Sara Fernandes é chefe de Divisão do Centro Operacional de Segurança Informática da Assembleia da República e Auditora Nacional de Defesa. Com sólida experiência em governança digital e cibersegurança, atuou como consultora internacional em Smart Cities, Eletronic Governance e Defesa, possui especialização em Cybersecurity Risk Management pela Universidade de Harvard e é professora convidada na Universidade Nova de Lisboa. Ao longo da sua carreira, como special advisor da United Nations Iniversity (UNU), negociou projetos com organismos internacionais como ONU, UNESCO e Banco Mundial, e apoiou mais de 50 países na área da transição digital e na governação eletrónica.Em termos gerais, quais são as suas principais responsabilidades na Assembleia da República?Sou responsável pelo Centro Operacional de Segurança Informática (COSI), criado em abril de 2025. Neste Centro, a minha equipa e eu, lidamos com todos os temas da cibersegurança, mas também com parte da segurança da informação. Temos como principais responsabilidades, entre outras vigiar sistemas para identificar anomalias, vulnerabilidades e atividades suspeitas, realizar testes de penetração e avaliações periódicas para corrigir falhas, definir e promover políticas de segurança da informação para a AR, elaborar planos para mitigar e responder a incidentes de segurança, apoiar a tomada de decisões estratégicas em cibersegurança e verificar o cumprimento das políticas interna.Que especificidades tem a cibersegurança num órgão de soberania como o Parlamento?A cibersegurança num órgão de soberania como o Parlamento apresenta especificidades muito próprias, decorrentes da sua natureza institucional e do papel crítico que desempenha na democracia. Em primeiro lugar, é essencial garantir a proteção da integridade legislativa. Outro aspeto fundamental é a confidencialidade das comunicações, dado que deputados e comissões tratam informação sensível, incluindo trabalhos políticos, pareceres e documentos estratégicos. Para tal, é indispensável implementar sistemas de comunicação cifrados e mecanismos eficazes de contraespionagem digital. A continuidade operacional constitui igualmente uma prioridade, pois o Parlamento não pode interromper a sua atividade. Ataques como ransomware ou DDoS podem paralisar sessões plenárias e processos legislativos, exigindo planos robustos de continuidade e recuperação. Sendo um órgão altamente visível, o Parlamento está também exposto a riscos reputacionais, tornando-se alvo preferencial para ataques com impacto mediático.Que tipo de sistemas, processos ou ativos são mais críticos de proteger?No caso da AR? Todos. Como se equilibra a necessidade de segurança com a transparência própria de uma instituição democrática?Equilibrar segurança e transparência no Parlamento é essencial para garantir confiança pública e integridade democrática. A segurança deve ser vista como um requisito para a transparência, protegendo dados sensíveis sem comprometer o acesso às decisões políticas. Este equilíbrio exige políticas claras, conformidade legal, comunicação proativa e tecnologias que assegurem rastreabilidade e autenticidade.A cibersegurança é hoje encarada como uma prioridade estratégica ao mais alto nível?Sim, a cibersegurança está agora firmemente reconhecida como uma prioridade estratégica ao mais alto nível, tanto nas esferas públicas como privada. Deixou de ser apenas uma função técnica: é agora vista como um elemento estratégico crítico. Está integrada em agendas de topo, abrange investimento público e privado, e é considerada vital para a segurança nacional, a sustentabilidade económica e a credibilidade institucional. Ao nível das empresas e C-level, as lideranças executivas, incluindo C‑Suite e conselhos de administração, consideram as ameaças cibernéticas como uma das principais preocupações. |Pode dar exemplos?Em 2025, por exemplo, 54 % dos executivos já apontavam a cibersegurança como risco externo mais grave, superando ameaças à cadeia de abastecimento ou à economia. Ao nível das organizações Internacionais, por exemplo, o World Econimic Fórum, que tem a sua reunião anual em Davos, reforça que a cibersegurança passou do domínio técnico