Segurança Informática e Ciberdefesa

  • 117 Respostas
  • 22461 Visualizações
*

Camuflage

  • Investigador
  • *****
  • 1514
  • Recebeu: 200 vez(es)
  • Enviou: 89 vez(es)
  • +247/-240
Segurança Informática e Ciberdefesa
« em: Novembro 03, 2011, 04:54:20 pm »
Russia and China are using cyber-espionage to steal the US's tech and economic secrets, according to a government report.: http://www.theregister.co.uk/2011/11/03 ... ber_spies/
« Última modificação: Abril 18, 2019, 02:21:18 am por HSMW »
 

*

mafarrico

  • Investigador
  • *****
  • 1274
  • Recebeu: 20 vez(es)
  • Enviou: 74 vez(es)
  • +0/-0
Re: China, Russia called out as cyberspy hotbeds
« Responder #1 em: Junho 20, 2014, 08:33:12 pm »
não me apetecendo criar um tópico autonomo deixo o link aqui

http://www.theepochtimes.com/n3/749638- ... ad-agency/
"All the world's a stage" William Shakespeare

 

*

Viajante

  • Investigador
  • *****
  • 4284
  • Recebeu: 2411 vez(es)
  • Enviou: 1394 vez(es)
  • +7332/-4426
Segurança Informática e Ciberdefesa
« Responder #2 em: Dezembro 21, 2017, 01:06:42 pm »
Lista gigante com dados de polícias, políticos, militares e bancos

Poderemos estar diante da maior fuga de informação pessoal de que há memória em Portugal. Segundo informações que estão a ser veiculadas, foram expostos a público milhares de endereços de e-mails e as respetivas passwords de funcionários públicos, quadros de bancos, grandes empresas e clubes de futebol.

Estes dados estão a circular na Internet em duas gigantescas listas.



De acordo com uma investigação levada a cabo pela Sábado, andam a circular na Dark Web, uma parte da web que só pode ser acedida através de programas específicos, duas listas enormes com milhares de e-mails e passwords de pessoas com cargos importantes do setor público e do setor privado.

Segundo o Pplware conseguiu apurar, estes dados foram obtidos através de ataques a redes sociais e a outros sites em que é obrigatório um registo com e-mail e password. Entre as vítimas encontram-se também vários membros do governo dos ex-Primeiro Ministros Pedro Passos Coelho e José Sócrates e funcionários do Centro de Gestão da Rede Informática do Governo (CEGER).



Apesar de tudo, de acordo com a CEGER, os dados roubados não permitirão aceder à rede informática do Estado Português pois, mesmo que o e-mail do trabalho tenha sido utilizado para registo nas redes sociais, as passwords roubadas não cumprem os requisitos da plataforma.

Na área do futebol, pessoas ligadas aos 3 grandes clubes nacionais também não escaparam a este roubo de dados. O diretor jurídico da SAD do Benfica, Paulo Gonçalves é um dos afetados. Para além disso também é possível encontrar nas listas pessoas ligadas ao FC Porto e ao Sporting.

Sem dúvida, esta é, provavelmente, a maior fuga de informação pessoal de que há registo em Portugal. A Polícia Judiciária já decidiu abrir um inquérito para perceber tudo aquilo que está em jogo.

O Pplware já contactou a PJ e aguarda detalhes sobre este caso que estamos a acompanhar.

https://pplware.sapo.pt/informacao/lista-gigante-com-dados-de-policias-politicos-militares-e-bancos/
« Última modificação: Abril 04, 2019, 01:16:41 pm por HSMW »
 

*

Viajante

  • Investigador
  • *****
  • 4284
  • Recebeu: 2411 vez(es)
  • Enviou: 1394 vez(es)
  • +7332/-4426
Re: Segurança Informática
« Responder #3 em: Março 28, 2018, 08:56:38 pm »
Portugal: Passwords devem passar a ter 9 caracteres

Muito se tem falado sobre o novo Regulamento Geral de Protecção de Dados, mas provavelmente ainda se tem feito pouco. Na prática, a partir de 25 de maio, as empresas e administração pública passam a ter que cumprir as regras do RGPD isto se não quiserem sofrer sanções cujas coimas podem ascender aos 20 milhões de euros ou 4% do volume de negócios anual.

