Lino Santos é coordenador do Centro Nacional de Cibersegurança há, exactamente, três anos. A poucos dias do arranque da edição 2021 da conferência anual C-Days, esteve à conversa com a Security Magazine sobre a edição deste ano (à qual a Security Magazine se junta como media partner). Os impactos da pandemia, o trabalho desenvolvido pelo CNCS ao longo do último ano e as mudanças previstas no sector para os próximos tempos foram alguns dos aspectos focados pelo responsável.
Security Magazine – No ano em que Portugal assume a presidência do Conselho da Comissão Europeia, a conferência CDays, do CNCS, volta ao Porto entre 14 e 16 de Junho. O que podemos esperar da edição deste ano?
Lino Santos – Voltamos ao Porto numa parceria com a Universidade do Porto e Câmara Municipal do Porto. O CDays será realizado num formato semelhante ao do ano passado, com difusão em streaming, que foi um sucesso e teve grande alcance. Este ano terá público presidencial e contaremos com a presença de convidados, cumprindo as regras da DGS.
Do ponto de vista do programa mantemos um alinhamento eclético dos últimos anos. Temos um conjunto de painéis alinhados com diferentes áreas do saber e perspectivas da cibersegurança. Estes estão alinhados com a perspectiva da sociedade, técnica, segurança riscos e conflitos, económica, políticas públicas, ética e direito. Temos um bom leque de especialistas nacionais e estrangeiros a discutir temas actuais da cibersegurança.
A edição deste ano está inserida no programa oficial da presidência portuguesa do Conselho da Comissão Europeia e, nesse sentido, faz todo o sentido alinhar alguns temas à estratégia europeia de cibersegurança (divulgada em Dezembro de 2020) e aos dossiers legislativos que lhe estão associados, nomeadamente a proposta para uma nova directiva de segurança e das redes de informação.
“Naturalizar competências” é o tema da edição deste ano. O que é proposto nesta abordagem?
Temos de trabalhar para que as competências, comportamentos dos cidadãos e organizações sejam inatos. Este tema vai ao encontro da necessidade de desenvolver essas competências no sentido de torná-las naturais.
É um objectivo muito ambicioso, mas é nesse sentido que queremos caminhar. Quer para as organizações, quer para as pessoas, tem de haver um grande trabalho de desenvolvimento de competências e sensibilização para tornar os comportamentos e atitudes naturais no ciberespaço.
A pandemia trouxe diversos desafios às empresas e às pessoas. Mudou a forma de trabalho, aumentou a superfície de ataque, entre outros aspectos. O CNCS, e outras entidades, têm divulgado a subida exponencial dos incidentes de cibersegurança nos últimos meses. Quais os principais desafios que a pandemia trouxe às organizações?
Uma das coisas que a pandemia nos trouxe, e que nos surpreendeu, foi ao nível do conceito de resiliência que estávamos habituados, associado à resiliência do digital. A pandemia mostrou-nos que temos de estar preparados para a resiliência do físico e do digital, ou seja, físico e digital são simbióticos e a resiliência tem de ser holística e interessar a ambos.
Normalmente, na nossa área trabalhamos a resiliência digital, ou seja, no caso de o digital falhar, como é que as organizações continuam a trabalhar e mantemos o nosso bem estar. A pandemia vem mostrar-nos que também devemos preocupar-nos com a resiliência física. Ou seja, se vimos as nossas liberdades condicionadas devemos ter outra forma para continuar a trabalhar e viver em sociedade.
Temos de adaptar o conceito de resiliência no âmbito da segurança da informação e cibersegurança. Aprendemos que o estar preparado e ser resiliente do mundo físico significa estar preparado para o teletrabalho, ter colaboradores com competências mínimas para terem comportamentos seguros fora do perímetro de segurança que a organização oferece.
Esta transição para o digital, e mudança, veio aumentar as oportunidades para agentes maliciosos, aumentar a superfície de ataque, revelar algumas vulnerabilidades de organizações menos preparadas e reflectiu-se nos indicadores do número de incidentes que observamos e tratamos durante 2020, patente no relatório do Observatório de Cibersegurança, que revela um aumento de cerca de 90%.
A banca e a saúde são sectores em que se verificou maior número de incidentes?
Do ponto de vista de incidências por sector não houve grande diferença relativamente ao perfil de 2019. Até observamos uma diminuição do número de incidentes relativo do sector público face ao sector privado.
A banca tem sido, e continuará a ser, um alvo apetecível porque efectivamente falamos de ganho financeiro, o qual é uma das principais motivações de agentes do cibercrime.
Observamos como novidade, no ano passado, que em algumas narrativas associadas à engenharia social, dentro dos esquemas de phishing, houve uma adaptação desses agentes maliciosos ao contexto pandémico directa ou indiretamente.
Tivemos narrativas associadas às alterações do modo de vida das pessoas decorrentes do confinamento. Por exemplo, verificámos narrativas associadas a empresas de transporte de encomendas e serviços de streaming, os quais foram muito mais usados durante esse período de confinamento mais severo.
