As obrigações de segurança da informação impostas pelo Decreto Lei não estão a ser cumpridas e as organizações já começaram a ser notificadas, mas podem também ser alvo de coimas em breve. O aviso foi hoje feito pelo Contra-Almirante Gameiro Marques, diretor geral do Centro Nacional de Cibersegurança (CNCS) e do Gabinete Nacional de Segurança (GNS) numa sessão do Building the Future dedicada à cibersegurança.

Em causa está a aplicação do Decreto Lei 65/2021 que define as obrigações das organizações que prestam serviços críticos, uma das bases fundamentais da legislação nesta área.

Até agosto de 22 tivemos uma postura pedagógica. Não correu muito bem”, explicou Gameiro Marques adiantando que quando consultaram a base de conhecimento verificaram que a maioria das organizações não tinha cumprido as exigências. O secretário de Estado da Digitalização e da Modernização Administrativa, Mário Campolargo, já tinha admitido que os números não eram positivos.

“O português não vai lá com pedagogia, por isso modificámos a nossa postura. Notificámos cerca de 400 entidades, agora estamos a fazer o rastreio dos mínimos que deviam ter sido cumpridos e não foram, e vamos começar a aplicar coimas”, detalhou. “Vai ter de ser assim, lamento mas a realidade da nossa sociedade é assim”, defende, lembrando que não estão a fazer isto para benefício do CNCS mas para obrigar as empresas que prestam serviços essenciais e críticos ao nosso país que cumpram o que está no decreto lei, que transpõe a diretiva NIS.

“A lei foi transposta em 2018 e no ano passado fizemos 74 ações de formação em todo o país com 1680 pessoas que obtiveram o certificado, para ensinar que requisitos de segurança deviam cumprir. Quando vemos estes resultados é frustrante”, admitiu Gameiro Marques.

Plano de transposição da NIS 2 entregue hoje ao Governo

Em relação á diretiva NIS 2, que entrou em vigor a 16 de janeiro, Gameiro Marques diz que vai hoje ser apresentado o plano de transposição ao secretário de Estado da Digitalização e da Modernização Administrativa. O diretor geral do CNCS admite que esta transposição é mais complexa, porque é uma lei e o processo legislativo passa pela Assembleia da República, mas lembra que “temos um ano para fazer esse caminho”.

O objetivo é ter já este ano, em outubro, um estudo de impacto da implementação da NIS 2, que passa a englobar mais entidades na lista das que têm obrigações reforçadas de cibersegurança.

O cumprimento das obrigações de cibersegurança foi um dos temas do debate “A economia do cibercrime: ameaças e oportunidades” que contou também com Carlos Cabreiro. O director da Unidade de crime informático e tecnológico da Policia Judiciária lembrou que nos últimos dois anos têm crescido exponencialmente os incidentes de cibersegurança e os crimes com recurso aos meios informáticos, com reflexo em cibercrime.

“Estes crimes [de cibercrime e crimes com recurso a meios informáticos] representam já 52 a 55% de toda a criminalidade”, detalha Carlos Cabreiro, englobando crime informático puro e duro, como ransomware, intrusões e outros crimes com meios informáticos, admitindo que será difícil nesta altura configurar a prática de um crime onde não tenham de ser usados mecanismos de recolha de prova que não tenha subjacente ferramentas informáticas.

Em relação à qualidade de hacker, o inspetor diz que não está muito bem definida, porque existem os “ethical hackers” e que não cometendo crimes podem ser um instrumento valoroso para o rastreio da cibersegurança nas organizações.

"Os portugueses não são melhores nem piores do que os outros. Já tivemos bons exemplos de pessoas que colaboraram e tiveram essa perspetiva de cibersegurança, e naturalmente há outros que viram para o lado do crime e que acabaram por ser punidos", explica Carlos Cabreiro

O inspetor da PJ lembra também que o cibercrime é cada vez mais transnacional. “As redes são transnacionais, é uma fronteira ténue e difícil de estabelecer porque quando praticam crimes em conjunto não olham para a nacionalidade”, justifica.

Para o inspetor uma das principais preocupações com as empresas é que existam as chamadas cifras negras, e que muto do crime não seja denunciado. “O que nos preocupou este ano [de 2022] é que o principal móbil doa ataques a grandes empresas não eram motivos económicos, era a destruição de dados”, afirma, dizendo que esta é uma preocupação que nos vai acompanhar porque não se sabe se a informação roubada é depois usada para outros fins.

Durante as sessões da manhã, Nuno Nunes, CSO de B2B da Altice Portugal, tinha abordado a questão de como as empresas se devem preparar, partilhando números sobre o impacto do cibercrime. Segundo os dados partilhados, o impacto nas organizações foi de 6 triliões de dólares em 2022, multiplicando por 6 os valores de 2020, sendo que as perspetivas indicam que deverá chegar a 10,5 triliões em 2025.

“É preciso pensar como iremos transformar a nossa forma de trabalhar, como iremos mitigar”, avisa, lembrando que “o risco não vai desaparecer”, defende Nuno Nunes

O executivo lembra que 70% dos alvos são escolhidos, e que 80% dos crimes são feitos por entidades organizadas de cribercrime, por isso as empresas têm de estar atentas a todos os indicadores, incluindo as informações que circulam na Dark Net com possiveis dados de acesso aos seus sistemas.

Olhar para a segurança das organizações e não só para a tecnologia, fazer uma aculturação de hacking com modelos preditivos, integrados com base de dados e networking com NOC e uma visão holistica da rede fazem parte do posicionamento tecnológico que a Altice Empresas implementou e que disponibiliza ao mercado e que Nuno Nunes defende que é a visão que permite às organizações estarem preparadas para eventuais ataques e mitigarem esses riscos.