Relativamente à administração pública, foi hoje publicado em Diário da República alguns “obrigações/requisitos técnicos”.



De acordo com o Diário da República de 28 de março de 2018, concretamente ao definido na Resolução do Conselho de Ministros n.º 41/2018, o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante designado RGPD, vai introduzir um novo regime em matéria de proteção de dados pessoais. Para além do reforço da proteção jurídica dos direitos dos titulares dos dados, o RGPD exige novas regras e procedimentos do ponto de vista tecnológico.

Nesta medida, o Governo considera fundamental definir orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.



Dos vários requisitos técnicos definidos, que estão organizados por segurança ao nível do Front-end, camada aplicacional e camada de Base de Dados, destaque para o facto de:

    Seguir as boas práticas de desenvolvimento
    Utilizar sessões seguras com protocolo de Segurança
        Recomenda-se o uso de Transport Layer Security (TLS), na sua versão mais recente
    Não guardar informação pessoal no browser, memória ou disco, para além do tempo da sessão e apenas na medida do necessário.
    Comunicação com camada aplicacional através de autenticação por certificado válido por período não superior a 2 anos, no caso de as camadas serem física ou logicamente distintas
    Prever cifra de informação pessoal (recomenda-se mínimo 2048 bit) apenas se a aplicação cliente tiver camada de BD física e logicamente distinta, usando preferencialmente tecnologia que permita interoperabilidade entre sistemas.
    Sempre que aplicável, a palavra-passe deve ter no mínimo 9 caracteres (13 caracteres para utilizadores com acesso privilegiado) e ser complexa. A sua composição deverá exigir a inclusão de 3 dos 4 seguintes conjuntos de caracteres: letras minúsculas (a…z), letras maiúsculas (A…Z), números (0…9) e caracteres especiais (~ ! @ # $ % ^ & * ( ) _ + | ` – = \ { } [ ] : “ ; ‘ < > ? , . /). Poderá, em alternativa, ser constituída por frases ou excertos de texto longo conhecidos pelo utilizador, sem caracter de «espaço».
    A palavra-passe dos administradores deve ter no mínimo 13 caracteres e ser complexa
    Dados armazenados (incluindo os existentes em volumes de salvaguarda — backups) devem ser cifrados e assinados digitalmente.
    Devem existir dois tipos de backups (online e offsite), que devem obedecer aos mesmos requisitos de segurança definidos para os sistemas produtivos.

Todos os requisitos podem ser consultados aqui.

Os requisitos referidos no documento (https://dre.pt/application/conteudo/114937022) devem ser implementados no prazo máximo de 18 meses após a data de entrada em vigor da presente resolução.

https://pplware.sapo.pt/informacao/portugal-passwords-9-caracteres/
 
Os seguintes utilizadores agradeceram esta mensagem: perdadetempo

*

perdadetempo

  • Analista
  • ***
  • 611
  • Recebeu: 234 vez(es)
  • Enviou: 457 vez(es)
  • +59/-6
Re: Segurança Informática
« Responder #4 em: Março 28, 2018, 10:51:10 pm »
Resumindo as boas práticas que se conhecem à décadas e que nunca são cumpridas, mas de certeza que agora que está publicado no DR é que vai passar a ser praticado  ::).

Cumprimentos,
 

*

Viajante

  • Investigador
  • *****
  • 4284
  • Recebeu: 2411 vez(es)
  • Enviou: 1394 vez(es)
  • +7332/-4426
Re: Segurança Informática
« Responder #5 em: Março 29, 2018, 10:25:15 am »
Resumindo as boas práticas que se conhecem à décadas e que nunca são cumpridas, mas de certeza que agora que está publicado no DR é que vai passar a ser praticado  ::).

