Multas para 68 operadores por porem em risco infraestruturas críticas e serviços essenciais

O Centro Nacional de Cibersegurança começou pela primeira vez a notificar entidades que terão de pagar multas por não cumprirem todas regras previstas na lei de prevenção de ataques informáticos. O diretor Lino Santos, que foi um dos convidados do podcast Soberania desta semana, revelou que em 2022 houve 25 ciberataques graves em Portugal, o número mais elevado de sempre. Com o diretor da Unidade de cibercrime da PJ, Carlos Cabreiro, também presente neste programa, aquele responsável admitiu que não avisaram logo a Judiciária do ciberataque na Defesa no ano passado por não suspeitarem de crime.
Publicado a
Atualizado a

Quase cinco anos depois de estar em vigor a Lei do Ciberespaço e quase dois anos após o seu regulamento ter sido publicado, o Centro Nacional de Cibersegurança (CNCS) começou a passar as multas previstas (que podem chegar aos 50 mil euros) às entidades que, por não cumprirem todas as medidas, estão a pôr em risco as infraestruturas críticas nacionais (aquelas que se deixarem de funcionar podem parar o país) e o fornecimento de serviços essenciais (como luz, água, transportes, comunicações, banca).

O diretor do CNCS, Lino Santos, que foi um dos convidados do podcast Soberania desta semana - uma parceria DN/Observatório de Segurança, Criminalidade Organizada e Terrorismo - revelou que após terem sido identificados 179 operadores, que "tinham pelo menos uma não conformidade com o regime jurídico de segurança do ciberespaço", foram este ano já "instaurados 68 processos de contraordenação que estão a decorrer".

Ouça aqui o podcast:

O responsável explicou que esta decisão de "enforcement" não implica que deixem de ter a "atitude pedagógica" que tinha dominado no ano passado. "Não deixámos de ser o Dr. Jeckill para passar a ser o Mr. Hyde", respondeu quando questionado se tinham trocado o "polícia bom" pelo "polícia mau".

"Uma das principais funções de um CNCS é criar guias e prestar o apoio no crescimento dessa maturidade e isto não se faz de um dia para o outro. Fazemos sessões de sensibilização e esclarecimento. Ainda na semana passada tivemos uma muito grande com todos os municípios, hoje de manhã (quinta-feira, dia 4 de maio) estive com o setor bancário. Acabámos de publicar um guia para a realização da análise de risco e disponibilizamos uma ferramenta open source para as instituições usarem e vamos publicar neste primeiro semestre um guia para a gestão de crises de cibersegurança. Portanto, a nossa função aqui também é dar um apoio e dar os instrumentos necessários para todos estarem conforme o regulamento", sublinha.

Carlos Cabreiro, diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) da Polícia Judiciária (PJ) - que com Hugo Costeira, presidente do Observatório de Segurança Interna, integrou o painel de peritos deste programa - lembrou que investiga mais de 20 mil inquéritos relacionados com criminalidade informática, com "um aumento mais acentuado da ordem dos 20%" no ano passado.

"Desde logo, os ciberataques a infraestruturas críticas essenciais à vida da população, do Estado, e alguns ciberataques relacionados com outras áreas vitais, como são as áreas das comunicações. Mas deste leque, não nos podemos esquecer de todas as outras situações onde englobamos tudo o que tem a ver com malware, com ransomware (pedidos de resgate), em que as vítimas não são necessariamente infraestruturas críticas, nem instituições públicas, mas que afetam de igual modo a nossa população. Falamos de phishing, de malware, de fraude em comunicações, de um conjunto de crimes que depois vêm associados à criminalidade informática, nomeadamente, até à associação criminosa e também o número bastante elevado de crimes de branqueamento de capitais. Assim como não nos podemos esquecer de toda aquela criminalidade que afeta diretamente o património do cidadão, onde temos de incluir tudo o que tem a ver com a manipulação de perfis de redes sociais, de sites, de infraestruturas que afetam diretamente e normalmente de forma direta o património dos cidadãos", asseverou.

