16.12.2014   

PT

Jornal Oficial da União Europeia

C 451/31

Relator:

Thomas McDonogh

1.1

O Comité advoga a instituição de uma autoridade europeia para a cibersegurança, à semelhança da Agência Europeia para a Segurança da Aviação (AESA), com o objetivo de reforçar a liderança da UE necessária para fazer face às complexidades que decorrem da implementação eficaz de uma política europeia em matéria de cibersegurança.

1.2

Cidadãos informados e capacitados são importantes para reforçar a cibersegurança na Europa. A educação dos cidadãos para a cibersegurança pessoal e a proteção dos seus dados deve ser um componente fundamental dos programas escolares e dos programas de formação no local de trabalho. Além disso, a UE deve promover em toda a União programas e iniciativas de informação do público sobre estes temas.

1.3

As empresas devem ser obrigadas por lei a contribuírem de forma proativa para se protegerem dos ciberataques, nomeadamente através de tecnologias da informação e comunicação (TIC) seguras e resilientes e da formação dos trabalhadores sobre políticas de segurança, à semelhança do que é feito na área da saúde e segurança.

1.4

Todos os Estados-Membros devem ter um organismo encarregado de informar, educar e apoiar o setor das PME no que diz respeito a boas práticas de cibersegurança. As empresas de grande dimensão podem facilmente adquirir os conhecimentos de que necessitam, mas as PME precisam de apoio.

1.5

A Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) deve ter um mandato mais alargado e dispor dos meios financeiros que lhe permitam assumir uma responsabilidade mais direta pela educação para a cibersegurança e pelos programas de sensibilização especialmente orientados para os cidadãos e as pequenas e médias empresas (PME).

1.6

É necessário que as empresas e as organizações promovam a sensibilização para a responsabilidade pela cibersegurança a nível dos órgãos de gestão. Há que comunicar explicitamente aos diretores de todas as organizações a potencial responsabilidade que cabe às empresas em caso de políticas e práticas inadequadas no domínio da cibersegurança.

1.7

Pelo facto de terem um papel importante na prestação de serviços em linha, é fundamental que todos os fornecedores de serviços Internet (FSI) da UE tenham uma responsabilidade particular no que diz respeito à proteção dos seus clientes contra ciberataques. Esta responsabilidade deve ser definida e consagrada na legislação da UE.

1.8

Por forma a assegurar uma rápida exploração do potencial que a expansão dinâmica da computação em nuvem encerra em termos de desenvolvimento económico (1), importa também estipular, a nível da UE, requisitos e obrigações de segurança específicos a cumprir pelos prestadores de serviços de computação em nuvem.

1.9

O Comité considera que as medidas voluntárias são insuficientes sendo necessário impor obrigações regulamentares rigorosas aos Estados-Membros com o objetivo de assegurar a harmonização, a gestão e a execução da cibersegurança a nível europeu; é também necessário criar legislação que imponha a todas as empresas e organizações, e não apenas aos fornecedores de infraestruturas críticas, a obrigação de notificação de incidentes sérios de cibersegurança. Tal permitiria melhorar a capacidade de resposta da Europa a ameaças e aprofundar o conhecimento e a compreensão sobre os ciberataques, de modo a desenvolver melhores defesas.

1.10

O Comité recomenda vivamente que a UE desenvolva uma estratégia de resposta a ameaças de ciberataques, assegurando que todos os serviços e tecnologias utilizados na Europa para disponibilizar conectividade à Internet e serviços em linha são concebidos de modo a proporcionar o nível mais elevado possível de segurança contra ciberataques. As reflexões devem centrar-se especificamente na interface homem-máquina.

1.11

O CESE considera que os organismos europeus de normalização devem elaborar e divulgar um conjunto de normas de cibersegurança aplicáveis a todos os serviços e tecnologias em rede (TIC). Essas normas deverão incluir um código de práticas obrigatório para assegurar que todo o equipamento de TIC e os serviços vendidos aos cidadãos europeus na Internet são conformes aos mais elevados padrões.

1.12

A UE tem de agir o mais rapidamente possível para assegurar que cada Estado-Membro dispõe de uma equipa de resposta a emergências informáticas (CERT) plenamente funcional para se proteger a si e à Europa contra ciberataques.