Cumprimentos,

É bem verdade! Mas pode ser que muita gente passe a ter mais cuidado com a segurança informática! Mas falta muita cultura de segurança, como não utilizar pens usb desconhecidas (o maior perigo), proibir o facebook entre outros.... mas é um princípio!
 

*

Viajante

  • Investigador
  • *****
  • 4284
  • Recebeu: 2411 vez(es)
  • Enviou: 1394 vez(es)
  • +7332/-4426
Re: Segurança Informática
« Responder #6 em: Maio 09, 2018, 10:07:07 pm »
Pedro Veiga demitiu-se de coordenador do Centro de Cibersegurança

O coordenador do Centro Nacional de Cibersegurança demitiu-se. Motivo "não está relacionado" com Exercício Nacional de Segurança, diz gabinete da ministra da Presidência e Modernização Administrativa.



O coordenador do Centro Nacional de Cibersegurança (CNCS), Pedro Veiga, demitiu-se do cargo, confirmou esta quarta-feira à Lusa o gabinete da ministra da Presidência e da Modernização Administrativa.

A nomeação do substituto será anunciada brevemente, de acordo com uma informação do gabinete de Maria Manuel Leitão Marques.

Em resposta ao Observador, o gabinete da ministra da Presidência e da Modernização Administrativa, afirmou que a demissão de Pedro Veiga “não está relacionada” com o Exercício Nacional de Cibersegurança que se realiza até quinta-feira. Segundo o gabinete, Pedro Veiga terá apresentado a demissão “por outros motivos”.

A ministra da Presidência, segundo a mesma informação, agradeceu “o contributo inestimável de Pedro Veiga para o trabalho nesta área, ao longo destes dois anos”.

Maria Manuel Leitão Marques nomeou Pedro Veiga como coordenador do Centro Nacional de Cibersegurança em 2016. O responsável do CNCS deveria ficar até 2019 no cargo.

Pedro Veiga é pioneiro da Internet em Portugal, professor no Departamento de Informática da Faculdade de Ciências da Universidade de Lisboa (FCCN) e estava à frente do CNCS desde a sua formação, em 2016.

https://observador.pt/2018/05/09/pedro-veiga-demitiu-se-de-coordenador-do-centro-de-ciberseguranca/
 

*

Viajante

  • Investigador
  • *****
  • 4284
  • Recebeu: 2411 vez(es)
  • Enviou: 1394 vez(es)
  • +7332/-4426
Re: Segurança Informática
« Responder #7 em: Julho 10, 2018, 07:57:11 pm »
Não sei se mais alguém tem um problema semelhante.
Com a entrada em vigor do RGPD, a 25 de Maio, quem transporta dados sensíveis consigo (dados informáticos), não chega ter uma pasta encriptada com os dados lá dentro, é necessário uma pen USB com 2 níveis de encriptação e se possível com a possibilidade de auto-destruição dos dados, se a pen caír em mãos erradas.

Estou a frequentar um curso de DPO (Data Protection Officer ou EPD – Encarregado de Proteção de Dados). Estive a ver alguns exemplos de pen usb e discos que cumpram o requisito exigido pela RGPD, por exemplo: FIPS 140-2 Level 3 certified. Estive a ver o site da NATO, onde referem alguns exemplos (https://www.ia.nato.int/niapc/Category/Disk-File-Encryption_13).

Gostei das seguintes opções:
https://www.viasat.com/products/encryption-eclypt-freedom

https://datalocker.com/product-category/encrypted-usb-flash-drives/

https://datalocker.com/product-category/harddrives/

http://www.ironkey.com/en-US/

Aprecio muito a Ironkey (S1000 Enterprise, que permite a instituição controlar várias em simultâneo, encripta toda a pen e destrói os dados se caírem em mãos erradas). Alguém tem uma opinião/sugestão? Ou tem o mesmo problema?

