Os ciberataques não param de aumentar. Com a pandemia e a guerra na Ucrânia, em casos mais ou menos mediáticos, as empresas veem-se cada vez mais na mira dos piratas informáticos. Em Portugal, até o Governo se tornou um alvo preferencial dos piratas informáticos. “Ter uma password forte é muito bom” para escapar aos hackers. Mas não é o suficiente.
Em entrevista ao Observador, Lino Santos, coordenador do Centro Nacional de Cibersegurança (CNCS), sublinha que está a ser feita uma monitorização “muito próxima de tudo o que está a acontecer por toda a Europa” devido à guerra. Até ao momento, em Portugal não há “ainda um único ataque” passível de relação direta com o conflito.
Lino Santos enumera ainda os “cuidados” necessários para a utilização das diferentes plataformas — desde as redes sociais até ao email. Este responsável indica também os “principais conselhos” para que as empresas sejam resilientes e resistam aos ataques informáticos: ter uma boa password, acionar um múltiplo fator de autenticação, ter o software dos dispositivos “extremamente” atualizado, não partilhar palavras-passe e salvaguardar os dados pessoais com backups “de preferência offline”.
O grupo Impresa, a Vodafone, os laboratórios Germano de Sousa, a Sonae e até os hospitais. Vários foram os serviços e as empresas atacadas nos últimos tempos. Portugal está mais exposto e no radar de quem ataca?
Este não é um fenómeno exclusivamente nacional. O número de incidentes tem aumentado em toda a Europa e em todo o mundo. Nós estamos em contacto muito próximo com os nossos congéneres europeus, dentro da rede europeia de equipas de resposta a incidentes, e trocamos informação de uma forma muito próxima e, de facto, nos últimos anos, temos tido uma tendência de crescimento no número de incidentes e com uma especial incidência em alguns com impacto mediático, ou seja, com impacto relevante na sociedade, como foram os casos que acabou de referir.
Portugal está em linha com esta tendência de crescimento…
Sim, sim. É aquilo que observamos.
Este tipo de ataques com cobertura mediática trouxe a cibersegurança para a agenda dos media. Sente que isso facilita a transmissão da ideia de que os portugueses precisam de ter mais informação sobre este tema?
Sem dúvida. O facto de este tema estar no topo de agenda mediática e até da agenda política cria um dos pressupostos que é essencial para melhorar a cibersegurança de uma forma global, que é agir em conformidade. Eu diria que as grandes empresas e os grandes organismos da administração pública já tinham planos para mitigar as suas vulnerabilidades e planos para resistir a ataques. Nas pequenas e médias empresas é que, se calhar, essa consciência começa a ser criada e temos, de facto, recebido uma série de pedidos de organizações, de associações empresariais, para fazermos ações de sensibilização e para darmos instrumentos para ajudá-las a melhorar a sua maturidade em cibersegurança.
▲ Lino Santos é coordenador do Centro Nacional de Cibersegurança desde 2018
ANDRÉ DIAS NOBRE / OBSERVADOR
Nessas ações de sensibilização que realizam que mensagens é que tentam transmitir?
Bem, tentamos desfazer desde logo um conjunto de mitos associados a este tema. O primeiro é que a cibersegurança não é um assunto exclusivamente técnico. Há uma tendência dos gestores das empresas em delegarem esta questão da cibersegurança para o departamento técnico e para os informáticos das organizações e isso é algo que nós queremos combater. Achamos que a cibersegurança deve estar no topo da organização e deve estar na tomada de decisão. Um outro mito que queremos desfazer é o de que isto só acontece aos outros. As empresas acham que não têm nada de interesse para que os atacantes sintam aptidão ou motivação para a atacar. E o que nós explicamos é que uma grande parte dos ataques que ocorrem no ciberespaço têm uma lógica de arrastão.
Como assim?
