Diferenças entre CERT nacionais adicionam risco na cibersegurança

É necessário mais trabalho para ter os CERT da União Europeia a funcionarem em conjunto.

Problemas com os Computer Emergency Response Teams (CERT) nacionais ou governamentais podem estar a enfraquecer a cibersegurança na União Europeia, alertou hoje a agência de segurança de redes e informação da União Europeia (UE).

Em dois relatórios publicados esta segunda-feira, a European Network and Information Security Agency (ENISA) disse haver grandes discrepâncias entre os CERT nos diferentes Estados-membros da UE.

“Quando trocam informações sobre incidentes com os seus pares noutros Estados-membros, ainda é comum que as equipas parceiras não ajam de acordo com as informações fornecidas de forma pontual e profissional”, diz o relatório. A ENISA recomenda que uma abordagem normalizada para a troca de informações pode resolver este problema.

A necessidade de uma rede funcional de CERT nacional ou governamental na Europa até ao final de 2012 foi estabelecido em vários documentos oficiais da UE, mas em muitos países as equipas “não têm um nível adequado de maturidade”, diz a ENISA.

O maior desafio para os CERT nacionais é colmatar a lacuna existente na capacidade entre um Estado-Membro e outro, de acordo com os relatórios. Os principais problemas são a falta de clareza dos papéis e responsabilidades dos CERT governamentais, a falta de financiamento, e os recursos em falta – como TI altamente especializada ou especialistas jurídicos e em relações públicas -, disse Udo Helmbrecht, director-executivo da ENISA.

Cerca de metade dos países da UE têm estratégias nacionais de cibersegurança e mais de 80% empregam entre seis e oito funcionários a tempo integral. Este é o nível mínimo necessário para serviços aceitáveis, diz a ENISA. “No entanto, em equipas menores, o pessoal tem várias funções, o que é uma barreira para a especialização. Em particular, os CERT nacionais ou governamentais relatam dificuldades na contratação forense digital e em especialistas de engenharia reversa” [“reverse engineering”, no original].

O dinheiro também é escasso em muitos Estados-membros e, por isso, a ENISA aconselha os CERT a “procurar activamente fontes alternativas de financiamento”, tais como projectos financiados pela UE e projectos comerciais.

A agência também sugere que os CERT nacionais ou governamentais poderiam elaborar acordos bilaterais ou multilaterais com agentes externos, tais como ISPs, empresas do sector privado e autoridades policiais para colaborar e partilharem informações sobre incidentes de cibersegurança.

“É muito importante eliminar as tarefas e actividades duplicadas quando existem vários CERT nacional ou governamental num país”, aconselha a organização.

“A maioria dos CERT nacionais ou governamentais têm um papel claro e mandato, mas os detalhes variam muito em toda a UE”, diz o relatório. Metade dos CERT contactados para o relatório disse que têm uma linha formal directa da prestação de contas do executivo nacional, com outros 40% a dizerem que têm um papel informal.

No Reino Unido, Países Baixos, França e Irlanda, os CERT são hospedados por centros de cibersegurança nacional que têm pelo menos alguma responsabilidade pela estratégia do país em termos da cibersegurança nacional. Na Finlândia, Bulgária e Roménia, os CERT são supervisionados pelas autoridades reguladoras nacionais de telecomunicações. O GovCERT dinamarquês é gerido pelo Ministério da Defesa, e o NorCERT é uma parte da agência norueguesa de segurança nacional, enquanto a Itália e o Chipre não têm um CERT oficial nacional ou governamental em modo operacional.

Em Portugal, o CERT é um serviço gerido pela Fundação para a Computação Científica Nacional (FCCN) e “responde a incidentes de segurança informática no contexto da comunidade utilizadora da RCTS – Rede Ciência, Tecnologia e Sociedade”, embora prestando “o serviço de coordenação da resposta a incidentes dentro do território nacional e em particular para os CSIRT com os quais tem acordos celebrados”.




Deixe um comentário

O seu email não será publicado