Analysis
Lino Santos, Coordenador do Centro Nacional de Cibersegurança, explica, em entrevista, as iniciativas que o CNCS tem vindo a levar a cabo para aumentar as competências de cibersegurança das organizações portuguesas
Por Rui Damião . 06/06/2023
Nos últimos anos, o Centro Nacional de Cibersegurança tem lançado várias iniciativas. Em 2021, no primeiro número da IT Security, Lino Santos referiu duas dessas iniciativas – a C-Academy e a C-Network – como instrumentos para aumentar a especialização dos colaboradores das organizações e para levar o CNCS mais perto das empresas que não estão em Lisboa. Nesta entrevista, o foco são as iniciativas que têm sido lançadas e que estão a decorrer para aumentar os conhecimentos de cibersegurança dos cidadãos e das organizações e como é que estas podem tirar partido destes programas para aumentarem a sua proteção.
Durante o C-Days Madeira, referiu que a C-Network é uma “componente extremamente importante da estratégia da criação de competências”. Qual é, exatamente, o objetivo que a C-Network pretende atingir? A C-Network é um financiamento do PRR num valor de cerca de 6,3 milhões de euros que pretende criar sete centros de competência em cibersegurança um por cada região de NUTS II – cinco no continente e dois nas regiões autónomas. Tem por objetivo ter uma lógica de proximidade com as regiões, com as autarquias, com o poder local, com o tecido de pequenas e médias empresas de cada uma destas regiões e prestar apoio direto a estas entidades, prestar um aconselhamento naquilo que devem ser as estratégias de maturidade de cibersegurança das organizações e, depois, acompanhar o desenvolvimento de cada um destes processos. O objetivo é no fim do PRR – em março de 2026 – ter apoiado cerca de 1.800 entidades no país. A lógica é ter um Centro Nacional de Cibersegurança perto das organizações, ou seja, ajudar as organizações a identificar os instrumentos necessários para melhorarem a sua cibersegurança, ajudar as organizações inclusive a encontrar financiamento necessário para investir em cibersegurança e, depois, acompanhar o resultado deste apoio ao longo do tempo. Dar um apoio proativo às organizações e não reativo a um ciberincidente? Numa lógica preventiva, claramente. Temos um conjunto de instrumentos criados a nível nacional, como por exemplo a C-Academy, temos selos de maturidade digital – esquemas de certificação em cibersegurança –, temos referenciais de boas práticas, temos cursos de sensibilização e que pretendem dotar de competências de cibersegurança os cidadãos e funcionários das organizações. O objetivo é chegar com este portfólio de serviços o mais próximo possível das pequenas e médias empresas e da administração local em cada uma destas regiões. No fundo, é expandir o Centro Nacional de Cibersegurança para o país profundo. Referiu um portfólio de serviços que pode ser interpretado como uma concorrência às empresas fornecedoras de serviços de cibersegurança. O que é que significa este portfólio de serviços? Pretendemos sempre um aconselhamento, dar indicações, prestar apoio, mas não nos substituímos ao mercado. Tudo o que é matéria de, por exemplo, realização de auditorias, testes de penetração ou desenho de soluções, o objetivo é que estas entidades ou têm recursos próprios para o executar ou recorram ao mercado, exatamente nos mesmos termos que funcionamos aqui em Lisboa. Quando uma organização precisa desse tipo de serviços, o Centro Nacional de Cibersegurança vai aconselhar uma empresa para prestar esse serviço?