É como aqueles ataques de phishing, que são enviados para um sem número de caixas de correio eletrónico para encontrar 10, 20, 30 vítimas. Nas empresas é exatamente o mesmo: atacam-se milhares de empresas ao mesmo tempo e consegue-se ter sucesso em meia dúzia delas, o que é suficiente para alimentar este modelo de negócio de crime organizado. Portanto, não é o facto de sermos especiais ou termos um portal na web que chama a atenção que nos torna potenciais vítimas. Podemos ser vítimas por um acaso, por um dano colateral qualquer. E o que aconselhamos é que as empresas estejam preparadas, ou seja, que olhem para a sua exposição no ciberespaço, façam avaliações de risco e mitiguem os riscos identificados até a um nível aceitável.
Ao abordar o tema dos ciberataques e as potenciais vítimas é inevitável falar sobre os números novos de ataques [que constam do relatório divulgado pelo CNCS, que fala em 628 incidentes durante o ano passado nos setores da área governativa], em que o Governo tem sido um alvo preferencial. O que significa isso?
Antes de mais, gostava de dizer que este número [de incidentes de cibersegurança] não se deve de todo à rede do Governo. Este número deve-se essencialmente ao facto de a área governativa da Presidência do Conselho de Ministros ter um número muito elevado de organizações e dentro dessas organizações estar o Centro Nacional de Cibersegurança, que notifica muitos incidentes à equipa de resposta de incidentes do próprio Centro Nacional de Cibersegurança.
O que faz aumentar este número?
Exatamente.
Portanto o que estamos a ver aqui…
Não justifica um sinal de alarme.
E consegue perceber qual tem sido a tipologia destes ataques a setores da área governativa?
Essencialmente, os dois maiores são infeção com malware, vírus informático, e ataques de phishing. Atenção, não quer dizer que tenha sido bem sucedido. O malware, sim, é uma infeção, que já foi um ataque bem sucedido. Mas um ataque phishing classificamos como incidente, independentemente de haver vítimas ou não.
Nesse caso, apenas a receção conta? É isso?
Exatamente, é uma campanha de phishing. Aliás, há uma grande diferença entre os números da criminalidade e os números do Centro Nacional de Cibersegurança. A criminalidade olha para as vítimas, contabiliza o número de vítimas, e nós contabilizamos o número de campanhas. Para nós o envio massivo de mensagem de correio eletrónico com uma narrativa de um banco qualquer para furto de identidade é um incidente. E se calhar do lado da Polícia Judiciária e do Ministério Público temos 12 vítimas de burla informática. Portanto há aqui esta diferença.
Covid-19 e guerra na Ucrânia fizeram ressurgir a ameaça ativista em Portugal
Ainda estamos a atravessar uma pandemia que aproximou muitas pessoas do digital. Houve aqui alguma coisa que mexeu em termos do número das notificações de ataque?
Sim, mais do que isso conseguimos correlacionar o aumento de incidentes com os períodos de maior confinamento. Conseguimos identificar que aqueles períodos de maior confinamento, em que praticamente toda a gente foi para casa, foram os picos de incidentes com que tivemos de lidar no Centro Nacional de Cibersegurança. De facto, há uma correlação. Outra coisa que observámos teve a ver com o teletrabalho e algumas das condições de teletrabalho não eram as ideais em termos de cibersegurança. Muitas empresas não estavam preparadas para o trabalho remoto do ponto de vista de cibersegurança: nem todas tinham dispositivos de trabalho que as pessoas pudessem levar para casa, para trabalhar remotamente, e as pessoas passaram a usar os portáteis que tinham em casa, dos filhos eventualmente. Depois temos também uma adaptação do lado do agente de ameaça, que também se moveu para o ciberespaço. O carteirista do 28 desapareceu e aumentaram os ataques no ciberespaço e os agentes de ameaça, talvez utilizando aquilo que notámos ser uma apropriação de narrativas muito ligadas à própria Covid-19 e a alteração dos comportamentos por parte dos cidadãos. Ou seja, a maior parte de nós passou a fazer mais encomendas online e começámos a ver esquemas de phishing ou de furto de identidade associadas a empresas de entrega de encomendas. Houve uma adaptação, quer do lado dos utilizadores, dos cidadãos, quer do lado dos agentes de cibercrime, que resultou nestes picos. No primeiro ano de pandemia tivemos um aumento de 80% dos incidentes relativamente a 2019.