Este ano o Centro levou a consulta pública o Quadro Nacional de Certificação e a regulamentação do Regime Jurídico da Segurança do Ciberespaço. Quais serão os próximos passos nessa matéria?
Esperamos a aprovação, em breve, da regulamentação do regime jurídico da segurança no ciberespaço e a criação de um Quadro Nacional de Certificação. Uma vez publicado esse Decreto Lei procederemos à regulamentação do Quadro de Certificação, algo que pretendemos ter concluído no terceiro trimestre deste ano e iniciamos a produção de dois esquemas de certificação de cibersegurança.
Um dos esquemas é focado na iniciativa do Portugal Digital designado de Selo Digital, na componente de cibersegurança. Trata-se de um esquema de certificação para organizações de Pequena e Média dimensão, mas não restrito a estas, que pretende comprovar o nível de compromisso destas com os princípios básicos de cibersegurança. Este esquema vai classificar as organizações em três níveis de certificação – alinhado com o Regulamento Europeu de Cibersegurança que prevê a certificação europeia de cibersegurança.
O segundo trata-se do esquema de certificação de conformidade com o quadro nacional de referência em cibersegurança. Esse tem por objectivo apoiar a estratégia nacional de inovação e modernização do estado e da administração pública que prevê que 80% dos organismos TIC da administração pública estejam conforme o quadro nacional de referência.
É um instrumento essencial para essa medida de conformidade, mas também no âmbito da primeira componente de regulamentação do regime jurídico da segurança do ciberespaço termos um mecanismo que a organizações possam usar para comprovar a sua conformidade com o quadro.
O Selo Digital será dado unicamente pelo CNCS ou em parceria com outros organismos?
O CNCS fica designado como autoridade nacional de certificação em cibersegurança. Conjuntamente com a autoridade de acreditação IPAC e o IPQ, entidade que produz normas em Portugal, será gerido um eco-sistema de certificação.
Para a maior parte dos esquemas de certificação introduzidos neste quadro existirão entidades certificadoras no mercado que são acreditadas pelo IPAC.
O Centro ficará com a responsabilidade de produzir os esquemas de certificação e o IPAC com a responsabilidade de acreditar entidades certificadoras. As entidades que pretendam obter a certificação irão dirigir-se a uma das entidades certificadoras acreditadas para determinado esquema de certificação.
Esta atribuição de um Selo Digital não será discriminatória para algumas PME?
A atribuição de selos tem como grande objectivo estabelecer relações de confiança entre entidades que são guiadas por uma entidade terceira. Este sistema nacional de certificação vai atestar um nível de conformidade, de uma entidade, produto ou serviço em cibersegurança, o que é essencial para melhorar a confiança das organizações nas suas relações B2B ou B2C.
Esse é o objectivo da UE quando aposta na certificação europeia de cibersegurança, ou seja, criar essa mediação das relações de confiança. A haver uma descriminação ela é positiva. Uma entidade que quer operar e ser confiável vai quer cumprir um conjunto de requisitos.
Face à realidade das PME nacionais, até que ponto todas terão capacidade para realizar essa aposta?
Mas todas devem comprovar o seu compromisso com cibersegurança.
Por esse motivo surgem os diferentes níveis de certificação?
Exacto, os quais devem ser entendidos como um caminho. Uma organização que obter uma certificação básica, deve almejar ter uma certificação de nível elevado.
Entendemos que as entidades que prestam serviços essenciais e organismos TIC da Administração Pública, que prestam serviços de e-government ou tratam de informação sensível ou dados pessoais do cidadão, devem ter um nível de conformidade com um esquema de certificação de nível elevado.
Em Janeiro deste ano o CNCS passou a coordenar o centro da internet segura. O que contempla essa coordenação?
O CNCS já acompanhava o trabalho do centro, o qual vinha a ser desenvolvido e coordenado pela Fundação de Ciência e Tecnologia. Durante o ano passado surgiu a oportunidade de essa coordenação migrar para o CNCS. Vemos essa oportunidade como positiva, no sentido em que já tínhamos um conjunto de actividades de sensibilização e criação de competências dentro do Centro.
Realizámos sinergias e fizemos uma conjugação dos dois planos de actividades entre um projecto com mais de 10 anos e algumas actividades que o Centro desenvolvia mais recentes.
O que vai trazer a nova estratégia europeia de cibersegurança (NIS 2), a qual revela um alargamento e inclusão de mais áreas e sectores de actividade? E quando chegará a Portugal?
A actual proposta da Comissão para a revisão da directiva de segurança e das redes de informação teve em conta uma avaliação feita durante 2020 pela Comissão, sobre a implementação e o estado de maturidade de implementação da actual directiva.
Essa avaliação aponta para o alargamento do âmbito de sectores da actividade económica, sendo incluídos sectores como o das telecomunicações electrónicas, aeroespacial, alimentação.
O sector das comunicações electrónicas não havia sido incluído na primeira directiva de segurança e das redes porque tinha um estado de maturidade superior ao dos restantes sectores de actividade económica, o que não acontece neste momento, ou seja, o sector das comunicações electrónicas tem o mesmo nível de maturidade que o sector de energia, água potável ou banca.