para a agenda estratégica, independentemente do setor de atividade, sendo vista como indispensável à confiança, inovação e resiliência. A Casa Branca, por exemplo, descreve a cibersegurança como crucial para a segurança nacional, económica e da infraestrutura crítica. O recente plano estratégico nacional inclui iniciativas coordenadas por várias agências e lideradas pelo Office of the National Cyber Director. Na União Europeia, o quadro normativo (NIS2, Cybersecurity Act, Cyber Resilience Act, Cyber Solidarity Act) reflete o reconhecimento oficial da cibersegurança como elemento central da autonomia estratégica, segurança digital e competitividade. E na AR, a recente reestruturação, que inclui a criação do COSI, é a evidência que esta área é reconhecida como uma prioridade estratégica..Cibersegurança. “Não ter, pelo menos, um plano de resiliência, é o mesmo que jogar à roleta russa”.Quais são as principais ameaças cibernéticas que hoje se colocam a instituições parlamentares?As instituições parlamentares enfrentam hoje ameaças cibernéticas significativas que podem comprometer a integridade democrática. Entre as principais estão os ataques de ransomware, que podem paralisar sistemas e processos legislativos; campanhas de phishing e engenharia social para roubo de credenciais; espionagem digital visando informações sensíveis; ataques DDoS que bloqueiam serviços online; manipulação ou destruição de dados legislativos; exploração de vulnerabilidades em sistemas interligados; e ameaças internas, como fuga de informação. Estas ameaças exigem medidas robustas de prevenção, monitorização e resposta para garantir a continuidade e a credibilidade institucional. Mas é preciso sempre ter em consideração que não existem sistemas 100% seguros. O nosso trabalho é o de mitigar as possíveis ameaças e preparar a AR para ser mais resiliente. A Assembleia da República é um alvo frequente de tentativas de ataque? De que forma?Toda e qualquer entidade, publica ou privada, que esteja ligada à rede é um alvo… Que papel têm os ataques híbridos, que combinam ciberataques e desinformação?Infelizmente têm um papel cada vez mais relevante e perigoso, especialmente para instituições democráticas como Parlamentos. Um ciberataque isolado pode causar danos técnicos, mas quando é acompanhado por desinformação, o impacto é ampliado. Por exemplo, um ataque que interrompe sistemas parlamentares pode ser explorado para espalhar rumores sobre fraude ou corrupção, minando a confiança pública. Estes ataques não visam apenas sistemas, mas a perceção pública e a estabilidade política. A desinformação amplifica o efeito do ciberataque, criando narrativas que fragilizam instituições E a resposta não é simples. Enquanto os ciberataques exigem respostas técnicas, a desinformação requer estratégias de comunicação e monitorização social. A combinação obriga a uma abordagem integrada entre equipas de cibersegurança, comunicação institucional e órgãos reguladores.E a espionagem digital? É uma preocupação real no contexto parlamentar?É uma preocupação real e crescente no contexto parlamentar (e não só), devido à natureza sensível da informação tratada e ao papel estratégico destas instituições. Os Parlamentos lidam com dados críticos, que podem influenciar políticas nacionais e internacionais, tornando-se alvos para grupos ou Estados que procuram condicionar decisões ou antecipar estratégias. A interconexão com sistemas governamentais aumenta a superfície de ataque, potenciando riscos adicionais. E quais são as formas mais comuns desta espionagem digital?Incluem intrusão em sistemas internos para acesso a documentos confidenciais, intercetação de comunicações, ataques direcionados que permanecem ocultos para recolher informação estratégica e roubo de credenciais através de phishing ou engenharia social. As consequências são graves: comprometimento da soberania nacional, perda de confiança pública e possível manipulação de processos legislativos, exigindo medidas robustas de prevenção, monitorização e resposta.De que forma o atual contexto geopolítico influencia o risco cibernético?Aumente significativamente o risco cibernético, pois conflitos e tensões