This document is an excerpt from the EUR-Lex website
Document 52014IE1488
Opinion of the European Economic and Social Committee on ‘Cyber attacks in the EU’ — (own-initiative opinion)
Parecer do Comité Económico e Social Europeu sobre Ciberataques na UE — (parecer de iniciativa)
Parecer do Comité Económico e Social Europeu sobre Ciberataques na UE — (parecer de iniciativa)
JO C 451 de 16.12.2014, p. 31–38
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
16.12.2014 |
PT |
Jornal Oficial da União Europeia |
C 451/31 |
Parecer do Comité Económico e Social Europeu sobre Ciberataques na UE
(parecer de iniciativa)
(2014/C 451/05)
Relator: |
Thomas McDonogh |
Em 27 de fevereiro de 2014, o Comité Económico e Social Europeu decidiu, nos termos do artigo 29.o, n.o 2, do Regimento, elaborar um parecer de iniciativa sobre o tema
Ciberataques na UE.
Foi incumbida da preparação dos correspondentes trabalhos a Secção Especializada de Transportes, Energia, Infraestruturas e Sociedade da Informação, que emitiu parecer em 18 de junho de 2014.
Na 500.a reunião plenária de 9 e 10 de julho de 2014 (sessão de 10 de julho), o Comité Económico e Social Europeu adotou, por 135 votos a favor e 1 voto contra, o seguinte parecer:
1. Conclusões e recomendações
1.1 |
O Comité advoga a instituição de uma autoridade europeia para a cibersegurança, à semelhança da Agência Europeia para a Segurança da Aviação (AESA), com o objetivo de reforçar a liderança da UE necessária para fazer face às complexidades que decorrem da implementação eficaz de uma política europeia em matéria de cibersegurança. |
1.2 |
Cidadãos informados e capacitados são importantes para reforçar a cibersegurança na Europa. A educação dos cidadãos para a cibersegurança pessoal e a proteção dos seus dados deve ser um componente fundamental dos programas escolares e dos programas de formação no local de trabalho. Além disso, a UE deve promover em toda a União programas e iniciativas de informação do público sobre estes temas. |
1.3 |
As empresas devem ser obrigadas por lei a contribuírem de forma proativa para se protegerem dos ciberataques, nomeadamente através de tecnologias da informação e comunicação (TIC) seguras e resilientes e da formação dos trabalhadores sobre políticas de segurança, à semelhança do que é feito na área da saúde e segurança. |
1.4 |
Todos os Estados-Membros devem ter um organismo encarregado de informar, educar e apoiar o setor das PME no que diz respeito a boas práticas de cibersegurança. As empresas de grande dimensão podem facilmente adquirir os conhecimentos de que necessitam, mas as PME precisam de apoio. |
1.5 |
A Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) deve ter um mandato mais alargado e dispor dos meios financeiros que lhe permitam assumir uma responsabilidade mais direta pela educação para a cibersegurança e pelos programas de sensibilização especialmente orientados para os cidadãos e as pequenas e médias empresas (PME). |
1.6 |
É necessário que as empresas e as organizações promovam a sensibilização para a responsabilidade pela cibersegurança a nível dos órgãos de gestão. Há que comunicar explicitamente aos diretores de todas as organizações a potencial responsabilidade que cabe às empresas em caso de políticas e práticas inadequadas no domínio da cibersegurança. |
1.7 |
Pelo facto de terem um papel importante na prestação de serviços em linha, é fundamental que todos os fornecedores de serviços Internet (FSI) da UE tenham uma responsabilidade particular no que diz respeito à proteção dos seus clientes contra ciberataques. Esta responsabilidade deve ser definida e consagrada na legislação da UE. |
1.8 |
Por forma a assegurar uma rápida exploração do potencial que a expansão dinâmica da computação em nuvem encerra em termos de desenvolvimento económico (1), importa também estipular, a nível da UE, requisitos e obrigações de segurança específicos a cumprir pelos prestadores de serviços de computação em nuvem. |
1.9 |
