Worshop
Worshop Reservado Um dos dossiers considerado fundamental, que está em desenvolvimento, é a versão 2.0 da Estratégia Nacional de Segurança do Ciberespaço (ENSC), que surgiu pela primeira vez no espaço nacional em 2015. Esta revisão resulta não só de esta ser uma área muito IT driven mas ainda do próprio documento, que estabelece um timeline para se proceder a atualizações. O documento deverá ser entregue ao Executivo ainda em maio. Para Gameiro Marques, a nova proposta é mais abrangente, tendo em conta toda a experiência e aprendizagem conseguida com o que foi feito até agora. Pretende-se fazer diferente, num trabalho de revisão que envolveu contributos do setor privado e de entidades ligadas à investigação e desenvolvimento e à inovação. A visão? “Garantir que Portugal seja um pais seguro e próspero, através de uma ação inovadora e inclusiva”, permitindo que o país seja resiliente a ataques e garanta o regular funcionamento da sociedade face à evolução digital. Ter recursos humanos em número suficiente para os desafios que se colocam com a economia digital, fomentar a ligação entre I&D e inovação e a economia real e tornar Portugal capaz de suster, identificar e combater ameaças no ciberespaço são as metas no novo documento. As medidas que preconiza serão depois densificadas num plano de ação, que terá que ser publicado até 120 dias após a publicação da ENSC. “O plano de ação será a ferramenta fundamental do Conselho Superior de Segurança do Ciberespaço para monitorizar a execução da estratégia, que terá uma longevidade de 5 anos. Ainda que todos os anos possa ser adequada às evoluções que a própria sociedade verificar”, explica Gameiro Marques. Em termos de timeline, serão recebidos até 7 de maio todos os contributos para a ENSC, sendo então elaborado o documento final que será aprovado a 16 de maio pelo Conselho Superior de Segurança do Ciberespaço. Será depois enviado à tutela, iniciando-se assim o respetivo processo legislativo. COOPERAÇÃO E PARTILHA SÃO CRÍTICAS No debate que se seguiu, que contou com a intervenção de Pedro Veiga, coordenador do CNCS (que apresentou a sua demissão do cargo a 5 de maio), detalharam-se algumas as alterações que foram introduzidas na ENSC 2.0, a partir das debilidades detetadas com a aplicação da primeira versão. Como passar a abranger as autarquias e as regiões autónomas, que operam infraestruturas essenciais. “Agora, temos vindo a assinar protocolos com autarquias, o que nem sempre é fácil”, destaca. Lisboa foi a primeira a assinar um protocolo. Acresce que a ENSC, publicada antes da Diretiva de Bruxelas ser aprovada, tinha determinações a seguir. “Percebemos logo que precisávamos de caminhar na direção da Diretiva e começámos a dar especial interesse em protocolar a colaboração com entidades que considerávamos críticas”, refere Pedro Veiga. Nomeadamente com os portos, entidades reguladoras dos setores dos serviços essenciais definidos na Diretiva e com grandes empresas, como a ANA, REN, EDP e Galp. “Tentámos capitalizar as lições aprendidas da versão anterior. Não havia foco nas estruturas de informação críticas para Portugal”, acrescenta Gameiro Marques. Assim, a nova versão teve um processo de desenvolvimento diferente
9 Rogério Carapuça e Gameiro Marques têm como objetivo reforçar a cooperação e as parcerias do CNCS e as empresas das TIC e Media e mais inclusivo. A nova estratégia tem que ser “security by design e by default”, com responsabilização e comunicação. É ainda dado muito enfâse à cooperação com outras entidades, nomeadamente na rede CSIRT. “Vamos incentivar as entidades a cooperar porque a partilha de informação é fundamental nesta área”, acrescenta Pedro Veiga, que destaca ainda a capacitação de pessoas e empresas para o digital e o tema da cibersegurança como outros desafios, onde se espera contar com o apoio da sociedade e de associações como a APDC. “Estamos disponíveis para parcerias”, garantiu. É que, como mostra o mais recente relatório da Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) – que se vai transformar brevemente numa agência de cibersegurança, com o papel de ajudar os estados-membros, as instituições e as empresas a lidarem com ciberataques – as grandes tendências são de uma cada vez maior complexidade dos ataques cibernéticos e a existência de uma verdadeira indústria de ataques informáticos. E não é só dos criminosos que vêm as ameaças. Muitas vezes, resultam dos próprios funcionários das organizações, que se esquecem de adotar as necessárias medidas de prevenção.•
