Ir para conteúdo

ANÁLISE GLOBAL


A análise global compreende uma síntese dos indicadores, com um quadro sintético que procura avaliar, à luz dos temas principais e de três critérios, o estado da cibersegurança em Portugal quanto ao tema %CSociedade%D. Inclui ainda uma articulação entre os resultados e as principais ameaças identificadas no Relatório Cibersegurança em Portugal - Riscos & Conflitos(CNCS, 2020a). Por fim, estabelece uma integração destes dados no contexto da pandemia de Covid-19.

SÍNTESE DOS INDICADORES

Com base nos resultados e na seleção de alguns indicadores representativos, apresenta-se neste capítulo uma análise global dos quatro temas de referência (atitudes, comportamentos individuais, comportamentos organizacionais e educação e sensibilização) através da aplicação de três critérios de valoração: a) o absoluto, que verifica, em cada indicador, se os resultados positivos atingem pelo menos metade da amostra;

b) o relativo, que compara os dados de cada indicador com a média da UE; e c) o da tendência, que assinala se a evolução do indicador é ou não positiva. O quadro e a análise que se seguem expõem uma síntese desta avaliação, mostrando os indicadores positivos somados em relação ao total analisado, tendo em conta os temas, os critérios e a soma global. Os resultados abaixo de 50% são considerados insuficientes. Para uma compreensão mais detalhada desta metodologia, ver caixa e anexo.


Quadro sintético de indicadores
Critérios/Temas a. Absoluto
(+50%)
b. Relativo
(+UE)
c. Tendência
(+)
Resultado
(-50%/+50%)
1. Atitudes 4 em 6 (67%) 1 em 6 (17%) 2 em 5 (40%) 7 em 17 (41%)
2. Comportamentos individuais 2 em 6 (33%) 1 em 6 (17%) 3 em 4 (75%) 6 em 16 (38%)
3. Comportamentos organizacionais 4 em 7 (57%) 1 em 3 (33%) 1 em 3 (33%) 6 em 13 (46%)
4. Educação e sensibilização 2 em 2 (100%) 0 em 1 (0%) 3 em 6 (50%) 5 em 9 (56%)
Resultado 12 em 21 (57%) 3 em 16 (19%) 9 em 18 (50%) 24 em 55 (44%)
Quadro 1


METODOLOGIA UTILIZADA NA CONSTRUÇÃO DO QUADRO SINTÉTICO DE INDICADORES

Em relação a cada um dos 31 indicadores apresentados neste Relatório, seleciona-se o subindicador mais representativo (p. ex.: total com política de segurança) ou faz-se uma média de todos os subindicadores. Sobre este resultado, atribui-se um ou nenhum valor por cada um dos três critérios - desde que esse indicador represente, na sua evolução, algo benéfico, ou não indicie ambiguidades quanto ao que significa para melhorar a cibersegurança. De outro modo, não é considerado. No critério Êbsoluto%D, o valor é atribuído caso sejam igualados ou ultrapassados os 50% (exceto o indicador 21, que tem a relação inversa). No critério %Crelativo%D, o valor é atribuído sempre que seja ultrapassada ou igualada a média da UE. No critério %Ctendência%D, o valor é atribuído sempre que se verifique uma tendência avaliada como benigna (se a comparação com a UE for positiva, o valor da tendência é automaticamente positivo, mas apenas se esses dados cronológicos existirem).

Para se chegar a um valor final, divide-se os valores atribuídos apenas pelo número de dados considerados. Um resultado é considerado positivo se ultrapassar os 50% dos pontos possíveis. Esta regra aplica-se aos resultados dos temas, mas também aos dos critérios, que podem ser lidos independentemente, além de permitir uma aplicação global. Para uma compreensão detalhada dos indicadores analisados, ver quadros em anexo.