Com o contexto de guerra que está a ser vivido na Europa também já está a haver uma adaptação para esse tema, eventualmente usando a solidariedade à Ucrânia como disfarce?
Esse tema é extremamente importante para nós e, no contexto de rede europeia de equipas de resposta a incidentes, temos feito uma monitorização muito próxima de tudo o que está a acontecer por toda a Europa. Aquilo que acontece na Estónia, na Polónia, países muito próximos do conflito, é partilhado connosco de forma a que possamos determinar medidas de prevenção para as nossas empresas e organismos para aqueles mesmos modus operandi que estão a ser usados nestes ataques. Em Portugal não temos ainda um único ataque que possamos correlacionar de forma direta com este conflito. Mas aquilo que refere é verdade. O relatório de Riscos e Conflitos de 2021 tinha praticamente eliminado a ameaça ativista do nosso espectro de ameaças em Portugal e ela ressurge em 2022 exatamente com esta filiação com diferentes grupos de hackers, ora pró-russos, ora pró-ucranianos, utilizando essas narrativas para executar ataques em Portugal. Não correlacionava diretamente com o conflito, mas há de facto uma apropriação destas narrativas para cobrir algumas atividades de hacktivismo em Portugal.
▲ Lino Santos: "No primeiro ano de pandemia tivemos um aumento de 80% dos incidentes relativamente a 2019"
ANDRÉ DIAS NOBRE / OBSERVADOR
Face ao conflito, já é possível falar atualmente de um contexto de ciberguerra?
Não, não gosto muito de usar esse termo. A minha resposta é que é prematuro falar nisso. É lógico que o conceito de guerra hoje já não é o que era, não há uma declaração de um Estado a outro. À luz do direito internacional, claramente não. Agora temos vindo a observar nos últimos anos — e isto não contribui nada para a paz social e para um ciberespaço confiável e seguro — uma militarização e um armamento progressivo do ciberespaço por parte de Estados. Juntando este fator ao facto de termos um cibercrime organizado cada vez mais sofisticado, com produtos e cibercrime-as-a-service na dark web, temos um ciberespaço bastante armado — vamos chamar-lhe assim de uma forma genérica. Agora, ainda classificaria aqueles incidentes com maior impacto mediático ou impacto mesmo físico que tivemos no âmbito deste conflito como atos de sabotagem e não como atos de guerra.
Poderá, eventualmente, também estar a acontecer que os ataques não sejam levados a cabo por agentes pró-Rússia ou pró-Ucrânia? Ser apenas alguém que explora o facto de as pessoas estarem mais distraídas para explorar algumas vulnerabilidades?
Temos duas situações: uma claramente de filiação de indivíduos com causa e com motivação política. Mas depois temos indivíduos que usam apenas a narrativa, aliás, é esse o exemplo que temos vindo a observar em Portugal. Não há aqui propriamente uma grande filiação a uma ou outra causa, mas usam essa narrativa para testar as suas capacidades, melhorar a sua reputação dentro de um grupo e pouco mais do que isto.
Uma vez que fala sobre filiação política relacionada com a guerra, os sites do PCP foram alvo de ataque informático duas vezes desde o início do conflito. É possível dizer que o partido é o primeiro a ser “vítima” da guerra em Portugal?
Não. Há vários ataques desse tipo, mas mais uma vez não associaria diretamente ao conflito, associaria diretamente a uma causa política por parte de um grupo ativista, muito provavelmente em território nacional.
