Requisitos do Decreto-Lei n.º 65/2021

2022, foi um ano de transição que deixou um rasto de vários ataques, uns foram tornados públicos e outros nem tanto. Com esta tendência a aumentar face ao contexto social e internacional, estarão as nossas empresas preparadas para o que vem aí?

Conheça algumas das entidades portuguesas vítimas destes ataques:

- 26 dezembro 2022 – “Porto de Lisboa alvo de ataque informático no dia de Natal”

- 15 dezembro 2022 – “INEM Alvo de ataque informático”

- 3 outubro 2022 – “BCP alvo de ataque informático que condicionou acesso ao site e aplicações”

- 23 setembro – “Câmara de Loures alvo de ciberataque “malicioso e deliberado””

- 20 setembro 2022 – “Rede do Estado Maior General das Forças Armadas terá sofrido novo ataque informático”

- 15 setembro 2022 – “Websites do Sporting e FC Porto indisponíveis devido a ataque DDoS”

- 26 agosto 2022 – “A TAP foi alvo de ciberataque, mas voos não foram comprometidos”

- 30 junho 2022 – “Ataque Informático ao i e Nascer do Sol impede publicação do diário esta quinta-feira”

- 16 maio 2022 – “Agência Lusa reúne esforços para reforçar segurança após ataque informático”

- 3 maio 2022 – “Hospital de Almada continua em contingência uma semana após ataque informático”

- 26 abril 2022 – “Hospital Garcia de Orta foi alvo de ataque informático e ativou protocolo de segurança”

- 30 março 2022 – “Dona do Continente confirma ataque informático nas últimas horas”

- 14 fevereiro 2022 – “Ciberataques: Laboratórios Germano de Sousa mantêm-se encerrados”

- 30 janeiro 2022 – “Hackers que atacaram SIC e Expresso dizem ter pirateado site do Parlamento”

Infelizmente a tendência é que estes casos aumentem nos próximos anos culminando numa tempestade perfeita, pelo que as empresas têm de estar preparadas.

0 %

dos alvos de ciberataques
são escolhidos

0 %

dos crimes são feitos por entidades organizadas de cibercrime

O que pode constituir um ALVO de interesse para o cibercrime?

Existem características específicas que podem constituir um alvo de interesse para o cibercrime, nomeadamente:

Alta visibilidade
Reputação
História, importante para a sociedade em geral
Participação no mercado
Operações de Serviços Essenciais
Gestão de dados importantes, pelo volume ou sensibilidade
Serviços de natureza crítica, tais como:
- Propriedade intelectual e segredos comerciais;
- Dados de clientes e informações pessoais;
- Informações financeiras e sistemas de pagamento;
- Infraestruturas críticas e sistemas de controle;
- Informações sensíveis do governo ou militares;

Contexto Geopolítico Internacional

No início de 2023 foi noticiado por vários meios nacionais e internacionais que o grupo KillNet – Pró Russia, estaria a preparar ataques DDOS contra os apoiantes da Ucrânia, entre eles, os países da OTAN e os seus aliados, o que inclui Portugal.

A 1 fevereiro 2023, as autoridades holandesas confirmaram que vários hospitais europeus foram alvo de hackers pró-Rússia por este mesmo grupo.

O Centro Nacional de Cibersegurança da Holanda (NCSC) afirma que um dos seus hospitais sofreu um ciberataque durante um fim de semana, apontando que outros estados europeus que apoiam a Ucrânia também foram atacados. Estes dados foram confirmados pelo artigo da Infosecurity Magazine, publicado na altura.

E nós?

Embora Portugal tenha sido proativo na implementação de medidas para proteger as suas organizações e cidadãos, ainda estamos longe de alcançar uma postura ciber-resiliente.

Depois de ter adotado uma “postura pedagógica” o diretor geral do Centro Nacional de Cibersegurança e do Gabinete Nacional de Segurança avisou que a autoridade está a mudar de estratégia e vai começar a aplicar coimas.

"A lei foi transposta em 2018 e no ano passado fizemos 74 ações de formação em todo o país com 1680 pessoas que obtiveram o certificado, para ensinar que requisitos de segurança deviam cumprir. Quando vemos estes resultados é frustrante"

Gameiro Marques

Em causa está a aplicação do Decreto-Lei 65/2021 que define as obrigações das organizações que prestam serviços críticos. Infelizmente as organizações não está a cumprir com estas obrigações e já começaram a ser notificadas sendo que muito em breve serão aplicadas coimas.

Qual é o impacto financeiro e reputacional na nossa empresa se os dados dos nossos clientes forem expostos na darkweb?

E se os dados forem completamente apagados??

Não existem sistemas 100% seguros, mas existem medidas que as empresas podem e devem adotar para manter os dados seguros e mitigar possíveis falhas de segurança e tentativas de intrusão. De entre estas medidas, destacam-se:

Parceria com empresas especializadas em Cibersegurança para acompanhamento e aconselhamento próximo e contínuo;
Realização periódica e regular de testes de penetração (pentest) para identificar vulnerabilidades e ter a oportunidade de corrigi-las antes que sejam exploradas por cibercriminosos;
Utilização de criptografia em dados pessoais, financeiros ou qualquer outro de natureza sensível;
Utilização de mecanismos de segurança e controlo técnicos como firewalls, IDSs e IPSs;
Realização de backups de dados regularmente para garantir a recuperação de dados em caso de falha de sistema ou ciberameaças;
Implementar ações de treino e formação de funcionários para que estes estejam preparados para reconhecer e responder a ciberataques prontamente e adequadamente.

Empresas de serviços críticos/essenciais ou com elevada necessidade dos sistemas informáticos para a continuidade de negócio devem ter, obrigatoriamente, auditorias de segurança periódicas e aconselhamento especializado.

Os nossos especialistas

Rui Carreira, Senior Pentester & Team Lead Manager at Roboyo Portugal

“Estamos a trabalhar em proximidade com algumas organizações que gerem e tratam dados de natureza sensível. Isto inclui empresas do setor financeiro, serviços essenciais, estatais e governamentais. De uma forma resumida, o meu trabalho é uma espécie de jogo do rato e do gato. Recorremos a ferramentas e técnicas utilizadas por cibercriminosos para aproximar os nossos testes de segurança a cenários reais de ciberataques. No entanto, estamos surpreendidos com a quantidade de vulnerabilidades que temos identificado e respetivos níveis de criticidade. Ficamos contentes com a possibilidade de ajudar estas empresas a melhorar a sua postura de segurança e a tornarem-se mais resilientes a ciberameaças.”

Hugo Almeida, Implementation Specialist Iso at Roboyo Portugal

” Na realidade, os tempos são desafiantes. O Decreto Decreto-Lei n.º 65/2021, de 30 de julho veio acrescentar alguma organização e orientação ao processo de adaptação das entidades no uso de boas práticas no âmbito da Cibersegurança. As instituições por vezes são vítimas do seu tamanho, e é um processo complexo instituir novas práticas, quer pelo volume de ativos, quer pela quantidade de colaboradores, fornecedores e área de operações ou de negócio. Penso que o Centro Nacional de Cibersegurança (CNCS) tem feito um louvável trabalho de sensibilização e pedagogia. Do nosso lado, cá estaremos para ajudar e orientar os nossos parceiros a continuarem em cumprimento e mais tranquilos!”

Para mais informações contacte-nos.