O Comité considera que as medidas voluntárias são insuficientes sendo necessário impor obrigações regulamentares rigorosas aos Estados-Membros com o objetivo de assegurar a harmonização, a gestão e a execução da cibersegurança a nível europeu; é também necessário criar legislação que imponha a todas as empresas e organizações, e não apenas aos fornecedores de infraestruturas críticas, a obrigação de notificação de incidentes sérios de cibersegurança. Tal permitiria melhorar a capacidade de resposta da Europa a ameaças e aprofundar o conhecimento e a compreensão sobre os ciberataques, de modo a desenvolver melhores defesas. |
1.10 |
O Comité recomenda vivamente que a UE desenvolva uma estratégia de resposta a ameaças de ciberataques, assegurando que todos os serviços e tecnologias utilizados na Europa para disponibilizar conectividade à Internet e serviços em linha são concebidos de modo a proporcionar o nível mais elevado possível de segurança contra ciberataques. As reflexões devem centrar-se especificamente na interface homem-máquina. |
1.11 |
O CESE considera que os organismos europeus de normalização devem elaborar e divulgar um conjunto de normas de cibersegurança aplicáveis a todos os serviços e tecnologias em rede (TIC). Essas normas deverão incluir um código de práticas obrigatório para assegurar que todo o equipamento de TIC e os serviços vendidos aos cidadãos europeus na Internet são conformes aos mais elevados padrões. |
1.12 |
A UE tem de agir o mais rapidamente possível para assegurar que cada Estado-Membro dispõe de uma equipa de resposta a emergências informáticas (CERT) plenamente funcional para se proteger a si e à Europa contra ciberataques. |
1.13 |
O Comité solicita que o Centro Europeu da Cibercriminalidade (EC3) na Europol obtenha os meios financeiros adicionais necessários para combater a cibercriminalidade e reforçar a cooperação entre as forças policiais na Europa e em países terceiros, a fim de aumentar a capacidade da Europa para capturar e julgar cibercriminosos. |
1.14 |
Em resumo, o CESE considera que a política da UE em matéria de cibersegurança deve incidir particularmente nos seguintes aspetos: reforço da liderança da UE; políticas de cibersegurança que aumentam a segurança e ao mesmo tempo respeitam a vida privada e outros direitos fundamentais; consciencialização dos cidadãos e incentivo a abordagens proactivas de proteção; governação global dos Estados Membros; uma atuação informada e responsável por parte das empresas; uma parceria aprofundada entre os governos, o setor privado e os cidadãos; níveis de investimento adequados; normas técnicas adequadas e investimentos suficientes em investigação, desenvolvimento e inovação; um compromisso à escala internacional. Nesse sentido, o Comité reitera as suas recomendações sobre a política de cibersegurança feitas em anteriores pareceres (2) e insta a Comissão a ter em conta as ações neles propostas. |
2. Âmbito do parecer
2.1 |
A economia da Internet é responsável por mais de um quinto do crescimento do PIB na UE e, todos os anos, 200 milhões de europeus efetuam compras em linha. Dependemos da Internet e da tecnologia digital conectada para apoiar serviços essenciais nos domínios da energia, saúde, administração e finanças. No entanto, esta importante infraestrutura digital e os serviços que têm um papel tão crucial na nossa vida económica e social são vulneráveis a um risco crescente de ciberataques que ameaçam a nossa prosperidade e qualidade de vida. |
2.2 |
O Comité considera que, face à crescente dependência da União em relação à Internet e à tecnologia digital, as atuais práticas e políticas não são suficientes para assegurar, hoje e no futuro, um nível adequado de cibersegurança em toda a Europa. Pretende-se com o presente parecer apontar as lacunas na política da UE em matéria de cibersegurança e recomendar melhorias que permitiriam mitigar de forma mais cabal os riscos de ciberataques. |
2.3 |