Ainda assim, é de esperar que à medida que outros partidos tomem posições ora pró-Rússia ora pró-Ucrânia continuem a existir estes ataques de grupos ativistas em Portugal?
Sem dúvida, a narrativa vai continuar a ser usada.
O que as empresas devem fazer
As condições económicas trazidas tanto pela pandemia como pelo contexto da guerra fizeram as empresas repensar os seus orçamentos, inclusive na parte da segurança. Ter um orçamento “saudável” é suficiente para que estejam minimamente protegidas de ataques?
Duas perspetivas sobre isso. Uma delas é a tal consciência de que a cibersegurança é importante para a sobrevivência da organização e para a continuidade de negócio da organização. Ou seja, se houver uma real perceção da importância e do grau de risco que a empresa tem relativamente a ciberataques é uma questão de prioritização dos investimentos. A segunda tem a ver com os processos de transição digital que se avizinham. Temos um PRR (Plano de Recuperação e Resiliência) com forte investimento na transição digital, quer da administração pública, quer da nossa economia. E temos estado a transmitir e a trabalhar para que coloquem a avaliação de risco de cibersegurança à cabeça do desenho do projeto. Ou seja, se pretendo realizar qualquer tipo de transição digital — e pode ser do mais simples, como criar um portal web, até ao mais complexo, como digitalizar ou automatizar um chão de fábrica –, para cada um destes tipos de transição digital temos de identificar um conjunto de novos riscos a que a empresa vai estar sujeita. A superfície de ataque aumenta necessariamente com este processo. O que temos de acautelar é que o investimento neste processo de transição seja acompanhado pelo investimento em cibersegurança necessário para mitigar estes novos riscos. Se for feito desta forma, a empresa é resiliente a ciberataques — não quer dizer que não os venha a ter, mas estará preparada para resistir a uma grande parte dos ciberataques.
Para além do investimento, que estratégias podem as empresas implementar para conseguirem mitigar possíveis ciberataques?
É importante realizar regularmente análises de risco, ter atenção aos nossos relatórios de risco e conflitos, porque dão o quadro de ameaças que existem no ciberespaço nacional e é esse quadro de ameaças que deve ser usado na análise de risco e depois mitigar os riscos identificados com as medidas no quadro nacional referência de cibersegurança. A jusante disto, temos processos de certificação — ou seja, temos a possibilidade de as organizações obterem um certificado (seja um selo de maturidade digital se for uma pequena e média empresa, se for um operador de serviço essencial a certificação de conformidade com o quadro nacional de referência em cibersegurança) que lhes permita assegurar que têm as melhores práticas implementadas e que têm um elevado patamar de cibersegurança. É esta a estratégia: prevenir com análises de risco e com a implementação de medidas e depois certificar para garantir que as medidas que aplicaram são as adequadas e são as necessárias para ter esse patamar.
Quando falamos em análises de risco regulares estamos a falar de quanto em quanto tempo?
Para operadores de serviços essenciais aconselhamos anualmente, com periodicidade igual aos relatórios que emitimos de riscos e conflitos. Este é um contexto muito dinâmico, em que as ameaças variam de ano para ano, os modus operandi dos agentes variam com alguma regularidade e portanto temos de ter análises de risco adaptadas ao contexto atual. É um esforço grande realizar uma análise de risco da primeira vez, depois é olhar para as alterações que são feitas ao contexto. Só há duas variáveis aqui: tenho novos sistemas de informação ou novos ativos, do ponto de vista de análise de risco é esta a terminologia usada, ou então temos uma alteração dos cenários de risco, proveniente da alteração das ameaças. Os anos seguintes é fazer este delta relativamente à análise de risco inicial.
▲ O coordenador do Centro Nacional de Cibersegurança acredita que as empresas devem realizar "regularmente análises de risco"
ANDRÉ DIAS NOBRE / OBSERVADOR
Acredita que as empresas já estão mais despertas para a necessidade de terem planos de cibersegurança? Já estão a contratar serviços de cibersegurança face ao aumento dos ataques?
