Relatório do CNCS aponta domínios a ter em conta em cibersegurança

O 4.º relatório do Observatório de Cibersegurança, do Centro Nacional de Cibersegurança, estudou as atitudes, os comportamentos, a sensibilização e a educação dos portugueses relativamente à cibersegurança.
O mais recente relatório de Sociedade do Observatório de Cibersegurança, do Centro Nacional de Cibersegurança 2022 refere vários domínios a ter em conta na dimensão das atitudes, comportamentos, sensibilização e educação, relacionados com a Estratégia Nacional de Segurança do Ciberespaço 2019-2023.
Focando-se no fator humano envolvido na cibersegurança, o documento tem uma visão integrada que permite não só identificar áreas que podem exigir mais investimento, como também ajudar na definição de estratégias, nomeadamente as relacionadas com a ENSC.
Genericamente, o relatório refere, por um lado, que uma maior utilização das plataformas digitais significa uma maior exposição da sociedade aos perigos online que colocam em causa a cibersegurança. Por outro, o aumento do alcance das ações de sensibilização para a cibersegurança abrange quer um maior número de cidadãos, quer vários públicos distintos. Além disso, constata que o cidadão adulto mais velho e com menos formação tende a ter um menor cuidado de ciber-higiene na sua utilização digital, e que apesar do menor número de diplomados, o tema da cibersegurança na educação formal foi reforçado com o aumento de cursos especializados e de alunos. Mantêm-se a necessidade de qualificação de especialistas, nomeadamente na Administração Pública. Acresce ainda que a tendência das PME portuguesas para reportar incidentes é positiva.
Dividido em quatro áreas temáticas, o relatório aborda o ambiente sociotécnico, em que se analisa a evolução dos usos da internet e dos serviços digitais; pesquisas online, onde se apresentam dados sobre o interesse pela pesquisa da palavra “cibersegurança”; atitudes e comportamentos, momento em que se expõem os indicadores disponíveis sobre as perceções e as boas práticas relativos à cibersegurança em indivíduos e organizações; e sensibilização e educação, etapa dedicada à evolução das ações de sensibilização em ciber-higiene e aos cursos especializados em cibersegurança e segurança de informação.
O relatório incide particularmente em 2021 (mas também apresenta alguns dados de 2022), e verifica que em 2021, houve um aumento da internet e de alguns serviços críticos para a cibersegurança, como o email, o telefone e videochamadas online, as mensagens instantâneas, o banco online e as compras online. Nestes foram frequentes as ameaças como phishing, vishing e smishing, usados pelas burlas online como superfícies de ataque. A maior utilização destas plataformas propicia uma maior exposição aos riscos e, por consequência, uma maior necessidade de cuidados.
No domínio das atitudes e comportamentos, verifica-se uma tendência positiva no que se refere ao conhecimento e práticas dos indivíduos relativamente à gestão dos seus dados pessoais online. Apesar disso, ainda existe uma discrepância entre perceção e realidade relativamente às compras online.
As pequenas e médias empresas (PME) portuguesas reconhecem mais que sofrem cibercrimes e revelam mais preocupações quanto aos riscos de os virem a sofrer do que a média da União Europeia (UE). Também reportam mais os incidentes às autoridades do que a média da UE.
No âmbito da Administração Pública, o relatório mostra que são notórias algumas tendências negativas: existem menos estratégias definidas para a segurança de informação e uma maior necessidade de reforço das competências em segurança das TIC. Mais positivos são os dados que mostram aumentos na aplicação de medidas de segurança das TIC e na disponibilização de recomendações de boas práticas nestes organismos.
No domínio da sensibilização e educação existe uma grande predominância, em termos de tipologia, de ações de sensibilização em cibersegurança, realizadas por organizações com a missão de efetuar essas ações junto de públicos externos, e das sessões presenciais ou online comparativamente a outros tipos de ações.
Os cursos online mostram uma maior eficácia em termos do número de pessoas alcançadas, o que não significa que tenham melhores efeitos no comportamento. A maioria destas organizações não avalia o impacto das suas ações de sensibilização no comportamento do público-alvo. Os temas mais comuns são os relacionados com boas práticas genéricas de ciber-higiene.
Poucas PME portuguesas realizam ações de sensibilização aos funcionários no âmbito da cibersegurança. Já a Administração Pública efetua essas ações com maior frequência, mas poucas são obrigatórias.
Verifica-se ainda um crescimento no número de cursos superiores de cibersegurança e segurança de informação (nomeadamente cursos de Técnico Superior Profissional) e também de alunos inscritos. Há, por outro lado, um decréscimo no número de alunos diplomados. A proporção de mulheres inscritas e diplomadas continua a ser reduzida e apresenta um valor abaixo da proporção de mulheres diplomadas em cursos de TIC em Portugal.