DISPONÍVEL SESSÃO GRAVADA “A CIBERSEGURANÇA NO SETOR DA ÁGUA - UMA RESPONSABILIDADE DE TODOS”

25/11/2020

“A Cibersegurança no setor da água - Uma responsabilidade de todos” foi o mote do primeiro webinar da APDA sobre a temática. Teve como objetivo a promoção e debate sobre Cibersegurança, visando incentivar e esclarecer as Entidades Gestoras a iniciar um processo de conformidade com as diretivas que têm sido divulgadas nos últimos anos. O webinar permitiu também apresentar o trabalho que a Comissão Especializada de Sistemas de Informação (CESI) da APDA tem feito neste âmbito. Para assistir à sessão gravada clique na imagem abaixo.

A moderar a sessão esteve José Costa, Coordenador de Inovação e Sistemas de Informação da Águas do Alto Minho e também Coordenador da CESI. Paulo Faroleiro, Diretor do Departamento de Gestão e Tecnologia e Informação da ERSAR, Sérgio Trindade, Diretor da Direção de Sistemas da EPAL, David Russo Co-fundador da CyberS3c, e Ana Soares, da Sector Lead - Water da Esri Portugal e também membro da CESI, constituíram o painel de oradores.

Paulo Faroleiro debruçou-se sobre os aspetos jurídicos relacionados com a Cibersegurança, tendo como fio condutor a Lei 46/2018 e fazendo considerações sobre a forma como foi realizada a respetiva transposição para a lei nacional. Começou por abordar a Diretiva NIS - Directive on security of network and information systems, que se foca em diversos mecanismos de colaboração entre os países da União Europeia (UE), em que cada um criou uma entidade específica para esse âmbito. Adotada na UE em 2016, a NIS só foi transposta para Portugal em 2018, através da Lei 46/2018, que estabelece o regime jurídico da segurança do ciberespaço relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a UE. Entretanto, foi decidido entre os reguladores dos diversos setores em Portugal desenvolver um regulamento transversal minimalista, ainda para publicação, e depois regulamentos setoriais desenvolvidos então por cada regulador de cada um dos setores envolvidos. Sendo a ERSAR responsável pelo setor da Água, emitirá também normativos complementares sob a forma de instruções técnicas do Centro Nacional de Cibersegurança (CNCS) para definição de requisitos de segurança e de notificação de incidentes quanto à ocorrência de impacto relevante e procedimentos de notificação. Ou seja, o regulador afina e adapta ao pormenor o regulamento a cada setor. Paulo Faroleiro fez igualmente um enquadramento do Quadro Nacional de Referência para a Cibersegurança, um documento desenvolvido pelo CNCS, que reflete a realidade organizacional portuguesa, respondendo à necessidade de implementar medidas contra ameaças que colocam em causa a segurança e o ciberespaço, apresentando recomendações para que as organizações possam definir uma estratégia que envolva toda a estrutura. Passou então à caracterização do setor em Portugal, onde existem três reguladores (correspondentes ao Continente e arquipélagos dos Açores e da Madeira), cerca de 400 Entidades Gestoras “em alta” e “em baixa” e, aproximadamente, uma dezena de modelos de gestão. Nas breves considerações que fez, Paulo Faroleiro sublinhou que para as Entidades Gestoras obterem uma certificação reconhecida com âmbito adequado precisam de um mecanismo de gestão de risco, risco associado a cibersegurança, bem como mecanismos implementados de controlo e mitigação desse mesmo risco. Paralelamente, há que ter definida a deteção e remediação de incidentes, a declaração desastre, reporting e de retorno à situação normal. Mas existem desafios organizacionais a serem ultrapassados.

Perante um mundo cada vez mais digital, Sérgio Trindade revela que na EPAL a segurança da informação tem a cibersegurança como um dos pilares mais sólidos e que esta deve ser considerada em tudo o que a empresa executa, devendo ser transversal à organização. Porque não existindo cibersegurança absoluta, é essencial mitigar os riscos inerentes. De acordo com o especialista, a pandemia de COVID-19 veio disparar o nível de perigo, tendo a EPAL implementado medidas para garantir a segurança não só dentro, mas fora de portas. Tendo em conta o dilema de como aplicar a cibersegurança nas organizações, Sérgio Teixeira destacou que na empresa o sistema tem base em dois pilares: as pessoas e as tecnologias. No primeiro, a EPAL está constantemente a envolver as pessoas em formações específicas, através de webinars ou até alguns eventos presenciais, divulgando junto das mesmas o máximo de informação possível, de forma a alertá-las para a importância de determinados mecanismos, dando uma explicação plausível e, ao mesmo tempo, dando-lhes exemplos de tentativas de fraude, para melhor reconhecimento do perigo. É fundamental que o utilizador tenha consciência e seja dotado de conhecimentos e comportamentos no combate aos ataques cibernéticos. No que diz respeito às tecnologias, designadamente no setor da Água, Sérgio Trindade expôs a realidade de existirem ainda muitos sistemas desatualizados e outros que dependem de tecnologia já obsoleta. Perante essa realidade, e instituição do teletrabalho, insurgiu-se uma responsabilidade tecnológica de assegurar a forma como os utilizadores comunicam com a empresa, interagem entre si, inclusive do ponto de vista de cidadania, e de garantir os meios, estando atualizados e protegidos com as ciberpráticas adotadas. Exemplo disso é uma formação facultada pelo CNCS “Cidadão Ciberseguro” a que todos os utilizadores da EPAL foram convidados a realizar. A necessidade de elevar a consciência digital prende-se com a emergência digital dentro das organizações. Entretanto, e na minimização de risco, e para além da Lei 46/2018, Sérgio Teixeira destacou a pertinência da Resolução de Conselho de Ministros 41/2018, que a EPAL tratou de forma a verificar que as medidas nele descritas fossem implementas na empresa. Para a EPAL é crucial existir um ambiente de confiança digital, conseguido através da colaboração de todos os que interagem com a empresa.

