Lei impõe multas pesadas a entidades sem plano contra ataques informáticos

A atual onda de ataques informáticos a grandes empresas do nosso país não tem ainda explicação da investigação criminal, mas é um sério aviso ao reforço de medidas preventivas

Podem chegar aos 50 mil euros as multas a aplicar a entidades da Administração Pública, a operadores de infraestruturas críticas e de serviços essenciais que não tenham planos de segurança contra ciberataques e não tomem as medidas suficientes para os prevenir e mitigar.

Todas estas entidades, do setor da energia, água, comunicações, transportes, públicas e privadas, estão obrigadas a reportar ao Centro Nacional de Cibersegurança (CNCS) todos os riscos e incidentes ao mínimo detalhe, sob pena de sofrerem sanções.

Estas imposições estão previstas na lei desde 2018, mas só em julho do ano passado foi publicado o regulamento do "Regime Jurídico da Segurança do Ciberespaço" que "define as obrigações em matéria de certificação de cibersegurança" a partir de 2022.

No Centro Nacional de Cibersegurança, dirigido pelo contra-almirante Gameiro Marques, ao reforço de poderes de fiscalização, junta-se o maior reforço de sempre do orçamento, através do Plano de Recuperação e Resiliência que prevê um investimento no Gabinete Nacional de Segurança de 47 milhões de euros, dos quais 70% (33 milhões) são para investir no CNCS.

O ciberataque confirmado esta terça-feira contra a Vodafone foi mais um numa sequência de ataques informáticos de grande impacto, como foram os que vitimaram o grupo Impresa (que detém o Expresso e a SIC), o grupo Cofina (dono da Correio da Manhã CMTV e Sábado) e o site da Assembleia da República.

A PJ está a investigar também o ataque à Vodafone e segundo afirmou em conferência de imprensa o diretor da Unidade de Combate ao Cibercrime, Carlos Cabreiro, ainda não é possível "concretizar o que está na base da motivação do ataque".

Se do ponto de vista da investigação criminal ainda não há respostas consistentes a questões básicas como "porquê em Portugal agora?", "Porquê estes alvos?", "São os mesmos atacantes?", "Há ligação entre eles?" - já no que diz respeito à prevenção, estes ciberataques são um sério aviso ao reforço urgente de medidas.

Um balanço publicado pela revista Forbes, em janeiro último, salienta que em todo o mundo os setores mais atacados por hackers em 2021 fora o da educação / investigação (subida de 75%); na Saúde (mais 71%); comunicações (51%) e no governo e forças armadas (mais de 47%).

Estado piora há três anos

Preocupante é o facto de em Portugal, de acordo com o último relatório disponível do CNCS, ter diminuído de 67% para 61% o número de entidades que têm definida uma estratégia para a segurança da informação, com destaque para a Administração Pública Central que revela um queda constante neste indicador desde 2018 - de 72 em 2018, passaram para 68 em 2019 e em 2020 caíram para 66.

Uma medida de prevenção básica para a continuidade dos serviços em caso de ataque disruptivo - como o que sucedeu na Vodafone - será a redundância dos mesmos, mas constatou a CNCS que na Administração Pública Central - onde 16% das entidades reconhecem ter tido algum tipo de problema devidos ataques externos, principalmente a indisponibilidade dos serviços - só 68% dos organismos têm um backup de informação numa localização externa ao Organismo.

Outro dado relevante é que "no seu conjunto, passou de 40% para 62% de entidades da Administração Pública Central e Regional e Câmaras Municipais a indicarem a segurança como uma competência em Tecnologias de Informação e Comunicações (TIC) a necessitar de reforço com nível elevado, a maior subida desde 2017".

Aviso da fiscalização das secretas

"Não é a PJ que pode prevenir os ciberataques, isso depende de cada um de nós, de sabermos o que podemos e não podemos fazer quando utilizamos o computador ou o telemóvel, porque um comportamento errado, pode comprometer toda uma empresa ou infraestrutura crítica", assinala Hugo Costeira, vice-presidente do Observatório de Segurança Interna.

Lembra que "não falta oferta gratuita de conselhos e avisos nos sites da própria PJ, Europol, Interpol - é só todos assumirem que isto é uma ameaça real. Infelizmente ainda há muita gente, que desempenha até cargos importantes, que preferem ligar-se ao wi-fi de um aeroporto ou hotel do que ter um plano de dados seguro".

Nota que "os ciberataques têm acontecido um pouco por todo o mundo e de forma recorrente e já atingiram entidades desde o Home Office no Reino Unido, ao ministério dos Negócios Estrangeiros do Canadá ou grandes multinacionais. É um problema transversal a que ninguém está imune. A diferença está em ter planos que permitam uma recuperação rápida de serviços".

De resto, no mais recente relatório do Conselho de Fiscalização dos serviços de informações, de 2020 e primeiro semestre de 2021, este tipo de ataques já eram dados como uma tendência inevitável a ter em conta.

"Os tempos de pandemia aceleraram exponencialmente, como era perfeitamente previsível, o registo de ciberataques (...) na ampla tipologia de eventos e de incidentes que comportam e também como meio da própria espionagem, sabotagem, subversão e criminalidade organizada e grave, criando perigo real e iminente para o desempenho de processos e o funcionamento de infraestruturas críticos à vida coletiva, para a sonegação e captura ilícita de informações e conhecimento estratégico e para a indução insidiosa de convulsão social a partir da disseminação on line de notícias falsas e de conspirações distópicas, muitas delas relacionadas com a pandemia de COVID-19", escreve este organismo presidido por Abílio Morgado.

Sublinha que "o ponto a reter agora, com preocupação, não é já só a evidência dos ciberataques; é também a gravidade dos mesmos, que não se limita ao roubo, captura e destruição de informação presente na tecnologia de informação e comunicação, mas que, porque capazes de obnubilar vitais tecnologias operacionais, implicam também perigos efetivos para o mundo real, incluindo para a vida humana e o ambiente".

O CFSIRP insiste na necessidade de haver uma "integração estreita das capacidades nacionais de deteção das ciberameaças e de resposta (mesmo preventiva) aos ciberataques num verdadeiro sistema operacional nacional de prevenção e combate às ciberameaças e ao cibercrime"

Mais Notícias

Outros Conteúdos GMG