Temos essa consciência. Aliás, vemos do lado da oferta de produtos e serviços também um crescendo. Nós publicámos recentemente um relatório do nosso Observatório de Cibersegurança de economia onde damos conta precisamente da quantidade de empresas que em Portugal prestam serviços nesta área e observa-se uma tendência de crescimento. Esse crescimento está alinhado com estas políticas públicas que nós desenvolvemos aqui no Centro Nacional de Cibersegurança. Ou seja, nós temos empresas que ajudam as organizações a realizaram as suas análises de risco, nós temos empresas que ajudam as organizações a implementar o quadro nacional de referência e cibersegurança, nós temos empresas que ajudam as organizações a atingir o grau de conformidade necessário com o regime jurídico de segurança do ciberespaço. Há aqui uma lógica que se ajuda mutuamente, uma simbiose entre esta consciência que vai crescendo — a procura — e a oferta de produtos e serviços na área.
Por vezes é exigido às empresas um regaste para recuperarem dados roubados num ataque. Em Portugal, quantas empresas é que, efetivamente, pagam este resgate?
O nosso relatório de Riscos e Conflitos tem um número ou a percentagem de incidentes desta tipologia, agora há uma cifra branca muito grande nesta área. Há muitas empresas e organizações que são alvo deste tipo de ataques que não nos comunicam. Relativamente ao pagamento ou não, o Centro Nacional de Cibersegurança aconselha sempre a não pagar resgates. Portanto, mais uma vez prevenir, e prevenir um incidente deste tipo, significa ter um plano de continuidade de negócio e ter backups feitos com regularidade e mantidos offline — e de preferência até num sítio diferente de onde estão os sistemas informáticos.
Seria benéfico que essas empresas que sofrem ataques deste género começassem a notificar mais ao CNCS?
Sim, essa parte é extremamente importante. Temos uma figura de notificação obrigatória, que vem do regime jurídico de segurança do ciberespaço, de incidentes com impacto relevante e acidentes que são notificados pelos 540 operadores de serviços essenciais. Os restantes fazem uma notificação voluntária. Agora, para nós, é extremamente importante ter essa informação, porque permite-nos lançar alertas e alertas rápidos a comunidades de interesse que possam vir a ser atacadas pelo mesmo modus operandi. É extremamente importante ter este panorama sobre o que está a acontecer no ciberespaço nacional. No início do ano, naqueles incidentes de maior impacto mediático, foi possível correlacionar aquele modus operandi, aquele agente de ameaça, com incidentes que já tínhamos tido no ano anterior, em 2021, e noutros setores de atividade.
De que forma?
Foi interessante perceber que aquele agente de ameaça estava a mover-se no que diz respeito a alvos preferenciais para o seu ataque. Mais ainda, o conhecimento que ganhamos sobre os detalhes técnicos de cada um dos incidentes permitiu-nos nesse primeiro trimestre deste ano reunir com potenciais alvos. Tivemos várias reuniões com as principais empresas de media, partilhando a informação técnica necessária para que se protegessem de um ataque semelhante ao que o grupo Impresa teve. Da mesma maneira que realizámos várias reuniões com operadores de telecomunicações para uma partilha dos indicadores técnicos ao ataque que foi realizado à Vodafone. Esta é a forma de nos protegermos como um todo. É olhar para esta questão da cibersegurança e dos incidentes que sofremos não numa lógica de competição e concorrência, mas numa lógica de entreajuda e proteção conjunta.
Disse que é prioritário que as empresas comuniquem os ataques ao CNCS, mas como é que devem informar os clientes de que foram alvo de um ciberataque?