Hugo Costeira assinalou que Portugal, como país da NATO e da União Europeia (UE) tem, proporcionalmente, um "nível de exposição elevado" aos ciberataques em relação a outros países nas mesmas condições. Identifica "a questão dos metadados e dos parcos recursos, para recrutar e manter "crânios" nas entidades que têm de prevenir e combater" este fenómeno. "Acho que temos de caminhar para uma evolução e adequação de tudo o que é norma legislativa que permita que as nossas entidades, principalmente CNCS, PJ e o Sistema de Informações da República Portuguesa, estejam perfeitamente capacitados para conseguir lidar com estas ameaças", defendeu.

Carlos Cabreiro destacou que a sua UNC3T "é das que mais tem beneficiado do aumento" de novos inspetores que "será constante até 2026". Já Lino Santos assumiu que, apesar de o CNCS ser até "competitivo relativamente à Administração Pública (AP) e ao mercado" se mantêm "um conjunto de constrangimentos que dificultam a retenção e o recrutamento". "Por exemplo, temos a imposição de um limite de 50% dos nossos quadros dentro dos quadros da administração pública. Isto tem muita dificuldade em que dê resultado porque, primeiro, já há poucos quadros qualificados dentro da AP e, depois, aqueles que existem estão com certeza a fazer um bom trabalho nas suas instituições. Ou seja, ao virem para o CNCS não sei se o país ganha com isso. O Centro ganha, mas se calhar a instituição perde".

Lino Santos apontou a importância da "literacia digital" como "fator de resiliência" de todas as organizações. "A PJ e o CNCS não vão resolver os problemas todos do país e o ideal é que haja as competências nestas organizações para resistirem ao maior número de ataques possível, para nós termos menos problemas que tratar no fim do dia".

Para formar quadros "com competências técnicas especializadas para aplicar os normativos e os referenciais de segurança necessários", frisa, o CNCS "tem uma atividade importante com uma academia de cibersegurança que pretende formar 9800 especialistas até ao primeiro trimestre de 2026, com o apoio de todas as instituições de ensino superior nacionais, exatamente para tentar colmatar esta lacuna".

Este responsável anunciou ainda que no ano passado foram registados 25 ciberataques de "severidade grave", o maior número de sempre, com "impacto social relevante e outros que, não tendo esse impacto, foram extremamente mediatizados". Os ciberataques à TAP, ao grupo Impresa, à Vodafone, ao ministério da Defesa e ao Estado-Maior-General das Forças Armadas (EMGFA), foram alguns deles.

Quase a concluir o podcast, quando se falava sobre a importância do designado "G4" - um grupo informal que junta regularmente representantes do CNCS, da PJ, do Centro Nacional de Cibedefesa e do Serviço de Informações de Segurança (SIS) - na partilha de informações sobre os incidentes informáticos, e questionado, no caso do cibertaque na Defesa (o primeiro a ser noticiado pelo DN, em setembro passado, e que teria sido comunicado pelas autoridades norte-americanas um mês antes), porque a PJ tinha ficado de fora das diligências dos restantes membros do G4, Lino Santos garantiu que o CNCS "comunica sempre à PJ todos os factos de que têm conhecimento e que possam configurar um crime". Instado a clarificar se isso queria dizer que, nesse caso, não havia na altura suspeita de crime, respondeu: "Perfeitamente", deixando implícito que essa era a justificação.

Carlos Cabreiro, que tem essa investigação ainda a decorrer na sua Unidade e em segredo de Justiça, escusou-se a comentar, mas lembrou que "a comunicação é essencial". "A recolha dos dados durante as primeiras horas do crime é a recolha daqueles indícios que nos levam aos chamados indicadores de compromisso" e estes, assevera, são "também tratados como indicadores de cibercrime" e "são necessariamente replicáveis ou têm de ser replicáveis por todos os operadores dentro do sistema da cibersegurança".

Terminou Hugo Costeira com otimismo e um alerta: "Tenho a certeza que temos em Portugal grandes instituições nestas áreas. Agora, a minha grande preocupação é objetivamente a forma como o poder político tem de olhar para estas matérias. Acho que nos devemos afastar de fantasmas do passado, assumirmos que estamos no século XXI. Que o cibercrime não vai decrescer nos próximos anos e que estas instituições merecem ter as armas necessárias para tentarem, no mínimo, estar um passo à frente do cibercriminoso".

Ouça aqui o podcast:

Artigos Relacionados

No stories found.
Diário de Notícias
www.dn.pt