Esta perspetiva permite mapear os conteúdos de educação e sensibilização a desenvolver, não só no ensino formal e não formal, como naquilo que decorre da formação e sensibilização em contexto de aplicação do QNRCS (em especial, Formação e Sensibilização e em várias medidas de Identificação) e do RCMCS (principalmente Fase II) (CNCS, 2019b e 2019c). De seguida, realiza-se uma análise detalhada dos temas e dos critérios, sublinhando destaques, apontando casos positivos e negativos, referenciando uma possível aplicação ao QNRCS e indicando os instrumentos do CNCS que podem ajudar a colmatar insuficiências.

ANÁLISE DOS TEMAS


1. Atitudes

Destaque: importa melhorar a comparação de Portugal com a média da UE e a tendência anual em termos de atitudes em relação à cibersegurança.

Caso positivo: existe um aumento da preocupação com o cibercrime.

Caso negativo: verifica-se um nível baixo de informação percecionada sobre o risco de cibercrime.

Contributo para a aplicação do QNRCS: Proteger - PR.FC &ndash Formação e Sensibilização.

Alguns instrumentos do CNCS: cursos online Cidadão Ciberseguro, Cidadão Ciberinformado e Consumidor Ciberseguro; Curso Geral de Cibersegurança; documentos de boas práticas.

Fazendo uma análise global das atitudes, o resultado é insuficiente. Em 17 pontos possíveis, apenas se atingem 7 (41%). A componente em relação à qual os resultados são mais positivos é a dos números absolutos, onde, em 6, se atingem 4 (67%). A comparação com a UE é o critério em que os resultados são piores, com 1 em 6 (17%). Em termos de tendência, em 5 pontos possíveis, apenas se atingem 2 (40%).



2. Comportamentos Individuais

Destaque: não obstante a tendência positiva, importa melhorar os comportamentos individuais em Portugal.

Caso positivo: os indivíduos alteram mais o seu comportamento em resultado de preocupações com a Internet do que anteriormente.

Caso negativo: os indivíduos ainda têm poucos cuidados com as passwords.

Contributo para a aplicação do QNRCS: Proteger - PR.FC Formação e Sensibilização.

Alguns instrumentos do CNCS: cursos online Cidadão Ciberseguro, Cidadão Ciberinformado e Consumidor Ciberseguro; Curso Geral de Cibersegurança; documentos de boas práticas.

No que diz respeito ao comportamento individual, os resultados também são insuficientes, com 6 pontos em 16 possíveis (38%). O critério no qual o resultado é mais positivo, com 3 em 4 (75%), é o das tendências. Os dados absolutos apresentam valores menos positivos, com 2 em 6 (33%), e a comparação com a média da UE também, com 1 em 6 (17%).



3. Comportamentos Organizacionais

Destaque: o comportamento organizacional, em Portugal, carece de melhoria.

Caso positivo: as empresas implementam muitas medidas de segurança das TIC em termos absolutos e comparando com a média da UE.

Caso negativo: as empresas definem insuficientemente políticas de segurança das TIC e a tendência é negativa.

Contributo para a aplicação do QNRCS: Identificar - ID.GV Governação; ID.AR Avaliação do risco; ID.GR Estratégia de gestão do risco.

Alguns instrumentos do CNCS: o RCMCS (permite ajudar as organizações a dar os primeiros passos no sentido de adquirirem as capacidades mínimas em cibersegurança).

Os resultados dos comportamentos organizacionais estão aquém do desejável, com 6 pontos em 13 possíveis (46%). Ainda assim, os resultados absolutos são razoáveis, com 4 em 7 (57%). A comparação com a média da UE e a tendência anual registam ambas 1 ponto em 3 (33%). A este respeito, como se verifica, existem menos indicadores disponíveis do que em relação aos valores absolutos.



4. Educação e Sensibilização

Destaque: a educação e sensibilização, em Portugal, apresenta uma tendência positiva.

Caso positivo: o número de cursos em Cibersegurança e Segurança de Informação e de alunos que se inscreveram nestes cursos está a aumentar.

