Instituições da UE não estão protegidas contra ciberameaças

O Tribunal de Contas Europeu (TCE) alerta, num relatório divulgado esta terça-feira, que as instituições da União Europeia (UE), como as agências, “nem sempre estão bem protegidas contra ciberameaças”, salientando que estas são “alvos atrativos” com “insuficiências” na cibersegurança.

“A principal constatação da auditoria foi a de que as instituições, os organismos e as agências da UE nem sempre estão bem protegidos contra ciberameaças. O seu tratamento da cibersegurança nem sempre é consistente, os controlos essenciais e as boas práticas fundamentais em matéria de cibersegurança nem sempre estão em vigor e a formação em cibersegurança nem sempre é sistemática”, indica o TCE num documento publicado esta terça.

No relatório sobre “Cibersegurança das instituições, organismos e agências da UE”, o tribunal entende que, “em geral, o nível de preparação não é proporcional às ameaças, desde logo porque “a atribuição de recursos à cibersegurança é muito variável e vários organismos europeus têm despesas neste domínio consideravelmente inferiores a outros de dimensão comparável”.

“Em teoria, as diferenças nos níveis de cibersegurança podem ser justificadas pelos diferentes perfis de risco de cada organização e pelos níveis variáveis de sensibilidade dos dados que tratam, mas o TCE salienta que as insuficiências na cibersegurança de um organismo da UE podem expor várias outras organizações à ciberameaça”, vinca ainda o tribunal.

Numa altura em que se estima que os ciberataques significativos relativos aos organismos da UE tenham aumentado mais de 10 vezes entre 2018 e 2021, tornando-se também mais sofisticados, o TCE dá como exemplo um recente ciberataque à Agência Europeia de Medicamentos, em que dados sensíveis foram divulgados e manipulados para diminuir a confiança nas vacinas anticovid-19.

Por essa razão, o tribunal recomenda “a introdução de regras de cibersegurança vinculativas e o aumento dos recursos da Equipa de Resposta a Emergências Informáticas para as instituições e agências da UE”, assim como maior cooperação ao nível comunitário. “As instituições, organismos e agências da UE são alvos atrativos para potenciais atacantes, especialmente para os grupos com capacidade de realizar ataques furtivos altamente sofisticados para fins de ciberespionagem e outros propósitos malévolos”, alerta Bettina Jakobsen, membro do TCE responsável pela auditoria.

A responsável adianta que “estes ataques podem ter implicações políticas significativas, prejudicar a reputação geral da UE e minar a confiança nas suas instituições”, razão pela qual se devem “intensificar os esforços”. Não existe ainda, na UE, um quadro jurídico para a segurança da informação e a cibersegurança nas instituições, agências e organismos da União.

Ainda assim, existem regras comuns sobre a segurança da informação e a cibersegurança aplicáveis a todos os organismos da União, como indicado na comunicação sobre a Estratégia da UE para a União da Segurança para o período de 2020-2025, publicada pela Comissão em julho de 2020.