A 9ª edição da conferência de cibersegurança C-Days surge num momento de transição entre a nova Estratégia Nacional de Segurança do Ciberespaço e a nova directiva NIS 2. Lino Santos, coordenador do Centro Nacional de Cibersegurança, avançou à Security Magazine que foi “recentemente aprovado um alargamento de quadro” para dar resposta às actuais exigências do CNCS. “Contamos no final do ano ter uma quase duplicação do nosso quadro concluída com sucesso”.
Security Magazine – Que balanço faz desta edição, a qual marca um momento muito importante com a preparação de uma nova Estratégica Nacional de Segurança do Ciberespaço e a nova directiva NIS 2?
Lino Santos – Temos tido uma forte afluência, com mais de 1250 inscritos e com muitas caras novas. Estes números mostram que a comunidade está a aumentar e que o tema da cibersegurança está a começar, de alguma forma, a ser levado a sério nas organizações e a despertar interesse por parte da população em geral.
A 9ª edição surge num momento de transição muito importante, marcado pela transição para a nova Estratégia Nacional de Segurança do Ciberespaço. A segunda Estratégia termina este ano (2020-2023), sendo que estamos neste momento a trabalhar na elaboração de uma nova edição da Estratégia Nacional de Segurança do Ciberespaço. Nesta edição do C-Days criámos um ponto para obtenção de contributos da sociedade civil para a nova Estratégia.
Esta 9ª edição surge no momento de transição entre aquele que foi o principal instrumento orientador da cibersegurança, a directiva NIS, para a directiva NIS 2, a qual irá alargar o âmbito de aplicação a novos sectores de actividade económica, reforçar poderes de autoridade, reforçar a responsabilidade dos operadores de serviços essenciais e serviços importantes e criar novos instrumentos inovadores que têm por objectivo assegurar o elevado patamar de cibersegurança nestas entidades tão importantes para a nossa sociedade.
O facto de estarmos num momento de transição entre estes dois mundos, associado ao facto de termos um contexto geopolítico novo, – pois não tínhamos uma situação de guerra na Europa há quase 70 anos -, confere uma especial importância a este C-Days.
Temos tido excelentes debates e discussões e boas ideias para o futuro.
Assiste-se à participação também de um público mais heterógeno?
Sim, houve um esforço da nossa parte para alargar o tipo de oradores que temos na C-Days. Tivemos uma particular atenção para a cibersegurança na administração local e criámos dois momentos de discussão na cibersegurança de municípios. Tivemos também uma abordagem à cibersegurança de serviços essenciais, no jornalismo, entre outros. No fundo, tivemos um cuidado especial de ter uma abordagem holística ao tema e que junte pessoas interessadas no tema da cibersegurança, mas com diferentes profissões e perspectivas.
Uma das formas de termos esta abordagem passa por todos os anos mudarmos dentro do centro os responsáveis pelo programa, o que proporciona visões sempre distintas e alguma inovação nesta matéria.
Olhando para a realidade do CNCS, muito mudou desde que abraçou as funções de coordenador. Como estão organizados em termos do número de pessoas e como é o dia – a dia do Centro?
De facto, a responsabilidade é grande e o limite são os recursos que temos. É sempre um desafio. Vimos recentemente aprovado um alargamento de quadro para dar resposta a estas exigências e, de forma cabal, podermos dar resposta às competências que temos assignadas. Algumas das nossas responsabilidades na área de regulação e supervisão precisavam de um reforço de recursos para executarem na sua plenitude. Esse alargamento foi recentemente aprovado e agora temos o processo de selecção a fazer. Contamos no final do ano ter uma quase duplicação do nosso quadro concluída com sucesso.
O CNCS terá mais áreas de abrangência e outros serviços que irá prestar às organizações?
Este reforço vem, de alguma forma, colmatar as necessidades que tínhamos de exercício das actuais competências.
Relativamente ao alargamento de competências decorrente da transposição da NIS 2 estamos a fazer uma avaliação de impacto que nos permitirá perceber o novo universo de entidades reguladas e, decorrente disso, os recursos que precisamos para fazer uma efectiva supervisão do ecossistema.
A confiança é o tema da edição deste ano e é um tema recorrente e essencial nas nossas relações. O que é isto de ter mais confiança nos serviços, pessoas e produtos?
A confiança é essencial para termos liberdade, segurança e justo equilíbrio entre ambos. Não há segurança se não existir confiança nas autoridades. Não há segurança numa relação cliente- fornecedor se não existir confiança por parte do cliente em como o fornecedor tem os seus sistemas seguros, ao nível que pretendemos, falando da cadeia de fornecimento. A confiança é essencial para estas relações e para tudo funcionar. No fundo, a velha máxima que nos diz que “a segurança de um ecossistema é igual à segurança do seu elo mais fraco”, aplica-se aqui. Portanto, precisamos garantir que existe essa confiança para que a economia funcione.
Como se garante essa confiança?
Pode ser feita de forma directa. Algo que identificamos dentro da Aliança para a Cibersegurança, um fórum que junta as grandes empresas nacionais, é que todas estavam a fazer avaliações de segurança aos seus fornecedores tendo em conta os riscos que corriam nos processos transaccionais que tinham.
Outra forma passa por utilizar Trusted Third Parties, entidades terceiras que garantam uma avaliação eficaz desse nível de cibersegurança e possa ser utilizado por cada uma destas empresas, até porque há fornecedores que são comuns a várias. A certificação por estas entidades é um excelente mecanismo para gerar confiança num ecossistema.
Outra forma gerar confiança para a partilha de informação útil ou accionável de cibersegurança é com a aposta nos instrumentos Information Sharing and Analysis Center (ISACs). Temos cerca de oito ISACS criados em diferentes sectores de actividade económica que o que fazem é criar relações pessoais entre os agentes que pertencem a este fórum, de forma a criar um ambiente ideal para a partilha de informação. Ou seja, a partilha de informação é essencial para a cibersegurança das organizações, – ninguém sozinho atinge esse objectivo- , mas a existência da partilha de informação exige um determinado nível de confiança, o qual é criado nas várias reuniões, eventos e projectos comuns em que se trabalha. Um bom exemplo é a rede nacional CSIRT, que nasceu em 2008, e foi crescendo paulatinamente, contando hoje com mais de 60 entidades a partilhar informação relevante.
