Recentemente, de forma não intrusiva e usado apenas ferramentas muito simples tais como um browser e o site dnschecker.com, o CpC – Cidadãos pela Cibersegurança visitou os sites de todas as câmaras municipais do pais. Através destas consultas e do envio de um questionário a que algumas autarquias responderam elaborámos este índice municipal de cibersegurança chegámos a algumas conclusões e a um ranking que apresentaremos mais abaixo.

Neste indice ordenámos as autarquias por vários parâmetros recebendo mais pontos se a métrica testada foi mais grave e menos pontos (ou zero) se a autarquia, nesse parâmetro, teve um bom desempenho.

Várias métricas – todas públicas e não intrusivas – foram testadas tais como o uso de DNSSEC, a existência de sites e certificados HTTPS em boas condições, se o domínio de mail implementava as boas práticas de SPF, DKIM e DMARC e outras métricas disponíveis através a todos os que visitam os sites das câmaras municipais de Portugal.

Não iremos publicar a lista total nem, sobretudo e para defesa dos próprios, comunicar as câmaras municipais que ficaram mais mal classificadas mas convidamos todas as autarquias a vistoriarem os seus próprios sites com ferramentas gratuitas ou, preferencialmente, a contratarem serviços (que não prestamos) de profissionais de cibersegurança.

Da lista apurámos um “top 10” em que, por ordem, encontrámos
Portimão: no muito meritoso 1º lugar
Praia da Vitória (Ilha Terceira): uma surpresa muito agradável no 2º lugar
Grândola: Um bom exemplo vindo do Alentejo em 3º lugar
Gavião: ocupando um digno 4º lugar e vindo também do Alentejo
Fafe: Um 5º lugar muito honroso vindo do Algarve
Gaia: Num digno 6º lugar
Vila Franca do Campo: em 7º lugar também vindo dos Açores
Paredes de Coura: um 8º andar do distrito de Viana do Castelo
Barreiro em 9º lugar e, por fim,
Moita em 10º lugar
Seguiram-se 243 autarquias mais mal classificadas
Em outras 54 câmaras em que não foi possível tirar conclusões.

A visão de conjunto permite identificar o problema de que ainda falta fazer algum trabalho para dar ciberresiliência às nossas autarquias locais. Cruzando estas visitas com as respostas ao nosso inquérito resulta a conclusão de que – todos – cidadãos, munícipes e autarcas temos que fazer muito mais a exigir às nossas autarquias locais que cumpram as boas práticas de cibersegurança começando pelas recomendações do “Quadro Nacional de Referência para a Cibersegurança” do Centro Nacional de Cibersegurança, pela RCM nº36/2015 Estratégia nacional de segurança para o ciberespaço, pela Directiva UE SRI Segurança das Redes e da Informação, e ainda pela Lei 46/2018 Regime Jurídico da segurança do ciberespaço e o RCM 92/2019 ou estratégia nacional de segurança do ciberespaço.

O Quadro Nacional pode ser lido em
https://www.cncs.gov.pt/docs/cncs-qnrcs-2019.pdf
e a Diretiva em
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016L1148&from=PT
e, por fim, esta Lei 46/2018 em
https://dre.pt/dre/detalhe/resolucao-conselho-ministros/92-2019-122498962

Recomendamos também a leitura de
https://cidadaospelaciberseguranca.wordpress.com/2022/04/14/guia-de-ciberseguranca-para-as-autarquias-locais/

CpC – Cidadãos pela Cibersegurança