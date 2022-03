© Pixabay

O número de incidentes ou ataques informáticos a organismos da União Europeia (UE) estão a "aumentar acentuadamente", mas o nível de preparação das estruturas comunitárias para responder às ocorrências não é, "em geral, proporcional às crescentes ameaças". Esta é uma conclusão de uma auditoria do Tribunal de Contas Europeu (ECA, sigla anglo-saxónica), constatando que os "organismos da UE têm de intensificar preparação".

"A Comissão Europeia deve promover o aumento da cooperação entre os organismos da UE e que a CERT‑UE e a Agência da União Europeia para a Cibersegurança [ENISA] devem centrar‑se mais nos organismos da União menos experientes na gestão da cibersegurança", alerta o ECA.

De acordo com a auditoria divulgada esta terça-feira, faltam regras de cibersegurança "vinculativas", bem como um amento dos recursos da equipa de resposta a emergências informáticas para as instituições e agências da UE.

O problema identificado pelo ECA corresponde a diferentes níveis de maturidade das estruturas comunitárias. Ou seja, "como os organismos da UE estão profundamente interligados, a fragilidade de um deles pode expor outros a ciberameaças".

Por isso, além de recomendar mais regras e um aumento de recursos, o ECA aconselha "o aumento da cooperação entre os organismos da UE e que a CERT‑UE e a Agência da União Europeia para a Cibersegurança devem centrar‑se mais nos organismos da União menos experientes na gestão da cibersegurança.

"A principal constatação da auditoria foi a de que as instituições, os organismos e as agências da UE nem sempre estão bem protegidos contra ciberameaças. O seu tratamento da cibersegurança nem sempre é consistente, os controlos essenciais e as boas práticas fundamentais em matéria de cibersegurança nem sempre estão em vigor e a formação em cibersegurança nem sempre é sistemática", lê-se.

Ora, a impreparação observada configura um risco às instituições, pois os ataques informáticos "significativos" a organismos da UE aumentaram "mais de dez vezes entre 2018 e 2021". Nos últimos dois anos, as estruturas europeias terão ficado mais expostas tendo em conta que o trabalho remoto, devido ao contexto pandémico, "aumentou consideravelmente o número de pontos de acesso potenciais para os atacantes".

"As instituições, organismos e agências da UE são alvos atrativos para potenciais atacantes, especialmente para os grupos com capacidade de realizar ataques furtivos altamente sofisticados para fins de ciberespionagem e outros propósitos malévolos", afirma Bettina Jakobsen, membro do ECA responsável pela auditoria.

Para esta responsável, o sucesso de um ciberataque pode "implicações políticas significativas", como "prejudicar a reputação geral da UE e minar a confiança nas suas instituições".

"A UE tem de intensificar os esforços para proteger as suas próprias organizações", defende.

No entanto, há um problema que deve ser acautelado. Segundo a auditoria, "a atribuição de recursos à cibersegurança é muito variável, e vários organismos da UE têm despesas neste domínio consideravelmente inferiores a outros de dimensão comparável".

"As diferenças nos níveis de cibersegurança podem ser justificadas pelos diferentes perfis de risco de cada organização e pelos níveis variáveis de sensibilidade dos dados que tratam", lê-se.

Não obstante, a disparidade de níveis de maturidade para a cibersegurança, pode "expor várias outras organizações a ciberameaças (os organismos da UE estão todos interligados e frequentemente têm ligações também a organizações públicas e privadas nos Estados‑Membros)".

A CERT‑UE e o ENISA são as principais entidades da UE com poderes para apoiar as restante estruturas, nesta matéria. Todavia, devido às limitações de recursos ou à atribuição de prioridade a outras áreas, "estas entidades não conseguiram prestar aos organismos da UE todo o apoio de que estes necessitam". Neste ponto, a auditoria realça que "a partilha de informações é também uma lacuna: nem todos os organismos da UE comunicam atempadamente informações sobre vulnerabilidades e ciberincidentes significativos que os tenham afetado ou possam afetar outros organismos".