Os ciberataques podem ser motivados tanto por interesses pessoais, por exemplo, uma vingança contra uma pessoa ou uma empresa, como por ciberespionagem dos Estados e ciberguerra entre países. Ao preparar-se o presente parecer, decidiu-se que o mesmo analisaria apenas os ciberataques de origem criminosa, de modo que as recomendações incidissem nos problemas que constituem uma preocupação primordial para a maioria do Comité. O complexo debate político sobre ciberataques perpetrados por Estados-Membros contra cidadãos e outros Estados poderá vir a ser tema de um futuro parecer. |
2.4 |
Este parecer aborda apenas os ciberataques de natureza criminosa exclusivamente motivados por interesses monetários, que constituem o grosso dos ataques. A implementação de políticas e práticas de cibersegurança destinadas a combater eficazmente ciberataques realizados com intenção criminosa permite reduzir também os riscos de ciberataques motivados por interesses de ordem política ou mais pessoal. |
2.5 |
Ainda que a UE tenha registado progressos na execução de ações de confiança e segurança no âmbito da Agenda Digital e desenvolvido uma estratégia de cibersegurança que abarca a maior parte dos objetivos atrás referidos, muito ainda há a fazer. |
3. Ciberataques e cibersegurança
3.1 |
Um ciberataque é entendido como qualquer forma de ação malévola cometida no intuito de atacar sistemas informáticos, infraestruturas, redes de computadores e/ou dispositivos digitais pessoais, através de diversas formas de atos mal intencionados a fim de roubar, corromper ou destruir um determinado alvo. Os alvos podem ser dinheiro, dados ou uma tecnologia da informação. |
3.2 |
Os cibercriminosos lançam ciberataques para roubar dinheiro ou dados e cometer atos de fraude, espionagem criminosa ou extorsão. A cibercriminalidade pode danificar redes e serviços essenciais de que dependemos em termos de saúde, segurança e bem-estar económico, inclusive redes administrativas, de transporte e energéticas. |
3.3 |
A ameaça de ciberataques aumenta à medida que a nossa dependência da Internet e das tecnologias digitais se agrava. Segundo um recente relatório da Symantec, em 2013, o número total de violações de dados no mundo aumentou em 62 %, o equivalente a mais de 552 milhões de registos, usurpando frequentemente nomes, datas de nascimento, números de identificação nacionais, fichas médicas ou informações financeiras. Além disso, nos últimos 12 meses, 38 % dos utilizadores de aparelhos móveis foram alvo de atos de cibercriminalidade. |
3.4 |
Os ciberataques podem ter graves repercussões nas empresas, em particular, e na economia da Europa, em geral:
|
3.5 |
As técnicas de ciberataque estão em constante evolução:
|
3.6 |
As organizações de cibersegurança são consensuais no que diz respeito às medidas prioritárias que os cidadãos e as empresas devem adotar para se protegerem de ciberataques. Estas práticas devem ser comunicadas em todos os programas de sensibilização e de educação para a cibersegurança:
|
3.7 |
As pequenas empresas, muitas vezes, não dispõem de apoio informático suficiente que lhes permita estar a par de potenciais ciberameaças, pelo que necessitam de uma ajuda específica para se protegerem contra os ciberataques. |
3.8 |
A comunicação de informação sobre os ciberataques e as vulnerabilidades do sistema é essencial para combater os ciberataques, sobretudo quando se trata dos chamados «ataques de dia zero», ou seja, tipos de ataque completamente novos e ainda desconhecidos da comunidade de cibersegurança. Contudo, as empresas muitas vezes não comunicam a ocorrência de ciberataques por receio de afetarem a sua reputação ou de virem a ser responsabilizadas. Esta falta de divulgação afeta a capacidade de a Europa responder, de forma rápida e eficaz, a ciberameaças e melhorar a cibersegurança geral através de uma aprendizagem partilhada. |
3.9 |
