Abertos nove processos por riscos à cibersegurança nacional
O Centro Nacional de Cibersegurança (CNCS) nove processos de contraordenação desde o início do ano. Em todo o ano de 2023 o organismo que fiscaliza o cumprimento de regras de cibersegurança abriu 68 processos de contraordenação. A diminuição poderá significar que o efeito dissuasor das coimas a aplicar pelas entidades não respeitar as regras de cibersegurança nacionais está a surtir efeito.
“Quanto ao número de processos abertos de contraordenação, em 2023, registaram-se 68 e, em 2024, 9, até à data”, revelou ao DN fonte oficial do CNCS, quando questionado pelo número de incidentes que resultaram na abertura de processos.
A mesma fonte não revela quantas entidades foram identificadas a incumprir as normas vigentes. Há um ano estavam identificados 179 operadores, que tinham pelo menos uma não conformidade com o regime jurídico de segurança do ciberespaço. O incumprimento, dependendo da gravidade, pode resultar numa coima até 50 mil euros, segundo a lei vigente. Com o novo regime jurídico, que surgirá com a transposição da diretiva europeia NIS 2, o quadro sancionatório vai agravar.
O CNCS não deslinda em que fase estão ou no que resultaram os processos contraordenacionais registados em 2023. Ainda que questionado, também não indica o número total de incidentes já registados em 2024.
No entanto, fonte oficial do organismo indicou que, no primeiro semestre do ano, “verificou-se uma incidência muito relevante de incidentes de sistema infetado com código malicioso”. Foram registado 6059 casos pelo CERT.PT, serviço responsável por coordenar a resposta a incidentes que envolvam serviços públicos. O número de incidentes registados para esta categoria de ciberataque disparou face a 2023, o que o CNCS justifica com “maior visibilidade” e“capacidade de registo” do organismo.
“Tal como em anos anteriores, os incidentes que envolveram o fator humano de forma central continuaram a ocorrer com muita frequência no primeiro semestre de 2024, como sejam os de phishing (315 casos) e engenharia social (364 casos), de que se destaca o comprometimento de email profissional, vulgo CEO Fraud, como incidente particularmente impactante nas organizações, tendo-se registado 84 casos só no primeiro semestre deste ano. Este incidente conduz normalmente a vítima a alterar o IBAN de destino de um pagamento de forma errónea, realizando uma transferência bancária para uma conta associada ao atacante”, adianta a fonte do CNCS.
Os ataques por ransomware “continua a ser uma preocupação, havendo um incremento de assinalar durante os meses de outubro e novembro de 2024, com 6 e 8 incidentes registados, respetivamente, perfazendo 30 incidentes deste tipo até novembro”. “O ransomware pode ser instalado através de um comprometimento de conta, o que pode implicar o fator humano de forma central, ou da exploração de uma vulnerabilidade, entre outros modi operandi”, conclui.
Em 2023, através do CNCS, foram registados um total de 2025 incidentes de cibersegurança, na sequência de 5830 notificações processadas, segundo o mais recente Relatório Anual de Segurança Interna. As classes de incidentes mais comuns foram: 806 tentativas de fraude (-65), incluindo phishing;391 tentativas de intrusão através do roubo de acessos login (+341); e 219 tentativas por código malicioso (-81).
O CNCS é o coordenador operacional e a autoridade nacional em matéria de cibersegurança junto das entidades do Estado, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais. Está mandatado para atuar desde 2018, quando foi transposta para a legislação nacional o NIS 1. Mas numa primeira fase a postura da entidade visava a pedagocia sobre as necessidades de proteção do ciberespaço. Só o ano passado, o CNCS começou a passar as multas previstas no atual quadro.
Agora, o Estado va transpor a NIS 2, criando um novo regime jurídico de cibersegurança. O papel do CNCS ganha outra relevãncia.Com as novas regras o número de entidades e empresas a fiscalizar subirá das atuais cerca de 400 para mais de mil. As organizações serão tratadas mediante a sua classificação de relevância - se “essenciais” ou “importantes”. Em função dos riscos, e em casos de incumprimentos, haverá um novo regime sancionatório, cujas coimas poderão ir até aos 10 milhões de euros.
Além do setor público, o CNCS vai fiscalizar os setores da energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC (entre empresas) e Espaço. Os serviços postais e de estafetas, a produção, fabrico e distribuição de produtos químicos ou investigação são outras áreas críticas incluídas.