internacionais impulsionam ataques patrocinados por Estados, visando infraestruturas críticas e instituições democráticas. A própria competição estratégica entre nações intensifica operações de espionagem digital, enquanto campanhas de desinformação amplificam o impacto dos ciberataques, fragilizando a confiança pública. Além disso, a fragmentação regulatória e a crescente interconexão digital ampliam a superfície de ataque, tornando essencial uma abordagem integrada de segurança, diplomacia e cooperação internacional..Cibersegurança. Novo regime responsabiliza dirigentes. PJ não descarta processos crime por gestão danosa.Deputados e assessores recebem formação específica em cibersegurança? Como se constrói uma verdadeira cultura de cibersegurança numa instituição complexa?As alterações recentes na AR a nível de estrutura orgânica, ou a nível nacional a transposição da NIS2, são fortes indicadores que todos os que compõem o Parlamento, mas também a nível nacional estão sensibilizados para o tema. Mas não basta dar formação pontual; é necessário criar uma cultura contínua, baseada em liderança comprometida e nós temos isso na AR. Desde o Conselho de Administração da AR, passados pelos grupos parlamentares, a Secretária-geral até ao Presidente da AR, todos assumiram a cibersegurança como prioridade estratégica. Para nós, que trabalhamos na área, é fundamental sentirmos este forte apoio no trabalho diário que é realizado. Estamos focados em várias frentes, mas particularmente focados na formação regular e adaptada, com a criação de programas contínuos para todos os níveis, mas estamos também dedicados à definição de políticas claras e aplicáveis, com regras simples e práticas para uso de dispositivos, redes e dados. Claro que tudo com monitorização continua e feedback, com testes periódicos (ex.: simulações de phishing) e comunicação transparente sobre riscos. Cada vez mais há uma integração na rotina: segurança como parte do dia-a-dia, não como obrigação extra.Quando conversávamos antes desta entrevista, ouvi-a falar em “hacker bom”. O que é um hacker bom e o que faz ou pode fazer? Porque associamos sempre a expressão ao lado mau....Tenho uma grande admiração pelos hackers, mas reconheço que esta posição pode parecer controversa. Trata-se de profissionais altamente inteligentes, que se mantêm na vanguarda do mundo digital. Os ethical hackers, ou “hackers éticos”, são aqueles que, com autorização, simulam ataques semelhantes aos realizados por hackers maliciosos, ajudando a identificar vulnerabilidades e a tornar os sistemas mais resilientes e seguros.Tenho algumas referências, mas para não dar nomes a nível nacional gosto sempre de referir o Ryan Montgomery que foi já considerado o melhor hacker do mundo e que tem como missão (entre outras) apanhar suspeitos do cometimento do crime de pedofilia. Ele detetou, por exemplo, um sujeito na dark web a cometer um crime in live… é um mundo diferente… Passando agora à sua experiência, que momentos ou decisões considera determinantes na sua carreira?Tenho vários momentos que me ensinaram muito. Toda a minha experiência na Universidade do Minho deu-me muito do que sou hoje. Os mais de 10 anos nas nações Unidas ou a criação da UNU em Guimarães, que partiu de um fascínio que sempre tive pela missão das nações unidas foi, provavelmente o que mais me marcou. A UNU foi criada no tempo da Troika em que muitos me diziam que não era possível disponibilizar financiamento para esta agência. Foi uma luta diária – nesta altura morava em Macau e negociava com várias pessoas para as convencer do projeto – pessoas que estavam em Lisboa, em Nova York, em Tóquio. Curiosamente alguns deles nunca conheci pessoalmente, nem antes nem depois, mas a quem tenho uma divida de gratidão eterna. Mas acima de tudo o que me marca são as pessoas. Se me permite, e porque já não estão entre nós, e acho que nunca tive a oportunidade de lhes agradecer pessoalmente e carrego esse peso em mim, gostaria de referir duas: José Soromenho Ramos e Miguel Macedo. Os nomes falam por si… a eles devo o muito do que foi conseguido para trazer a UNU para Portugal. Mas há mais… O que a motivou a trabalhar no setor público