Sendo o coordenador do CNCS, Pedro Veiga assume igualmente a coordenação da implementação da Estratégia Nacional de Cibersegurança. No final da conferência C-Days, o coordenador do CNCS deu uma pequena entrevista à Exame Informática em que revela a heterogeneidade do panorama nacional no que toca à cibersegurança: nos aeroportos, o estado de alerta é rotineiro, mas há também direções gerais da Administração Pública (AP) que já foram para a lista negra dos filtros de spam.
Em que ponto é que se encontra a implementação da estratégia nacional de cibersegurança em Portugal?
Foi uma resolução de conselho de ministros de junho de 2015 que definiu a estratégia nacional de cibersegurança. O Centro Nacional de Cibersegurança (CNCS) tem o papel de coordenador, seguindo um conceito de subsidiariedade. Não é o CNCS que faz as coisas acontecerem, mas sim as diferentes entidades. Nós somos os dinamizadores; só aquilo que as entidades não conseguirem fazer é que podemos ser nós a fazer. Esta estratégia deve ser implementada sobre uma série de eixos. Um dos eixos tem como objetivo melhorar a cibersegurança nas redes e sistemas de informação da Administração Pública. Há um segundo eixo que tem a ver com a cibersegurança da infraestruturas críticas que a nova Diretiva de Segurança de Redes e Informação passou a designar como infraestruturas essenciais; e depois há ainda a dimensão de capacitação dos diferentes níveis da nossa sociedade no domínio da cibersegurança. Por exemplo, no que toca aos estudantes: compete ao Ministério da Educação, em articulação connosco, fazer esse tipo de capacitação. A filosofia é seguir a subsidiariedade para descentralizar. O que acontece é que há entidades que, por razões diversas, estão atrasadas ou não estão muito motivadas – e por entidades podemos entender ministérios ou departamentos da Administração Pública. O nosso trabalho é identificar essas situações e ajudar essas entidades a implementar essas políticas de segurança.
Em que ponto se encontram essas políticas de segurança?
As políticas de segurança também dependem de recursos humanos e técnicos. Muitas vezes, as organizações não têm recursos financeiros, mas especialmente não têm conhecimentos. Antes do verão uma direção-geral, que não posso dizer qual é, contactou-nos por um problema de cibersegurança. Basicamente havia um servidor de e-mail aberto que foi usado para espalhar Spam que entrou nas blacklists internacionais (dos sistemas anti-spam). Quando essa direção-geral queria enviar e-mails não conseguia porque tinha sido bloqueada (pelos filtros de spam). Como somos um centro pequeno, estamos a atribuir prioridade a uns ministérios face a outros. Atribuímos o primeiro nível de prioridade ao Ministério dos Negócios Estrangeiros, Administração Interna e Justiça. E depois há outros ministérios que são muito importantes, como o Ministério das Finanças e o Ministério da Saúde. E por fim, há todos os outros ministérios que não estão esquecidos. Vamos a assinar um protocolo com o IAPMEI, que pertence ao Ministério da Economia. Também trabalhamos com empresas que prestam serviços essenciais e também com os reguladores desses serviços…
… Que empresas são essas?
A EDP, a REN, a ANA, a EPAL… Nestes casos, há contactos em duas dimensões: com as empresas ou com os reguladores. Porque nalguns casos há sobreposição. Naturalmente, os reguladores estão muito interessados em que as empresas dos respetivos setores ultrapassem os desafios de segurança de forma adequada. Um exemplo: nos aeroportos detetamos um nível de segurança muito elevado. O que significa que são entidades que estão muito capacitadas. De qualquer maneira, há sempre alguma coisa a fazer com essas entidades… Também temos responsabilidade com empresas, para colaborar a várias dimensões.
Foi para aprofundar a colaboração com as empresas que o novo site do CNCS vai estrear a ferramenta de notificação de incidentes?
É uma função que já existia no centro. Destina-se a qualquer entidade, e também pode ser usada pelos cidadão, apesar de não ser a nossa primeira prioridade. Os incidentes podem vir da AP, da sociedade civil ou até de cidadãos – já resolvemos alguns problemas de pessoas que nos pediram ajuda – mas como temos poucos recursos, temos de atribuir prioridades. Imagine que uma pessoa recebe uma mensagem de phishing a querer fazer passar-se por um banco; esse caso pode ser comunicado com o CNCS e nós tratamos isso, normalmente em colaboração com o banco. Um exemplo: recebo muitos e-mails de phishing, mas como sou uma pessoa com conhecimentos não caio nessas coisas. Nos últimos dois meses detetámos vários ataques de ransomware… ainda não nos chegou uma queixa individual, mas há empresas que nos vieram pedir ajuda devido a ataques de ransomware. E que são hoje uma grande desafio. No site, as pessoas podem reportar incidentes, dizer que tipo de incidente se trata com a informação necessária para acompanharmos o caso, e tentarmos tratá-lo. O site vai contar ainda com documentos com recomendações. Um exemplo: em breve vamos publicar um guia de higiene informática, que inclui muitas coisas como recomendações para a instalação de antivírus, não deixar tablets e portáteis abandonados em locais públicos, usar passwords e evitar o Wi-Fi público.
Em 2017, vai haver C-Days?
O C-Days é um dos mecanismos que usamos para passar a mensagem da cibersegurança e de como se superam os desafios atuais e os de futuro. É uma conferência que começou o ano passado. Tentamos organizar a conferência anaulamente, com especialistas de várias áreas… da economia, da indústria e dos serviços e tentarmos antecipar o que aí vem.
