Proteção das Infraestruturas Críticas Nacionais e o papel da Cibersegurança

European Voices5 minutes readSep 4th, 2012
SHARE +

Infraestruturas Críticas (IC)

O conceito de Segurança da Informação na Sociedade de hoje  tem vindo a evoluir de uma abordagem local para global. Enquanto até recentemente os principais serviços de um país estavam nas mãos do Estado, neste momento estão repartidos pelo Estado e privados quer nacionais/estrangeiros com tendência cada vez maior para as segundas entidades. Um dos componentes cuja importância tem vindo a aumentar drasticamente na sociedade de hoje é a tecnologia, cujo impacto numa Estratégia de Segurança Nacional tem de ser reavaliado rapidamente.

A questão da Proteção das Infraestruturas Críticas Nacionais é já um tema na ordem dia em vários países e Portugal não é exceção. No País foram identificadas cerca de 300 infraestruturas críticas (IC), havendo muito mais definidas como estratégicas. De acordo com o DL62/2011, por infraestrutura crítica nacional entende-se “componente, sistema ou parte deste situado em território nacional que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo”. Como exemplo temos:  Governo, Serviços de Emergência, Saúde, Comunicações, Água, Energia, Serviços Financeiros, Transportes, Alimentação.

Quer o Estado como os privados têm vindo a investir na proteção das infraestruturas críticas (IC) com diferentes níveis de prioridade, âmbito e estados de maturidade. No entanto a maior parte destes planos são isolados (por entidade) e não estão devidamente enquadrados num âmbito nacional ou Internacional. A maior parte destes planos (quando existem) estão relacionados com Recuperação de Desastre e Continuidade de Negócio, abrangendo os seguintes domínios:

  • Gestão de Risco
    • Identificar ameaças
    • Identificar vulnerabilidades
    • Analisar impacto no negócio
  • Prevenção
    • Segurança Física
    • Segurança de Informação
    • Segurança das Pessoas
  • Resposta e Recuperação
    • Planos de Evacuação
    • Gestão de Incidentes
    • Soluções de Recuperação
  • Comunicação
    • Ações de Sensibilização
    • Inquéritos
    • Formação em boas práticas

Nesta área ainda há muito por fazer. Fatores como limitações financeiras e ausência de conhecimento têm condicionado esta atividade. No entanto cabe ao Estado, numa perspetiva de cooperação internacional, regular e patrocinar uma Estratégia integrada para a segurança das Infraestruturas críticas quer sob a responsabilidade direta do Estado como dos privados que é a maior parte.

Cibersegurança

Outra área que vem assumindo um papel também importante nas Infraestruturas Críticas é a componente de Cibersegurança. Os Ciberataques, são uma ameaça intangível mas concreta. Cada vez mais a nossa sociedade depende dos sistemas de informação. No caso de estes pertencerem às Infraestruturas Críticas (IC), isto implica necessariamente a sua monitorização contínua 24x7x365 com cooperação local e a nível nacional e internacional, envolvendo, necessariamente, os estados e privados.

Estamos a falar de Centros de Operação  de Cibersegurança  que permitem recolher informação sobre o que se passa nos sistemas de informação (sistemas, comunicações, aplicações, segurança) em tempo real com o objetivo de detetar comportamentos anómalos nos mesmos (ex.  volume elevado  de comunicações em certos sistemas, acessos não autorizados, transações suspeitas, ataques DoS, etc). A rapidez é um fator determinante no sucesso da Cibersegurança nas várias fases do incidente:

  • Detetar
  • Mitigar
  • Resposta
  • Contra-atacar

Poucas das nossas organizações estão preparadas para responder a ciberataques. Exemplo disso são os recentes ataques  que têm vindo a suceder em diferentes organizações privadas e governamentais e na maioria dos casos as entidades não têm noção do que devem fazer.

Em Portugal existe o CERT.pt e uma rede de CSIRTS (Computer Incident Response Team) nas diferentes indústrias (Financeira, Telecomunicações, Energia, etc.) com o objetivo de recolher e tratar informação de incidentes relacionados com os sistemas de informação. No entanto o seu âmbito tem de ser alargado e enquadrado num contexto de Infraestrutura Críticas Nacionais (IC) de forma a se poder ter uma fotografia global do que se está a passar nas ICs em termos de cibersegurança.

O investimento e os  tempos associados à implementação de CSIRTs são fatores que  condicionam a sua criação. No entanto, à semelhança do que já sucede com outros serviços de IT estes poderão, também, ser enquadrados num serviço que pode ser externalizado (investimento mais baixo, tempos de implementação mais curtos, melhor especialização).

Para responder a este tipo de ameaça é necessário rever a Estratégia Nacional para a Segurança da Informação para Portugal (ENSI) e dentro desta definir o modelo Centro Nacional de Cibersegurança envolvendo uma cooperação do Estado e privados na partilha de informação.

No próximo artigo será abordado a implementação de Cibersegurança.

Tags-   Cibersegurança Gestão de Risco Prevenção Segurança da Informação Segurança Nacional


PREVIOUS POST

La biometría se explica

NEXT POST

Disruptive Ideas