Cibersegurança: Administração Pública tem potencial para mais de 650 contratos de seguro

Na Administração Pública Central (AP central), de um total de 303 organismos auscultados em inquérito oficial, a percentagem de entidades com seguro contra incidentes de segurança nas TIC passou de 2% em 2019 para 3% (três por cento) em 2020. Conforme resultados do inquérito, somando oito organismos da AP central que indicaram ter “seguro contra incidentes de segurança das TIC,” a quatro entidades seguradas nas regiões autónomas (duas na Madeira e duas nos Açores), mais outros 23 organismos de Câmaras Municipais, que também deram resposta afirmativa, serão 34 os organismos protegidos por contratos de seguro cibernético.

Em 2020, em Portugal, 47 organismos da AP Central, 13 da AP Regional e 39 Câmaras (do continente e regiões autónomas) detetaram problemas de segurança informática. Entre as ameaças de cibersegurança identificadas, a 72% registou “indisponibilidade de serviços TIC, devido a ataques externos,” enquanto “destruição ou corrupção de dados devido a ataque ou incidentes inesperados” afetou 23% e “divulgação de dados confidenciais, devido a ataques de intrusão (ex.: pharming ou pishing)” atingiu 28%. A taxa de organismos que detetaram ameaças foi de 16%, igualando a incidência de 2018, após 17% contabilizados em 2019, aponta um relatório divulgado pela DGEEC (Direcção-Geral de Estatísticas da Educação e Ciência).

Face ao conjunto dos 718 organismos da Administração Pública central (incluindo hospitais, escolas e universidades), Regional (Açores e Madeira) e Câmaras Municipais participantes nos Inquéritos à Utilização das Tecnologias de Informação e Comunicação (IUTIC), os seguros cibernéticos têm potencial superior a 650 contratos para crescer junto da AP.

O relatório – baseado em informação recolhida entre outubro de 2020 e março de 2021 através de inquérito censitário (online) e cujos resultados foram adiantados em julho – revela que 78% de um total de 308 Câmaras Municipais, 52% de 303 organismos da Administração Pública Central, 45% de 56 organismos da Região Autónoma da Madeira e 37% de 51 organismos da Região Autónoma dos Açores, indicaram “ter elevada necessidade de reforçar competências em matéria de segurança das TIC.” Acresce que o “tipo de pessoal que realizou a atividades relacionadas com a segurança das TIC nos organismos da AP central”, regista-se, nos últimos dois anos, decréscimo de 82% para 75% no número de organismos que o fazem recorrendo a “Pessoal do próprio Organismo” e de 57% (em 2019) para 51% (em 2020) através de “Fornecedores externos.”

Em relatório anterior (IUTIC-2019), já se verificava que, pelo menos, 35% ou mais 100 organismos da administração pública central disponibilizavam aos funcionários “formas de trabalho móveis e/ou a partir de casa,” o mesmo acontecendo num total de 28 entidades das Regiões Autónomas e em 43% na administração local, ou seja mais de 130 Câmaras Municipais.

A necessidade de assegurar continuidade de serviço durante a crise da pandemia acentuou-se a necessidade de facilitar trabalho remoto. No país, com o confinamento social, “a cibersegurança tornou-se ainda mais essencial”, acompanhando a importância acrescida das tecnologias digitais e do fator humano, nota o Centro Nacional de Cibersegurança (CNS) no seu mais recente boletim do Observatório de Cibersegurança, assinalando “aumento significativo da atividade maliciosa no ciberespaço” ao longo do primeiro semestre de 2021, com o serviço de coordenação de resposta a incidentes (CERT.PT) a registar 847 incidentes, a comparar com 689 no ano anterior, e em 2019 apenas 378. “Portanto, em 2021 houve um aumento de 23% em relação a 2020 e de 124% em relação a 2019.”

Voltando aos resultados do IUTIC, entre todos os inquiridos no setor, só dois terços dos organismos da AP central e, em igual proporção, das Câmaras Municipais, assumiram que “têm definida uma estratégia para a segurança da informação,” situação que praticamente não se alterou nos inquéritos concluídos em março passado.

