Apesar do avanço da digitalização e da adoção de medidas de segurança, a Administração Pública e as empresas em Portugal continuam vulneráveis a ciberataques. O mais recente relatório do CNCS aponta também que o recrutamento de trabalhadores especializados continua a ser um problema generalizado.
A mais recente edição do relatório Cibersegurança em Portugal, centrada no tema Sociedade, mostra que apesar dos progressos feitos pela Administração Pública a nível de digitalização e do elevado grau de adoção de medidas de segurança, estas têm-se insuficientes para evitar incidentes com grande impacto nacional.
Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt
Segundo o relatório, desenvolvido pelo Observatório de Cibersegurança do Centro Nacional de Cibersegurança (CNCS), verifica-se um elevado grau de digitalização dos organismos da Administração Pública em relação a anos anteriores, em particular no que respeita à sua presença na Internet, à utilização de serviços de pagamentos online e à implementação de tecnologias emergentes.
Os dados apontam, porém, para diferenças importantes entre a administração local e central em certos indicadores de digitalização, com destaque para a elevada percentagem e câmaras municipais que disponibilizam aplicações mobile aos cidadãos ou que implementam tecnologias do ecossistema IoT.
O relatório destaca que, embora este processo seja acompanhado pela adoção generalizada de medidas de segurança das TIC na Administração Pública, como a implementação dos mecanismos de autenticação com pelo menos dois fatores, este nível de digitalização revela a existência de uma superfície de ataque ampla.
Nesse sentido, as medidas implementadas têm se revelado insuficientes para evitar incidentes com grande impacto nacional, como aqueles que se sucederam em 2024, incluindo casos de ransomware e exfiltração de credenciais de acesso ou login.
Já do lado das empresas portuguesas, a digitalização tem sido acompanhada pela adoção de medidas de segurança das TIC, numa evolução que é descrita como positiva, com especial destaque para as organizações de média e grande dimensão.
No entanto, muitas empresas estão ainda longe de aplicar todas as medidas de segurança relevantes, como demonstra a fraca adesão ao múltiplo fator de autenticação, algo que o relatório aponta como preocupante tendo em conta a generalização do trabalho remoto e a ameaça dos infostealers e ransomware em Portugal.
Os dados partilhados mostram também que está a aumentar o recurso a prestadores de serviços de cibersegurança externos às empresas e organismos da administração pública, assim como o número de certificações na área de cibersegurança.
As empresas privadas são aquelas que mais recorrem a estes serviços. Do lado da Administração Pública, e, em particular nas câmaras municipais, as tarefas de cibersegurança continuam sobretudo a ser prestadas por funcionários dos próprios organismos.
Talento
Faltam profissionais especializados. “A cibersegurança por decreto não cria especialistas”
Com a entrada em vigor do Regime Jurídico da Cibersegurança agrava-se a falta de especialistas nesta área. Luís Vidigal diz que os que existem não chegam para responder à procura.
O relatório aponta que o recrutamento de trabalhadores especializados continua a ser um problema generalizado. Nas empresas portuguesas, a cibersegurança ainda é maioritariamente assegurada por trabalhadores que acumulam esta tarefa com outras funções, com as organizações a considerarem difícil procurar e encontrar candidatos qualificados no mercado para fazer face às necessidades.
Por outro lado, os dados indicam que, em Portugal, parece existir um entrave no lado da procura no que toca à falta de conhecimento das empresas relativamente às competências necessárias e funções relevantes na área.
As dificuldades de recrutamento parecem também expor as empresas portuguesas a riscos de cibersegurança, incluindo a níveis acima daquilo que é a perceção média na UE, aponta o relatório.