A partir do Questionário Nacional de Cibersegurança Municipal enviado em finais de março a todos os municípios de Portugal e que, infelizmente, não teve qualquer resposta, o Observatório CpC – Cidadãos pela Cibersegurança elaborou o “Guia Municipal de Cibersegurança”
Cultura Organizacional:
1. A autarquia não deve ambicionar ser vista exteriormente como “infalível”: Deve ter planos para prevenir e reagir a falhas e incidentes de cibersegurança mas se acreditar que estes são impossíveis não fará estes planos nem, sobretudo, os fará com credibilidade e verdadeiro empenho.
2. Não adopte uma cultura de “segurança através da obscuridade”:
Comunique aos seus parceiros de negócio, colaboradores e fornecedores, em primeira mão e logo após ter feito as devidas denúncias às autoridades.
3. Seja aberto quanto às práticas da segurança da sua organização. As câmaras municipais que responderam ao nosso inquérito (a sua quantidade e identidade são sigilosos) admitiriam terem essa abertura.
Tradicionalmente a “segurança pela obscuridade” (“Security Through Obscurity” (STO)) tem sido uma prática habitual nas organizações como forma de resistir a ciberataques já que os intrusos usam a informação disponível sobre as organizações para explorarem vulnerabilidades e vectores de ataque. Esta prática tem décadas mas está actualmente a cair em desuso.
A STO dá uma ideia ilusória de segurança assentando numa noção de “need to know”: se um indivíduo não conhece como pode impactar os sistemas de segurança: não representa um risco de segurança para a organização. Em teoria isto parece bem, contudo, no mundo actual de sistemas abertos e interligados, do grande desenvolvimento das linguagens de programas, da popularização do conhecimento das mesmas e das vulnerabilidades das mesmas, assim como a existência de grupos profissionalizados e agentes estatais bem organizados e financiados tornam a STO obsoleta.
4. Embora a maioria das autarquias que responderam ao nosso inquérito tenham listado a cibersegurança como um travão para a inovação as medidas de cibersegurança não têm que, necessariamente, travar a inovação. As novas tecnologias e inovações já incorporam várias formas de cibersegurança. Incorporar a cibersegurança logo no começo do processo d desenvolvimento de uma nova solução vai agilizar o processo de desenvolvimento sem comprometer a sua cibersegurança.
5. À questão “Experimentou nos últimos anos um incidente de cibersegurança porque um colaborador para colocar uma nova aplicação em produção reduziu ou ignorou deliberadamente os padrões de cibersegurança?” A maioria das autarquias inquiridas responderam que não. Apesar disto parecer provável tanto mais porque não é comum as autarquias terem equipas internas de desenvolvimento e que este processo é geralmente colocado em outsourcing sob a forma de contratos públicos.
6. Em “acredita que a cibersegurança é um factor importante quando escolhe um novo produto ou serviço informático?” a maioria dos inquiridos responderam positivamente o que indica um correcto grau de consciência em relação aos riscos de cibersegurança. E de facto devem estar sempre em equação, presentes no caderno de encargos e serem um elemento diferenciador que vá para além dos prazos e dos custos (até como forma de evitar custos futuros em mitigação ou recuperação após um ciberataque).
7. O facto de a totalidade das respostas a “se um fornecedor de serviço sofrer um incidente grave de segurança irá procurar um fornecedor alternativo?” ter sido positiva deve fazer reflectir – pelo menos – os fornecedores de serviços informáticos para que tenham boas estruturas, pessoal bem treinado e que não deixem “backdoors” ou pegadas nas redes das autarquias que suportam que – por convenientes que sejam – possa ser exploradas por agentes maliciosos em ciberataques. Os responsáveis informáticos devem também monitorizar todas as operações de agentes terceiros concedendo apenas o mínimo acesso necessário e garantindo que todas as contas e acessos são encerrados quando o serviço ou projecto encerram.
8. À questão “a Câmara Municipal já seguiu as recomendações do “Quadro Nacional de Referência para a Cibersegurança” do Centro Nacional de Cibersegurança e cumpre a RCM nº36/2015 Estratégia nacional de segurança para o ciberespaço, a Directiva UE SRI Segurança das Redes e da Informação, a Lei 46/2018 Regime Jurídico da segurança do ciberespaço e o RCM 92/2019 ou estratégia nacional de segurança do ciberespaço?” A resposta mais comum foi a negativa.
