Relatório Riscos & Conflitos 2020 - Notas Metodológicas

NOTAS METODOLÓGICAS

O Relatório Cibersegurança em Portugal – Linha de Observação Riscos & Conflitos utiliza fontes diversas na sua natureza e nas metodologias aplicadas na recolha dos dados. Recorre-se a fontes abertas que fornecem resultados de inquéritos, como as do Eurostat, mas também a dados disponibilizados por algumas organizações diretamente, como os relativos ao cibercrime, da DGPJ. Não obstante, uma parte muito importante deste Relatório resulta de dados produzidos pelo próprio CNCS, nomeadamente pelo CERT.PT, ou que são obtidos junto da RNCSIRT.

O inquérito do Eurostat Security incidents and consequences corresponde a uma parcela de dados recolhida pelas instituições de estatísticas nacionais de cada país da UE (INE, em Portugal), numa base anual, no âmbito dos questionários ao uso das TIC e do comércio eletrónico nas empresas. O questionário, em Portugal, foi respondido por via eletrónica ou postal, por 7203 empresas, entre fevereiro e julho de 2019. O inquérito, também do Eurostat, Security related problems experienced through using the internet for private purposes enquadra-se no âmbito dos dados recolhidos pelo Eurostat referentes ao uso das TIC por parte dos indivíduos, também através do INE, em Portugal. O respetivo questionário é aplicado por via eletrónica, postal e presencial. Em Portugal, foi respondido por 6624 pessoas, o que corresponde a um igual número de agregados domésticos, entre abril e julho de 2019. Para mais detalhe sobre a metodologia destes inquéritos do Eurostat, consultar as fontes.

Os dados do CERT.PT têm duas origens principais. Por um lado, as notificações realizadas pela comunidade que são convertidas em incidentes confirmados. Por outro, observáveis recolhidos de forma automatizada num conjunto de 84 fornecedores de observáveis e eventos de segurança, selecionados por critérios de confiança na fonte, relevo da tipologia de observações e pertinência da informação para o contexto de atuação do CNCS. Os números de incidentes e de observáveis registados estão sujeitos a variações na motivação social para realizar notificações de incidentes e à instabilidade na quantidade e no tipo de algumas das fontes dos observáveis.

O inquérito à RNCSIRT foi realizado pela própria RNCSIRT, e inclui os dados do CERT.PT, enquanto membro da referida rede, em articulação com o Observatório de Cibersegurança.

O questionário foi respondido por via eletrónica, registando-se 28 respostas, das quais 21 foram consideradas válidas para este Relatório, num universo de 42 membros, entre janeiro e fevereiro de 2020.

Os dados da CNPD foram fornecidos diretamente pela organização em causa, resultando da sua própria atividade durante 2018 e 2019.

No que diz respeito ao cibercrime, grande parte da informação é fornecida pela DGPJ, a qual faz o seu próprio trabalho de recolha junto das diversas organizações de Justiça e de Segurança no país que são responsáveis pelos registos criminais. Os dados do Ministério Público foram publicados pelo próprio em comunicado à imprensa e correspondem ao número de queixas recebidas pelo seu Gabinete de Cibercrime. A APAV também fornece alguns dados neste contexto, embora mais no âmbito das vítimas do que da Justiça. A informação partilhada é pública e corresponde à sua própria atividade durante 2019 no que à Linha Internet Segura diz respeito.

Por fim, a análise qualitativa efetuada no capítulo Ameaças e Prospetivas resulta dos dados apresentados no capítulo Atores e Incidentes, mas também em parte da colaboração dos parceiros deste Relatório, nomeadamente a comunidade de informações, na avaliação do presente e do futuro quanto aos riscos que o ciberespaço enfrenta. Estes dados e estas análises são acompanhados pela consideração de alguns estudos de referência aí identificados.