ENISA: Incidentes de segurança na rede raramente são reportados

 

Mesmo que possam afectar milhões de pessoas ou negócios, os incidentes de segurança cibernética não são geralmente reportados ou detectados. Quem o diz é a ENISA (European Network and Information Security Agency), agência da União Europeia, num relatório recente sobre a “ciber-segurança”.

O relatório “Cyber Incident Reporting in the EU”, publicado ontem, consiste numa análise geral dos artigos da legislação europeia sobre a temática, divulgando alguns exemplos de incidentes na rede que podem ter um “grande impacto em utilizadores individuais, na economia e na sociedade em geral”.

A saber: Em Junho deste ano, 6,5 milhões de palavras-passe em hash (ocultas) de uma rede social do sector dos negócios apareceram em fóruns públicos de hackers. “O impacto da violação não é conhecido totalmente, mas milhões de utilizadores foram convidados a alterar as suas palavras-passe e os seus dados pessoais podem estar em risco”, lembra o relatório. Algumas palavras-passe de contas da rede social LinkedIn, por exemplo, ficaram comprometidas por este motivo.

Outro caso: em Dezembro de 2011, a tempestade Dagmar afectou o fornecimento de energia para as redes de comunicações electrónicas na Noruega, Suécia e Finlândia. Em consequência, milhões de utilizadores ficaram sem telefone e Internet por duas semanas. Também no final de 2011 uma falha num centro de dados de um fornecedor de smartphones do Reino Unido impediu que milhões de utilizadores da rede, na União Europeia e no resto do mundo, pudessem enviar ou receber e-mails, “o que afectou severamente o sector financeiro”, diz o relatório.

 

Acidentes mantidos em segredo

A questão levantada por esta agência da União Europeia é que a maioria de incidentes como estes raramente são reportados, sendo mantidos em segredo muitas das vezes, como se pode ler no portal Euractiv.

“Os incidentes cibernéticos são a maioria das vezes mantidos em segredo e, quando descobertos, deixam os clientes e os decisores políticos no escuro quanto à frequência, ao impacto e à origem”, afirmaram os co-autores do documento, Marnix Dekker e Christoffer Karsberg.

O estudo divulgado ontem indica que a partilha de relatos de incidentes na Europa deve ser aperfeiçoada e que a legislação pode desempenhar “um papel importante” no combate à insuficiente informação transmitida aos utilizadores da Internet sobre o impacto dos incidentes de segurança na rede e a sua frequência. O relatório recorda que, para alguns tipos de incidentes, há uma nova directiva europeia, transposta para as leis nacionais, que obriga os fornecedores de redes a reportar os incidentes a uma autoridade nacional.

O director executivo do ENISA, citado pelo Euractiv, afirmou que “o relato do incidente é essencial para obter um retrato real da segurança na rede. A estratégia da segurança cibernética é um passo importante e um dos seus objectivos é expandir o âmbito das disposições legais como o artigo 13º para além do sector das telecomunicações”. Este artigo, incluído na directiva europeia “Segurança e Integridade”, de 2009, postula que “os fornecedores de redes e serviços públicos de comunicação devem tomar medidas para garantir a segurança e a integridade das suas redes”, devendo “reportar às autoridades nacionais competentes quebras de segurança significativas”. Por sua vez, ficou legislado que as autoridades nacionais deveriam enviar à ENISA e à Comissão Europeia relatórios anuais sobre incidentes desta ordem.

Na sequência desta lei, a ENISA recebeu em Maio de 2012 os relatórios anuais dos estados membros relativos a 2011. Foram reportados 51 incidentes graves aos reguladores, aos quais chegaram descrições do impacto, da origem, das acções levadas a cabo e das lições aprendidas com os incidentes.

Ao longo do relatório, a agência europeia analisa outras leis europeias relacionadas com a privacidade electrónica e a regulação da protecção de dados, lembrando ainda o que está a ser feito pela Comissão Europeia no âmbito de uma Estratégia de Segurança Cibernética, em fase de incubação.

A ENISA compromete-se a publicar em Setembro deste ano um sumário destes relatórios anuais.

1 Comentário

  1. […] “Os incidentes de segurança na rede raramente são reportados, mesmo que possam afectar milhões de pessoas ou negócios”. Era esta a principal conclusão do relatório “Cyber Incident Reporting in EU”, realizado pela ENISA (European Network and Information Security Agency), agência da União Europeia para a área da cibersegurança, publicado em Agosto e divulgado pela Dianova. […]


Comments RSS TrackBack Identifier URI

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s