A expectativa foi partilhada pelo coordenador do departamento de políticas e desenvolvimento estratégico do Centro Nacional de Cibersegurança (CNCS), Vítor Morais. A partir dessa altura as competências da entidade vão ser alargadas, sobretudo na área da formação e agregação de informações sobre ataques informáticos que sejam feitos em Portugal.
Em dezembro do ano passado a Comissão Europeia aprovou uma diretiva que pretende criar uma política de cibersegurança uniformizada nos países da União Europeia. Vítor Morais diz que “Portugal é um dos países que está mais à frente para a adaptação das estratégias comunitárias da cibersegurança”, algo que deve acontecer já em agosto.
A diretiva da Segurança das Redes de Informação (NIS na sigla em inglês) estipula que várias entidades e empresas consideradas como operadores de serviços essenciais – energia, banca e também da área da Internet – tenham de reportar alguns dos incidentes de cibersegurança de que são alvo.
No evento IBM Resilience Day, que decorreu ontem no centro da tecnológica em Lisboa, o elemento do CNCS adiantou que ainda não estão definidos os critérios que ajudam a balizar quais os incidentes que devem ser reportados, mas já há indicações sobre o que essas empresas terão de revelar.
Será preciso dizer qual o número de utilizadores do serviço afetado, qual a sua dispersão geográfica, qual a importância da entidade no mercado nacional e europeu, assim como a sua quota de mercado.
Além de coordenar toda esta receção de informação e partilhar com as entidades congéneres europeias, o Centro Nacional de Cibersegurança vai ter ainda uma atitude mais ativa junto dos operadores de serviços essenciais.
Dar mais capacidade em cibersegurança
Ainda este ano o Centro Nacional de Cibersegurança vai ajudar as entidades, que tanto podem ser privadas como estatais, a criarem um Centro de Operações de Segurança (SOC na sigla em inglês) e a terem um modelo de maturidade de reação aos ciberincidentes (CSIRT).
“Gostaríamos que todas estas entidades chegassem a este nível, ainda que não seja vinculativo”, salientou o coordenador do CNCS. Ou seja, será obrigatório reportar os incidentes, mas a adaptação destas unidades dentro das entidades fica à escolha de cada um.
“Nós primeiro vamos incidir sobre aqueles que são as organizações que estão tipificadas em lei que são as entidades do Estado, as infraestruturas críticas e depois os tais operadores dos serviços essenciais que a nova diretiva da Segurança das Redes de Informação vai impor que todos os Estados-Membros tenham essa capacidade e essas autoridades competentes” explicou depois Vítor Morais ao FUTURE BEHIND, à margem do evento da IBM, sobre como pretendem colocar o plano em ação.
“Nós seremos uma autoridade competente a nível nacional, seremos o ponto único de contacto a nível europeu relativamente aos incidentes que acontecerem nessas entidades. E aquilo que vamos fazer é aplicar estes modelos de maturidade, ou seja, chegar junto dessas entidades que terão obrigatoriedade de comunicar os incidentes e para tal terão de ter a capacidade de os detetar e de reagir a esses incidentes”.
Vítor Morais detalhou depois de que forma podem as entidades reforçar a sua postura relativamente à cibersgurança.
“As capacidades não significam ter um novo departamento ou uma nova área na empresa. As capacidades podem ser as várias pessoas que já existem dentro da organização, que estão alocadas a outros departamentos, mas que juntas tornam aquela empresa uma capacidade específica. E é isso que nós pretendemos. Nós não estamos a dizer que as empresas devem ter um departamento específico para isto – se tiverem, ótimo -, mas que desenvolvam a capacidade [de reporte e resposta]. A capacidade é um todo. Ou seja, é ter efetivamente a capacidade de detetar ou reagir a incidentes de forma a ter uma continuidade de negócio”.
Apesar de haver um reforço na troca de informações sobre incidentes ou ataques informáticos que venham a acontecer, não espere ouvir falar muito sobre este assunto. As comunicações feitas ao CNCS ficarão na maior parte dos casos no seu domínio e não serão tornadas públicas.
“Normalmente é mantida no nosso domínio. Porquê? Aquilo que nós queremos é fazer essa cooperação. Mas por exemplo diz-me que o Ministério da Educação foi atacado de uma determinada forma: o que nós temos é a capacidade de olhar para o panorama nacional e ver quais são as entidades que podem ter vulnerabilidades semelhantes”.
“Vamos avisar essas outras entidades, que houve recentemente ou que está em curso um ataque, e que devem ser tomadas medidas no sentido de diminuir essas vulnerabilidades para mitigar o risco”, concluiu o elemento do CNCS.