Análise aos orçamentos autárquicos de 2019 a 2023: Investimentos em “Cibersegurança”
Após consulta dos orçamentos de algumas das maiores Câmaras Municipais do país constatamos a ausência de uma rubrica dedicada à “cibersegurança”. Dada esta omissão recorremos aos Contratos Públicos desde Janeiro de 2019 a 3 de abril de 2023 com a palavra-chave “cibersegurança” e “ciber segurança” no https://www.base.gov.pt (portal da contratação pública) por parte de Juntas de Freguesia e Câmaras Municipais tendo recolhido os dados comentados em: https://docs.google.com/spreadsheets/d/1CWYZ1gD-0mGOSy49PxulbV_E-GZ96EA_DD4VgX6zfec/edit?usp=sharing
Algumas conclusões:
1. Nove autarquias investiram em “Cibersegurança – Cumprimento do DL nº 65/2021 de 30 de Julho” mas não o parecem ter feito as outras 299 Câmaras Municipais e Juntas de Freguesia do Concelho de Lisboa, para não falar das outras 3087 juntas de freguesia fora do concelho… Com efeito, no Município de Lisboa apenas 4 das 24 Juntas investiram nesta área isto embora – pelo menos numa delas – já tenha existido um incidente de cibersegurança.
2. Seis municípios mesclam os serviços de cibersegurança com comunicações ou suporte de TI. Contudo é da nossa opinião que o tema da “cibersegurança” deveria ser uma rubrica especializada para melhor clareza e monitorização de despesa e serviço.
3. Sete autarquias agregam cumprimento do RGPD com cibersegurança: Geralmente estas funções nas organizações privadas ocorrem em pessoas na área jurídica mas nestas autarquias o perfil do funcionário ou serviço acumula com o perfil jurídico com um perfil de técnico de TI. No mínimo: isto é questionável quanto à prestação de um serviço de qualidade e com o adequado nível de especialização.
4. Apenas 24 de 308 autarquias do país investem na rubrica genérica “serviços de cibersegurança” – muito bem: Mas isto significa o quê para as outras 308 câmaras municipais e 3087 juntas de freguesia que não mencionam esta rubrica? Que esta área de despesa/investimento está diluída em “serviços de TI” (errado) ou que não existe? (impensável mas provável)
5. Apenas 3 autarquias (em 308!) Fazem formação em cibersegurança: esta deveria ser uma obrigação legal e estender-se a todos, desde eleitos, a funcionários passando pelas equipas técnicas mas aqui, o que “devia ser” apenas o “é” em 3 autarquias.
6. Serviços de Cibersegurança: Diagnóstico 1 (uma): Apenas 1 fez um Teste de Intrusão, vulgo Pentest, (em 308!). Sendo certo que aqui deveria estar apenas 20% (segundo o Princípio de Pareto descrito mais abaixo) do investimento total é inaceitável que em 3091 juntas de freguesia e 308 câmaras apenas uma (Almada) tenha feito este investimento.
7. Encontramos cinco contratos individuais para serviços de cibersegurança: Uma autarquia local que para uma área tão crítica depende de uma única pessoa? Como fará se esta pessoa adoecer ou quando estiver de férias e ocorrer um incidente grave de cibersegurança? Como garante que esta pessoa tem acompanhamento ou uma equipa que o assiste caso o incidente exija um tipo mais profundo de especialização ou de dedicação/ocupação de tempo (por exemplo na recuperação de sistemas a um incidente de ransomware)?
8. Nesta lista de contratos públicos de cibersegurança encontramos apenas quatro das 24 juntas de freguesia de Lisboa (com orçamentos maiores do que muitas câmaras de Portugal devido às suas competências muito alargadas). Porque não têm todas as juntas de Lisboa contratos “Cibersegurança – Cumprimento do DL nº 65/2021 de 30 de Julho” à semelhança destas quatro (Arroios, Avenidas Novas, Marvila e Olivais)?
