Por uma grande iniciativa nacional de cibersegurança e resposta às ameaças digitais
https://participacao.parlamento.pt/initiatives/2499

O que aconteceu à Impresa (com a perda de dados online e do histórico da SIC e do Expresso), à Cofina (Correio da Manhã, Sábado) e, mais recentemente à Vodafone (com impactos em bombeiros, INEM, rede multibanco, hospitais e mais de 4 milhões de clientes individuais e empresariais) deve levar o governo da República a agir e estabelecer uma grande iniciativa de cibersegurança em que:

1. Todos os órgãos do Governo, Ministérios e Autarquias locais comecem ou concluam a transição para uma estrutura cloud segura com uma arquitectura “Zero Trust” com a implementação obrigatória de sistemas de autenticação por múltiplo factor (MFA) e encriptação forte. E que o governo defina um prazo específico para completar essa transição.

2. Melhoria da segurança informática na “Software Supply Chain” determinando regras mínimas comuns de segurança a todo o software vendido ao Governo e Autarquias Locais e que este lance as bases de iniciativas inovadoras que garantam o desenvolvimento de software seguro a partir de grandes programas do Estado central.

3. A criação de um selo idêntico ao “energy star” que comprove ao governo e ao público em geral que o software foi desenvolvido de forma segura e que permita que o governo, utilizando o seu imenso poder aquisitivo, force os fabricantes a desenvolverem para todo o seu mercado, software mais seguro e sem vulnerabilidades.

4. Estabeleça um “Gabinete de Revisão de Cibersegurança” associado ou no Centro Nacional de Cibersegurança onde estejam representados elementos do governo e do sector privado que, depois de um incidente de segurança significativo possam analisar o que se passou e elaborar recomendações concretas para melhorar os componentes de cibersegurança que falharam ou que tiveram um desempenho inferior ao esperado. Assim se procurará garantir que todas as organizações possam beneficiar da resolução de falhas de alguns.

5. Criar um “Livro de Regras” para resposta a Ciberincidentes que deve ser seguido pelas organizações do governo e das autarquias locais – independentemente da sua maturidade digital – e que crie um padrão uniforme mínimo de resposta entre todas as organizações e que, mais tarde, possa ser seguido pelas organizações do sector privado.

6. Aumentar a capacidade do Governo para detectar a ocorrência de um ciberataque às suas redes através da criação de um sistema único de detecção e de partilha de informação entre as diferentes agências e organismos governamentais.

7. Melhorar as suas capacidades de investigação e remediação em cibersegurança definindo padrões de registo (logs) mínimos e padronizados que facilitem a detecção de intrusões, mitiguem as que estão em progresso e facilitem a determinação da extensão de um incidente

Portugal precisa ainda de:
1. Aumentar as sanções contra as organizações que não comunicam às autoridades todas as ocorrências de cibersegurança.
2. Determinar acções práticas e concretas contra as autoridades dos países a partir dos quais são lançados estes ataques a empresas, particulares e entidades do governo central e das autarquias locais.
3. Ponderar a criação de uma taxa que seja aplicada às empresas e organizações que pagam resgates ou que ocultem que o fizeram. Portugal tem que ir mais longe do que todos para deixar de ser alvo (começa a desenhar-se o padrão de sermos um alvo preferencial pela baixa maturidade digital dos nossos utilizadores)
4. Determinar que todas as organizações, a partir de uma certa escala, tenham que ter um orçamento anual para cibersegurança.
5. Que o Centro Nacional de Segurança:
a. Cumpra o Código do Procedimento Administrativo designadamente os prazos de resposta aos cidadãos e empresas.
b. Tenha equipas de cibersegurança que façam auditorias-surpresa a empresas nacionais acima de um certo volume de facturação e
c. Que assista na resolução de cada incidente sendo estas equipas chamadas obrigatoriamente podendo ter ou não um papel activo ou consultivo consoante a organização tenha equipas de cibersegurança à altura da ocorrência
6. Que se realize, a nível europeu e nacional, uma avaliação da utilidade económica das criptomoedas e se esta avaliação concluir que não têm valor para a economia real mas apenas como produto especulativo e ferramenta para uso por cibercriminosos e traficantes de droga o seu uso, mineração, posse e manipulação deve ser proibido em Portugal e no espaço europeu e que Portugal tome a dianteira e proíba a mineração de criptomoedas no seu território
7. Que todas as despesas relacionadas com cibersegurança tenham IVA mínimo como serviços essenciais que são e devem ser.
8. Que todas as organizações nacionais acima de um certo volume de facturação:
a. tenham nos acessos remotos (VPN e Internet) aos seus recursos formas de autenticação por duplo factor
b. realizem testes de penetração (pentests) anuais
c. que possuam seguros contra os impactos de ransomware na actividade da organização
d. que existam backups offline e uma equipa especializada de cibersegurança
e. tenham um plano de formação online dedicado à cibersegurança com aprovação obrigatória por parte de todos os seus colaboradores.
f. a existência de redes alternativas de backup obrigatórias para Estado, autarquias locais e empresas de grande dimensão.

Os peticionários recomendam ainda ao Ministério da Defesa e aos deputados membros da Comissão de Defesa Nacional que crie no seio do Exército Português uma “Força de Defesa Cibernética” que tenha como missão a defesa, reconhecimento e, se necessário, ações ofensivas para proteger as Forças Armadas portuguesas de ataques cibernéticos e que possa assistir o governo e as empresas nacionais na reacção a um ciberincidente de grande escala como aquele que em Fevereiro de 2022 derrubou a rede da Vodafone.
https://participacao.parlamento.pt/initiatives/2499