Quadro Nacional podem ser lido em
https://www.cncs.gov.pt/docs/cncs-qnrcs-2019.pdf
e a Diretiva em
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016L1148&from=PT
e a Lei 46/2018 em
https://dre.pt/dre/detalhe/resolucao-conselho-ministros/92-2019-122498962
9. A “já identificou os recursos necessários para uma abordagem de gestão do risco?” as respostas foram positivas. A Gestão de Risco permite lidar com eficácia com a incerteza, assim como com os riscos e oportunidades associadas. Este é um processo contínuo e adaptável às alterações que inevitavelmente vão surgindo ao longo tempo.
Se bem delineada a Gestão de Risco define mecanismos para gerir cada risco e permitirá ajustar a capacidade da organização para lidar com o risco e definir estratégias minimizando o impacto junto dos munícipes, trabalhados e parceiros/fornecedores.
10. Na questão “Os ativos estão identificados? (tecnológicos, rede, pessoas, etc com nº de inventário, funções, localização e categoria, responsável, dependências de outros activos?). Quantos servidores possuem? em Data Center? Onde? Quantos computadores? Que equipamentos se ligam à rede local e que protocolos de segurança de rede implementam?” A resposta maioritária foi a de “Alguns”. O que é um problema: para podermos criar uma estrutura verdadeiramente resiliente temos que conhecer o património que estamos a conhecer e, em particular, o património informático, os nossos computadores, appliances, redes, aplicações, saber onde estão, quem as mantêm, quais são as suas credenciais de acessos, versões (para podemos fazer uma gestão de versões por vulnerabilidades). A este respeito recomendamos o software gratuito https://snipeitapp.com/ que, ademais, também permite cruzar estes elementos e registar alterações e quem as fez.
11. À questão “Quantos incidentes ocorreram no último ano? (999 para “Não Respondo”)” a maioria optou por “não respondeu”: o que é compreensível até numa lógica de “defesa pela obscuridade”.
12. Às questões “Foi definido um processo de gestão do risco?”, “Foi determinada a tolerância ao risco da rede e activos da Câmara Municipal?”, “Quais são os controlos implementados no plano de gestão do risco?”, “Já houve uma avaliação de vulnerabilidades e identificação de impactos caso ocorra a exploração de uma vulnerabilidade?” todos optaram por não responder sem que recomendamos que implementem todas as medidas de gestão de risco sugeridas pelas questões.
13. A “Conhecem e estão a resolver as questões indicadas pelo Centro Nacional de Cibersegurança em https://webcheck.pt/” a resposta também ficou por dar mas recomendamos – vivamente – que acedam esta plataforma online gratuita que faz uma análise à presença pública e de forma não disruptiva nem intrusiva à presença da autarquia dando conselhos práticos de como pode ser elevado o seu nível de cibersegurança.
14. De igual forma e com resposta igualmente compreensível (servindo aqui – como noutras – a questão como um alerta e recomendação) perguntámos às autarquias portuguesas se “Detectam actividades anómalas em tempo útil?” não tendo recolhido respostas. O mesmo sucedeu (e o mesmo recomendamos) à pergunta “Existe e é aplicado um procedimento de resposta a um incidente de cibersegurança?” assim como a “Têm um plano de recuperação e fazem backups offsite?” e “As redes e fluxos de dados estão mapeados?” e “As redes e sistemas de informação externos estão identificados e catalogados?” e ainda “Os requisitos de resiliência necessários para suportar a prestação de serviços críticos estão definidos?” (algo que se aplica também em situações de guerra, agitação social ou catástrofe natural).
15. Tendo em conta que alguns dos ataques mais graves dos últimos anos (SolarWinds, Okta, etc) ocorreram precisamente através da cadeia de suporte questionámos às nossas autarquias se “Os contratos com fornecedores respeitam o plano de gestão de risco para a cadeia logística e esta avaliação é realizada periodicamente?” também não tendo respostas. O mesmo sucedeu à questão “Existe e é testado o plano de resposta e recuperação a desastres?” e a “O ciclo de vida de gestão de identidade foi definido?” e ainda a “Existem controlos de acesso físico às redes e sistemas de informação?” e “Os acessos remotos são geridos e monitorizados?” (questões para as quais damos o mesmo tipo de recomendação das questões anteriores: que existam).
