“Há empresas que querem crescer do ponto de vista da cibersegurança, mas não sabem como”

IT Insight – De forma simples, qual é o trabalho do Centro Nacional de Cibersegurança? 

Lino Santos – O CNCS trabalha com o objetivo de assegurar um ciberespaço de interesse nacional seguro, mas também que o cidadão nacional o utilize de uma forma segura e confiável. O CNCS trabalha nas várias fases do que compõe a cibersegurança. 

A principal é a componente de reação. Este é o foco inicial; quando algo de mal acontece, o Centro tem um papel de coordenação da resposta. 

Obviamente não somos donos das infraestruturas, não metemos as mãos nos teclados dos computadores das empresas ou das entidades da administração pública, mas temos um conhecimento abrangente sobre as ameaças e as formas de atuação para as mitigar. 

Trabalhamos bastante, também, na área da sensibilização e prevenção. No dia 5 de fevereiro, por exemplo, lançámos um curso integrado chamado “Cidadão Ciberseguro” que dá um conjunto de dicas e conselhos para aquilo que se chama Ciber Higiene. 

Uma outra área onde estamos a trabalhar é na normalização. Com a publicação do regime jurídico de segurança do ciberespaço em agosto [de 2018], o CNCS é a entidade competente para um conjunto de setores e subsetores de atividades da nossa económica e vamos produzir um conjunto de requisitos de segurança aos quais estão obrigados a implementar dentro das organizações para as funções que são consideradas essenciais no contexto de operadores de serviços essenciais. 

Como se pode endereçar a cibersegurança no tecido empresarial nacional composto por PME que não têm estrutura para cibersegurança? 

Essa é uma das preocupações que temos. Quando estávamos a planear este regime jurídico, o que se chamam de operadores de serviços essenciais são normalmente grandes empresas e têm um conjunto de requisitos que são obrigadas a implementar. 

O que fizemos para as PME foi introduzir esta regulamentação do regime jurídico num contexto um bocadinho mais alargado e criar um conjunto de instrumentos que indiquem o caminho para chegar a esse patamar. Aí já estamos a falar de regimes de adesão voluntária. Contamos ter esse trabalho terminado em meados de fevereiro, uma coisa que se chama Quadro Nacional de Referência para a Cibersegurança, que é uma adaptação das normas do NIST Cybersecurity Framework. 

Vamos tê-lo como referencial normativo nacional e vamos ter os requisitos de segurança para os operadores de serviço essenciais enquadrados neste quadro de referência nacional onde é obrigatório implementar determinadas medidas. Para os restantes, e pensando muito particularmente nas PME, vamos criar um instrumento chamado Modelos de Maturidade para a Cibersegurança que é mais do que um conjunto de medidas e controlos a aplicar; é definir as prioridades e indicar o caminho de como crescer na maturidade da cibersegurança. 

Vamos criar quatro documentos nesta área: um já está publicado, que é o Modelo de Maturidade para a Reação a Incidentes; depois, vamos fazer um para prevenção a incidentes, outo para deteção de incidentes e, por fim, gestão da segurança da informação. Estes modelos descrevem o caminho a percorrer para atingir os vários níveis de maturidade. 

Em cima disto, a ideia é ter um assessment framework ou uma certificação de produtos que implementam as medidas presentes nos níveis de maturidade. As empresas querem crescer do ponto de vista da cibersegurança, mas não sabem como. Está programado para 2019. 

Essa certificação pressupõe que existam entidades certificadoras? 

Exatamente. Não vamos ser nós, não temos essa capacidade. Temos que desenhar o modelo com um número de entidades certificadoras e depois as empresas submetem os produtos a esse processo. 

Muitos dos ataques a uma organização começam por um ataque de phishing. Como se sensibilizam os utilizadores para os comportamentos de risco que devem evitar? 

A sensibilização será uma aposta contínua, assim como ajudar a criar comportamentos seguros na utilização da tecnologia. Uma das coisas que estamos a pensar no modelo de maturidade de prevenção é exatamente que para uma organização chegar ao nível de maturidade um, todos os colaboradores têm que ter regularmente sessões de ciber higiene. Considerámos isso essencial e vamos dar a importância devida. 

“Portugal tem, e acho que nos podemos orgulhar, uma das maiores redes de cooperação de reação a incidentes na Europa.” 

