Em matéria de segurança das comunicações existem dois fatores registados em 2012, que se prolongarão para 2013, que levaram ao desenvolvimento de várias ações pelo ICP-ANACOM:
- A alteração ao sistema de planeamento civil de emergência, que passa a ser coordenado com a proteção civil e integrado em entidades públicas já existentes, abandonando o sistema de comissões que vinha a ser adotado. Neste domínio, a Lei Orgânica do Ministério da Economia e Emprego integra no ICP-ANACOM as atribuições e competências da Comissão de Planeamento de Emergência das Comunicações, havendo no entanto que proceder a alterações legislativas que operacionalizem essa integração.
- A evolução verificada em termos de privacidade e proteção dos dados pessoais nas comunicações eletrónicas, decorrente da entrada em vigor da Lei n.º 46/2012, de 29 de agosto, que republicou a Lei n.º 41/2004, de 18 de agosto, que veio clarificar as competências e atribuições do ICP-ANACOM e da Comissão Nacional de Proteção de Dados (CNPD).
Daqui resultarão novas atribuições para o ICP-ANACOM, que determinarão uma mudança nos processos desenvolvidos e a necessidade de recursos para os concretizar, bem como o aprofundamento da relação com a Autoridade Nacional de Proteção Civil (ANPC), a CNPD e a Autoridade Nacional de Segurança (ANS), pela integração de todo este processo no contexto do Tratado da União Europeia e da Organização do Tratado do Atlântico Norte (OTAN).
No respeitante à normalização técnica foi ativada a comissão relativa à segurança da informação no âmbito das tecnologias de informação e comunicação.
Em 2012, o ICP-ANACOM integrou a Comissão Instaladora do Centro Nacional de Cibersegurança, criada pela Resolução do Conselho de Ministros n.º 12/2012, de 7 de fevereiro.
11.1. Implementação das alterações ao quadro regulatório
11.2. Número único de emergência europeu 112
11.3. Articulação com a proteção civil
11.4. Exercício de segurança de comunicações
11.5. Sensibilização e promoção de boas práticas de segurança
11.6. Sub-registo e segurança interna do ICP-ANACOM
11.1. Implementação das alterações ao quadro regulatório
Em matéria de implementação das alterações que decorrem do novo quadro regulamentar, designadamente no que respeita a medidas técnicas de execução e a auditorias de segurança, o ICP-ANACOM realizou durante o ano uma avaliação da situação atual, tendo como referência as linhas de orientação técnicas publicadas pela Agência Europeia para a Segurança das Redes e da Informação (ENISA).
Foi feito um questionário às empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público no qual se solicitava informação sobre: a) a adoção de medidas técnicas e organizacionais adequadas à prevenção, à gestão e à redução dos riscos para a segurança das redes e dos serviços, visando impedir ou minimizar o impacto dos incidentes de segurança nas redes interligadas, a nível nacional e internacional, e nos utilizadores, e b) a adoção de medidas adequadas para garantir a integridade das respetivas redes, assegurando a continuidade da prestação dos serviços que nelas se suportam.
A informação recolhida está a ser utilizada na caraterização e no desenvolvimento do projeto de medidas e de procedimentos que o ICP-ANACOM pretende adotar no respeitante às medidas técnicas e organizacionais e às auditorias de segurança.
Sublinhe-se ainda, no que respeita à consulta pública do SPD concluída em 27 de janeiro de 2012, relativa à fixação de obrigações às empresas quanto à notificação de violações de segurança ou perdas de integridade com impacto significativo e respetiva divulgação pública, que o conhecimento trazido ao ICP-ANACOM a destempo não permitiu a conclusão deste processo em 2012.
No âmbito das comunicações de emergência, o ICP-ANACOM privilegiou o acompanhamento de soluções e sistemas existentes e/ou em desenvolvimento, que permitam concretizar as medidas previstas no artigo 51.º da Lei das Comunicações Eletrónicas (LCE) quanto às informações sobre a localização de pessoas que efetuem chamadas para o 112 e quanto à disponibilização aos utilizadores finais com deficiência do acesso aos serviços de emergência em termos equivalentes aos dos restantes utilizadores.