Obrigado
 
Os seguintes utilizadores agradeceram esta mensagem: HSMW

*

asalves

  • Investigador
  • *****
  • 1254
  • Recebeu: 523 vez(es)
  • Enviou: 150 vez(es)
  • +366/-143
Re: Segurança Informática
« Responder #8 em: Julho 11, 2018, 10:22:55 am »
Não sei se mais alguém tem um problema semelhante.
Com a entrada em vigor do RGPD, a 25 de Maio, quem transporta dados sensíveis consigo (dados informáticos), não chega ter uma pasta encriptada com os dados lá dentro, é necessário uma pen USB com 2 níveis de encriptação e se possível com a possibilidade de auto-destruição dos dados, se a pen caír em mãos erradas.

Estou a frequentar um curso de DPO (Data Protection Officer ou EPD – Encarregado de Proteção de Dados). Estive a ver alguns exemplos de pen usb e discos que cumpram o requisito exigido pela RGPD, por exemplo: FIPS 140-2 Level 3 certified. Estive a ver o site da NATO, onde referem alguns exemplos (https://www.ia.nato.int/niapc/Category/Disk-File-Encryption_13).

Gostei das seguintes opções:
https://www.viasat.com/products/encryption-eclypt-freedom

https://datalocker.com/product-category/encrypted-usb-flash-drives/

https://datalocker.com/product-category/harddrives/

http://www.ironkey.com/en-US/

Aprecio muito a Ironkey (S1000 Enterprise, que permite a instituição controlar várias em simultâneo, encripta toda a pen e destrói os dados se caírem em mãos erradas). Alguém tem uma opinião/sugestão? Ou tem o mesmo problema?

Obrigado

Eu não sei se é realmente obrigatório, ou se é mais o aconselhável.

O que esta nova regulamentação tem de bom é que não define regras, põe a batata quente do lado das empresas.

Por vezes o use case do utilizador não faz sentido ter uma pen destas, outras vezes o facto de obrigar a haver uma alteração de comportamento de utilização é suficiente para passado algum tempo se deixar a pen de lado.

Outra questão é que a encriptação é feita por hardware o que implica que caso seja encontrado um erro no algoritmo é impossível corrigir o mesmo. Para além de que muitas vezes como são sistemas proprietários não tem muito escrutínio por parte da comunidade e é possível com alguns meios e as vezes sorte contornar o problema e aceder a informação (tantos casos de iphones, consolas que eram inquebráveis e ao fim de algum tempo as medidas de segurança foram contornadas)

Outra situação é a redundância da informação, imagine que uma das pen estraga-se, todos os dados que lá estão perdem-se. Este tipo de aparelhos muitas vezes implica ter 2 ou 3 para que haja redundância da informação, mas isto tb implica ter que sincronizar a mesma de vez enquando, tudo depende da frequência com que os dados são alterados.

Ainda tem o caso de alguém mal intencionado que tenha como objectivo roubar a informação e não olhe a meios, pode ameaçar-lhe a vida com o intuito de lhe sacar o código de desbloqueio.

Dito isto poderá ser mais seguro ter o tal ficheiro encriptado com um bom algoritmo do que reinventar a roda.

PS: Muitas vezes o facto do uso destes aparelhos implicar uma alteração na sua utilização as marcas criam sistemas para facilitar essa utilização, e esses sistemas por vezes são mais vulneráveis do que o aparelho. De nada serve ter uma pen impenetrável se depois um simples bug no software de acesso compromete tudo.
 

*

Viajante

  • Investigador
  • *****
  • 4284
  • Recebeu: 2411 vez(es)
  • Enviou: 1394 vez(es)
  • +7332/-4426
Re: Segurança Informática
« Responder #9 em: Julho 11, 2018, 11:49:18 am »
Não sei se mais alguém tem um problema semelhante.
Com a entrada em vigor do RGPD, a 25 de Maio, quem transporta dados sensíveis consigo (dados informáticos), não chega ter uma pasta encriptada com os dados lá dentro, é necessário uma pen USB com 2 níveis de encriptação e se possível com a possibilidade de auto-destruição dos dados, se a pen caír em mãos erradas.