David Russo foi de encontro à informação de que a pandemia de COVID-19 se refletiu num aumento drástico de cibercrime, tendo sublinhado que no caso de infraestruturas críticas, como as do setor da Água, é de extrema importância estar um passo à frente no que toca às novas tendências do cibercrime e das nova técnicas. Neste âmbito, apontou diversos problemas associados a este tipo de infraestruturas, começando pelos problemas tecnológicos e pela parca preparação dos sistemas operacionais em lidar com problemas de cibersegurança, todavia, existe um que deve ser resolvido rapidamente: o desafio cultural. Ao revelar que entre culturas existem diferentes noções de segurança, David Russo afirmou que a base da cibersegurança é a educação, defendendo, por isso, que essa variante de formação deve iniciar-se muito cedo (desde o início da escolaridade), porque este tipo de conceitos deve estar enraizado na cultura, sendo certo que, se ao longo do crescimento for realizada esta consciencialização, quando o cidadão integra uma organização, evitar o cibercrime vai ser um processo mais facilitado. A maioria dos ataques bem-sucedidos não são realizados através de técnicas desconhecidas, mas antes por falhas simples (como por exemplo o ataque de phishing através do roubo de credenciais), tendo por isso explicado que a maior parte dos ataques pode ser evitada pela consciência e capacitação do operador. E a pandemia veio agravar o cenário de cibercrime, devido à acelerada transição do físico para o remoto a que foram pressionadas e para o qual não estavam preparadas. Com decisões a serem tomadas no imediato, e sem tempo para planear, muitos dos acessos foram dados à pressa e sem as devidas medidas de segurança. O teletrabalho despoletou então as superfícies de ataque, ou seja, a partir do momento em que existem várias ligações remotas à organização, não é só o colaborador que passa a ter acesso à rede e ao próprio terminal. E para além das superfícies mapeadas, passam a existir muitas mais, agravando o risco. Ao abordar o panorama nacional no que à cibersegurança diz respeito, David Russo exemplificou alguns métodos de ataque, através de impressoras e sistemas RDP, mostrando a vulnerabilidade em Portugal, dando também exemplos de casos a nível internacional. Foram igualmente demonstradas medidas de prevenção.

A apresentação do trabalho que a CESI tem feito no âmbito da cibersegurança, designadamente o “Guia Introdutório para Entidades Gestoras de Abastecimento de Água a Saneamento de Águas Residuais”, ficou a cargo de Ana Soares. A CESI procurou sintetizar nesta publicação um conjunto de conceitos e procedimentos para que as organizações, com diferentes níveis de maturidade, os possam adotar nos respetivos processos internos, atuais e futuros. De salientar que os imperativos legais mencionados no webinar contribuíram também para a compilação de informação neste guia e, desta forma, auxiliar as Entidades Gestoras. Focado na questão do OT (Tecnologias de Operação) e, inquestionavelmente, na importância do sistema de telegestão, o Guia defende que o processo de cibersegurança assenta numa abordagem integrada e abrangente das componentes IT (Tecnologias de Informação) e OT. Após um panorama de ciberterrorismo, onde destacou números a reter, Ana Soares apontou as medidas descritas no Guia para reduzir os ciberataques em diferentes fases - Vigilância, Implementação, Atuação e Impacto, destacando alguns dos comportamentos a adotar em cada uma. Outro aspeto definido é a Governação no Processo de Cibersegurança, onde foi revelado que o ataque a infraestruturas críticas, como as do setor da Água, têm sido alvo de ataques consistentes desde 2017. Também a fuga de informação pessoal de clientes traz riscos que podem conduzir a elevados pedidos de resgate, tendo dado neste âmbito exemplos de ataques nacionais e internacionais de grande mediatismo. A ter em conta também o Código Malicioso e Armas Cibernéticas, porque os ataques desta natureza trazem consequências nefastas à imagem e reputação das organizações, tendo consequências económicas consideráveis, podendo chegar a milhares de euros de prejuízos. E aos custos de produção, acrescem os custos diretos e indiretos resultantes da perda de credibilidade pública e de confiança de clientes e investidores. Ana Soares remeteu igualmente para a Monitorização e Investigação de Incidentes, porque não sendo possível lutar contra o que não se vê, torna-se fundamental ser capaz de ver o que está a acontecer. Paralelamente à monitorização, é fulcral que as empresas reajam rapidamente aos incidentes, sendo ágeis e assertivas por forma a minimizar as repercussões nos sistemas. Ainda neste ponto, foi sublinhada a necessidade de existirem sistemas automáticos que monitorizem a rede e ferramentas que agilizem neste processo, como por exemplo, um conjunto de registos ou indicadores de desempenho. O conhecimento especializado do processo de diagnóstico e avaliação e correção de incidentes foi igualmente realçado. Procurando ser de leitura simples e acessível, o Guia recorre a diversas ilustrações realizadas por Gil Afonso, também membro da CESI. Está previsto que o Guia seja apresentado e divulgado durante o primeiro semestre de 2021.

Entretanto, Rui Godinho, Presidente da APDA, elevou mais uma vez a pertinência da informação partilhada, bem como a tecnicidade inerente à cibersegurança, para a qual a organizações e sociedade em geral devem estar cada vez mais atentas, reforçando também a importância do enquadramento legal da temática.