11.2. Número único de emergência europeu 112
Sobre o número de emergência europeu 112 continua a aguardar-se a conclusão da nova infraestrutura 112.pt.
Em 2012, o ICP-ANACOM elaborou, em articulação com o Ministério da Administração Interna (MAI), a resposta ao 6.º questionário da CE relativo à implementação do 112 em Portugal, e participou nos trabalhos do grupo de peritos do Grupo de Peritos em Acesso de Emergência (EGEA).
No que respeita à operacionalização do serviço harmonizado, interoperável e pan-europeu eCall - resposta a chamadas de emergência para o 112 espoletadas manual ou automaticamente a partir de viaturas automóveis, com início em 1 de janeiro de 2015 -, o ICP-ANACOM participou nalgumas das reuniões da plataforma europeia de implementação do eCall e do seu grupo HeERO (em que se desenvolvem pilotos sobre a matéria), sendo de destacar o forte empenho da CE em tornar mandatória a implementação deste serviço.
11.3. Articulação com a proteção civil
A ANPC solicitou alguma informação ao ICP-ANACOM, no âmbito das competências e das atribuições cometidas a esta Autoridade em sede de planeamento civil de emergência, nomeadamente quanto a pontos de contacto. As alterações legislativas introduzidas neste domínio, seja por efeito do quadro regulatório seja por fusão dos sistemas de proteção civil e de planeamento civil de emergência, terão profundas consequências na articulação entre a ANPC e o ICP-ANACOM.
11.4. Exercício de segurança de comunicações
Destaca-se, neste âmbito, a participação nacional no segundo Exercício Cibernético Pan-Europeu, o «Cyber Europe 2012», realizado a 4 de outubro de 2012 e organizado pelos Estados-membros da UE e pelos países subscritores da Associação Europeia de Comércio Livre (EFTA). No exercício, mais de 300 profissionais de segurança no ciberespaço da Europa uniram forças para contrariarem um ataque cibernético simulado a redes e serviços de comunicações eletrónicas, mais concretamente a sítios na Internet de governo eletrónico e a sítios na Internet de entidades financeiras. Este exercício deu continuidade ao realizado em 2010, com o objetivo do aumento da resiliência das infraestruturas críticas de informação. A prossecução do objetivo concretizou-se através do reforço da cooperação, da preparação e da capacidade de resposta na Europa a crises cibernéticas.
Em Portugal, o ICP-ANACOM estabeleceu a célula nacional, assegurou a participação no planeamento do exercício e a representação na célula central, tendo também envolvido outras entidades nacionais públicas e privadas, alargando assim a base de participação nacional.
Este exercício foi facilitado pela ENISA, com o apoio do serviço científico interno da CE - o Centro Comum de Investigação (JRC). Em comparação com o exercício de 2010, o Cyber Europe 2012 cresceu consideravelmente em termos de âmbito, escala e complexidade.
O Cyber Europe 2012 foi preparado e executado tendo em vista três objetivos:
- Testar a eficácia e a escalabilidade dos mecanismos, procedimentos e fluxos de informação existentes para a cooperação das autoridades públicas na Europa em resposta a um ataque cibernético.
- Explorar a cooperação entre os agentes públicos e privados na Europa durante um ataque.
- Identificar lacunas e desafios sobre como os incidentes cibernéticos de grande escala poderão ser tratados mais eficazmente na Europa.
11.5. Sensibilização e promoção de boas práticas de segurança
Foram realizadas várias apresentações públicas sobre segurança de comunicações em diversas instâncias e conferências, a nível nacional e internacional, tendo em vista a sensibilização e a promoção de boas práticas de segurança e dar a conhecer a atividade realizada pelo ICP-ANACOM neste âmbito.
Foi ainda realizado um workshop na Fundação Portuguesa das Comunicações (FPC), a 19 de dezembro, no qual foi constituída a comissão técnica de normalização para a segurança das tecnologias de informação.
11.6. Sub-registo e segurança interna do ICP-ANACOM
Em termos do sub-registo do ICP-ANACOM, é de salientar a instalação de terminais do sistema de informação na sede.
Sublinhe-se ainda que teve início a elaboração do manual de segurança em conformidade com as normas e as deliberações da ANS.