16. Continuámos a nossa bateria de questões com
“Na gestão de acessos os princípios do menor privilégio e da segregação de funções são aplicados?”
“Os sistemas de autenticação de utilizadores usam autenticação por múltiplo factor?”
“A política de segurança da informação foi definida e comunicada?”
“Os colaboradores têm formação regular em segurança da informação?”
“Existem protecções que evitem a exfiltração de informação?”
“Existem sistemas de prevenção de perda de informação? (DLP)”
“Existe um sistema de classificação de informação de mensagens de correio electrónico e documentos?”
“É feita monitorização dos cabeçalhos dos pacotes de rede?”
“São efectuadas análises aos padrões de tráfego de rede para detectar desvios, de tipo e volume?”
“Existem mecanismos de verificação para confirmar a integridade de software, firmware e dados?”
“Foi criada e é mantida uma configuração base de redes e sistemas de informação que incorpore os princípios da segurança?”
“Existe um sistema de gestão de actualizações de segurança?”
“Existe um processo formal de gestão de alterações?”
“Existe um centro de dados com proteção contra picos de corrente elétrica, dispositivos físicos para simplificar e tornar seguro o controle de energia, gerador de electricidade de emergência, sensores de fumo, humidade, inundação e temperatura? Este centro de dados tem registo de controlo de acessos, contratos de manutenção e relatórios de intervenção?”
“Existem ou foram feitas auditorias de segurança e pentests?”
“Os planos de resposta, de recuperação de incidentes e de continuação da actividade (se existem) são testados, para que se possa determinar a eficácia dos mesmos e identificar possíveis pontos de falha?”
“Os processos de recursos humanos como a triagem de candidatos, contratação, categorização das posições e de cessação de vínculo laboral, são avaliados e revistos com base e requisitos de cibersegurança?”
“Se existem suportes de dados amovíveis estes estão protegidos e a sua utilização é restrita de acordo com uma política definida?”
“O princípio da minimização de funcionalidades é incorporado na configuração dos sistemas de modo a fornecer apenas os recursos necessários ao cumprimento da função?”
“Existe um modelo de referência de operações de rede e fluxos de dados esperados para utilizadores e sistemas que inclui um sistema de detecção e prevenção de intrusões (IDS/IPS), firewall, proxy e firewall de aplicações web (WAF)?”
“Existem mecanismos para detecção de código malicioso nas redes e sistemas de informação da autarquia?” (que podem ser tão simples como antivirus)
“A autarquia tem a capacidade para detectar instalações indevidas de aplicações móveis nos seus equipamentos?” (como o MDM)
“As actividades dos prestadores de serviços externos são monitorizadas para detecção de incidentes de cibersegurança?”
“Existe monitorização de acessos não autorizados de colaboradores, conexões, dispositivos e software?” (através da análise regular de logs de proxies)
“São realizados rastreamentos regulares de vulnerabilidades informáticas?”
“Estão definidos os papéis e responsabilidades na detecção de eventos anómalos?”
“Os processos de detecção são testados sempre que é efectuada uma alteração significativa a um sistema, é efectuada uma alteração aplicacional significativa, é incluído um novo sistema na infraestrutura e há conhecimento de uma nova vulnerabilidade?”
“Estão definidos os processos para receber, analisar e responder a vulnerabilidades provenientes de fontes internas e externas?”
“Existe um plano de comunicação para incidentes de cibersegurança que minimize os impactos na credibilidade e reputação?”
“Existe um CISO ou Chief Information Security Officer? (interno ou externo/outsourcing)”
“Existe um SOC ou seja um centro de operações de segurança que pode operar em regime de 24/7 em dedicação ou em dedicação parcial?”
“Existe uma CSIRT ou “Computer Security Incident Response Team”, uma equipa interna ou externa que tem como principal tarefa responder aos incidentes de segurança e gere e ajuda os utilizadores a recuperarem de incidentes de segurança?”
A todas estas questões não obtivemos respostas mas a todas – sem excepção – apelamos a respostas positivas dentro destas e de outras organizações.