Estou a frequentar um curso de DPO (Data Protection Officer ou EPD – Encarregado de Proteção de Dados). Estive a ver alguns exemplos de pen usb e discos que cumpram o requisito exigido pela RGPD, por exemplo: FIPS 140-2 Level 3 certified. Estive a ver o site da NATO, onde referem alguns exemplos (https://www.ia.nato.int/niapc/Category/Disk-File-Encryption_13).

Gostei das seguintes opções:
https://www.viasat.com/products/encryption-eclypt-freedom

https://datalocker.com/product-category/encrypted-usb-flash-drives/

https://datalocker.com/product-category/harddrives/

http://www.ironkey.com/en-US/

Aprecio muito a Ironkey (S1000 Enterprise, que permite a instituição controlar várias em simultâneo, encripta toda a pen e destrói os dados se caírem em mãos erradas). Alguém tem uma opinião/sugestão? Ou tem o mesmo problema?

Obrigado

Eu não sei se é realmente obrigatório, ou se é mais o aconselhável.

O que esta nova regulamentação tem de bom é que não define regras, põe a batata quente do lado das empresas.

Por vezes o use case do utilizador não faz sentido ter uma pen destas, outras vezes o facto de obrigar a haver uma alteração de comportamento de utilização é suficiente para passado algum tempo se deixar a pen de lado.

Outra questão é que a encriptação é feita por hardware o que implica que caso seja encontrado um erro no algoritmo é impossível corrigir o mesmo. Para além de que muitas vezes como são sistemas proprietários não tem muito escrutínio por parte da comunidade e é possível com alguns meios e as vezes sorte contornar o problema e aceder a informação (tantos casos de iphones, consolas que eram inquebráveis e ao fim de algum tempo as medidas de segurança foram contornadas)

Outra situação é a redundância da informação, imagine que uma das pen estraga-se, todos os dados que lá estão perdem-se. Este tipo de aparelhos muitas vezes implica ter 2 ou 3 para que haja redundância da informação, mas isto tb implica ter que sincronizar a mesma de vez enquando, tudo depende da frequência com que os dados são alterados.

Ainda tem o caso de alguém mal intencionado que tenha como objectivo roubar a informação e não olhe a meios, pode ameaçar-lhe a vida com o intuito de lhe sacar o código de desbloqueio.

Dito isto poderá ser mais seguro ter o tal ficheiro encriptado com um bom algoritmo do que reinventar a roda.

PS: Muitas vezes o facto do uso destes aparelhos implicar uma alteração na sua utilização as marcas criam sistemas para facilitar essa utilização, e esses sistemas por vezes são mais vulneráveis do que o aparelho. De nada serve ter uma pen impenetrável se depois um simples bug no software de acesso compromete tudo.
Os meus dados não são assim tão valiosos :)
Mas trata-se de dados de menores, que depois tenho de comunicar regularmente a entidades oficiais.
Normalmente utilizo uma pasta encriptada através do truecrypt/veracrypt, que julgo saber ainda não foi quebrado por nenhuma entidade. Mas uma pen com 2 níveis de criptografia e ainda por cima validado pela NATO, oferece outra segurança, mesmo usando a pasta encriptada que já uso, e onde instalo também o firefoxportable, para não ter de utilizar nenhum browser da máquina onde trabalho (os pc que utilizo podem arder que não perco nenhum dado).

Quanto a cópias de segurança, eu faço cópias de segurança...... de vez em quando da pasta encriptada para 2 NAS com RAID 6. Como as pastas continuam encriptadas, continuo confortável com os dados.

De facto a nova lei que entrou em vigor é omissa em muitas circunstâncias, mas aliada a um aumento de segurança, vejo com bons olhos a utilização de uma pen com segurança ao nível do hardware e software, mantendo a utilização do truecrypt/veracrypt de que não abdico e ainda com o bónus da destruição de todos os dados se alguém errar mais de 10 tentativas. Mas lá está, os meus dados não são valiosos, são é sensíveis com muitos dados de muita gente.

