Portugal é um país ciberseguro?
Nenhum país está 100% ciberseguro, e naturalmente, os riscos são inevitáveis. Ainda assim, Portugal encontra-se entre os países mais bem posicionados em termos de cibersegurança na Europa e também a nível global, de acordo com o Global Cybersecurity Index 2024, um estudo elaborado pela União Internacional das Telecomunicações (ITU), integrando o grupo tier 1 [melhor classificados], composto por nações que servem como modelos globais no desenvolvimento da cibersegurança. Essa posição, reflete os esforços contínuos do país, das empresas e do Centro Nacional de Cibersegurança [CNCS], em melhorar as infraestruturas técnicas, promover a regulamentação legal, a maior capacitação das pessoas e sobretudo, a cooperação internacional.
Compara bem com os restantes países da UE?
No contexto europeu, Portugal está entre as 20 principais nações com melhor desempenho em cibersegurança, o que consolida a sua posição como referência no combate a ameaças digitais e no apoio à transformação digital. Ainda assim, em termos de inovação, há margem para uma maior evolução, por exemplo, em relação a tecnologias emergentes. A aposta terá de ser substancialmente maior em formação mais específica e apoio ao talento jovem em áreas como a Inteligência Artificial [IA] e a computação quântica. Existe ainda um longo caminho a percorrer relativamente à materialização de parcerias entre o setor público e privado. Uma cooperação mais eficaz entre ambos os setores poderá reforçar a capacidade de resposta a ciberameaças e a implementação das melhores práticas rumo a uma maior resiliência e maturidade digital.
Que tendências cibernéticas identifica em Portugal?
O crescimento da área de strategic intelligence, principalmente, dado o atual contexto geopolítico e securitário que impacta o ciberespaço – cyberwarfare, cognitive warfare. A polarização global, intensificada por crises como a guerra na Ucrânia, resultou em crescentes ações de ciberespionagem por grupos criminosos, atores estatais e hacktivistas, factos que vieram exacerbar a crescente relevância da área de intelligence. Há também que salientar a tendência da IA generativa em soluções internas de empresas. Assistimos cada vez mais a uma maior integração de IA, tanto na defesa como nos ciberataques, representando uma tendência emergente. Soluções preditivas e automatizadas prometem maior proteção, mas também ampliam a superfície de ataque, já que os criminosos exploram IA para tornar as suas técnicas mais sofisticadas. Em Portugal, o phishing e o ransomware continuam a ser as principais ameaças, com ataques direcionados, e cada vez mais sofisticados, a entidades públicas e privadas.
Portugal prepara-se para adotar uma nova diretiva de cibersegurança, a NIS 2, que deverá garantir um elevado nível comum de cibersegurança em toda a UE. As empresas privadas e entidades públicas estão preparadas?
Apesar dos avanços significativos do país no âmbito da cibersegurança, ainda existem desafios relevantes a serem superados para que todas as organizações atinjam níveis de maturidade elevados em cibersegurança. No âmbito das empresas privadas, as grandes empresas de setores críticos, como energia, saúde, telecomunicações e banca, tendem a estar mais avançadas nas suas políticas de cibersegurança, devido à pressão regulatória e à maior exposição a riscos. No entanto, pequenas e médias empresas enfrentam dificuldades diárias significativas, como a falta de recursos financeiros, a escassez de competências especializadas e o menor apoio sobre os requisitos legais de conformidade com a NIS2. Ao nível do setor público, algumas entidades demonstram progresso na implementação de políticas de cibersegurança coordenadas pelo CNCS. Contudo, a fragmentação existente entre diferentes organismos e níveis de governo pode dificultar a uniformização das práticas de cibersegurança. A NIS2 exigirá uma maior cooperação e troca de informações entre setores, algo que o setor público português ainda está a desenvolver de forma pouco consistente.
Quantos incidentes de segurança regista em média a Visionware em Portugal, anualmente, e quais os setores mais expostos?
Em Portugal, os setores mais vulneráveis e frequentemente atacados incluem a saúde, é um dos principais alvos devido à sensibilidade e criticidade dos dados. A educação também, devido à infraestrutura digital menos protegida em algumas instituições e ao elevado número de utilizadores; as telecomunicações e ainda a administração pública que, como todos sabemos, têm sofrido ataques coordenados. Aliás, veja-se o que aconteceu com o mais recente ciberataque direcionado à AIMA, que causou disrupções significativas e por um tempo algo prolongado. Estes ataques estão cada vez mais sofisticados, frequentemente envolvem táticas de ransomware, phishing e malware avançado, muitas vezes impulsionados por IA.
Como podem as empresas e as entidades públicas adotar da melhor forma as novas exigências de cibersegurança, preconizadas pelo NIS 2?
Primeiro convém ler o documento, compreender detalhadamente as obrigações específicas impostas pela NIS2, especialmente, no que diz respeito às novas mudanças; depois, há que estabelecer uma governação sólida, uma distribuição clara de responsabilidade e a nomeação clara de responsáveis internos; deve-se igualmente apostar na realização de auditorias regulares, fundamentais nesta fase para identificar vulnerabilidades, e avaliar o trabalho a realizar para garantir a conformidade contínua; seguidamente, mapear os ativos essenciais, implementar controlos e segmentar as redes; a colaboração ativa com o CNCS desempenhará igualmente um papel central na implementação da NIS2 em Portugal; por último, a definição de planos de ação/resposta a incidentes que garantam a capacidade de notificar incidentes às autoridades competentes nos prazos legais exigidos pela NIS2.