-Lino Santos, Coordenador do Centro Nacional de Cibersegurança

O CNCS está a trabalhar em programas de cooperação? Como é que esses programas ajudam não só as empresas, mas também os utilizadores finais? 

Sim, trabalhamos e cooperamos nacional e internacionalmente. Na reação a incidentes, o CERT.pt, já dentro da FCT, pertencia às redes europeia e mundial de equipas de reação a incidentes. A diretiva NIS cria uma rede formal europeia de CSIRT com pontos únicos de contacto para reação a incidentes transfronteiriços. 

Portugal tem, e acho que nos podemos orgulhar, uma das maiores redes de cooperação de reação a incidentes na Europa. Temos uma rede nacional de CSIRT com mais de 40 membros. 

Foi criada em 2008 e é uma rede onde se partilha muita informação e é usada em contexto de crise, mas também se desenvolvem produtos. 

Foi no seio desta rede, por exemplo, que em 2010 foi criada uma primeira taxonomia de classificação de incidentes. De notar que o trabalho do CERT.pt em qualquer incidente é complementar ao de outras entidades nacionais. 

Perante um incidente – que provavelmente configura um crime – nós atuamos de forma complementar à Polícia Judiciária e ao Ministério Público. Eles com o objetivo de identificar e levar à justiça os perpetradores, e nós com o objetivo da continuidade de negócio, de recuperar a confiança e de minimizar os danos. Também eles têm as suas redes internacionais. 

Quando algum destes incidentes levam a um nível que afeta os interesses ou a soberania do Estado, temos um Centro de Ciberdefesa, dentro do Estado Maior das Forças Armadas. 

Também eles trabalham em rede com a NATO junto dos outros Centros de Ciberdefesa dos aliados. Obviamente há outras redes para outros temas. 

Em 2015, foi publicada em Diário da República a “Estratégia Nacional da Segurança do Ciberespaço”. Na altura, previa-se a revisão da estratégia no prazo máximo de três anos. O que foi alterado nesta nova revisão e o que se pode esperar da futura estratégia? 

De facto, foi publicada uma resolução de Conselho de Ministros sobre a Estratégia Nacional da Segurança do Ciberespaço em 2015 que padecia de três pecados originais. Um deles é que não foi inclusivo; foi produzido pelo CNCS com o contributo de muito poucas entidades, ou seja, não refletiu o que seria um ecossistema nacional de cibersegurança. 

O segundo pecado foi que não definiu um ponto de partida. Uma estratégia, no fundo, é a definição de um estado final desejado e que deve ter um plano de ação que nos leve de um plano inicial até a esse plano final. 

O plano inicial não foi definido, logo estávamos a definir um plano final que não sabíamos se estava longe, difícil de atingir ou muito perto. 

O terceiro era que não tinha um plano de ação, ou seja, não tinha uma forma de chegar do plano inicial ao plano final. 

O que se fez para fazer o acompanhamento e a revisão da estratégia foi, numa base anual e aí já considerando o ecossistema de cibersegurança nacional, pedir quais eram as ações que as entidades já tinham previstas e que contribuíam para a estratégia inicialmente definida. 

Essa avaliação confesso que me surpreendeu: tivemos inscritas cerca de 120 ações de um conjunto de cerca de 40 entidades que contribuíam de alguma forma para as estratégias definidas. Chegámos ao final de 2018 com 60% destas ações completadas e as restantes 40% praticamente completadas. 

O que se fez também em 2018, através de uma resolução do Conselho de Ministro, foi criar um grupo de trabalho para um Conselho Superior do Ciberespaço. Esse grupo de trabalho, já com a representatividade deste ecossistema de cibersegurança, começou a desenhar uma nova estratégia resolvendo os problemas que a primeira tinha. 

Foi, de facto, uma estratégia inclusiva, que vai ter um plano de ação que não inclui apenas medidas que estão a ser realizadas ou planeadas, vai incluir medidas que não existem e que temos de fazer. 

A diferença entre as duas estratégias está na visão mais prática dos objetivos. A primeira ambicionava demasiado; como não tínhamos a ideia do estado inicial, colocámos o estado final onde se entendeu. Esta segunda não; é uma estratégia ambiciosa, mas mais aplicável.