Do meu ponto de vista, eu e mais 2 colegas meus, devemos utilizar pen usb encriptadas. É verdade que pode custar cada uma cerca de 1.000€, mas eu vejo como um investimento para a salvaguarda de tantos dados.
 

*

Viajante

  • Investigador
  • *****
  • 4284
  • Recebeu: 2411 vez(es)
  • Enviou: 1394 vez(es)
  • +7332/-4426
Re: Segurança Informática
« Responder #10 em: Agosto 30, 2018, 10:29:17 am »


Quando tiver acesso ao artigo, coloco aqui.

http://visao.sapo.pt/revistas/2018-08-29-Edicao-1330
 

*

asalves

  • Investigador
  • *****
  • 1254
  • Recebeu: 523 vez(es)
  • Enviou: 150 vez(es)
  • +366/-143
Re: Segurança Informática
« Responder #11 em: Agosto 30, 2018, 12:54:54 pm »
https://www.publico.pt/2018/08/22/tecnologia/noticia/estudante-detalha-como-era-possivel-entrar-no-portal-das-financas-de-qualquer-pessoa-1841794
Página do Portal das Finanças permitia entrar na conta de qualquer contribuinte
Citar
Uma falha informática do Portal das Finanças permitia mudar a palavra-passe da conta de qualquer pessoa ao saber apenas o número de contribuinte. Em teoria, o problema – que já foi corrigido, mas apenas seis meses depois de o Estado ter sido alertado – podia ser explorado por atacantes para ganhar acesso a informação financeira de qualquer utilizador.
Mais populares

A falha foi descoberta por Miguel de Moura, um estudante do mestrado de Engenharia Electrotécnica e de Computadores do Instituto Superior Técnico com 22 anos, que recentemente explicou o processo no seu site pessoal. O estudante diz que esperou que o Portal das Finanças resolvesse os problemas antes de os divulgar, uma prática habitual na área da cibersegurança.

“Mudar a palavra passe de alguém, que é o mais grave, demorava apenas alguns segundos”, disse Miguel de Moura ao PÚBLICO. O caso foi avançado pela revista Exame Informática.

O PÚBLICO contactou o Ministério das Finanças ao final da tarde desta quarta-feira. O ministério respondeu que não conseguia dar respostas até à hora de publicação deste artigo.

Miguel de Moura explicou, em dois textos publicados online, como encontrou várias falhas no Portal das Finanças. Para além da mudança de palavra-passe, os textos mencionam outros problemas, como técnicas que permitiam descobrir o número de telefone de alguém a partir do seu NIF, e a possibilidade de esquemas de phishing  (feitos para levar um utilizador a fornecer dados confidenciais) usarem endereços online legítimos do Portal das Finanças, alterados para incluir conteúdo malicioso.

O processo implicava inspeccionar o código das páginas online do Portal das Finanças, algo que qualquer pessoa pode fazer. Além dos campos visíveis no site (como Nova Senha e Confirmar Nova Senha), era possível ter acesso a campos escondidos do formulário, como o NIF associado a um número de telemóvel. Com conhecimentos informáticos, era possível alterar estes elementos.

“A maioria dos formulários online tem campos secretos. No caso de pedido de alteração de palavra-passe do Portal das Finanças, eram formulários pré-preenchidos com o NIF dos utilizadores, a que um utilizador normal não deveria ter acesso, mas que eram surpreendentemente fáceis de encontrar e alterar”, explica Moura.

“O atacante nem sequer precisava de ter o número de telemóvel associado ao NIF de alguém”, frisa. Bastava que alguém simulasse o processo de recuperar a palavra-passe para conseguir associar uma nova palavra-passe a outro NIF.

“Dos outros problemas que reportei, os mais preocupantes eram esquemas que permitiam manipular o URL do Ministério das Finanças para incluir porções de código malicioso. Isto facilitava processos de phishing para roubar dados das pessoas”, diz o estudante. “Quando alguém se tentava autenticar no Portal das Finanças, na opção para recuperar a senha, também era possível escapar à pergunta secreta, e daqui, ver os números de telefone associados a qualquer NIF.”

