O programa Krítica é uma iniciativa do Serviços de Informações de Segurança (SIS) que visa melhorar a protecção das infra-estruturas críticas e outras instalações sensíveis em Portugal, com foco na segurança física e comportamental. Desde o seu arranque, em 2015, já foram realizadas 648 acções e reuniões de trabalho focadas nos sectores considerados críticos.
Apesar de a cibersegurança também fazer parte do programa, as acções de sensibilização do Programa Krítica focam-se nas ameaças físicas. Neste sentido, os sectores trabalhados vão muito além daqueles que são apontados pela NIS 2, em matéria de cibersegurança.
Transportes terrestres e urbanos de passageiros, transporte marítimo, aviação civil, hotelaria, abastecimento de água, centros comerciais, energia, municípios, comunicações, grandes eventos, parques temáticos, alimentação, recintos culturais, desportivos e de congressos e património histórico e arquitéctonico. São estes os sectores trabalhados por estas acções de sensibilização dos SIS.
A participação nestre programa pode acontecer em contexto associativo, sectorial ou a título empresarial e possibilita a obtenção de informações e orientações especializadas sobre ameaças físicas; desenvolvimento de competências para a capacitação da protecção das infra-estruturas; melhorar a cultura de segurança no quadro das organizações e redução dos riscos de segurança provindos das ameaças às infra-estrutura.
À Security Magazine, Manuel Gonçalves, coordenador do programa Krítica do SIS, explica a importância desta iniciativa e a sua evolução ao longo dos anos e avalia o cenário de ameaças vivido no mundo, e particularmente em Portugal.
Security Magazine – Qual a importância do Programa Krítica para o SIS e para as entidades participantes e como avalia o crescimento deste programa, em termos de número de formações, interesse e áreas abrangidas ao longo dos anos?
Manuel Gonçalves – Para o SIS, a importância do Programa Krítica reside no facto de, por um lado, permitir dar a conhecer e divulgar a missão do serviço a um amplo leque de entidades e, por outro, ser também um meio de contribuir de forma directa para a segurança interna, convocando e capacitando as várias entidades destinatárias para esta missão, que é e deve ser de todos.
Para as entidades participantes, consideramos que a sua participação permite-lhes aceder a um conhecimento especializado que contribuirá para a melhoria da cultura de segurança das suas organizações e para a redução dos respectivos riscos de segurança.
Desde o início das acções de sensibilização realizadas por este programa, em 2015, tem-se verificado um interesse crescente dos potenciais destinatários, traduzido quer numa tendência de aumento do número de acções de sensibilização e reuniões de trabalho, quer no gradual alargamento dos sectores que são trabalhados. Contudo, este crescimento do Programa Krítica foi condicionado, em 2020 e 2021, pela pandemia de Covid-19 e, no ano passado, pela realização da Jornada Mundial da Juventude, que exigiu uma reafectação de recursos.
Um dos aspectos que mais nos satisfaz neste Programa é o facto de ser recorrente que, na sequência da realização das acções de sensibilização, as entidades participantes tomarem a iniciativa de rever e melhorar os seus planos e procedimentos de segurança. Não porque não tivessem já competência para tal, mas sim por não disporem do conhecimento especializado sobre as ameaças que aqui são abordadas e em que medida podem explorar as vulnerabilidades sistémicas que existem em cada sector.
O que está contemplado concretamente no Programa Krítica, em termos práticos e teóricos? Qual a duração destas acções de sensibilização?
As acções de sensibilização e reuniões de trabalho junto de entidades que não são os destinatários tradicionais dos produtos do SIS, são realizadas não apenas no âmbito do Programa Krítica mas, também, de um outro programa de sensibilização que o SIS também desenvolve – o Programa de Protecção do Conhecimento e da Informação Sensível (PPC).
Relativamente às acções de sensibilização do Programa Krítica, elas têm a duração aproximada de 1h30, embora a sua duração efectiva dependa das questões colocadas. Com efeito, embora por regra estas acções tenham a classificação de segurança de “Reservado” (o que implica que não sejam partilhadas informações de grau de segurança mais elevado), é pedido à audiência que coloque todas as questões que entender sobre os assuntos abordados.
Estas acções não são apenas destinadas a infra-estruturas críticas. O seu alcance é mais vasto, visando, potencialmente, todas as entidades cuja actividade se insira em algum dos sectores trabalhados.
Nas acções é feita uma caracterização da ou das ameaças mais severas ao sector de actividade em que as entidades participantes se inserem, incluindo os modi operandi mais plausíveis, sendo também identificadas as vulnerabilidades sistémicas desse sector que são susceptíveis de serem exploradas pelos agentes daquelas ameaças (isto é, por quem eventualmente possa ter a capacidade e a intenção de realizar um ataque).
