O ano de 2023 foi marcado por mudanças significativas na cibersegurança e segurança da informação. O conflito entre Rússia e Ucrânia impulsionou a importância de uma visão holística da segurança no ciberespaço a nível nacional, fruto da atuação de atores estatais ou apoiados por estados, e destacando a interconexão entre geopolítica e segurança digital. Nos EUA, a SEC atualizou regras para gestão de riscos associados à cibersegurança, evidenciando a crescente importância deste tema no universo corporativo. Também na Europa assistimos a revisões de Regulamentos existentes e propostas de novos no sentido de reforçar a cibersegurança no espaço europeu. O tema da cibersegurança na nuvem também cresceu em 2023, sublinhando a necessidade de uma estratégia integrada. Além disso, foram sendo reforçadas tendências como zero trust, a inteligência artificial e a crescente importância da automação de tarefas na resposta a incidentes.
Por outro lado 2023 também foi um ano complicado para o tema da privacidade e segurança de dados pessoais com diversas iniciativas regulamentares e legislativas que trouxeram com elas um conjunto de ameaças ao direito à privacidade no mundo online. Alguns exemplos são a Online Security Bill no Reino Unido, a proposta de Regulamento Europeu para prevenir e combater o abuso sexual de crianças, ou a proposta de Tratado para o Cibercrime das Nações Unidas. O primeiro já está aprovado e em vigor, os restantes estão ainda numa fase de proposta sendo ainda possível transmitir aos seus autores as preocupações da comunidade de segurança, algo em que a AP2SI tem estado empenhada no seio das iniciativas da Global Encryption Coalition e também em conjunto com a Associação D3 – Defesa dos Direitos Digitais e o capítulo português da Internet Society.
Em resumo, 2023 reforçou a complexidade dos temas relacionados com a segurança da informação e cibersegurança, destacando a importância de abordagens adaptáveis e robustas para enfrentar ameaças digitais em constante evolução, mantendo ao mesmo tempo o respeito pelo indivíduo.
Neste ano estivemos com uma forte presença em iniciativas de transferência de conhecimento e sensibilização, bem como nas nossas atividades Pilar. Como habitualmente gostaríamos de destacar algumas destas atividades neste relatório:
Em Janeiro, tivemos a Confraria com onde falámos sobre segurança no espectro eletromagnético com o nosso associado Roberto Menna e analisámos o funcionamento do Xiaomi chuangmi-remote com o Marco Vaz. Ainda durante este mês os nossos Associados Qualificados Ana Respício e Pedro Inácio participaram no webinar “O que se investiga em Portugal”, organizado pela Women4Cyber Portugal.
Em Fevereiro, a Associação foi convidada pela Valor Magazine a escrever um artigo sobre os principais eventos de cibersegurança em 2022, pela mão do nosso Associado Fundador e Presidente Jorge Pinto.
Em Março , por ocasião do Dia Internacional da Mulher, entrevistámos a nossa Associada Qualificada Carla Bouça. O nosso Associado Fundador Sérgio Nunes esteve também presente na sessão “Desafios da dimensão humana do risco” no C-Days Madeira.
Em Abril, após um período de consulta aos associados, publicámos o nosso Código de Conduta que estabelece os valores e expectativas da Associação para com os seus membros, bem como para as comunidades em que estamos inseridos. Estivemos na 21 a edição da Pós-Graduação de Gestão e Direção de Segurança da Universidade Autónoma de Lisboa a lecionar o módulo “Segurança da Informação – Desafios para o Diretor de Segurança”, com o nosso parceiro ADSP. O nosso Associado Qualificado Flávio Shiga esteve nas instalações de Sintra do nosso Parceiro ISCTE – Instituto Universitário de Lisboa, para falar sobre fuga de informação.
Ainda em Abril realizámos o 1º Encontro de Associados Colectivos da AP2SI reunindo representantes das várias entidades que nos apoiam, de forma a melhor conhecer o que pensam do trabalho da Associação bem como refletir sobre o mesmo e, de forma aberta, recolher feedback, sugestões, e opiniões para o futuro. Contámos ainda com dois convidados especiais – Rogério Bravo e Nelson Escórcio – que nos deram a conhecer as suas perspetivas sobre alguns dos temas ligados à Missão da Associação e apoiaram a troca de ideias com o seu conhecimento e experiência.
Em Maio, a Associação juntou-se a várias organizações numa iniciativa que visa tornar a ferramenta Slack mais segura para os seus utilizadores através da iniciativa Make Slack Safe. Contámos ainda com a presença de um dos Associados Fundadores, Francisco Rente e da nossa Associada Ofélia Malheiros na International Cybersecurity Conference, que decorreu no auditório dos Serviços Centrais do Politécnico da Guarda. Apoiámos também a primeira Conferência Internacional de Promoção do Bem-estar Digital.
Durante o mês de Junho a Associação juntou a sua voz às preocupações da APDPO sobre a aplicação, em Portugal, do Regulamento Geral sobre a Proteção de Dados. A AP2SI juntou-se a mais de 80 organizações internacionais da sociedade civil, academia e especialistas em cibersegurança e segurança da informação no alerta relacionado com o, na altura, projeto de Lei britânico conhecido como “Online Safety Bill”. O Jorge Pinto representou a Associação numa entrevista à Security Magazine onde falou sobre ameaças iminentes no ciberespaço, bem como da falta de competências e sensibilização. Acompanhou também o nosso Associado Qualificado Pedro Adão à Escola Básica e Secundária Fernando Lopes-Graça do Agrupamento de Escolas da Parede a falar sobre cibersegurança com duas turmas de 10º e 11º anos do Curso Técnico de Informática. Tivemos ainda uma sessão da Confraria com o nosso Associado Vítor Ventura que apresentou a sessão “Viagem ilustrada à segurança do Framework Android”.