e, em particular, na Assembleia da República?A minha entrada no setor público aconteceu na área da Saúde, na monitorização e controlo do investimento Transição Digital na Saúde (PRR), e dava aulas na Universidade do Minho. Já tinha tido vários anos de experiência a trabalhar com governos a nível internacional, mas nunca tinha trabalhado em Portugal. Contudo, desde 2014, tenho trabalhado com cibersegurança em vários países, ajudando na definição das suas estratégias. Por isso, assumir agora a responsabilidade direta pela área de cibersegurança na Assembleia da República acredito que foi um passo natural e orgânico na minha trajetória.Que diferenças encontrou na forma como outros países encaram a cibersegurança institucional?As diferenças dependem muito do nível de digitalização de cada país. Quanto maior a dependência das tecnologias, maior é a atenção dada à cibersegurança — o que é um processo natural. Um exemplo emblemático é a Estónia, que está na vanguarda da governação eletrónica. Em 2007, sofreu um ataque ao seu sistema de voto eletrónico, mas isso não os fez recuar. Pelo contrário, reforçou ainda mais a prioridade dada à cibersegurança, tornando-se uma referência mundial nesta área.Há boas práticas internacionais que Portugal poderia adotar? Que aprendizagens trouxe dessa experiência para o seu trabalho atual?Acredito que existe, em Portugal, uma perceção muito enraizada: a ideia de que não somos capazes ou de que tudo o que vem de fora é melhor. Mas isso está muito longe da verdade. A minha experiência internacional mostra-me que estamos no bom caminho. Já adotamos muitas das melhores práticas globais e temos profissionais e projetos de enorme qualidade. Claro que há sempre espaço para evoluir — e isso é positivo, porque significa que continuamos a crescer. Se pudesse destacar algo que admiro lá fora, seria a agilidade nos processos, como vemos em Singapura, e a visão estratégica de longo prazo, como no Japão, onde se pensa a economia para os próximos 20 anos. São exemplos que nos devem inspirar, mas não nos diminuem. Pelo contrário: mostram que, com confiança e determinação, também podemos ser referência. Portugal tem talento, conhecimento e capacidade. O que precisamos é acreditar mais em nós e continuar a investir naquilo que fazemos bem — porque o futuro constrói-se com coragem e visão.A cooperação internacional é essencial nesta e noutras áreas. Como avalia o nível de maturidade de Portugal em matéria de cibersegurança, comparativamente aos seus pares?A maturidade em cibersegurança é um processo contínuo. Portugal está no bom caminho, mas há espaço para evoluir. Tal como no exemplo do Japão, deveríamos investir mais em processos robustos, em planeamento estratégico e em práticas como o benchmarking internacional, em vez de estarmos sempre a correr atrás do prejuízo. O futuro da cibersegurança não se constrói apenas com tecnologia, mas com visão, preparação e capacidade de antecipação. Se conseguirmos dedicar tempo a pensar a longo prazo e a aprender com os melhores, estaremos não só alinhados com os nossos pares, mas também preparados para liderar.Qual é hoje o maior erro que as pessoas cometem no uso quotidiano das ferramentas digitais?O maior erro é subestimar os riscos. Muitas pessoas acreditam que a cibersegurança é algo distante, que só diz respeito às grandes empresas ou aos governos. Mas, na verdade, cada clique conta. Usamos diariamente ferramentas digitais sem pensar nas consequências: partilhamos dados pessoais em excesso, reutilizamos palavras-passe, ignoramos atualizações e confiamos cegamente em links ou anexos. Esta falta de atenção cria vulnerabilidades que podem ser exploradas facilmente. A tecnologia trouxe-nos comodidade, sem dúvida, mas também exige responsabilidade. A melhor defesa começa com hábitos simples: pensar antes de clicar, proteger as credenciais e manter os sistemas atualizados. O quadro legal e institucional português responde adequadamente aos desafios atuais? É preciso mudar alguma coisa na sua opinião?O quadro legal e institucional português está bem alicerçado — sobretudo com a transposição da NIS 2 e a estruturação do CNCS e entidades setoriais. No entanto, o