Caso negativo: a percentagem de mulheres que se inscreveram e que se diplomaram nestes cursos relativamente ao total dos que se inscreveram e diplomaram está a diminuir.

Contributo para a aplicação do QNRCS: Proteger - PR.FC &ndash Formação e Sensibilização.

Alguns instrumentos do CNCS(como ofertas para a sensibilização): cursos online Cidadão Ciberseguro, Cidadão Ciberinformado e Consumidor Ciberseguro; Curso Geral de Cibersegurança.

Os resultados mais positivos em relação aos quatro temas sob análise são os da educação e sensibilização, com 5 pontos em 9 possíveis (56%). Não obstante, estes dados estão limitados quanto à definição de um critério para os valores absolutos e à comparação com a UE: o primeiro, com dois dados disponíveis e, o segundo, com apenas um. Os 100% do critério absoluto e os 0% do relativo devem ser lidos à luz destas limitações. Quanto a tendências, elas atingem 3 pontos em 6 (50%), o que, dada a quantidade de dados disponíveis, se reveste de alguma relevância.

ANÁLISE DOS CRITÉRIOS


A. Absoluto

Destaque: resultados absolutos suficientes, em Portugal, mas com margem para crescerem.

Caso positivo: em termos absolutos, as atitudes e os comportamentos organizacionais são positivos.

Caso negativo: os comportamentos individuais apresentam valores absolutos baixos.

Quanto aos resultados absolutos, atingem-se 12 pontos em 20 possíveis (57%). Os temas com melhores resultados são as atitudes, com 4 em 6 (67%), e a educação e sensibilização, com 2 em 2 (100%), embora este último apenas com dois dados disponíveis. Ao nível dos comportamentos individuais, os resultados são insuficientes, com 2 em 6 (33%). Os comportamentos organizacionais, por sua vez, atingem valores positivos, com 4 em 7 (57%).



B. Relativo

Destaque: em comparação, Portugal fica frequentemente abaixo do nível médio da UE.

Caso positivo: o comportamento organizacional compara um pouco melhor com a média da UE do que os outros temas, mas de forma insuficiente.

Caso negativo: as atitudes e os comportamentos individuais apresentam índices quase sempre inferiores à média da UE.

Em termos relativos os resultados são notoriamente insuficientes, com 3 em 16 (19%). A comparação com a UE revela-se particularmente aquém do desejável ao nível das atitudes e dos comportamentos individuais, ambos com 1 em 6 (17%). Em termos de comportamentos organizacionais, a comparação é ligeiramente melhor, com 1 em 3 (33%), mas limitada pelo número de dados disponíveis. O único valor em educação e sensibilização comparável com a média da UE é insuficiente.



C. Tendência

Destaque: em Portugal, as tendências são minimamente positivas.

Caso positivo: destacam-se os comportamentos individuais, que têm melhorado em termos de tendência, embora comparem mal com a média da UE.

Caso negativo: os comportamentos organizacionais têm uma tendência menos positiva.

As tendências apresentam resultado positivo, com 9 pontos em 18 possíveis (50%). Os melhores resultados são visíveis ao nível dos comportamentos individuais, com 3 em 4 (75%) e na educação e sensibilização, com 3 em 6 (50%). Os resultados menos positivos são os das atitudes, com 2 em 5 (40%), bem como os dos comportamentos organizacionais, com 1 em 3 (33%).

Tendo em conta o exposto, verifica-se que o único tema positivo é a educação e sensibilização. Nos critérios os valores absolutos e as tendências também são positivos. Isto significa que existe um esforço para melhorar a ciber-higiene dos indivíduos e das organizações e que há um potencial para que o país venha a ter mais maturidade neste domínio. Todavia, ainda há trabalho a realizar no que diz respeito às consequências em matéria de atitudes e comportamentos efetivos, sobretudo comparando com a média da UE. O resultado global da componente %CSociedade%D é insuficiente, com 24 pontos em 55 possíveis (44%).

