Por Pedro Nunes Oliveira Machado (*) 

Harmonizar um elevado nível de maturidade da cibersegurança em toda a Europa é um desafio complexo. Carece do envolvimento e participação ativa de todos, numa luta que se traduz fundamentalmente, numa mudança de cultura.

Com o objetivo de unir todos contra as ameaças no ciberespaço, outubro foi consagrado como o “Mês Europeu da Cibersegurança”, iniciativa lançada em 2012. Esta é uma ação anual de sensibilização coordenada pela Comissão Europeia e a Agência da União Europeia para a Cibersegurança (ENISA), apoiada pelos Estados-Membros da UE e centenas de parceiros não apenas da Europa, mas também de outras geografias.

Assim, durante este mês, são promovidas centenas de atividades por toda a Europa, com o objetivo de sensibilizar, informar e aconselhar os cidadãos. É necessário alertar para a necessidade de uma maior literacia sobre a segurança no ciberespaço, através da adoção de competências que aumentem o nível de segurança no mundo digital.

Este ano tem também sido marcado por um crescente número de ataques a alguns sectores, com o da Educação/I&D, Administração Pública e Saúde no Top 3. Mas, apesar disto, a Europa teve um dos menores aumentos face ao período homólogo - o que se traduz num indicador positivo quando consideramos que, numa perspetiva de interesses e conflitos geoestratégicos e geopolíticos, este continente assume um papel muito ativo, tornando-se um alvo apetecível de operações ofensivas no ciberespaço.

Mas o que contribuí para que a Europa tenha um dos menores aumentos de ciberataques?

Por um lado, é o facto de existir uma agenda, que não se limita ao mês de outubro, de eventos e campanhas, promovidas por diferentes entidades públicas e privadas, que contribuem para o despertar dos riscos e para uma mudança de comportamentos.

Por outro, focando-nos especificamente em Portugal, verificamos uma melhoria na conformidade e na maturidade tecnológica. Lisboa assume, no entanto, mais de 44% da totalidade dos ativos nacionais expostos diretamente ao ciberespaço, se virmos numa perspectiva geográfica, com relevância geoestratégica.

Embora, os indicadores demonstrem uma tendência evolutiva positiva, não há qualquer garantia de segurança no futuro, de modo que a variabilidade depende da maturidade e do rigor da configuração tecnológica, da literacia do utilizador e da motivação do(s) atacante(s).

Quais os vetores e as “joias da coroa” que devem ser protegidos com maior atenção?

A principal preocupação das organizações está na proteção dos seus ativos, negligenciando muitas vezes, a importância que as entidades terceiras corporizam. Por mais que uma organização seja rigorosa com a cibersegurança, os prestadores de serviço podem ser o vetor que leva ao seu comprometimento. Por esta razão, o setor financeiro encontra no Regulamento DORA um conjunto de preocupações e obrigações, quanto à forma como as entidades devem gerir os seus prestadores de serviços.

Relativamente às “joias da coroa”, além dos dados financeiros, os dados pessoais continuam a estar no foco dos atacantes, uma vez que o comprometimento destes pode facilmente resultar num risco para os direitos, liberdades e garantias dos cidadãos, afetando também a confiança e a operacionalidade nas organizações.

Atendendo à reconhecida utilidade das ações realizadas em outubro, considera-se fundamental que estas ocorram com maior regularidade, despertando consciências, sensibilidade e literacia promotora do aumento da segurança no ciberespaço. Não devemos limitar o foco neste assunto apenas durante o mês de outubro, mas sim ao longo de todo o ano.

(*) Data Protection Officer do Grupo Ageas Portugal