Estamos neste momento a produzir um referencial de comunicação em gestão de crises de cibersegurança. Achamos que precisamos disso precisamente pelo que aconteceu no primeiro trimestre deste ano. Há muitas empresas que dependem de fornecedores, que têm relações com outras entidades muito próximas e relações até informáticas, o que quer dizer que um incidente pode ter impactos colaterais noutras organizações. O que aconselhamos quer a clientes quer a stakeholders é uma transparência naquilo que é a comunicação, comunicando aquilo que deve ser comunicado e não comunicando aquilo que não é necessário. Já disse várias vezes: gostei imenso da atitude da Vodafone, na forma como o fez. Aliás, tem uma escola de um incidente de uma empresa na indústria de alumínio norueguesa [Norsk Hydro], que foi talvez a primeira que fez uma coisa semelhante à da Vodafone e que fez escola. Está disponível como um dos melhores exemplos de comunicação de gestão de crises de incidentes de cibersegurança. E acho que foi extremamente eficaz, o que mostra que estavam preparados para responder, quer do ponto de vista de comunicação quer do ponto de vista técnico.
O que já se sabe (e o que falta saber) sobre o ataque à Vodafone Portugal
O dia em que a Vodafone fica sem serviços é obrigatoriamente o dia em que foi mesmo alvo de uma intrusão?
Não foi. O dia em que ficou sem serviços foi o dia em que um dos ataques, o ataque destrutivo, foi realizado. Um incidente é um conjunto de ataques correlacionados de um mesmo agente de ameaça para um mesmo alvo, mas é uma coisa complexa, passa por vários estágios, cada um deles é um ataque, o dia em que a Vodafone ficou sem serviço foi o dia do ataque de destruição.
“Os ataques vão continuar a existir. Nós temos é que estar preparados para resistir”
A missão do Centro Nacional de Cibersegurança é contribuir para que Portugal use o ciberespaço de forma livre e segura. Acha que isso está a acontecer com o aumento de ciberataques que se tem verificado?
Os ataques vão continuar a existir. Nós temos é que estar preparados para resistir a esses ataques e minimizar os impactos desses incidentes. Há uma atenção especial do Centro Nacional de Cibersegurança naquilo que são os operadores que são essenciais. São cerca de 540 empresas e organismos da administração pública que estão obrigados a uma conformidade com o quadro nacional de referência e cibersegurança. Essa conformidade garante um elevado nível de resistência, um elevado patamar de cibersegurança para estas [540] organizações. Para as restantes, que não são poucas, [porque] o tecido empresarial português é maioritariamente composto por pequenas e médias empresas, a adoção desses instrumentos é numa base voluntária. A sensibilização é extremamente importante para atingir este universo e o trabalho junto das associações empresariais e comerciais. Nós temos um projeto no PRR para a criação de sete centros de competência em cibersegurança, um por cada NUTS de nível II — cinco no continente e um em cada região autónoma — que vão prestar este apoio inicial, esta ajuda a identificar o melhor instrumento para que as organizações se protejam, a encontrar fundos europeus ou nacionais para realizar as ações que são necessárias para crescer esta maturidade e cibersegurança e orientá-las neste caminho.
Além da formação de 10 mil especialistas até 2026, tal como mencionou, está prevista no PRR a criação de sete centros de competência em cibersegurança. É suficiente?
Essa pergunta é difícil. A criação de uma rede de sete centros de competência vai ser extremamente importante para chegarmos a todo o território. O nosso grande objetivo é a proximidade com as organizações e com as associações empresariais e com as comunidades intermunicipais numa lógica de proximidade e de apoio constante a estas organizações no desenvolvimento de capacidades de cibersegurança. Se é suficiente? Vamos ver em 2026 o resultado do projeto.
Ainda no âmbito do PRR foi anunciada a C-Academy e um investimento de 47 milhões de euros na formação em cibersegurança. Como é que está a ser pensada esta academia e quantas pessoas pretendem formar?