De acordo com o relatório “Segurança das TIC (Cibersegurança) na Administração Pública Central, Regional e Câmaras Municipais – 2020,” que resume os resultados de trabalho conjunto com a Direção de Serviços de Estatísticas da Ciência e Tecnologia e da Sociedade de Informação (DSECTSI), 14%, ou mais de 40 dos organismos da Administração Pública central não define ou revê recomendações sobre medidas, práticas ou procedimentos de cibersegurança há mais de dois anos.

Os inquéritos à Administração Pública Central e Regional (IUTICAP) e às Câmaras Municipais (IUTICCM) também se constituem como “instrumentos oficiais para a recolha e divulgação das estatísticas oficiais em matéria de Sociedade da Informação na Administração Pública em Portugal,” explica a DGEEC. Os indicadores de Segurança das TIC (Cibersegurança) procuram contribuir para “garantir a integridade, autenticidade, disponibilidade e confidencialidade dos dados e dos sistemas de informação, neste caso particular, dos Organismos da Administração Pública”, nomeadamente:

• Tecnologias e aplicações de segurança das TIC utilizadas nos Organismos (ex.: segurança de redes e correio eletrónico, software antivírus, firewall).
• Medidas de segurança das TIC implementadas nos Organismos.
• Formação e consciencialização em matéria de segurança das TIC.
• Recursos afetos à realização de atividades de segurança das TIC.
• Incidentes de segurança das TIC.

600 milhões de investimentos para a Transformação Digital do setor

O IUTIC 2020 revela também que o número de organismos da AP central que promoveram ações de formação em TIC, decresceu em 2020 para níveis mínimos dos últimos seis anos, em 37% das entidades beneficiando “Pessoal ao serviço especialista em TIC” e 47% dos organismos formando “outras categorias de pessoal ao serviço” dos organismos da Administração Pública central. No mesmo ano, na perspetiva de recursos humanos, 31% das entidades inquiridas recrutou ou tentou recrutar pessoal especialista em TIC, mas 90% destas “tiveram dificuldades no preenchimento de postos de trabalho de pessoal especialista em TIC”.

Ora, guiado por proposta do Conselho para as Tecnologias de Informação e Comunicação na Administração Pública (CTIC), o Governo aprovou, em agosto passado, uma “Estratégia para a Transformação Digital da Administração Pública 2021-2026,” à qual juntou Plano de Ação até 2023.

De acordo com o anúncio do Governo, a implementação da Estratégia para a TIC 2020, que antecede a agora aprovada, “contou com mais de 700 projetos concluídos, representando um investimento de cerca de 300 milhões de euros com os quais foi possível alcançar um impacto de cerca de 720 milhões de euros de benefícios e poupanças (TIC e não TIC). Ou seja, houve benefícios líquidos superiores a 420 milhões de euros. Estima ainda o governo que a implementação desta Estratégia de Transição Digital na Administração Pública para o período 2021-2026, cujos investimentos, alinhados com as reformas e objetivos do PRR (Plano de Recuperação e Resiliência), ascendem a cerca de 600 milhões de euros, venham a proporcionar ganhos diretos para a economia nacional, pelo menos, na mesma proporção.”

A estratégia, explicou o Executivo socialista, visa tornar a Administração Pública mais responsiva às expectativas dos cidadãos e empresas, prestando serviços mais simples, integrados e inclusivos, funcionando de forma mais eficiente, inteligente e transparente, através da exploração do potencial de transformação das tecnologias digitais e da utilização inteligente dos dados. Em seguimento, há poucos dias, anunciaram-se “primeiras formações de capacitação digital para a Administração Pública financiadas pelo PRR”. O programa, a cargo do Instituto Nacional de Administração, I.P., (INA, I.P.) compreende “quatro cursos, num total de 84 horas de formação, em ferramentas tecnológicas adaptadas às necessidades funcionais dos trabalhadores”.

Enquanto o Conselho da UE sugere a construção de uma “Ciberunidade Conjunta” no espaço comunitário, o amadurecimento digital do país segue percurso iniciado, em 2012, com a Agenda Portugal Digital. Prestando testemunho da desmaterialização e mantendo foco em “catalisadores” fortes como “regulação, privacidade, cibersegurança e ciberdefesa,” a Estrutura de Missão publicou, em março deste ano, um power point destacando níveis de conetividade e a digitalização dos serviços públicos.