CIBERAMEAÇAS RELACIONADAS COMO COMPORTAMENTO INDIVIDUAL

No Relatório Cibersegurança em Portugal - Riscos & Confli-(CNCS, 2020a) destacaram-se como ciberameaças particularmente relevantes para o ciberespaço de interesse nacional (as de primeiro nível) o phishing e o software malicioso. Tendo em conta esse diagnóstico, que se reproduz noutras fontes a nível internacional (ENISA, 2020), é possível selecionar alguns indicadores sobre comportamento individual que se relacionam muito diretamente com estas ciberameaças, embora, na realidade, todos os indicadores contribuam para compreender a resiliência humana neste domínio.

Observando alguns indicadores específicos do Eurobarómetro 499, verificam-se referências relevantes ao phishinge ao software malicioso. Atenda-se, nomeadamente, aos seguintes indicadores: 4, relativo às preocupações com certos cibercrimes; 7, em relação ao que fariam os indivíduos no caso de serem vítimas de algumas ciberameaças; 8, sobre as alterações de comportamento fruto da preocupação com a Internet; e 11, referente ao que os indivíduos realmente fizeram quando foram vítimas de certas ciberameaças.


Quadro de indicadores diretamente relacionados com as ciberameaças de primeiro nível
  Indicador 4
Preocupação com...
Indicador 7
Fariam alguma coisa caso fossem vítimas de...
Indicador 8
Não abrem emails desconhecidos... e instalaram antivírus...
Indicador 11
Fizeram alguma coisa quando foram vítimas de...
Phishing 65% em PT
(+ 2 ppdo que 2018);
59%na média da UE.
72% em PT
(+ 16 do que 2018);
67% na média da EU.
43% em PT
(-1 ppdo que 2018);
42%na média da UE.
61% em PT
(+ 9 ppdo que 2018);
43%na média da U E
Software malicioso 76% em PT
(+1 ppdo que 2018);
66%na média da UE.
71% em PT
(-1 pp do que 2018);
70%na média da UE.
35% em PT
(-9 ppdo que 2018);
42%na média da UE.
65% em PT
(-18 ppdo que 2018);
52%na média da UE.
Quadro 2


Considerando o quadro 2, verifica-se que, em relação ao phishing, em geral, os indicadores, exceto o 8, apresentam valores acima dos 50%, bem como da média da UE, e a tendência é de melhoria. O indicador mais negativo é, portanto, o 8, que diz respeito aos cuidados a ter antes de o incidente ocorrer, nomeadamente não abrir emails de pessoas desconhecidas.

No que diz respeito ao software malicioso, o indicador 8, referente à instalação de software antivírus, continua a ser o mais negativo, com um valor abaixo dos 50%, com tendência negativa e com resultado inferior à média da UE. Quanto aos outros indicadores, os resultados são em geral positivos, excetuando algumas tendências decrescentes. De referir que existem mais ações que podem prevenir o software malicioso, como, entre outras, não abrir emails de origem desconhecida, visto muitas vezes o phishing trazer software malicioso.

Os dados do indicador 8 sobre as duas ciberameaças, um indicador da prática e da prevenção, mostram a importância de, nas ações de educação e sensibilização, se insistir nas boas práticas em termos de prudência, independentemente da consciência e capacidade de reação de que os indivíduos possam dispor (acresce que o quadro sintético mostra que as atitudes também são insuficientes em termos globais).

O CASO COVID - 19

Ainda que este Relatório incida sobretudo no ano de 2019, não se deve ignorar o efeito que a pandemia de Covid-19 pode ter nos indicadores apresentados. Ainda que os números possam sofrer alterações importantes fruto desta realidade, indicam, todavia, o nível de preparação dos indivíduos relativamente às principais ciberameaças colocadas pela pandemia.