O objetivo da academia é formar um conjunto de profissionais na área da cibersegurança com uma forte aposta na requalificação. Os estudos que realizámos no Observatório sobre o ensino da cibersegurança em Portugal revelam que o débito de recém-formados nesta área não é suficiente para a procura que existe nas organizações. O que nos leva a ter medidas especiais e muitas focadas na criação desta massa cinzenta. Portanto, uma coisa é termos boas políticas públicas — e o benchmarking internacional aponta que nós estamos muito bem colocados do ponto de vista de políticas públicas nesta área —, mas a implementação dessas políticas públicas depende de massa cinzenta e de recursos humanos especializados para as aplicar. E é um bocadinho isso que pretendemos colmatar com a C-Academy, o programa nacional de formação avançada em cibersegurança. Este programa vai funcionar de forma distribuída, mais uma vez que aqui o que se pretende é uma lógica de proximidade, vai ter uma oferta de cerca de 44 módulos com duração de uma semana a duas semanas, no limite, e depois pequenos módulos específicos com duração de um dia, dois dias no máximo. Essa oferta vai estar disponível numa rede de entidades de ensino superior que já conta hoje [dia 29 de junho] com 25 participantes. E vai ter um calendário central: qualquer pessoa interessada em participar ou ter um curso desta academia regista-se num dos locais do país disponíveis numa agenda central que vai disponibilizada pelo Centro Nacional de Cibersegurança. Estes 44 módulos estão organizados em 17 percursos profissionais, ou seja, 17 perfis ou funções específicas na área da cibersegurança — desde analista de cibersegurança júnior até um chief information security office, portanto um responsável de cibersegurança de uma organização. E temos como objetivo, ou como desejo, isto não faz parte do projeto, que estes módulos fossem acreditados, ou seja que cada uma das instituições de ensino superior desse microcréditos por cada um destes módulos e depois tivéssemos um conjunto de pós-graduações ou mesmo de mestrados que reunissem um percurso formativo consistente.
▲ Lino Santos: "Os ataques vão continuar a existir. Nós temos é que estar preparados para resistir a esses ataques"
ANDRÉ DIAS NOBRE / OBSERVADOR
Estão também a querer trabalhar com empresas do setor privado para estruturar estes módulos ou é algo que está a ser exclusivamente trabalhado pelo Centro?
Pelo Centro, numa colaboração estreita com a academia. O desenho da oferta formativa foi feito em colaboração com a academia e a própria C-Academy vai ter um conselho científico que obviamente tratará da melhoria contínua durante a execução do projeto.
A academia vai formar profissionais na área da cibersegurança. É tendência generalizada haver falta de recursos humanos neste setor ou é esta não é uma área tão atrativa para os estudantes?
Não. As vagas estão ocupadas. Não existe é oferta suficiente do lado do ensino superior para atender à procura. Isto não é exclusivo da área da cibersegurança. Quase todas as áreas técnicas têm este problema. Portanto, o número de vagas que se abrem no ensino superior para estas áreas não é suficiente para colmatar a procura.
A formação é importante, mas que outras apostas podem ser feitas nesta área da cibersegurança?
Eu acho que temos que ter uma aposta na requalificação. A formação é importante, mas nós temos que dar competências a quem já está no mercado de trabalho. Temos que ter uma oferta formativa que dê as competências na área do digital e que dê as competências na área da cibersegurança a quem já está inserido no mercado de trabalho. Estes 44 módulos [da academia] estão distribuídos em cinco níveis e o primeiro é o nível que nós pensámos para todos os cidadãos de uma forma genérica. Mas depois pensámos em criar módulos específicos de sensibilização e formação básica: aqueles conceitos de ciberhigiene, aquilo que toda a gente tem que saber para se proteger a si próprio e à organização onde trabalha, num contexto de trabalho. Ter um curso de cibersegurança, por exemplo, para profissionais de justiça; ter um curso de cibersegurança para profissionais de saúde; para profissionais de ensino — dar o curso de cibersegurança muito focado no dia a dia daqueles profissionais.