Os cidadãos e as empresas compram o acesso à Internet e serviços em linha através de fornecedores de serviços Internet (FSI). Pelo facto de terem um papel essencial na prestação de serviços em linha, é fundamental que os FSI ofereçam aos seus clientes o melhor nível possível de proteção contra ciberataques. Os FSI, para além de deverem assegurar que os seus próprios serviços e infraestruturas são concebidos e mantidos para fornecerem o mais elevado nível possível de cibersegurança, devem prestar aos seus clientes aconselhamento de grande qualidade sobre cibersegurança e implementar protocolos específicos para ajudar os clientes a identificar e a combater os ciberataques. Esta responsabilidade deve ser definida e consagrada na legislação da UE. |
3.10 |
Acelerar a adoção da computação em nuvem pelos cidadãos e pelas empresas na Europa reveste-se da maior importância para a economia da UE (3). À medida que a dependência de aplicações de computação em nuvem para fins privados ou empresariais aumenta, torna-se cada vez mais importante que a Europa garanta a cibersegurança dos prestadores de serviços em nuvem. A incerteza em relação à segurança dos serviços em nuvem repercute-se negativamente na adoção desta tecnologia dinâmica. O Comité gostaria que a UE determinasse a imposição de requisitos e obrigações de segurança específicos aos prestadores de serviços de computação em nuvem, tendo em vista apoiar o desenvolvimento desta tecnologia na Europa. |
3.11 |
Importa realizar esforços específicos para recrutar pessoal para o setor europeu de cibersegurança. Estima-se que o aumento da procura de especialistas diplomados em segurança da informação venha a ser duas vezes superior ao do setor informático no seu conjunto. Neste contexto, o Comité chama a atenção da Comissão para o êxito que os concursos realizados nos EUA e em alguns Estados-Membros têm tido na sensibilização para a cibersegurança e na formação da futura geração de profissionais na área da cibersegurança. |
3.12 |
Uma das melhores estratégias de proteção contra ciberataques consiste em assegurar que todos os serviços e tecnologias utilizados na Europa para disponibilizar conectividade à Internet e serviços em linha sejam concebidos de modo a proporcionar o nível mais elevado possível de segurança contra ciberataques. As reflexões devem centrar-se especificamente na interface homem-máquina, implicando que haja uma colaboração entre a indústria da tecnologia, os prestadores de serviços Internet, o setor da cibersegurança, o Centro Europeu da Cibercriminalidade (EC3), a Agência da União Europeia para a Segurança das Redes e da Informação (ENISA), as agências de segurança e defesa dos Estados-Membros e os cidadãos. O desenvolvimento desta estratégia de cibersegurança poderia ser organizado ao nível da UE pela Comissão, com a eventual coordenação da ENISA. |
4. Política da UE em matéria de cibersegurança
4.1 |
A UE está a desenvolver uma estratégia abrangente (4) com o objetivo de aumentar a cibersegurança dos cidadãos europeus:
|
4.2 |
O CESE reagiu vigorosamente à proposta de diretiva relativa à segurança das redes e da informação (6), apresentada pela Comissão, por considerar que as medidas propostas eram demasiado indulgentes e insuficientes para que os Estados-Membros protegessem suficientemente os cidadãos e as empresas contra ciberataques. No entanto, quando da adoção da proposta de diretiva, o Parlamento retirou-lhe ainda mais eficácia ao ter limitado o âmbito de aplicação da diretiva aos fornecedores de «infraestruturas críticas», excluindo da sua aplicação os motores de pesquisa, as plataformas de redes sociais, os portais de pagamento pela Internet e os prestadores de serviços de computação em nuvem. |
4.3 |
A atual proposta de diretiva relativa à segurança das redes e da informação não é suficiente para assegurar a adoção da legislação necessária para promover a sensibilização para a ameaça que representam os ciberataques e melhorar a capacidade de resposta na União. O Comité congratular-se-ia com a adoção de uma nova legislação em que a obrigação de notificação de qualquer incidente sério de cibersegurança não se restringisse aos fornecedores de infraestruturas críticas. A inexistência de uma obrigação de notificação é favorável aos interesses dos cibercriminosos que se aproveitam da ignorância dos alvos vulneráveis. |