1.13

O Comité solicita que o Centro Europeu da Cibercriminalidade (EC3) na Europol obtenha os meios financeiros adicionais necessários para combater a cibercriminalidade e reforçar a cooperação entre as forças policiais na Europa e em países terceiros, a fim de aumentar a capacidade da Europa para capturar e julgar cibercriminosos.

1.14

Em resumo, o CESE considera que a política da UE em matéria de cibersegurança deve incidir particularmente nos seguintes aspetos: reforço da liderança da UE; políticas de cibersegurança que aumentam a segurança e ao mesmo tempo respeitam a vida privada e outros direitos fundamentais; consciencialização dos cidadãos e incentivo a abordagens proactivas de proteção; governação global dos Estados Membros; uma atuação informada e responsável por parte das empresas; uma parceria aprofundada entre os governos, o setor privado e os cidadãos; níveis de investimento adequados; normas técnicas adequadas e investimentos suficientes em investigação, desenvolvimento e inovação; um compromisso à escala internacional. Nesse sentido, o Comité reitera as suas recomendações sobre a política de cibersegurança feitas em anteriores pareceres (2) e insta a Comissão a ter em conta as ações neles propostas.

2.1

A economia da Internet é responsável por mais de um quinto do crescimento do PIB na UE e, todos os anos, 200 milhões de europeus efetuam compras em linha. Dependemos da Internet e da tecnologia digital conectada para apoiar serviços essenciais nos domínios da energia, saúde, administração e finanças. No entanto, esta importante infraestrutura digital e os serviços que têm um papel tão crucial na nossa vida económica e social são vulneráveis a um risco crescente de ciberataques que ameaçam a nossa prosperidade e qualidade de vida.

2.2

O Comité considera que, face à crescente dependência da União em relação à Internet e à tecnologia digital, as atuais práticas e políticas não são suficientes para assegurar, hoje e no futuro, um nível adequado de cibersegurança em toda a Europa. Pretende-se com o presente parecer apontar as lacunas na política da UE em matéria de cibersegurança e recomendar melhorias que permitiriam mitigar de forma mais cabal os riscos de ciberataques.

2.3

Os ciberataques podem ser motivados tanto por interesses pessoais, por exemplo, uma vingança contra uma pessoa ou uma empresa, como por ciberespionagem dos Estados e ciberguerra entre países. Ao preparar-se o presente parecer, decidiu-se que o mesmo analisaria apenas os ciberataques de origem criminosa, de modo que as recomendações incidissem nos problemas que constituem uma preocupação primordial para a maioria do Comité. O complexo debate político sobre ciberataques perpetrados por Estados-Membros contra cidadãos e outros Estados poderá vir a ser tema de um futuro parecer.

2.4

Este parecer aborda apenas os ciberataques de natureza criminosa exclusivamente motivados por interesses monetários, que constituem o grosso dos ataques. A implementação de políticas e práticas de cibersegurança destinadas a combater eficazmente ciberataques realizados com intenção criminosa permite reduzir também os riscos de ciberataques motivados por interesses de ordem política ou mais pessoal.

2.5

Ainda que a UE tenha registado progressos na execução de ações de confiança e segurança no âmbito da Agenda Digital e desenvolvido uma estratégia de cibersegurança que abarca a maior parte dos objetivos atrás referidos, muito ainda há a fazer.

3.1

Um ciberataque é entendido como qualquer forma de ação malévola cometida no intuito de atacar sistemas informáticos, infraestruturas, redes de computadores e/ou dispositivos digitais pessoais, através de diversas formas de atos mal intencionados a fim de roubar, corromper ou destruir um determinado alvo. Os alvos podem ser dinheiro, dados ou uma tecnologia da informação.

3.2

Os cibercriminosos lançam ciberataques para roubar dinheiro ou dados e cometer atos de fraude, espionagem criminosa ou extorsão. A cibercriminalidade pode danificar redes e serviços essenciais de que dependemos em termos de saúde, segurança e bem-estar económico, inclusive redes administrativas, de transporte e energéticas.

3.3

A ameaça de ciberataques aumenta à medida que a nossa dependência da Internet e das tecnologias digitais se agrava. Segundo um recente relatório da Symantec, em 2013, o número total de violações de dados no mundo aumentou em 62 %, o equivalente a mais de 552 milhões de registos, usurpando frequentemente nomes, datas de nascimento, números de identificação nacionais, fichas médicas ou informações financeiras. Além disso, nos últimos 12 meses, 38 % dos utilizadores de aparelhos móveis foram alvo de atos de cibercriminalidade.

