A Comissão Nacional de Proteção de Dados (CNPD) organizou esta terça-feira o seu I Encontro, centrado na temática sobre proteção de dados pessoais e cibersegurança, na Faculdade de Direito da Universidade de Lisboa (FDUL). Este foi o primeiro de um ciclo de encontros que, ao longo do ano, assinalará a comemoração do 30.º aniversário da instituição.
A abertura da sessão esteve a cargo de Eduardo Vera-Cruz Pinto, Diretor da FDUL, e de Paula Meira Lourenço, Presidente da CNPD, seguindo-se uma apresentação do orador convidado do Encontro, Lino Santos, Coordenador do Centro Nacional de Cibersegurança (CNCS).
O Contra-Almirante António Gameiro Marques, Diretor-Geral do Gabinete Nacional de Segurança, e Paula Meira Lourenço moderaram posteriormente um debate sobre o tema central do evento. A mesa-redonda contou com a participação de Fernanda Maçãs, Encarregada de Proteção de Dados do Banco de Portugal, Helena Monteiro, Presidente da Associação para a Promoção e Desenvolvimento da Sociedade da Informação (APDSI), Miguel Prata Roque, Professor da FDUL, e Pedro Mendonça, Responsável pelo Observatório de Cibersegurança do CNCS.
Na abertura da sessão, Paula Meira Lourenço afirmou que “o nosso 30.º aniversário é marcado por uma visão prospetiva face aos desafios mais prementes que se colocam aos cidadãos enquanto titulares dos dados pessoais”.
A Presidente da CNPD abordou a aprovação de um plano estratégico da Comissão, focado em três objetivos e 20 ações estratégicas que deverão começar a ser desenvolvidas em 2024. Os objetivos estratégicos são: o “reforço da proteção de dados pessoais dos cidadãos”; “assegurar o aumento da capacidade de observação estratégica dos riscos e oportunidades colocados pela aceleração da evolução tecnológica”; e “reforçar e fortalecer a regulação dos dados pessoais em Portugal através de mecanismos colaborativos e de cooperação com entidades nacionais e internacionais”.
A cibersegurança foi a temática escolhida para o I Encontro devido à sua intrínseca relação com a proteção de dados. “Nos últimos três anos, a CNPD registou um aumento exponencial de violações de dados. Em 2021 tivemos 432 participações, em 2022 560 e em 2023 618 reports”, disse Paula Meira Lourenço.
Com o aumento do número de incidentes de cibersegurança, “torna-se fundamental o investimento na informação e na prevenção”, acrescentou a Presidente da CNPD, destacando como “excelente exemplo” a campanha #LerAntesClicarDepois do CNCS.
“Havendo já um enquadramento legal que permite a cooperação entre a CNPD e o CNCS, tenho a honra de anunciar que estamos a explorar formas de reforçar essa cooperação, tendo em vista uma colaboração mais regular e mais eficaz”, revelou Paula Meira Lourenço no seu discurso de abertura da sessão.
“No mundo digital não há risco zero. Isso significa que todos os dias cada ser humano está a fazer a sua gestão de risco”, sublinhou. “As organizações devem investir mais em medidas preventivas que possibilitem assegurar o nível de segurança adequado ao risco”, nos termos impostos pelo Regulamento Geral de Proteção de Dados (RGPD).
Além disto, Paula Meira Lourenço frisou que “o reforço da proteção contra ataques maliciosos é também um reforço da proteção dos dados pessoais”.
O panorama da cibersegurança em Portugal
O orador convidado do I Encontro da celebração do 30.º aniversário da CNPD foi Lino Santos, Coordenador do CNCS, que focou a sua apresentação na evolução do conceito de cibersegurança ao longo dos anos, assim como no cenário atual da cibersegurança em Portugal.
Uma lógica de mercado, nomeadamente no contexto da União Europeia, está relacionada com o “desenvolvimento da economia através da inovação”, referiu Lino Santos. “Desenvolvimento esse que carece da confiança dos seus utilizadores. A cibersegurança é a garante dessa mesma confiança. Eu tenho de ter um mercado digital, mas tenho de ter produtos e serviços que sejam utilizados com confiança por parte dos cidadãos”.
Também a questão dos direitos humanos é um discurso associado à cibersegurança. “A privacidade e a liberdade de expressão neste ciberespaço é um direito fundamental que só conseguimos se tivermos cibersegurança”, defendeu o Coordenador do CNCS.
Ao longo da sua apresentação, Lino Santos retratou o panorama atual da cibersegurança a nível nacional. “Hoje, temos assistido a um crescimento do número de incidentes na ordem dos 30% ao ano, com uma desaceleração em 2022 e uma estagnação em 2023”.
Embora o número de incidentes tratados em 2022 e 2023 seja “sensivelmente igual”, existe uma diferença notória no que diz respeito ao “impacto decorrente desses incidentes”. Lino Santos explicou que, “nos casos de burlas online, mas principalmente por causa dos ataques de ransomware, tivemos um impacto muito maior na nossa sociedade decorrente deste igual número de incidentes”.
Ainda mais, o responsável do CNCS afirmou que atualmente “temos mais atores maliciosos”, com um aumento do número de hacktivistas no contexto dos conflitos Ucrânia-Rússia e Israel-Palestina. “Temos um crescimento muito grande da organização do cibercrime, temos a venda de serviços na dark web de cybercrime-as-a-service”, acrescentou.
