Finalmente, a cibersegurança, será reconhecida como uma tecnologia que faz parte integrante da vida das pessoas e não apenas uma questão informática.
Por Rui Duro, Rui Duro, Country Manager da Check Point Software Technologies em Portugal
Em abril, a Comissão Europeia apresentou uma proposta para o Ato de Solidariedade Cibernética da UE, um plano de vários milhares de milhões de dólares para reforçar as capacidades de cibersegurança nos Estados-Membros da UE. O plano destina-se a ajudar a construir um programa europeu de ciberdefesa abrangente e em grande escala. A lei estabelece que o Ato de Solidariedade Cibernética da UE reforçará a solidariedade a nível da União para detetar melhor graves incidentes de cibersegurança e incidentes de cibersegurança em grande escala. Contribuirá também para melhorar a preparação e a resposta através da criação de um escudo cibernético europeu e de um mecanismo abrangente de emergência cibernética.
Finalmente, a cibersegurança, será reconhecida como uma tecnologia que faz parte integrante da vida das pessoas e não apenas uma questão informática. Isto significa que as vulnerabilidades serão investigadas e, se forem vulnerabilidades ou riscos críticos, terão de ser resolvidas. Quando a guerra na Ucrânia começou e a energia se tornou um fator importante, os países da UE começaram a compreender quais são as suas dependências. A maioria dos membros da UE apercebeu-se de que mesmo as coisas mais básicas, como a energia, não são exclusivas dos seus países. Mesmo que fosse esse o caso, existem atualmente mais dependências dos Estados-Membros do que nunca.
Por este motivo, é aconselhável dispor de um nível mínimo de normas de segurança que sejam verificadas e controladas. O setor da energia não está tão familiarizado com as tecnologias mais recentes, mas continua a depender delas. Se a UE quiser proteger melhor as infraestruturas críticas, muito terá de ser feito. Não se trata apenas de cibersegurança, uma vez que os ataques físicos que podem conduzir a efeitos de dominó não devem ser ignorados quando se considera a segurança das infraestruturas críticas.
Para uma deteção rápida e eficaz das principais ciberameaças, a Comissão Europeia está agora a propor a criação de um “escudo cibernético europeu”, uma infraestrutura pan-europeia constituída por centros de operações de segurança (SOC) em toda a UE. Este escudo é visto como um ponto de partida em que a partilha de informações é formalizada e os procedimentos para a partilha de informações, incluindo alertas, são documentados. Isto não é novo e deveria ser feito a muitos mais níveis, como as agências de informação. A experiência passada mostrou que a partilha de informações não é assim tão simples devido à complexidade e sensibilidade dos assuntos envolvidos. Afinal, um incidente cibernético que envolva uma rede elétrica nacional é uma questão de segurança nacional que é sempre tratada com a máxima cautela e sigilo, e muitas vezes por muito boas razões.
Encontrar pessoal para uma instalação deste tipo vai ser muito difícil. O mercado está saturado e já há falta de pessoal qualificado na UE. Uma vez que estes empregos não são os mais bem pagos e que a gestão de um SOC é uma operação que funciona 24 horas por dia, 7 dias por semana, este será um verdadeiro desafio. O recrutamento consistirá, provavelmente, em encontrar talentos e formá-los num ciclo repetitivo, uma vez que a indústria os vai recrutando à medida que são descobertos.
A tecnologia dos setores da cibersegurança e da OT transcende países e fronteiras. A abordagem pode ser bastante uniforme e definida por processos e procedimentos. A tradução para as línguas locais é comum na indústria e não é diferente da forma como trabalhamos atualmente.
Além disso, a UE pretende criar uma reserva de cibersegurança. As organizações podem apoiar esta iniciativa e atuar como intermediários entre as fontes de informação, com os seus conhecimentos sobre o funcionamento de cada operação e as suas competências em matéria de cibersegurança (por exemplo). Este será mais um projeto a longo prazo, uma vez que, a dada altura, o elemento “retribuição” também terá de abordar um ponto importante para a organização que fornece os recursos.
A reserva funcionaria mais como uma comunidade, com membros selecionados e a sua participação como uma contribuição individual. Ou o valor organizacional advém do facto de se estar envolvido na elaboração de políticas, de se obter mais conhecimentos e de se ser potencialmente uma referência.