3.4

Os ciberataques podem ter graves repercussões nas empresas, em particular, e na economia da Europa, em geral:

3.5

As técnicas de ciberataque estão em constante evolução:

3.6

As organizações de cibersegurança são consensuais no que diz respeito às medidas prioritárias que os cidadãos e as empresas devem adotar para se protegerem de ciberataques. Estas práticas devem ser comunicadas em todos os programas de sensibilização e de educação para a cibersegurança:

3.7

As pequenas empresas, muitas vezes, não dispõem de apoio informático suficiente que lhes permita estar a par de potenciais ciberameaças, pelo que necessitam de uma ajuda específica para se protegerem contra os ciberataques.

3.8

A comunicação de informação sobre os ciberataques e as vulnerabilidades do sistema é essencial para combater os ciberataques, sobretudo quando se trata dos chamados «ataques de dia zero», ou seja, tipos de ataque completamente novos e ainda desconhecidos da comunidade de cibersegurança. Contudo, as empresas muitas vezes não comunicam a ocorrência de ciberataques por receio de afetarem a sua reputação ou de virem a ser responsabilizadas. Esta falta de divulgação afeta a capacidade de a Europa responder, de forma rápida e eficaz, a ciberameaças e melhorar a cibersegurança geral através de uma aprendizagem partilhada.

3.9

Os cidadãos e as empresas compram o acesso à Internet e serviços em linha através de fornecedores de serviços Internet (FSI). Pelo facto de terem um papel essencial na prestação de serviços em linha, é fundamental que os FSI ofereçam aos seus clientes o melhor nível possível de proteção contra ciberataques. Os FSI, para além de deverem assegurar que os seus próprios serviços e infraestruturas são concebidos e mantidos para fornecerem o mais elevado nível possível de cibersegurança, devem prestar aos seus clientes aconselhamento de grande qualidade sobre cibersegurança e implementar protocolos específicos para ajudar os clientes a identificar e a combater os ciberataques. Esta responsabilidade deve ser definida e consagrada na legislação da UE.

3.10

Acelerar a adoção da computação em nuvem pelos cidadãos e pelas empresas na Europa reveste-se da maior importância para a economia da UE (3). À medida que a dependência de aplicações de computação em nuvem para fins privados ou empresariais aumenta, torna-se cada vez mais importante que a Europa garanta a cibersegurança dos prestadores de serviços em nuvem. A incerteza em relação à segurança dos serviços em nuvem repercute-se negativamente na adoção desta tecnologia dinâmica. O Comité gostaria que a UE determinasse a imposição de requisitos e obrigações de segurança específicos aos prestadores de serviços de computação em nuvem, tendo em vista apoiar o desenvolvimento desta tecnologia na Europa.

3.11

Importa realizar esforços específicos para recrutar pessoal para o setor europeu de cibersegurança. Estima-se que o aumento da procura de especialistas diplomados em segurança da informação venha a ser duas vezes superior ao do setor informático no seu conjunto. Neste contexto, o Comité chama a atenção da Comissão para o êxito que os concursos realizados nos EUA e em alguns Estados-Membros têm tido na sensibilização para a cibersegurança e na formação da futura geração de profissionais na área da cibersegurança.

3.12

Uma das melhores estratégias de proteção contra ciberataques consiste em assegurar que todos os serviços e tecnologias utilizados na Europa para disponibilizar conectividade à Internet e serviços em linha sejam concebidos de modo a proporcionar o nível mais elevado possível de segurança contra ciberataques. As reflexões devem centrar-se especificamente na interface homem-máquina, implicando que haja uma colaboração entre a indústria da tecnologia, os prestadores de serviços Internet, o setor da cibersegurança, o Centro Europeu da Cibercriminalidade (EC3), a Agência da União Europeia para a Segurança das Redes e da Informação (ENISA), as agências de segurança e defesa dos Estados-Membros e os cidadãos. O desenvolvimento desta estratégia de cibersegurança poderia ser organizado ao nível da UE pela Comissão, com a eventual coordenação da ENISA.