Não aconselhamos empresas prestadoras de serviços. É uma área que queremos trabalhar este ano no sentido de ter esquemas de certificação para empresas prestadoras de serviços. De facto, muitas empresas pedem-nos recomendações de prestadores de serviços de cibersegurança; não o fazemos, mas vemos essa necessidade. O que temos em plano de atividades é, até ao final do ano, criar um esquema de certificação, para já, para empresas prestadoras de serviços de pentesting e de resposta a incidentes e avaliar estas empresas – elas submeterem-se à certificação – e fazerem, aí sim, parte de uma pool de empresas certificadas com um determinado grau. Em que ponto está a C-Network neste momento? Temos praticamente o aviso pronto. Contamos lançar publicamente o aviso para apresentação de candidaturas até ao final deste mês [maio]. Tivemos um conjunto de reuniões com partes interessadas, fizemos um trabalho de divulgação da iniciativa junto destas comunidades locais, fizemos uma série de webinars que contaram com mais de 700 participantes para explicar o que é o projeto, quais são os objetivos, que tipo de estrutura é que gostaríamos de ver a concorrer a estes financiamentos, no fundo, a preparar o terreno até ao lançamento do edital até ao final deste mês. Quais são os próximos passos desta iniciativa? É o lançamento do edital e depois faremos uma avaliação das candidaturas recebidas, contando algures entre setembro e outubro poder vir a celebrar os contratos de financiamento. Indicou a certificação de empresas prestadoras de serviços. Como é que esse se processo se irá desenvolver? Enquadramos este trabalho dentro daquilo que é o Quadro Nacional de Certificação de Cibersegurança. É uma atribuição que é feita ao Centro Nacional de Cibersegurança no decreto-lei 65/2021 e que prevê – alinhando, inclusive, com o Regulamento de Cibersegurança da União Europeia – o desenho de esquemas de certificação com três níveis distintos por parte do Centro Nacional de Cibersegurança. A primeira fase que faremos será produzir um esquema de certificação – que levaremos, com certeza, a consulta pública – antes de tornar oficial. Uma vez produzido este esquema de certificação, trabalhamos com o IPAC na acreditação de auditores e esperamos que o mercado de empresas de certificação adira a este processo e preste estes serviços em concorrência para certificar as entidades. O decreto-lei 65/2021 atribui a função de Autoridade Nacional de Certificação de Cibersegurança ao Centro Nacional de Cibersegurança, mas o objetivo é que esta função seja prestada pelo mercado diretamente às entidades que voluntariamente se submetem a este processo. Acreditamos que isto pode ser muito interessante porque, sublinho, há uma crescente procura por serviços de cibersegurança e estes processos de certificação pretendem assegurar algum grau de confiança nas relações entre prestador e cliente e acreditamos que pode ser uma forma, inclusive, de melhorar a qualidade dos serviços prestados nesta área. Falando agora da C-Academy, numa entrevista em 2021 indicou que o objetivo seria requalificar dez mil especialistas em cibersegurança. Como é que está esse processo?
Tivemos algum trabalho burocrático no que diz respeito à aquisição de serviços para prestação quer dos serviços de criação de conteúdos, quer de leccionamento de cada um dos cursos. Entendemos que era útil ter uma fase piloto deste processo. Desde o início deste ano já fizemos cinco cursos de formação com 116 formandos. Contamos terminar este processo piloto algures em junho com a formalização de contratos com as instituições de ensino superior que vão prestar estes serviços. Realizámos um concurso público internacional para o efeito, recebemos 21 propostas – portanto, há 21 instituições de ensino superior interessadas em participar neste projeto – e contamos celebrar contratos algures entre junho e julho com o objetivo de arrancar em velocidade de cruzeiro com o arranque do ano letivo em outubro. Estas instituições de ensino estarão espalhadas pelo país? O júri ainda está a avaliar as propostas, mas o objetivo é esse: ter esta oferta formativa em todo o território nacional. Este programa pode ser um instrumento para as organizações que querem melhorar as suas competências em cibersegurança e enviarem os seus colaboradores para este programa e os requalificarem? Desenhámos a oferta formativa desta C-Academy com o objetivo de dar as competências necessárias aos funcionários existentes nas organizações que já têm alguma responsabilidade na área da cibersegurança, nomeadamente no que diz respeito às obrigações previstas no Regime Jurídico de Segurança do Ciberespaço. O nosso objetivo foi: há um conjunto grande de entidades operadoras de serviços essenciais e de infraestruturas críticas e organismos da administração pública portuguesa que estão obrigadas a implementar ciclicamente mecanismos de análise de risco e, na sequência, implementar medidas constantes do Quadro de Referência Nacional em Cibersegurança. Ou seja, o que fizemos foi criar um percurso formativo onde qualquer pessoa que precise de executar uma qualquer componente deste ciclo de gestão da segurança de informação e de cibersegurança previsto no Regime Jurídico de Segurança do Ciberespaço tenha uma oferta formativa à medida dentro da C-Academy. É muito focado na requalificação de pessoas que já estão nas organizações e que têm de executar tarefas relacionadas com o Regime Jurídico de Segurança do Ciberespaço. Agora, é lógico que serve, também, aquelas pessoas que querem de alguma forma alargar o seu leque de competências, mudar de área e abraçar esta área da cibersegurança, ganhando as competências necessárias para exercer funções numa qualquer entidade que referi. Há pouco falou do selo de maturidade digital. Como é que esse selo de maturidade digital está? O selo de maturidade digital é uma peça essencial para o desenvolvimento de competências nas pequenas e médias empresas. O selo de maturidade digital está estruturado em três níveis de certificação – bronze, prata e ouro – e pressupõe que qualquer entidade possa definir uma estratégia de crescimento da sua maturidade de cibersegurança estruturada e não percorrer num curto espaço de tempo um grande caminho e ter obrigatoriamente de fazer um grande investimento. Podemos estruturar este caminho em três fases. Neste momento, existe um conjunto de entidades certificadoras no mercado habilitadas a certificar nos três graus previstos o selo e temos já um conjunto de entidades certificadas. A adesão não tem sido a ideal e, por isso, o Centro Nacional de Cibersegurança tem promovido a utilização deste selo de maturidade digital porque acreditamos que é uma forma de, desde logo, sensibilizar as chefias das organizações para o tema.
O nível bronze do selo de maturidade digital foi desenhado para ser fácil de atingir. Mas, ao mesmo tempo, tem um conjunto de medidas que responde a grande parte dos problemas que nós trabalhamos ao longo do ano, nomeadamente os que dizem respeito à componente comportamental da segurança. Dou um exemplo: o selo de maturidade digital em cibersegurança no nível bronze exige que as organizações tenham todos os seus funcionários formados com as competências básicas de utilização – os aspetos de ciberhigiene –, também exige a utilização de múltiplo fator de autenticação e uma política de atualização de software. São três componentes relativamente simples de atingir, mas que a maior parte das organizações não faz. O nosso objetivo é sensibilizar para a importância destes três fatores como resposta aquilo que observamos que são o maior número de incidentes que tratamos: as questões relacionadas com phishing, smishing ou vishing, as questões relacionadas com ransomware e as questões relacionadas com o comprometimento de conta. Estas três tipologias de ataque configuram mais de metade dos incidentes que tratamos no Centro Nacional de Cibersegurança. Colocar as medidas básicas de resiliência a este tipo de ataques no nível bronze foi propositado e daí a nossa esperança de que uma boa adesão ao selo de maturidade digital na área da cibersegurança venha a melhorar o contexto do número de vítimas deste tipo de ataques em Portugal. Tendo em conta que já existem algumas empresas com este selo de maturidade digital em cibersegurança, qual é o perfil médio dessas organizações? Não temos esses dados. O selo de maturidade digital é um projeto do Instituto Nacional da Casa da Moeda e tem por base uma norma do Instituto Português de Qualidade; não é um esquema de certificação no âmbito do Quadro Nacional de Certificação em Cibersegurança. No entanto, é para nós – do ponto de vista de política pública nacional – o instrumento que temos centrado na questão da criação de competências nas pequenas e médias empresas, ou mesmo organizações da administração pública de pequena dimensão. O CNCS e a Secretaria de Estado da Digitalização e Modernização Administrativa lançaram este mês uma campanha nacional para uma utilização mais segura da Internet. Qual é a importância de levar a cabo esta campanha? O objetivo é chegar ao maior número de pessoas possível com as competências básicas de segurança na ótica do utilizador, é dotar de competências de ciberhigiene o maior número de cidadãos possível e, com isso, reduzir o número de ataques de engenharia social. Vai ser uma campanha, para já, com uma duração prevista de três meses, utilizando um conjunto de meios de comunicação de massa – incluindo televisão – para chegar a algumas das faixas etárias que o Centro Nacional de Cibersegurança por norma não conseguia atingir através dos seus meios – que tipicamente são redes sociais. Há aqui uma mudança de paradigma sobre os meios a utilizar e tentar alcançar outro tipo de público. Neste contexto, é para nós particularmente relevante conseguir chegar aos mais jovens e aos mais idosos. Os nossos relatórios do Observatório de Cibersegurança apontam para uma maior fragilidade nas camadas dos mais idosos e, também, dos mais jovens, mas por razões e consequências distintas: nos mais idosos, observamos uma ligação e correlação com a literacia desta faixa etária e onde os receios e o sentimento percecionado de ciber insegurança leva a baixos padrões de utilização de serviços digitais, seja na relação com o Estado ou, por exemplo, em compras online ou de serviços de banca eletrónica, entre outros; nos mais jovens temos uma causa-efeito um pouco diferente que associamos a um maior apetite para o risco, de diferentes valores para a segurança e para a privacidade que leva os mais jovens a correrem riscos desnecessários e com o resultado de serem muitas vezes vítimas de esquemas de fraude. Em termos práticos, a campanha consiste num conjunto de boas práticas de cibersegurança em áreas como a utilização de múltiplo fator de autenticação, relativo às questões do manuseamento de palavras-passe, os requisitos para ter uma palavra-passe forte, à salvaguarda de dados e backups, a proteção das redes Wi-Fi em casa, às questões relativas com os cuidados a ter nas redes sociais, à desinformação e à filtragem de consumo de informação online e conseguir distinguir o que pode ser uma notícia falsa, cuidados relativos à utilização de comércio eletrónico – os cuidados a ter com as compras online –, portanto, cuidados básicos que os cidadãos devem ter em conta no seu dia a dia. O objetivo é tornar estes cuidados o mais instintivos possível e naturais, ou seja, que qualquer cidadão realize o processo de risco – se deve abrir um email ou não – quase que de forma inconsciente e isto significa treinar e estar atento, daí o nome da campanha ‘#LerAntesClicarDepois’. Falámos de algumas iniciativas que o Centro Nacional de Cibersegurança tem levado a cabo. Existem outras que não foram mencionadas e que são relevantes para as organizações? Era importante realçar um trabalho que concluímos no início deste ano relativo à criação de um esquema de certificação em conformidade com o Quadro Nacional de Referência em Cibersegurança. Se o selo de maturidade digital em cibersegurança se foca e vemos como o instrumento dedicado às pequenas e médias empresas e organizações da administração pública de pequena dimensão, este esquema de certificação em conformidade com o Quadro Nacional de Referência em Cibersegurança destina-se aos operadores de serviços essenciais e os grandes organismos da administração pública, aqueles que prestam serviços partilhados TIC para outros organismos da administração pública. É um instrumento que, de alguma forma, vai ajudar as organizações a ganharem algum conforto no que diz respeito ao seu grau de conformidade com o Regime Jurídico de Segurança do Ciberespaço a que estão sujeitos. É um instrumento essencial dentro do nosso portfólio de serviços. Qual é o conselho que deixa para os responsáveis de cibersegurança das organizações nacionais? Identificarem o referencial. Se forem uma grande empresa temos o Quadro Nacional de Referência em Cibersegurança; se forem uma pequena ou média empresa temos o selo de maturidade digital na componente de cibersegurança. Trabalhar para a conformidade com este referencial e fazerem os investimentos necessários para prevenir os incidentes e prepararem-se para a resposta a um incidente quando ele ocorrer. Se há uma lição aprendida que tiramos do grande volume de incidentes em 2022 é que as entidades que menor impacto tiveram decorrente do incidente, as entidades que não perderam dados foram aquelas que tinham planos de continuidade de negócio escritos e testados, tiveram os meios alocados para os executar e tiveram o menor impacto desses incidentes. Apostar no normativo e preparar para um incidente caso venham a ser alvo. |