país precisa de mais recursos, estratégias de longo prazo e continuidade para evoluir de uma abordagem reativa para uma maturidade semelhante à de países mais avançados. Está no caminho certo, mas agora é preciso avançar com determinação — reforçando capacidades, processos e visão estratégica. .PJ tem 31 mil inquéritos relacionados com o cibercrime e deteve 250 pessoas este ano.Existe articulação eficaz entre diferentes entidades públicas nesta área?Eu posso referir que a nível da AR temos a melhor das articulações com diferentes entidades - destaco aquelas que, para mim, são referencias – o Centro Nacional de Cibersegurança, o SIS ou a CNPD. O setor público tem capacidade para atrair e reter talento em cibersegurança?Há sempre muitas críticas sobre esta questão, e com razão. Pelo que observei ao longo dos anos na Administração Pública, não acredito que exista uma grande capacidade de retenção. O problema não é apenas atrair, mas sobretudo reconhecer e valorizar os verdadeiramente bons — e acredito que é também por isso que assistimos a tanta mobilidade. Infelizmente, ainda vemos uma tendência para premiar os menos capazes e não dar espaço aos que realmente fazem a diferença. Se queremos competir com o setor privado e com outros países, precisamos de mudar esta mentalidade: o talento não se retém com burocracia, mas com desafios, reconhecimento e oportunidades reais de crescimento. Ao longo da minha experiência, encontrei excelentes currículos no papel, mas a Administração Pública precisa de mudar a sua forma de recrutamento. O que quero dizer é que se queremos um setor público competitivo, precisamos de parar de contratar pelo papel e começar a reconhecer quem transforma desafios em resultados.A desinformação digital é hoje uma das maiores ameaças à democracia?A desinformação digital é hoje, sem dúvida, uma das maiores ameaças à democracia moderna. Um ataque de desinformação em Espanha simulou um site governamental com falsos alertas de segurança, influenciando o clima político em eleições locais Na Roménia (2024–25), campanhas orquestradas de desinformação, com bots do tik tok e interferência estrangeira, conduziram ao anulamento de uma eleição presidencial devido à evidência de manipulação digital massiva.Pela sua experiência acha que as instituições democráticas estão preparadas para lidar com este fenómeno?As instituições democráticas estão conscientes do problema, mas ainda não totalmente preparadas para lidar com a dimensão e velocidade da desinformação digital. Há avanços importantes — como regulamentações europeias (Digital Services Act) e mecanismos de cooperação internacional — mas a resposta continua a ser, em muitos casos, reativa e fragmentada. A desinformação evolui mais rápido do que as políticas e, por isso, precisamos de estratégias de longo prazo, não apenas medidas emergenciais, literacia digital massiva, para que os cidadãos reconheçam manipulação, tecnologia e inteligência artificial ao serviço da transparência, para identificar e mitigar campanhas coordenadas e cooperação global, porque esta ameaça não conhece fronteiras.A inteligência artificial representa mais riscos ou mais oportunidades para a cibersegurança?A inteligência artificial representa ambos: riscos e oportunidades para a cibersegurança — e a diferença estará em como a usamos.As instituições democráticas estão preparadas para o futuro digital?Eu acredito que as instituições democráticas estão a dar passos importantes para se preparar para o futuro digital, mas ainda não estão totalmente prontas. A transformação digital trouxe desafios que vão muito além da tecnologia — exigem agilidade, visão estratégica e capacidade de antecipação. O futuro digital é uma oportunidade para reinventar a forma como vivemos, trabalhamos e protegemos o que mais importa — e juntos podemos transformá-lo num espaço seguro e inclusivo. E se as democracias não se reinventarem para o mundo digital, serão as plataformas — e não os cidadãos — a definir o futuro da liberdade..Centro Nacional de Cibersegurança alerta para ameaça de roubo de dados sensíveis.IA eleva custos e riscos para empresas e obriga a maior investimento em cibersegurança, diz Kaspersky