4.4 |
A UE deveria considerar a possibilidade de alargar o mandato da ENISA tendo em vista promover a sensibilização para a ameaça que representam os ciberataques e melhorar a capacidade de resposta em toda a União. O papel da ENISA poderia ser alargado de modo a assumir uma responsabilidade mais direta pelos programas de educação e de sensibilização especialmente orientados para os cidadãos e as PME. |
4.5 |
O Centro Europeu da Cibercriminalidade (EC3) foi criado no âmbito da Europol, em 2013, para reforçar a capacidade da Europa para combater a cibercriminalidade. O EC3 funciona como uma plataforma central europeia de informação sobre criminalidade e apoia as operações e as investigações dos Estados-Membros relacionadas com ciberataques. No entanto, no seu primeiro relatório anual, o EC3 alerta para o facto de os recursos limitados de que dispõe já estarem a comprometer o avanço das investigações e que, a continuar assim, não poderá fazer face às investigações de grande dimensão a seu cargo. |
4.6 |
A UE deveria solicitar aos organismos europeus de normalização — CEN, CENELEC e ETSI — que desenvolvessem normas de cibersegurança para qualquer software, equipamento TIC ou serviço baseado na Internet vendido na UE. Estas normas devem ser permanentemente atualizadas para fazer face a novas ameaças. |
4.7 |
É necessário criar legislação que imponha a todas as empresas e organizações, e não apenas aos fornecedores de infraestruturas críticas, a obrigação de notificação de incidentes sérios de cibersegurança. Tal permitiria não só melhorar as estratégias destinadas a combater e a mitigar ameaças diretas, como também aprofundar o conhecimento e a compreensão sobre os ciberataques perpetrados, ajudando as autoridades, o setor da cibersegurança, as empresas e os cidadãos a melhorarem a cibersegurança e a fazerem face às ameaças. A fim de incentivar a partilha de informação sobre ciberataques, qualquer legislação deveria determinar a preservação do anonimato da empresa ou organização que procede à notificação de um ataque. Importa igualmente prever a possibilidade de limitação da responsabilidade, se for caso disso. |
4.8 |
Apesar das iniciativas empreendidas pela UE, os Estados-Membros possuem níveis muito diferentes de capacidade e de preparação, o que resulta numa fragmentação das respostas a ciberataques em toda a UE. Devido à interconectividade das redes e dos sistemas, a capacidade de resposta da UE aos ciberataques é comprometida pelos Estados-Membros com muitas fragilidades na área da cibersegurança. Há que tomar medidas para que todos os Estados-Membros tenham um nível aceitável de cibersegurança. Importa igualmente assegurar que cada Estado-Membro dispõe de uma equipa de resposta a emergências informáticas (CERT) plenamente funcional. |
4.9 |
O Comité, tendo em vista aumentar a proteção contra ciberataques na UE, e tal como já recomendado em anteriores pareceres (7), considera que as medidas voluntárias não funcionam, sendo necessário impor obrigações regulamentares rigorosas aos Estados-Membros com o objetivo de assegurar a harmonização, a gestão e a execução da cibersegurança a nível europeu. |
4.10 |
Resumindo, para que possa proteger efetiva e atempadamente os cidadãos e as empresas contra ciberataques, a política da UE em matéria de cibersegurança deverá centrar-se nas seguintes medidas:
|
Bruxelas, 10 de julho de 2014.
O Presidente do Comité Económico e Social Europeu
Henri MALOSSE
(1) JO C 24 de 28.1.2012, p. 40; JO C 76 de 14.3.2013, p. 59.
(2) JO C 97 de 28.4.2007, p. 21;
JO C 218 de 23.7.2011, p. 130;
JO C 351 de 15.11.2012, p. 73;
JO C 271 de 19.9.2013, p. 127;
JO C 271 de 19.9.2013, p. 133.
(3) JO C 24 de 28.1.2012, p. 40; JO C 76 de 14.3.2013, p. 59.
(4) JOIN(2013) 01 final.
(5) JO L 218 de 14.8.2013, p. 8-14.
(6) JO C 271 de 19.9.2013, p. 133.
(7) JO C 255 de 22.9.2010, p. 98, JO C 218 de 23.7.2011, p. 130, JO C 271 de 19.9.2013, p. 133.