Não obstante, Lino Santos destacou um aspeto positivo: “uma maior consciência nas diferentes camadas da nossa sociedade para este problema e uma maior consciência também na camada de direção e administração de empresas”.
Por outro lado, segundo dados da ENISA, “o investimento nesta área continua abaixo dos 10% do investimento total de Tecnologias de Informação, o que é muito pouco”, frisou. Outros fatores negativos mencionados foram a “falta de cultura de cibersegurança na nossa sociedade” e “a falta de competências nas nossas organizações”.
Com a rápida evolução tecnológica e digital, o desenvolvimento de competências, a formação de pessoas, assim como a consciencialização e sensibilização, devem estar no centro deste debate. Lino Santos falou sobre uma “formação ao longo da vida”, considerando ser necessário “trabalhar mais a área da cibersegurança no ensino obrigatório” e “criar os meios e ferramentas e dar os incentivos para que as organizações estejam conforme as melhores práticas”.
Lino Santos terminou a sua apresentação com uma mensagem positiva, acreditando que Portugal se encontra num “momento único para desenhar aquilo que será a cibersegurança do país nos próximos dez anos”. “Temos um PRR. Temos um conjunto de projetos do CNCS e em cada uma das grandes organizações que tratam dados pessoais e têm sistemas informáticos do Estado. Temos uma diretiva NIS2 para transpor até outubro deste ano. Temos também uma nova estratégia de segurança do ciberespaço para desenvolver durante este ano”, concluiu.
Cibersegurança e proteção de dados pessoais
O I Encontro da CNPD encerrou com um debate sobre a proteção de dados pessoais e a cibersegurança, moderado por Paula Meira Lourenço e pelo Contra-Almirante António Gameiro Marques.
“Do ponto de vista do regime da cibersegurança, nós temos estado sempre mais preocupados com a questão da reação às cibercrises”, disse Miguel Prata Roque, Professor da FDUL, na sua intervenção, referindo-se nomeadamente ao facto de os recursos serem direcionados “para esse momento que deve ser excecional”.
Neste sentido, Miguel Prata Roque defendeu que “a transposição da diretiva NIS 2 deve assentar não só na lógica de combate quando ocorre um ciberataque, mas devíamos apostar mais em Portugal quer no setor económico quer no setor público na ideia de prevenção da cibercrise”.
O Professor da FDUL mencionou também a necessidade de “saber de que forma é que um Estado de Direito democrático pode aproveitar a atuação dos chamados ethical hackers ou white hat hackers”.
“O dilema que uma autoridade de segurança tem e que uma empresa que beneficia desta colaboração tem é a seguinte: o Código de Processo Penal determina que há o dever de denúncia por parte do funcionário público”, explicou Miguel Prata Roque sobre a questão dos ethical hackers. “A nossa lei não resolve ainda esse problema, ou seja, não prevê, por exemplo, a exclusão da punibilidade desse mesmo ato”.
Para Pedro Mendonça, Responsável pelo Observatório de Cibersegurança do CNCS, “pensar esta articulação da cibersegurança e da proteção de dados nem sempre é evidente”. Olhando para a NIS2, o termo “dados pessoais” aparece um total de 27 vezes no seu texto, incidindo-se sobretudo em quatro aspetos: a necessidade de ter em consideração o enquadramento legal da União Europeia em matéria de proteção de dados, nomeadamente o RGPD; “a necessidade de todas as entidades que têm responsabilidade na gestão da cibersegurança respeitarem os dados pessoais”; “os dados pessoais servem para identificar ativos críticos”; e, por fim, “os agentes de ameaça procuram muitas das vezes capturar dados pessoais”, sendo essencial ter em conta o “valor económico, valor estratégico e a multiplicação de ações maliciosas” associadas.
Fernanda Maçãs, Encarregada de Proteção de Dados do Banco de Portugal, começou por dizer na sua intervenção que, “quando se fala em dados pessoais e cibersegurança, temos de tentar encontrar qual é o elo de ligação. Nós temos dois mundos, que são o espaço físico e a cibersegurança ou mundo digital”. O elo comum é a “informação com dados pessoais”, sendo que “90% da informação que corre numa instituição tem dados pessoais”.
Neste sentido, a Encarregada de Proteção de Dados do Banco de Portugal, sublinhou que é necessário averiguar “quais são os atores fundamentais, quais são as competências que têm e como é que se articulam entre si”. Ainda mais, salientou que “há riscos de cibersegurança que envolvem dados pessoais, como uma falha de energia que torna os sistemas indisponíveis por tempo prolongado”.
Por fim, Helena Monteiro, Presidente da APDSI, debruçou-se sobre a missão e a ação da Associação. “A visão da APDSI é sermos reconhecidos pelo contributo determinante para o desenvolvimento da sociedade da informação participativa, inclusiva e segura”, disse, explicando que a APDSI desenvolve o seu trabalho com grupos de missão.
Segundo Helena Monteiro, a APDSI já promoveu 50 iniciativas ligadas ao tema de cibersegurança, seis por ano, o que demonstra que este é um “tema requerido pelos nossos grupos e os nossos grupos estão na sociedade”.
|