9. Quanto à evolução por ano observamos que:
Em 2023: Já existem (a 05.05.2023) dez contratos com um total de 191 389,00 € (mas o ano ainda vai apenas em abril). A este ritmo no final de 2023 deverá ultrapassar-se assim os 31 contratos deste tipo celebrados em 2022: uma evolução positiva que é de destacar. A este ritmo o valor total para o ano poderá ultrapassar os 800 mil euros em investimentos em cibersegurança em 2023. Parece muito mas falamos de 308 câmaras municipais de apenas 2597 euros em média para cada câmara e – a manter-se este ritmo – muitas não investirão especificamente nada nesta área (obviamente que o podem fazer noutras rubricas o que dificulta uma análise deste tipo).
2022: Apresenta trinta e um contratos em média de 25,644 euros cada: este deve ser o valor aproximado para 2023 sendo este o novo “normal” depois da aplicação (esperamos) generalizada do DL e do Regime de Cibersegurança. O valor total é de 794 968,66 € e deverá ser largamente ultrapassado este ano. Recordamos, contudo, que a inflação deverá ser ainda muito elevada em 2023 e o aumento deste investimento (ao ritmo actual) dificilmente a deverá acompanhar.
Em 2021 registamos apenas seis contratos em média de 25,367 euros cada.
Em 2019 apenas contabilizamos 101 367,59 € (o primeiro ano em que fizemos esta análise) com apenas dois contratos e sendo que um era de grande valor e diluindo em várias valências e serviços a área de cibersegurança (Câmara de Lobos). O total de 2019 foi de 258 548,33 € ou seja 1/4 do que se deverá gastar em 2023: muito bem (às autarquias que estão a reforçar este investimento).
10. Onde estão os contratos das grandes câmaras (em orçamento) como Lisboa, Porto ou Coimbra? Pode haver rubricas de cibersegurança diluídas noutras rubricas (p.ex. caso da Freguesia do Areeiro que o disse ter feito em 2023)
11. Nenhuma autarquia parece ter um seguro de cibersegurança. Mas 2023 foi prolífico em termos de ataques a autarquias locais: Barcelos, Barreiro, Constância, Faro, Felgueiras, Figueira da Foz, Loures, Mira, Moita, Odemira, Oliveira do Hospital (a 05.04.2023), Ourique, Pampilhosa da Serra, Santana, Vimioso, Vinhais surgiram, desde 2019, nas notícias por terem sido alvo de ciberataques. A esta lista há que somar – pelo menos – a freguesia de Areeiro em Lisboa. Contudo, destas autarquias apenas Barcelos (1), Figueira da Foz (1), Constância (1) e Loures (1) surgem na lista de autarquias que investiram em cibersegurança numa rubrica dedicada. Podem haver mais investimento diluídos em rubricas de TI, é certo: mas é estranho que tantas autarquias que foram e são – manifestamente – um alvo tão apetecível não surjam nesta lista de contratos públicos. É também de realçar que a maioria das que fizeram este tipo de investimentos não constam nesta lista de autarquias atacadas.
12. Nenhuma autarquia tem programa de bug bounty como os que propusemos em maio de 2022: https://cidadaospelaciberseguranca.com/2022/05/30/um-programa-nacional-de-recompensa-de-identificacao-de-vulnerabilidades-em-servicos-de-ti-do-estado-e-das-autarquias-locais/
13. A VISIONWARE SISTEMAS DE INFORMAÇÃO SA é a empresa que mais contratos deste tipo tem com as autarquias portuguesas (7) a empresa descreve-se como “A VisionWare é uma empresa 100% portuguesa, fundada em 2005, pioneira e altamente especializada em segurança de informação: cibersegurança, TI, investigação forense, compliance, privacidade, formação e intelligence.” https://www.visionware.pt/about
14. O DL nº 65/2021 de 30 de Julho parece ter provocado uma verdadeira explosão no interesse por este tipo de contratos e com as preocupações pela cibersegurança nas autarquias portuguesas. De louvar fica o Legislador e as autarquias que já responderam a esta necessidade.
15. Segundo o Princípio de Pareto 80% dos investimentos devem ser canalizados para as bases da cibersegurança: formação de equipas técnicas, autenticação MFA e gestão de credenciais. Os restantes 20% podem ser alocados em novas tecnologias, auditorias externas e sistemas redundantes e de backup. Vislumbramos nestes contratos apenas referências à formação e, mesmo assim, nunca simultaneamente às equipas técnicas e aos utilizadores das redes autárquicas e – sublinhamos – apenas 3 em 308 investiram em formação (uma para técnicos, duas para utilizadores!). Oeiras investe num contrato intrigante para armazenamento cloud de logs (e o resto?) e as outras podem diluir este investimento em opacos e generalistas “serviços de cibersegurança” mas dada a imprecisão do contrato: é impossível saber.
16. Não parecem existir serviços partilhados entre autarquias de serviços de cibersegurança, backups, prevenção ou resposta a incidentes: faria todo o sentido que existissem numa lógica que reunisse vários municípios de uma dada região.
Todas as organizações e, em particular, as câmaras municipais de Portugal devem repartir o seu orçamento de cibersegurança por – pelo menos – sete vectores:
1. Compliance
Alguns requisitos regulatórios exigem determinadas alocações orçamentais que decorrem, sobretudo, do cumprimento do RGPD e das pesadas multas que potencialmente podem advir do seu incumprimento. Estas necessidades podem incluir, nesta linha, sistemas de classificação de dados, encriptação e de gestão de ciclo de vida de dados pessoais e, claro, todos os custos que advêm da implementação do RGPD.
2. Risk Assessments
É necessário monitorizar constantemente os sistemas por falhas de segurança ou ajustar – numa base diária – os sistema de forma a torná-los mais resilientes e com capacidade de resposta a eventos críticos. As ferramentas nesta categoria incluem seguros de cibersegurança, testes de penetração (pentests), recompensas (como a proposta do CpC de 2022: https://cidadaospelaciberseguranca.com/2022/05/30/um-programa-nacional-de-recompensa-de-identificacao-de-vulnerabilidades-em-servicos-de-ti-do-estado-e-das-autarquias-locais) e programas de resposta a incidentes.
3. Formação
É absolutamente imperativo que existam acções de formação contínua, para os especialistas e para todos os colaboradores internos e externos (outsourcing) da autarquia. Estas formações devem ser bem elaboradas, não incluírem um elemento de “vergonha” ou humilhação e incluir elementos de gamificação
4. Prioridades da Actividade
Podem envolver pessoas, tecnologias ou aspectos financeiros. Um exemplo do primeiro vector são os sistemas de trabalho híbridos ou em teletrabalho e todas as adaptações que tal exige em termos de cibersegurança. Aqui também se inclui a aquisição e suporte de routers domésticos, telemóveis de organização, políticas para os manter, offline data storage e sistemas de backups entre outras despesas semelhantes.
5. Regra 80/20 para investimentos em Cibersegurança:
Em securityreport.com.br encontramos este bom conselho que se baseia no Princípio de Pareto: 80% dos resultados derivam de 20% das causas. No nosso contexto isso significa que 80% dos investimentos devem ser canalizados para as bases da cibersegurança: formação de equipas técnicas, autenticação MFA e gestão de credenciais. Os restantes 20% podem ser alocados em novas tecnologias, auditorias externas e sistemas redundantes e de backup.
6. Legacy
Elabora um plano de investimentos que conduza à substituição gradual de todo o Legacy (software e hardware) da sua organização. Cada um destes sistemas – pela sua obsolescência e falta de atualização – representa um ponto de entrada para uma ameaça de cibersegurança.
7. Multiplicidade
Devemos investir em plataformas com várias funcionalidades para cobrirmos o máximo de necessidades com um único investimento.
Recomendações dos CpC directamente relacionadas com este contexto autárquico:
Deputados TikTok: Estudo, Conselhos, Riscos e Observações
Conselhos da CpC: para o uso do TikTok em telemóveis das autarquias locais, organismos do Estado e eleitos locais e na Assembleia da República
Apelo ao bloqueio da aplicação TikTok em equipamentos usados pelo Estado central e autarquias locais
2022 (actual) e 2021 (histórico) – Índice de Digitalização e Transparência Digital das Juntas de Freguesia de Lisboa
Guia de Cibersegurança Municipal: Conselhos Genéricos e uma Visão Global da Situação
Um programa nacional de recompensa de identificação de vulnerabilidades em serviços de TI do Estado e das autarquias locais
Iniciativa CpC: Cidadãos pela Cibersegurança 