Posteriormente, são definidas medidas genéricas de gestão dos riscos de segurança, tendo em conta as ameaças e vulnerabilidades sistémicas previamente referidas. Na parte final é partilhado conhecimento sobre indicadores de actividade hostil por parte dos agentes de ameaça mais severa para o sector em causa. Por exemplo, se, num determinado sector, a ameaça mais severa for o terrorismo, são partilhados indicadores de actividade terrorista, incluindo actividades de reconhecimento hostil.
Uma mais-valia adicional para as entidades destinatárias destas acções é o facto de, apesar delas estarem direccionadas para ameaças mais graves embora, felizmente, menos frequentes, elas também permitirem melhorar a protecção face a ameaças menos graves, mas mais frequentes, pois quando se protege do mais grave também se protege do menos grave.
Quem pode inscrever-se nestas acções?
Desde que a sua actividade se insira nalgum dos sectores actualmente trabalhados no âmbito do Programa Krítica, qualquer entidade pode contactar o SIS, por exemplo através do email programa.kritica@sis.pt, e manifestar o seu interesse em poder vir a receber uma ou mais acções deste programa.
Porém, deve ser salientado que essa solicitação passará depois por uma avaliação da parte do SIS sobre o interesse efectivo em realizar essas acções à entidade que as solicita, tendo em conta não só a missão do Serviço e os objectivos do Programa, mas, também, a natureza concreta da entidade e, claro, a necessidade de conjugação com outras solicitações.
Quando muito se fala da importância da protecção e segurança das Infra-estruturas Críticas ao nível da cibersegurança, a proposta do Programa Krítica combina a vertente de cibersegurança com a segurança física ou o foco reside somente na parte física?
A cibersegurança é uma vertente fundamental da protecção de infra-estruturas críticas. Porém, nas acções do programa Krítica, este aspecto não é especialmente aprofundado (excetuando-se alguns aspectos relevantes sobre ciberterrorismo) por dois motivos complementares.
O primeiro motivo prende-se com o facto de o Programa Krítica incidir sobre a caracterização das ameaças à segurança física e comportamental, ou seja, as que implicam um envolvimento directo do factor humano, o qual é, em última análise, o factor determinante da segurança ou da insegurança de uma organização ou infra-estrutura. Sendo no âmbito deste factor que constatamos existirem as principais lacunas na segurança perante as ameaças mais severas, é lógico que seja este o foco prioritário da nossa actuação no âmbito deste programa.
Por outro lado, e este é o segundo motivo, o Centro Nacional de Cibersegurança já tem um importante papel na sensibilização sobre cibersegurança, para a qual o SIS, dada a excelente colaboração e proximidade entre os dois organismos, também contribui no âmbito da sua atribuição legal e exclusiva de avaliação das ameaças – neste caso das ciberameaças –, susceptíveis de porem em causa o estado de direito constitucionalmente estabelecido e a sociedade.
Como avalia o cenário de ameaças vivido actualmente no mundo, e particularmente em Portugal, e os seus impactos nas infra-estruturas críticas? Quais as principais ameaças para as quais Governos e empresas devem estar mais atentas e preparadas?
Portugal, como país aberto a um mundo globalizado que enfrenta múltiplas tensões geopolíticas, económicas e sociais e distintas ameaças de uma pluralidade de actores estatais e não estatais, não está imune aos impactos dessas tensões.
Pelo contrário, o nosso país enfrenta um amplo leque de ameaças que, embora até ao momento, e de uma forma geral, tenham tido impactos menores do que em vários dos nossos aliados, não deixam de ser ameaças significativas. A espionagem, terrorismo, sabotagem, criminalidade organizada e desinformação são ameaças a que, tanto no plano físico como na vertente ciber (incluindo o recurso à inteligência artificial), os Governos e as empresas devem estar atentos e preparados.
Não são fenómenos que só acontecem ou que só podem acontecer “aos outros” ou em regiões distantes. Portugal sente os efeitos destas ameaças no território nacional e as organizações no nosso país também são afectadas por essas ameaças, mesmo que porventura possam não se aperceber disso.
Porém, não gostaria de concluir esta resposta sem uma nota positiva para equilibrar a visão pessimista e fatalista com que os vossos leitores poderão ter ficado após lerem os parágrafos anteriores.
A nota positiva, ou optimista, se se quiser, é que nenhuma das ameaças referidas tem uma natureza fatalista com impactos impossíveis de serem contrariados. Pelo contrário: um ataque terrorista não é inevitável; a espionagem pode ser muito dificultada; um ciberataque pode ser impedido ou repelido.
Mas isso não acontece por inércia ou por milagre. Só acontecerá se se agir para que as ameaças não aconteçam ou, quando ocorram, para contrariar os seus impactos. E não basta simplesmente agir. É fundamental agir com o conhecimento correcto das ameaças, dos seus impactos e das melhores práticas para contrariar estas realidades de forma efectiva. E é este conhecimento que o SIS, através dos seus programas de sensibilização, onde se inclui o Programa Krítica, partilha com as entidades destinatárias destes programas e que, por outras vias, também partilha com os seus destinatários tradicionais.
