É preciso impor um padrão de cibersegurança aos fornecedores do Estado

Nos EUA o fabricante de foguetões Aerojet Rocketdyne acordou com o governo federal o pagamento de 9 milhões de dólares para fechar uma disputa sobre se teria faltado à verdade quanto às políticas de cibersegurança em vigor na organização no que respeita a contratos com o governo. O processo tinha começado com as alegações de um antigo funcionário da Aerojet segundo as quais a empresa não estaria a implementar todos os controlos de segurança que, contratualmente, estaria obrigada. Como resultado e devido à legislação “False Claims Act” o “whistleblower” receberá 2.61 milhões de dólares.

Esta notícia levanta a necessidade de replicar o procedimento e este quadro legislativo em Portugal, começando por instituições ligadas ao Estado central e local, empresas públicas e municipais e todas as organizações privadas que lidam com as primeiras. É igualmente crucial que todos os contratos públicos incluam cláusulas que garantam a segurança informática de todos os fornecedores de produtos e serviços.

Esta informação está – por exemplo – ausente do
https://www.base.gov.pt/Base4/pt/resultados/?type=doc_documentos&id=1841879&ext=.pdf
mas devia estar presente – por força de lei – em todos os contratos públicos. Assim se garantiria uma maior segurança de toda a cadeia de fornecedores e, indirectamente, a adesão a melhores padrões de cibersegurança nas nossas empresas e organismos estatais.

Estes padrões poderiam ser desenvolvidos a partir do padrão imposto pela CISA nos EUA: https://www.cisa.gov/sites/default/files/publications/pcii-program-procedures-manual_508.pdf e qualquer falha na adesão ao mesmo deveria levar a um chumbo na proposta apresentada em concurso público e qualquer omissão ou declaração falsa levar a um processo judicial em que se a fonte tiver sido um “whistleblower” este deveria receber uma compensação financeira.

Enviada ao Secretário de Estado da Digitalização e da Modernização Administrativa