O estudante contactou logo em Janeiro a linha de apoio do Portal das Finanças, no próprio dia em que descobriu as falhas. No dia seguinte, tentou a Comissão Nacional de Protecção de Dados (CNPD). Mas o processo demorou. “Só em Maio, depois de uma chamada de meia hora, em que me transferiram para várias autoridades diferentes, é que consegui chegar às autoridades competentes”, conta. “Alguém finalmente ouviu e remeteu a minha chamada para a pessoa que podia resolver o problema.”
 

*

Lusitano89

  • Investigador
  • *****
  • 20606
  • Recebeu: 2392 vez(es)
  • Enviou: 257 vez(es)
  • +1118/-1481
Re: Segurança Informática
« Responder #12 em: Novembro 13, 2018, 10:20:11 pm »
Conselho Nacional de Cibersegurança admite que Portugal está atrasado


O novo coordenador do Centro Nacional de Cibersegurança (CNCS), Lino Santos, reconheceu hoje que Portugal está um “pouco atrasado” na definição de uma estratégia nacional de cibersegurança, mas rejeitou a ideia de que o Estado esteja “ausente” desta matéria.

“Não tenho nenhum problema em dizer que o Estado está um pouco atrasado no tempo relativamente a este assunto. Portugal criou o CNCS em 2014 e devia ter criado esse centro em 2005 ou 2006”, disse Lino Santos, durante a conferência “Cibersegurança: reduzir o risco, combater as ameaças” promovida pela sociedade de garantia mútua Norgarante, dirigida a empresários e gestores.

Apesar de Portugal ter demorado "algum tempo a edificar a estrutura nacional de cibersegurança", o coordenador do CNCS rejeitou que o Governo esteja ausente desta matéria e adiantou que o próximo passo "será produzir um plano de ação para execução desta nova estratégia”.

O responsável referiu ainda que o CNCS está atualmente a desenvolver um quadro nacional de referência para cibersegurança que tem como objetivo ajudar a proteger melhor as empresas e organismos públicos dos ataques informáticos.

Segundo Lino Santos, este quadro, de adesão voluntária pelas organizações, deverá estar terminado em fevereiro de 2019 e inclui “um conjunto de controlos e medidas técnicas que têm que ser asseguradas pelas entidades para atingir um patamar de cibersegurança para fazer face às ameaças conhecidas”.

“Este quadro é suficientemente grande para responder às preocupações das grandes empresas”, disse, adiantando que também será criado um conjunto mais pequeno de controlos e medidas para serem implementadas pelas Pequenas e Médias Empresas”.

Lino Santos alertou ainda para a necessidade de se pensar na cibersegurança quando estamos a implementar políticas públicas, dando como exemplo a colocação de wi-fi nos autocarros, sem consultar os especialistas de cibersegurança.

“Esse tipo de políticas públicas não pode acontecer. Qualquer que seja a politicai publica nós temos de ter preocupações de cibersegurança no seu desenho. Ainda não estamos aí e devemos trabalhar para isso”, vincou.

O CNCS foi criado em outubro de 2014, tendo como missão contribuir para que Portugal use o ciberespaço de uma forma livre e segura, em estreita cooperação e colaboração com as entidades públicas e privadas em matéria de segurança do ciberespaço.

Segundo o mais recente Relatório Anual de Segurança Interna, em 2017 a equipa de reação a incidentes do CNCS recebeu e processou 1.895 notificações relativas a ataques no ciberespaço, das quais 535 resultaram na abertura de incidentes "analisados e resolvidos com sucesso".

Dos incidentes analisados e resolvidos, 17% afetaram direta e indiretamente entidades do Estado, o que representa um acréscimo de 8% em relação ao ano anterior, regista o mesmo relatório.

