoletem uma tomada de posição, uma coordenação e uma colaboração entre elas. A ideia é prepararmo-nos para algumas situações que possam vir a acontecer em cenário real.

De que tipo de situações estamos a falar?
Temos quatro cenários de fundo. Um deles diz respeito a ataques contra os sistemas de apoio ao processo eleitoral, o outro, a ataques contra operadores de serviços essenciais que de alguma forma possam ter impacto no processo eleitoral, e dois focados na componente informacional: um relativo a campanhas de desinformação de um agente externo e o outro relacionado com roubo de informação de um partido político usada depois em campanha eleitoral contra ele. Estamos a falar de cenários todos eles plausíveis, até porque já aconteceram noutras partes do mundo. A ideia aqui é ver como é que as nossas autoridades reagem a estas situações.

Quais são os grandes desafios da cibersegurança para os próximos anos?
O desafio é já hoje. Estamos a reagir a este progresso tecnológico, que inclui a utilização da tecnologia para um conjunto de ações maliciosas que já cobre o espectro da destruição. E já vimos verdadeiros cenários de destruição, cenários de influência de campanhas partidárias, interferência em regimes democráticos. Eu diria que o próximo passo poderá passar pela complexidade que alguns dos sistemas informáticos irão atingir com a introdução, por exemplo, de mecanismos de inteligência artificial e machine learning. Complexidade esta que está associada a um aumento da vulnerabilidade, e se há vulnerabilidades elas irão ser exploradas. Estes dois fatores juntos são assustadores.

Qual a solução?
Uma grande parte da solução está nos comportamentos. Aquilo que podemos perceber é que os comportamentos seguros reduzem em grande medida a nossa exposição a ciberataques.