Dados da ANACOM mostram que o consumo do serviço de Internet fixa aumentou 61,1% no primeiro semestre de 2020, comparando com o mesmo semestre do ano anterior (ANA- COM, 2020). Um aumento que poderá estar relacionado com as mudanças na organização do trabalho, do ensino e dos transportes provocadas pelas medidas de combate à pandemia, as quais promoveram o trabalho e a aprendizagem à distância, o isolamento dos indivíduos, uma maior dependência dos serviços digitais e um uso mais frequente de computadores portáteis e dispositivos móveis, fornecidos ou não pela entidade empregadora ou escolar. Esta circunstância favoreceu o aumento de ciberataques oportunistas.

Internacionalmente, foi identificado o crescimento de algumas ciberameaças relacionadas com a pandemia, tais como campanhas de phishing; infeção por software malicioso, algum dele ransomware; aplicações fraudulentas; desinformação; ou fraudes digitais para a compra de materiais médicos (CNCS, 2020a e 2020b). Em Portugal, tendo em conta os dados publicados pelo Observatório de Cibersegurança ao longo de 2020, verifica-se um crescimento significativo do número de incidentes registados pelo CERT.PT, em cerca 101%, se compararmos o primeiro semestre de 2020 com o período homólogo do ano anterior (CNCS, 2020c). Um dos aspetos mais relevantes destes dados é o contributo do phishing para este aumento. Este tipo de incidente foi o mais frequente até agosto de 2020, correspondendo a 36% dos incidentes registados (em 2019, o valor foi de 31% no final do ano, sendo que o phishing também foi o tipo de incidente que mais se notabilizou) (CNCS, 2020a e 2020d).

Numa análise realizada ao phishing registado pelo CERT.PT durante o segundo trimestre de 2020, concluiu-se que apenas 1% das campanhas lançadas utilizaram a Covid-19 como %Ctema-gancho%D e que cerca de 37% afetaram o setor bancário. A técnica de persuasão mais usada, como é típico do phishing bancário, foi a presumível autoridade e credibilidade do emissor (CNCS, 2020c). A referência ao phishing e a este modus operandi é relevante porque mostra a importância da engenharia social como instrumento de ataque por parte dos agentes de ameaças. Enquanto técnica de manipulação, a engenharia social confronta a preparação das atitudes e a consistência dos comportamentos. Considerando os dados globais apresentados, é evidente que existem vários aspetos a melhorar nas atitudes e no comportam das pessoas no âmbito do ciberespaço. Em relação ao phishing e ao softwa-malicioso (o segundo tipo de incidente mais frequente no ano passado e durante o primeiro semestre de 2020, atrás do phishing), sublinhe-se, de novo, a importância de se explicar o que se deve fazer para prevenir incidentes, promovendo a passagem da atitude ao comportamento, para lá da preocupação ou da reação. Esta ideia deve ressoar na construção das estratégias para a resiliência do ciberespaço, num tempo em que este ganha uma importância acrescida.

Por fim, é importante referir a possível articulação entre certos indicadores e as compras online. Alguns números mostram que a propensão para o hábito de comprar online, que a pandemia pode implicar, encontra algumas barreiras de segurança em termos de atitudes e comportamentos. Por exemplo, em Portugal, em 2019, verifica-se, entre os indivíduos, alguma preocupação com a partilha de dados pessoais neste contexto (54%), mais do que a média da UE (46%) (Eurobarómetro 499). Além disso, os indivíduos, em Portugal, evitam mais comprar online devido a preocupações com a segurança de pagamento (23%) do que a média da UE (6%) (Eurostat, 2020a). O efeito real destas premissas ligadas à segurança nas compras online só poderá ser convenientemente avaliado com dados mais completos sobre o ano 2020.

De referir que os cursos online do CNCS Cidadão Ciberseguro, Cidadão Ciberinformado e Consumidor Ciberseguro são instrumentos úteis e acessíveis para reforçar as atitudes e os comportamentos dos indivíduos em termos da sua resiliência em relação às principais ciberameaças, em particular no contexto da pandemia de Covid-19.

Seguinte
Última atualização em 01-04-2021