Objetivo é dar maior proteção aos investigadores que ajudam a encontrar falhas em sistemas públicos. CNCS também está a preparar ferramenta que permite às empresas fazerem autodiagnóstico às suas práticas de segurança.
O Centro Nacional de Cibersegurança (CNCS) quer que seja criada uma política nacional de divulgação responsável de vulnerabilidades. A novidade foi avançada por Lino Santos, coordenador da autoridade nacional responsável pelos temas de segurança informática.
“Temos uma comunidade forte de pessoas que descobrem vulnerabilidades, às vezes em serviços públicos, às vezes em empresa, e que o fazem é numa lógica de tentar corrigir o problema, avisar o mais rapidamente possível essa entidade para corrigir o problema”, explicou o responsável em entrevista à Insider / Dinheiro Vivo.
“Nós não temos um regime jurídico em Portugal que proteja de alguma forma estas pessoas. Seguindo o princípio da legalidade, a partir do momento em que é violada a lei, temos um problema para a pessoa que o fez, mesmo que ela tenha esta vontade ou esteja a fazer numa lógica de investigação ou de ajudar a proteger contra explorações de agentes maliciosos – e isso sim seria danoso”, acrescentou o líder do CNCS.
A ideia passa por criar um regime que proteja quem notifique as entidades das falhas encontradas, mas numa primeira fase o objetivo não será criar um regime que incentive à descoberta de vulnerabilidades – ou seja, não vão ser criados programas de caça ao bug com recompensas.
Leia também | São portugueses, hackers de elite e recebem milhares pelas suas descobertas
“Neste momento estamos a pensar em ligar este enquadramento a um modelo de gestão de vulnerabilidades, sem criar incentivos. Mas quem sabe se depois não poderemos, com a ajuda das entidades que prestam serviços públicos e que querem melhorar a sua segurança, criar um mecanismo desses de criação de incentivos”.
Lino Santos admite que por agora existe a vontade de colocar este tema na agenda política, mas que os moldes em como este ambiente mais favorável para hackers e caçadores de bugs pode funcionar não está definido. “Estamos a avaliar exatamente o que é necessário para conseguir ter um enquadramento para isto”.
Ainda assim, o coordenador do CNCS diz que o modelo dos Países Baixos é um bom exemplo e com “grande benefício” para o centro de cibersegurança local.
50 incidentes de cibersegurança por mês
O Centro Nacional de Cibersegurança trata, em média, 50 incidentes todos os meses e que englobam, segundo Lino Santos, casos de “baixa” e “extrema gravidade”. Metade destas notificações, diz o coordenador da autoridade nacional responsável pelos temas de segurança informática, são reportadas por outros países, mas cujos ataques têm origem no ciberespaço português.
“São cidadãos incautos que têm o seu computador infetado com um vírus e que estão a participar num ataque de negação de serviço (DDoS) a uma infraestrutura, ou serviço no estrangeiro ou são sites que alojam malware”, revela.
“Há setores da sociedade que já conseguem tratar a maior parte dos seus incidentes sem recorrerem ao CNCS, o que é bom, esse é o nosso objetivo. Agora, há incidentes, quer pela sua originalidade quer pela sua novidade, que implicam uma partilha de informação com o CNCS e às vezes com a rede europeia de equipas de reação a incidentes para perceber se isto está a acontecer num outro local e qual é o modo de atuação”, explica.
Para ajudar a baixar o número de incidentes reportados e fazer subir as defesas de segurança informática das empresas e organizações, o CNCS está a apostar em duas grandes frentes. A primeira é o lançamento de um programa de formação numa lógica de parceria público-privada, em que o centro dá formação a elementos de empresas parceiras – como a Cisco – que depois dão formação a nível regional.
“Pedimos às empresas que querem participar connosco neste esforço para disponibilizar num regime de responsabilidade social até cinco dias por ano para estas ações, oferecerem cinco dias por ano de um colaborador seu”, adianta Lino Santos. A ideia é ter uma ação por mês nas capitais de distrito: a primeira já se realizou, em Aveiro.
Estes formadores também poderão deslocar-se a empresas que tenham pedido ao CNCS ajuda na sensibilização dos funcionários para o tema da cibersegurança.
Lino Santos revelou ainda que o CNCS está a criar uma ferramenta informática que vai permitir às empresas fazerem um autodiagnóstico para perceberem as suas capacidades de deteção e resposta a incidentes de segurança.
Leia também | SamSam. O vírus que espalha o pânico pelo mundo chegou a Portugal
“Vão ter disponível um mecanismo de autoavaliação que lhes permite saber qual o seu nível de maturidade [de um máximo de cinco níveis] e quais são os passos que devem seguir para elevar esta maturidade.”
A ferramenta só deverá ser lançada em outubro, altura em que se celebra o mês europeu da cibersegurança. “Temos sentido que a nossa mensagem junto de decisores de pequenas e médias empresas não está a ser eficaz. Temos de reconhecer isso e temos de alguma forma de mudar.”
O CNCS vai também, em 2019, estar ligado a seis entidades – cujos nomes não foram revelados -, das quais vai receber informação direta, que será adicionada aos dados que já recolhe de forma aberta.
“Temos planos para receber informação de mecanismos de deteção por parte de um conjunto de entidades que inclui organismos do Estado, dentro dos ministérios de soberania, mas também de empresas privadas consideradas críticas ou de serviços essenciais.”
O mundo tem um problema de segurança informática. Portugal tem a solução