O APT19, ligado aos serviços de inteligência de Pequim esteve activo em Portugal entre finais de 2020 e começos de 2021. A informação foi revelada pela Microsoft e ninguém, nem a própria, nem o Centro Nacional de Cibersegurança, nem nenhum alvo admitiu ter sido atacado. Podemos especular que se tratou de uma empresa de telecomunicações portuguesa ou de uma empresa ligada ao ramo da energia ou logística mas sobre algo não podemos especular: as empresas e instituições portuguesas ainda não estão suficientemente preparadas para resistirem a este problema.

O caso recente do Jornal I (e de todas as outras organizações atacadas nos últimos meses: desde Juntas de freguesia, ao Parlamento, passando pelo Garcia da Horta, Vodafone, SIC, Germano de Souza e muitos mais) indicam que não só não se está a investir bem nem em quantidades suficientes e que o Estado deve avançar com legislação que determine – dando ele próprio o exemplo – uma percentagem mínima de investimento em cibersegurança para organizações de uma dada escala de facturação. Em média, a nível global, as organizações consomem 5.7% do seu orçamento de investimento nesta área sendo que, a nível global, a verba tem subido de forma consistente todos os anos entre os 12 e os 15%. Dependendo dos sectores a percentagem “razoável” pode ser inferior aos 5.7% (até aos 1%) ou chegar aos 13% (em sectores mais críticos como a Banca ou o sector da Defesa).

Actualmente uma organização depende apenas de si mesma, do bom senso dos seus proprietários ou gestores para alocar uma dada percentagem dos seus investimentos à sua ciberdefesa. O problema é que dado o agravamento consistente do clima e da quantidade e gravidade de ameaças as empresas parece que não podem ser deixadas a si mesmas neste campo. O Estado tem que intervir e determinar um patamar mínimo de investimento defensivo, talvez não os 12% que a Estónia recomenda às suas empresas, mas algo em torno dos 2% (o “número mágico” que a OTAN recomenda as seus membros para Defesa) a partir de um certo nível de facturação (isentando desta obrigação as PMEs de menores dimensões: pelo menos numa fase inicial).
Mas, sem dúvida, que cabe ao Estado dar o exemplo: Antes de impor o que quer se seja às empresas e aos cidadãos deve dar o exemplo e aplicar primeiro (até em regime experimental) esse tecto mínimo ao Estado central, autarquias locais e empresas públicas e municipais.

https://participacao.parlamento.pt/private/petitions/2731