A cada vez maior dependência das tecnologias e sistemas de informação para a nossa sociedade leva a que se deva incluir sectores particularmente sensíveis.
Neste alargamento de âmbito é proposta a inclusão da administração pública. Coisa que alinha com a opção política portuguesa do regime jurídico de segurança do ciberespaço que, não sendo obrigada, já a inclui, ou seja , há um alinhamento com a opção política feita por Portugal em 2018.
Do mesmo estudo da avaliação feita pela Comissão percebeu-se que havia grande disparidade de critérios na implementação de alguns mecanismos ou dispositivos da directiva NIS, nomeadamente dos critérios para identificação de um operador de serviço essencial, notificação de um incidente relevante, entre outros. Aqui também há uma densificação destes conceitos, no sentido de harmonizar as diferentes implementações de cada Estado Membro.
A outra novidade é a inclusão de algumas políticas públicas que eram trabalhadas de forma autónoma e foram incluídas na directiva. Por exemplo, a formalização da rede europeia de gestão de crises de cibersegurança ou a introdução ou existência de um mecanismo de gestão de vulnerabiliddes, as quais são políticas públicas que passam a ser incluídas nesta directiva NIS.
Ainda com um longo caminho a percorrer, quando estas novas alterações chegarão a Portugal?
A presidência portuguesa pegou no processo de discussão desta proposta de revisão da directiva e fez um trabalho meritório de discussão e deu oportunidade à Comissão de explicar a directiva, numa leitura de artigo a artigo, e os Estados Membros puderam questionar a Comissão e levantar as suas reservas.
Estamos a entrar na discussão dos tópicos mais complexos, a qual será continuada pela presidência eslovena. É uma directiva complexa e, por ser horizontal a muitos sectores de actividade, implica uma grande articulação entre diferentes organismos de cada Estado Membro e entre diferentes direcções gerais dentro da Comissão Europeia.
Tornará a Europa mais preparada em matéria de cibersegurança.
A cibersegurança é transversal a todos os domínios de actividade económica. Há um objectivo claro de atingir o patamar elevado de cibersegurança em todos estes domínios, pelo menos nas entidades que prestam serviços essenciais.
Esta directiva deve ser entendida como horizontal a todos os sectores, ou seja, deve existir uma muito boa articulação entre processos legislativos autónomos, sectoriais, quer de iniciativa europeia, quer nacional, relativamente a esta directiva e regime jurídico.
Num momento que tanto se fala de 5G, quais os impactos que terá na cibersegurança?
É preciso atentar que a proposta de estratégia de cibersegurança em discussão tem um anexo dedicado à cibersegurança do 5G. Define que tem de ser melhorada a cooperação entre Estados Membros, têm de ser harmonizados os instrumentos de implementação da toolbox europeia de cibersegurança do 5G e tem de ser acompanhada de forma muito próxima dos desenvolvimentos nacionais nesta área do ponto de vista dos riscos e de mitigação dos mesmos. É algo que vamos continuar a acompanhar neste contexto do grupo de cooperação europeu da directiva de segurança e das redes de informação.
O 5G é uma tecnologia que vem abrir um conjunto de oportunidades, pelas suas características técnicas intrínsecas, desde a diminuição da latência – que vai proporcionar novas aplicações em tempo real -, até ao aumento das larguras de bandas disponíveis nos dispositivos – que vai permitir um novo leque de aplicações de tecnologias de transmissão de dados -, o que traz um conjunto grande de oportunidades.
Costumo dizer, pela positiva, nunca uma alteração tecnológica deste género teve à cabeça uma preocupação de cibersegurança tão grande, sendo que só posso estar confiante no resultado.
Está a ter-se muito cuidado em criar os mecanismos de cibersegurança necessários para que esta tecnologia, uma vez disponível ao público, tenha as condições de segurança necessárias, e tirar o real proveito das vantagens. A cibersegurança está no centro da atenção e acompanha a evolução tecnológica.
Quanto à recente Carta dos Direitos Humanos na Era Digital, que aborda temas como a privacidade ou as competências, qual será o envolvimento do Centro?
Este diploma, recentemente publicado, não é mais que expressar que os diretos humanos também se aplicam ao ciber espaço. É algo que já tinha tido expressado no âmbito do direito internacional através de duas resoluções das Nações Unidas. Mas é densificado, e vários Estados estão a faze-lo, à aplicação dos direitos humanos no contexto digital. Acolhemos de bom grado o diploma, o qual vem reforçar a responsabilidade do Centro no que diz respeito à parte de desenvolvimento do competências e sensibilização.
É coordenador do CNCS há exactamente três anos. Como avalia estes anos?
Há duas coisas extremamente importantes nestes três anos. Por um lado, a consolidação do portfolio de serviços alinhado com a estratégia nacional de segurança do ciberespaço, sendo que temos um leque de parcerias vastíssimo em áreas como sensibilização e treino, reacção e resposta a incidentes, academia de cibersegurança, regulatória, certificação e produção referenciais e boas práticas. Por outro lado, conseguimos colmatar a ideia de que não conseguíamos completar o quadro de pessoal do Centro. Hoje está estabilizado e conta com uma equipa multidisciplinar.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.