4.1

A UE está a desenvolver uma estratégia abrangente (4) com o objetivo de aumentar a cibersegurança dos cidadãos europeus:

4.2

O CESE reagiu vigorosamente à proposta de diretiva relativa à segurança das redes e da informação (6), apresentada pela Comissão, por considerar que as medidas propostas eram demasiado indulgentes e insuficientes para que os Estados-Membros protegessem suficientemente os cidadãos e as empresas contra ciberataques. No entanto, quando da adoção da proposta de diretiva, o Parlamento retirou-lhe ainda mais eficácia ao ter limitado o âmbito de aplicação da diretiva aos fornecedores de «infraestruturas críticas», excluindo da sua aplicação os motores de pesquisa, as plataformas de redes sociais, os portais de pagamento pela Internet e os prestadores de serviços de computação em nuvem.

4.3

A atual proposta de diretiva relativa à segurança das redes e da informação não é suficiente para assegurar a adoção da legislação necessária para promover a sensibilização para a ameaça que representam os ciberataques e melhorar a capacidade de resposta na União. O Comité congratular-se-ia com a adoção de uma nova legislação em que a obrigação de notificação de qualquer incidente sério de cibersegurança não se restringisse aos fornecedores de infraestruturas críticas. A inexistência de uma obrigação de notificação é favorável aos interesses dos cibercriminosos que se aproveitam da ignorância dos alvos vulneráveis.

4.4

A UE deveria considerar a possibilidade de alargar o mandato da ENISA tendo em vista promover a sensibilização para a ameaça que representam os ciberataques e melhorar a capacidade de resposta em toda a União. O papel da ENISA poderia ser alargado de modo a assumir uma responsabilidade mais direta pelos programas de educação e de sensibilização especialmente orientados para os cidadãos e as PME.

4.5

O Centro Europeu da Cibercriminalidade (EC3) foi criado no âmbito da Europol, em 2013, para reforçar a capacidade da Europa para combater a cibercriminalidade. O EC3 funciona como uma plataforma central europeia de informação sobre criminalidade e apoia as operações e as investigações dos Estados-Membros relacionadas com ciberataques. No entanto, no seu primeiro relatório anual, o EC3 alerta para o facto de os recursos limitados de que dispõe já estarem a comprometer o avanço das investigações e que, a continuar assim, não poderá fazer face às investigações de grande dimensão a seu cargo.

4.6

A UE deveria solicitar aos organismos europeus de normalização — CEN, CENELEC e ETSI — que desenvolvessem normas de cibersegurança para qualquer software, equipamento TIC ou serviço baseado na Internet vendido na UE. Estas normas devem ser permanentemente atualizadas para fazer face a novas ameaças.

4.7

É necessário criar legislação que imponha a todas as empresas e organizações, e não apenas aos fornecedores de infraestruturas críticas, a obrigação de notificação de incidentes sérios de cibersegurança. Tal permitiria não só melhorar as estratégias destinadas a combater e a mitigar ameaças diretas, como também aprofundar o conhecimento e a compreensão sobre os ciberataques perpetrados, ajudando as autoridades, o setor da cibersegurança, as empresas e os cidadãos a melhorarem a cibersegurança e a fazerem face às ameaças. A fim de incentivar a partilha de informação sobre ciberataques, qualquer legislação deveria determinar a preservação do anonimato da empresa ou organização que procede à notificação de um ataque. Importa igualmente prever a possibilidade de limitação da responsabilidade, se for caso disso.

4.8

Apesar das iniciativas empreendidas pela UE, os Estados-Membros possuem níveis muito diferentes de capacidade e de preparação, o que resulta numa fragmentação das respostas a ciberataques em toda a UE. Devido à interconectividade das redes e dos sistemas, a capacidade de resposta da UE aos ciberataques é comprometida pelos Estados-Membros com muitas fragilidades na área da cibersegurança. Há que tomar medidas para que todos os Estados-Membros tenham um nível aceitável de cibersegurança. Importa igualmente assegurar que cada Estado-Membro dispõe de uma equipa de resposta a emergências informáticas (CERT) plenamente funcional.

4.9

O Comité, tendo em vista aumentar a proteção contra ciberataques na UE, e tal como já recomendado em anteriores pareceres (7), considera que as medidas voluntárias não funcionam, sendo necessário impor obrigações regulamentares rigorosas aos Estados-Membros com o objetivo de assegurar a harmonização, a gestão e a execução da cibersegurança a nível europeu.

4.10

Resumindo, para que possa proteger efetiva e atempadamente os cidadãos e as empresas contra ciberataques, a política da UE em matéria de cibersegurança deverá centrar-se nas seguintes medidas: