Iniciativa CpC: Cidadãos pela Cibersegurança

A CpC esteve no Parlamento em 16 e 17 de Dezembro de 2024

Published by

Rui Martins

on

Dia 16 e 17 de Dezembro de 2024 representantes da CpC: Iniciativa Cidadãos pela Cibersegurança estiverem em reuniões com diversos deputados do PCP, PS, PSD, vice-presidente do Grupo do PSD e assessores do CDS levando ao Parlamento várias iniciativas, alertas e propostas da CpC que podem ser consultas, em maior extensão, no nosso site https://cidadaospelaciberseguranca.com.
A reunião com a IL ficou agendada para data posterior. Os restantes partidos ou não responderam ao pedido de reunião ou não tivera,m disponibilidade para encontrar agenda para estes dois dias.

1. Modernização do Sistema CITIUS
.Implementar backups e soluções de redundância para garantir a continuidade.
.Investir na atualização tecnológica do sistema.
.Reformar o sistema de autenticação.
.o SITTAF é uma plataforma que faz parte do portal citius e que é utilizada para o envio de peças processuais nos tribunais administrativos e fiscais. É muito pouco prática e intuitiva e há advogados que não fazem estas matérias dado que não conseguem trabalhar na mesma.
.A AIMA não tem plataforma online. Poderia ser criada uma plataforma identica ao CITIUS com “gavetas” para diversos tipos de autorização em que fosse possível submeter os documentos e acompanhar os processos de forma electrónica.

Lista de propostas de cibersegurança que a CpC: Iniciativa pela Cibersegurança na Assembleia da República:

2. Regulação e Fiscalização do Uso de Spyware
.Propor legislação para regular o uso de spyware pelo Estado, assegurando o respeito dos direitos humanos e da privacidade.
.Reforçar a supervisão e auditoria das ferramentas de vigilância utilizadas por entidades públicas.

3. Prevenção de Burlas e Crimes Cibernéticos
.Fraudes via Referências de Entidades Multibanco (caso MediaMedics/21800):
..Regulamentar e monitorizar as plataformas de pagamento para prevenir o uso de referências falsas.
..Dar ferramentas ao Banco de Portugal para agir.
.Regulação sobre Smishing e Phishing ainda bloqueados na ANACOM:
..RCS (sucessor “seguro” do SMS)
..Bloqueio de alterações ao CallerID para impedir mudanças de números chamadores (técnica muito usada em burlas online).

4. Cibersegurança no Sector Público
.Estabelecer autenticação multifactor obrigatória para os sistemas não criticos.
.Nos sistemas críticos uso de “passkeys” que vincula o acesso seguro a uma conta, aplicação ou serviço ao hardware físico do utilizador, que é protegido por biometria e PIN local.
.Investir na formação de funcionários públicos em boas práticas de segurança digital.
.Reduzir a dependência de um único fornecedor tecnológico, diversificando parceiros e incentivando o uso de software open source.

5. Proteção de Dados Sensíveis e Infraestruturas Públicas: Casos AppNavegante, Universidade do Algarve, Nelas, Chaves, portal das finanças, CMD, AforroNet, Segurança Social Directa. etc
.Implementar planos de contingência.
.Garantir redundância em serviços críticos.
.actualizar estes sistemas dos anos 2000s.

6. Segurança da Chave Móvel Digital (CMD)
.Actualizar a infraestrutura da CMD.
.esclarecer o que se passou e até onde foram.

7. Prevenção do Uso de Bots em Campanhas Eleitorais
.Criar regulamentação específica para identificar, monitorizar e bloquear redes de bots utilizadas para manipular campanhas eleitorais.
.Exigir transparência das plataformas digitais sobre conteúdos promovidos em eleições.
.Aprender com casos como o da Roménia, onde redes de bots influenciaram as eleições, para implementar medidas preventivas e sancionar comportamentos antidemocráticos.

8. Redução de Riscos de Segurança em Equipamentos do Estado
.Patamar mínimo de investimento em cibersegurança: Adoptar um nível mínimo de 2% do orçamento para cibersegurança no Estado central, autarquias e empresas públicas, inspirando-se em padrões internacionais.
.Caso Francisco Pinheiro e roubo de computadores do MAI
.Oposição à vigilância indiscriminada do Chat Control 2.0

10. Modernização do Sistema INEM e IPMA
.Atualizar sistemas obsoletos no INEM e em outros serviços críticos, garantindo segurança e suporte a carga.
.Realizar auditorias regulares e independentes
.Desenvolver planos de continuidade para assegurar a resposta eficiente em situações de falha técnica ou ataques cibernéticos.
.Promover a transparência no tratamento de incidentes e na implementação de medidas corretivas.

Um partido da Assembleia da República pode trabalhar com as propostas apresentadas pela CpC: Iniciativa pela Cibersegurança:
1. Análise e Priorização
Recolha de Informação: Realizar reuniões técnicas com a CpC e especialistas para compreender os detalhes técnicos, jurídicos e financeiros de cada proposta.
Consulta de Stakeholders: Identificar outras partes interessadas, como entidades públicas e privadas, e analisar como essas propostas podem ser integradas aos sistemas existentes.

2. Elaboração de Projetos de Lei
Modernização do Sistema CITIUS: Apresentar projeto tos de lei ou propostas de resolução para garantir investimentos na actualização tecnológica e segurança deste sistema.
Regulação de Spyware: Criar legislação específica que defina limites claros para o uso de spyware pelo Estado, incluindo requisitos de auditoria externa.
Prevenção de Burlas e Crimes Cibernéticos: Propor alterações legislativas no Código Penal e em regulamentos financeiros para abordar crimes cibernéticos como smishing, phishing e fraudes bancárias.

3. Fiscalização do Governo
Auditorias e Transparência: Pedir ao Governo auditorias regulares a sistemas como a CMD e o CITIUS, utilizando os resultados para justificar reformas.
Questionários e Debates Parlamentares: Exigir explicações sobre incidentes de segurança e verificar os esforços do Governo na modernização de infraestruturas críticas.
Fazer perguntas ao Governo sobre os incidentes de cibersegurança que nunca foram cabalmente explicados (pex. Inem e CMD)

4. Criação de Grupos de Trabalho
Criar grupos de trabalho ou comissões parlamentares eventuais dedicadas à cibersegurança para discutir propostas em profundidade, ouvir especialistas e definir estratégias de implementação.

5. Incorporação em Estratégias Nacionais
Plano de Cibersegurança Nacional: Promover a integração das propostas na Estratégia Nacional de Cibersegurança.
Orçamento do Estado: Propor emendas ao Orçamento do Estado para garantir alocação de recursos mínimos de 2% para cibersegurança em órgãos públicos.

6. Sensibilização e Comunicação
Formação: Promover campanhas de sensibilização para funcionários públicos sobre as propostas, especialmente nas áreas de prevenção de ataques e proteção de dados.
Envolvimento com a Sociedade: Comunicar publicamente a importância das reformas propostas para melhorar a confiança pública.

7. Colaboração Internacional
Exemplo Roménia e Eleições: Incluir na legislação lições de boas práticas internacionais, como medidas contra bots em campanhas eleitorais.
Parcerias Europeias: Envolver o país em iniciativas europeias contra ameaças cibernéticas, incluindo o reforço do quadro de segurança para equipamentos e infraestruturas do Estado.

Estas propostas podem ser encontradas (entre outras) no site da
CpC iniciativa cidadaos pela Cibersegurança
https://cidadaospelaciberseguranca.com
Os deputados e assessores ficaram de realizarem actividades – dentro do âmbito parlamentar e das suas competências – que respondessem às nossas sugestões e propostas.
As reuniões abordaram também a problemática da segurança com o Voto Electrónico, tendo especial foco nas questões correlacionadas com a obsolescência e falta de resiliência de muita da infraestrutra do Estado e a todas as implicações que decorrem da falta de regulação de Spyware comercial em Portugal e as questões de privacidade e vigilância em massa que resultam da implementação – para breve – por regulamento ChatControl 2.0 por parte do Parlamento Europeu.

Adenda: Comentários CpC para NIS 2

A Diretiva NIS 2 (Network and Information Security Directive 2), adoptada pela União Europeia, estabelece requisitos mais rigorosos para a segurança das redes e sistemas de informação, ampliando o âmbito e a responsabilidade das organizações na protecção contra ameaças cibernéticas. Muitas das propostas mencionadas estão directamente alinhadas com as exigências da NIS 2 e podem ser reforçadas a partir dessa ligação.

Propostas para NIS 2

1. Modernização do Sistema CITIUS
Relevância com a NIS 2:
Sistemas judiciais como o CITIUS enquadram-se na categoria de “infraestruturas críticas” abrangidas pela NIS 2.
A modernização e redundância atendem aos requisitos de resiliência operacional e gestão de riscos estabelecidos pela directiva.
Acção recomendada: Criar um plano de conformidade com a NIS 2 para assegurar que o CITIUS adopte as melhores práticas em cibersegurança.

2. Regulação e Fiscalização do Uso de Spyware
Relevância com a NIS 2:
A NIS 2 reforça a necessidade de proteger direitos fundamentais, como a privacidade, ao mesmo tempo que combate o uso indevido de ferramentas digitais.
Propõe um equilíbrio entre segurança e respeito pelos direitos humanos.
Acção recomendada: Integrar regulamentos sobre spyware com as medidas de supervisão da NIS 2.

3. Prevenção de Burlas e Crimes Cibernéticos
Relevância com a NIS 2:
A NIS 2 exige que prestadores de serviços essenciais, como telecomunicações e finanças, implementem medidas para prevenir fraudes e ataques cibernéticos.
Burlas como smishing e phishing são uma ameaça directa aos setores críticos abrangidos pela directiva.
Acção recomendada: Desenvolver guias de implementação da NIS 2 que incluam a prevenção de crimes cibernéticos como prioridade.

4. Cibersegurança no Setor Público
Relevância com a NIS 2:
A NIS 2 exige que o setor público adolte medidas mínimas de segurança, como autenticação multifator e redução de dependência de fornecedores únicos.
A capacitação dos funcionários públicos está alinhada com os requisitos de formação contínua na diretiva.
Ação recomendada: Avaliar os sistemas públicos sob a ótica da NIS 2, priorizando a protevção de dados e a diversificação tecnológica.

5. Proteção de Dados Sensíveis e Infraestruturas Públicas
Relevância com a NIS 2:
A directiva destaca a necessidade de proteger infraestruturas críticas, como portais financeiros e sociais, garantindo redundância e mitigação de riscos.
Sistemas antigos representam um ponto fraco para conformidade com a NIS 2.
Acção recomendada: Actualizar infraestruturas vulneráveis com base nas exigências da diretiva.

6. Segurança da Chave Móvel Digital (CMD)
Relevância com a NIS 2:
A CMD, ao ser usada por serviços digitais críticos, carece de conformidade com a NIS 2 em termos de segurança e redundância.
A transparência na resolução de falhas é essencial para cumprir os requisitos de relatórios de incidentes da diretiva.
Acção recomendada: Auditar a infraestrutura CMD e alinhar os mecanismos de autenticação com os padrões da NIS 2.

7. Prevenção do Uso de Bots em Campanhas Eleitorais
Relevância com a NIS 2:
A NIS 2 também aborda ameaças à confiança no espaço digital, como a manipulação de campanhas eleitorais.
A regulação de bots complementa os esforços acima descritos.

Respostas de 3 a “A CpC esteve no Parlamento em 16 e 17 de Dezembro de 2024”

  1. Avatar de Quais seriam as vantagens dos algoritmos do Feed das redes sociais serem obrigatoriamente públicos? – Iniciativa CpC: Cidadãos pela Cibersegurança
    Quais seriam as vantagens dos algoritmos do Feed das redes sociais serem obrigatoriamente públicos? – Iniciativa CpC: Cidadãos pela Cibersegurança

    […] apresentámos recentemente no Parlamento (https://cidadaospelaciberseguranca.com/2024/12/29/a-cpc-esteve-no-parlamento-em-16-e-17-de-dezembro-&#8230😉 acreditamos que a obrigatoriedade de tornar os algoritmos dos feeds de redes sociais públicos […]

    Gostar

    Responder
  2. Avatar de A Importância do Suporte Universal para RCS: Modernização e Segurança nas Comunicações Móveis na Europa: ANACOM e Petição ao Parlamento Europeu – Iniciativa CpC: Cidadãos pela Cibersegurança
    A Importância do Suporte Universal para RCS: Modernização e Segurança nas Comunicações Móveis na Europa: ANACOM e Petição ao Parlamento Europeu – Iniciativa CpC: Cidadãos pela Cibersegurança

    […] os operadores suportam esta norma que, como alertámos em reuniões na Assembleia da República https://cidadaospelaciberseguranca.com/2024/12/29/a-cpc-esteve-no-parlamento-em-16-e-17-de-dezembro-… não há NENHUM operador nestas […]

    Gostar

    Responder
  3. Avatar de Caller ID Seguro: Uma Proposta para Implementação em Operadoras e ANACOM – Iniciativa CpC: Cidadãos pela Cibersegurança
    Caller ID Seguro: Uma Proposta para Implementação em Operadoras e ANACOM – Iniciativa CpC: Cidadãos pela Cibersegurança

    […] Sobre este assunto ler também:https://cidadaospelaciberseguranca.com/2023/11/19/tacticas-de-fraude-cibernetica-em-portugal-a-campanha-cgd-de-outubro-chamadas-de-alerta-e-medidas-preventivas/https://cidadaospelaciberseguranca.com/2024/08/21/spoofing-bancario-o-que-e-como-o-podemos-prevenir-o-que-podem-fazer-as-autoridades/https://cidadaospelaciberseguranca.com/2024/12/29/a-cpc-esteve-no-parlamento-em-16-e-17-de-dezembro-… […]

    Gostar

    Responder

Deixe uma resposta para Caller ID Seguro: Uma Proposta para Implementação em Operadoras e ANACOM – Iniciativa CpC: Cidadãos pela Cibersegurança Cancelar resposta

Previous Post
Next Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

Anterior

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.