A maioria dos crimes visaram a recolha de informação (‘phishing’, ‘spearphising’ e realização de ‘scans’) e o alvo principal foram as instituições bancárias.

Houve ainda mais de uma centena de incidentes classificados como ‘malware’ (a introdução de ‘software’ malicioso com o objetivo de danificar dados) e meia centena de crimes de “tentativa de intrusão” nos sistemas das organizações portuguesas.


:arrow: https://24.sapo.pt/tecnologia/artigos/conselho-nacional-de-ciberseguranca-admite-que-portugal-esta-atrasado
 

*

Lusitano89

  • Investigador
  • *****
  • 20606
  • Recebeu: 2392 vez(es)
  • Enviou: 257 vez(es)
  • +1118/-1481
Re: Segurança Informática
« Responder #13 em: Janeiro 29, 2019, 01:42:11 pm »
Ministro da Defesa espera "capacidades superiores" em "ciberdefesa" em três ou quatro anos


O ministro da Defesa Nacional afirmou esta terça-feira que dentro de “três a quatro anos” Portugal terá “capacidades superiores” na área da 'ciberdefesa' e defendeu mais partilha de informação e complementaridade entre segurança e defesa.

“Vamos aumentar significativamente os nossos recursos humanos formando militares e contratando civis. Daqui por três quatro anos teremos capacidades bem diferentes e bem superiores daquelas que existem atualmente”, afirmou, em declarações à Lusa, à margem de um seminário sobre “Ciberdemocracia e Cibersegurança”, na Universidade Nova de Lisboa.

Com um investimento previsto de 46 milhões de euros no espaço de 12 anos na Lei de Programação Militar, aprovada na generalidade na passada sexta-feira, João Gomes Cravinho considerou que o montante “é o adequado face às capacidades” que o país “quer desenvolver”.

Na sua intervenção no Seminário, o governante considerou que Portugal “está a dar passos sólidos na criação de meios para a sua ciberdefesa” que é “uma parte integrante da cibersegurança nacional”.

“Apesar destes esforços significativos há um imenso espaço de incerteza que tem de ser reconhecido, lidamos com avanços tecnológicos exponenciais e inovações tecnológicas que estão na sua infância”, disse.

O ministro defendeu que é preciso “ir gradualmente construindo um espaço de diálogo cooperativo a nível internacional, onde medidas de confiança possam ser implementadas”.

Isso é “crucial”, disse, para “evitar escalada de ameaças que deixe, à semelhança do que foi a realidade nuclear da guerra fria, o planeta paralisado”.

O ministro identificou “várias linhas de tensão” que devem ser resolvidas “no âmbito do inter-relacionamento do conjunto das instituições nacionais”, defendendo “uma clarificação” da diferença entre “cibersegurança e ciberdefesa”.

“Segurança e Defesa são áreas de governação distintas, é certo, mas são áreas de grande complementaridade”, sustentou, acrescentando que “não compete à Defesa a definição de uma política de segurança nacional”.

A realidade do “ciberespaço” em que as “fronteiras” entre o domínio interno e externo, entre o público e o privado e entre o civil e militar “se esbatem” exige uma “clarificação urgente de funções e, essencialmente, mecanismos de coordenação sistemática de esforços”.

“É que as estruturas rígidas dos Estados e as estruturas militares altamente hierarquizadas exigem um conjunto de procedimentos – particularmente importantes em contextos democráticos, como é o nosso – que dificilmente se coadunam com o tempo de resposta a um ataque cibernético”, sustentou.

Nesse sentido, o “exercício da autoridade tem, assim, de prever a partilha e a delegação de competências, com regras claras de ação, nomeadamente em função do nível de resposta pretendido”.


:arrow: https://24.sapo.pt/atualidade/artigos/ministro-da-defesa-espera-capacidades-superiores-em-ciberdefesa-em-tres-ou-quatro-anos
 

*

zawevo

  • Perito
  • **
  • 387
  • Recebeu: 240 vez(es)
  • Enviou: 46 vez(es)
  • +100/-3589