Outubro é o Mês Europeu da Cibersegurança

 

Arranca hoje o Mês Europeu da Cibersegurança. A iniciativa conta com a agência europeia ENISA na assessoria, que pretende transformá-la num “instrumento eficaz de consciencialização sobre os desafios da segurança da rede e da informação”. No âmbito deste certame, em Portugal está agendado para esta quinta-feira o “Infosec Day”.

 

“Os incidentes de segurança na rede raramente são reportados, mesmo que possam afectar milhões de pessoas ou negócios”. Era esta a principal conclusão do relatório Cyber Incident Reporting in EU, realizado pela ENISA (European Network and Information Security Agency), agência da União Europeia para a área da cibersegurança, publicado em Agosto e divulgado pela Dianova.

O secretismo que envolve estes incidentes era identificado neste documento, no qual era ainda analisada a legislação europeia em vigor em matéria de segurança na rede: “Os incidentes cibernéticos são a maioria das vezes mantidos em segredo e, quando descobertos, deixam os clientes e os decisores políticos no escuro quanto à frequência, ao impacto e à origem”, afirmaram os co-autores do documento, Marnix Dekker e Christoffer Karsberg.

Um mês depois da publicação deste relatório crítico, a ENISA está a assessorar a implementação e a organização deste certame, internacional, de duração mensal, que tem como mote a deixa “Seja consciente, esteja seguro” [“Be Aware, be safe”].

O conceito deste “Mês da Cibersegurança” foi inspirado em projectos semelhantes ocorridos noutros pontos do globo, referindo o site da ENISA que “um dos elementos mais críticos para o sucesso desta actividade será desenvolver uma estrutura e um esquema de coordenação eficaz entre as entidades participantes”.

Este projecto está em linha com a produção do grupo de trabalho União Europeia/Estados Unidos, em matéria de cibercrime e cibersegurança, saída da Cimeira da União Europeia/Estados Unidos, que decorreu em Lisboa a 20 de Novembro de 2010.

 

“Infosec Day” ou as novas tendências de cibersegurança em discussão

Em Portugal, a Shadowsec, a UNICRI (Instituto de Investigação Inter-regional de Crime e Justiça das Nações Unidas) e o Gabinete Nacional de Segurança prepararam quatro dias de workshops alusivos ao tema (entre hoje, 1, e quinta-feira, 4) e uma jornada de intervenções de peritos no chamado “Infosec Day”, que chega à segunda edição neste ano.

As oficinas versam, por exemplo, sobre as parcerias público-privadas no combate ao Cibercrime e as Investigações Digitais (amanhã, dia 2, com Giuseppe Vaciago, da UNICRI) ou a Protecção de Dados (quarta-feira, dia 3, com João Ribeiro, da Comissão Nacional de Protecção de Dados).

Já dia 4, estarão em discussão as principais tendências nacionais e internacionais sobre cibersegurança. Entre os oradores estarão Maria José Morgado, magistrada do Ministério Público, a falar sobre a legislação do Cibercrime, e Francesca Bosco, da UNICRI, a apresentar a estratégia deste instituto para combater as “ciber-ameaças”.

Veja o programa completo do Infosec Day aqui.

Pode ler mais sobre a Campanha de Consciencialização “Stop.Think. Connect” aqui.

ENISA: Incidentes de segurança na rede raramente são reportados

 

Mesmo que possam afectar milhões de pessoas ou negócios, os incidentes de segurança cibernética não são geralmente reportados ou detectados. Quem o diz é a ENISA (European Network and Information Security Agency), agência da União Europeia, num relatório recente sobre a “ciber-segurança”.

O relatório “Cyber Incident Reporting in the EU”, publicado ontem, consiste numa análise geral dos artigos da legislação europeia sobre a temática, divulgando alguns exemplos de incidentes na rede que podem ter um “grande impacto em utilizadores individuais, na economia e na sociedade em geral”.

A saber: Em Junho deste ano, 6,5 milhões de palavras-passe em hash (ocultas) de uma rede social do sector dos negócios apareceram em fóruns públicos de hackers. “O impacto da violação não é conhecido totalmente, mas milhões de utilizadores foram convidados a alterar as suas palavras-passe e os seus dados pessoais podem estar em risco”, lembra o relatório. Algumas palavras-passe de contas da rede social LinkedIn, por exemplo, ficaram comprometidas por este motivo.

Outro caso: em Dezembro de 2011, a tempestade Dagmar afectou o fornecimento de energia para as redes de comunicações electrónicas na Noruega, Suécia e Finlândia. Em consequência, milhões de utilizadores ficaram sem telefone e Internet por duas semanas. Também no final de 2011 uma falha num centro de dados de um fornecedor de smartphones do Reino Unido impediu que milhões de utilizadores da rede, na União Europeia e no resto do mundo, pudessem enviar ou receber e-mails, “o que afectou severamente o sector financeiro”, diz o relatório.

 

Acidentes mantidos em segredo

A questão levantada por esta agência da União Europeia é que a maioria de incidentes como estes raramente são reportados, sendo mantidos em segredo muitas das vezes, como se pode ler no portal Euractiv.

“Os incidentes cibernéticos são a maioria das vezes mantidos em segredo e, quando descobertos, deixam os clientes e os decisores políticos no escuro quanto à frequência, ao impacto e à origem”, afirmaram os co-autores do documento, Marnix Dekker e Christoffer Karsberg.

O estudo divulgado ontem indica que a partilha de relatos de incidentes na Europa deve ser aperfeiçoada e que a legislação pode desempenhar “um papel importante” no combate à insuficiente informação transmitida aos utilizadores da Internet sobre o impacto dos incidentes de segurança na rede e a sua frequência. O relatório recorda que, para alguns tipos de incidentes, há uma nova directiva europeia, transposta para as leis nacionais, que obriga os fornecedores de redes a reportar os incidentes a uma autoridade nacional.

O director executivo do ENISA, citado pelo Euractiv, afirmou que “o relato do incidente é essencial para obter um retrato real da segurança na rede. A estratégia da segurança cibernética é um passo importante e um dos seus objectivos é expandir o âmbito das disposições legais como o artigo 13º para além do sector das telecomunicações”. Este artigo, incluído na directiva europeia “Segurança e Integridade”, de 2009, postula que “os fornecedores de redes e serviços públicos de comunicação devem tomar medidas para garantir a segurança e a integridade das suas redes”, devendo “reportar às autoridades nacionais competentes quebras de segurança significativas”. Por sua vez, ficou legislado que as autoridades nacionais deveriam enviar à ENISA e à Comissão Europeia relatórios anuais sobre incidentes desta ordem.

Na sequência desta lei, a ENISA recebeu em Maio de 2012 os relatórios anuais dos estados membros relativos a 2011. Foram reportados 51 incidentes graves aos reguladores, aos quais chegaram descrições do impacto, da origem, das acções levadas a cabo e das lições aprendidas com os incidentes.

Ao longo do relatório, a agência europeia analisa outras leis europeias relacionadas com a privacidade electrónica e a regulação da protecção de dados, lembrando ainda o que está a ser feito pela Comissão Europeia no âmbito de uma Estratégia de Segurança Cibernética, em fase de incubação.

A ENISA compromete-se a publicar em Setembro deste ano um sumário destes relatórios anuais.