Ainda durante o mês de Junho a Associação esteve presente no evento Security Summit, organizado pela IBM, onde moderámos uma discussão sobre os impactos das tecnologias de inteligência artificial na segurança pelas mãos do Francisco Rente, e do nosso Associado Qualificado Miguel Brown que facilitaram a discussão com os vários participantes. Estivemos também presentes no C-Days no painel “Desafios na gestão coordenada de vulnerabilidades”, pela figura do Jorge Pinto. Ainda no C-Days estiveram presentes o nosso Associado Qualificado Tiago Mendo na track técnica com a apresentação “How We Successfully Built an AppSec Team from Scratch”, e o nosso Associado Qualificado Gonçalo Cadete no painel Sociedade intitulado “O futuro das competências em Cibersegurança: o que está para além da tecnicidade”. Ainda no C-Days tivemos o anúncio da seleção que representaria Portugal no European Cyber Security Challenge e que foi identificada através da iniciativa Cyber Security Challenge PT, que conta com o apoio da Associação, em colaboração com o Centro Nacional de Cibersegurança, o Instituto Superior Técnico e a Universidade do Porto. Deixamos ainda uns agradecimentos bastante especiais ao Associado Qualificado Carlos Pires e também ao nosso Associado João Sequeira pela participação desenvolvimento dos desafios para este projeto, bem como ao Pedro Adão e André Baptista por todo o trabalho desenvolvido na gestão e monitorização da competição.
Em Julho, estivemos, com o Instituto Superior Técnico, a Universidade do Porto e o Centro Nacional de Cibersegurança na organização do Cyber Security Challenge PT para o primeiro bootcamp da team PT, em conjunto com 23 equipas europeias.
Em Agosto, encarámos com expectativa o anúncio da publicação da Lei-Quadro da Política Criminal em Portugal que menciona explicitamente um tema no qual já trabalhamos desde 2020 o desenvolvimento de uma Política Nacional de Gestão Coordenada de Vulnerabilidades.
Em Setembro, celebrámos o Dia Internacional das Mulheres em Cibersegurança, lançámos o pedido de participação no inquérito bienal que suporta o Estudo sobre os profissionais que atuam nas áreas da cibersegurança e segurança da informação em Portugal. Tivemos Confraria com o nosso Associado Diogo Sousa que apresentou “A Cifrar desde 1984 – portinholas, protocolos e alçapões” e o Jorge Pinto que trouxe o tema da “Inteligência Artificial e Segurança” para a discussão entre os presentes. Estivemos também presentes na edição de Outubro da revista IT Security com a partilha de opinião do Jorge Pinto, em conjunto com outros especialistas, para um artigo dedicado ao projeto de Convenção do Cibercrime liderado pela ONU, numa edição onde realçamos também a participação dos nossos Associados Qualificados Carlos Silva e Paulo Rosado. Ainda neste mês assistimos ao lançamento da campanha ChatControl.pt em conjunto com a Associação D3 – Defesa dos Direitos Digitais, a Associação Nacional para o Software Livre (ANSOL), o Capítulo Português da Internet Society (ISOC PT), e a Associação de Empresas de Software Open Source Portuguesas (ESOP). Mais informação aqui e aqui.
Em Outubro, mês da Cibersegurança, celebrámos o 3º Global Encryption Day na defesa dos direitos dos cidadãos na Internet. Estivemos, juntamente com a Defesa dos Direitos Digitais (D3) e o capítulo português da Internet Society (ISOC PT) em reunião com a Exma. sra. Ministra da Justiça Catarina Sarmento e Castro, com o sr. Secretário de Estado para os Assuntos Europeus Tiago Antunes, bem como elementos das suas equipas, para discutir a proposta de Regulamento da União Europeia que visa estabelecer regras para prevenir e combater o abuso sexual de crianças. Fomos convidados pela revista Robótica para estarmos presentes na sua revista 132 com o artigo “Cibersegurança na robótica para uma sociedade mais segura”, escrito pelo Jorge Pinto. O nosso Associado Qualificado David Sopas participou numa sessão de partilha de conhecimentos a jovens entre os 8 e 9 anos. Partilhámos também nas redes sociais as nossas dicas e conselhos para jovens e adultos.
Ainda em Outubro, no âmbito do Cyber Security Challenge PT, acompanhámos e apoiámos a seleção portuguesa à Noruega para o European Cyber Security Challenge, onde tivemos oportunidade de conversar com o Embaixador de Portugal em Oslo, Pedro Pessoa e Costa. Um enorme agradecimento ao Pedro Adão e ao André Baptista pelo esforço e trabalho desenvolvido no projeto não só como associados, mas também como representantes do Instituto Superior Técnico e da Universidade do Porto, respetivamente. Ainda neste mês, o Pedro Adão também realizou a primeira sessão de apresentação e discussão do projeto: “REWIRE Cybersecurity Blueprint: A European solution for the Cyber Security skills gap”. Finalmente, lançámos também os resultados da 3ª edição do Estudo sobre os profissionais de cibersegurança e segurança da informação em Portugal.
Novembro foi um mês preenchido em que atribuímos o 7º Prémio de Mérito AP2SI ao vencedor, o Mestre Pedro Escaleira da Universidade de Aveiro, que concorreu com o trabalho “Proteção de Implementações Reais de 5G MEC“. Também apoiámos e estivemos presentes na 4a edição da Cyber&Cloud Expo com a apresentação “Literacia Digital e Cibersegurança” pelo Jorge Pinto e participação na mesa-redonda “Inteligência Artificial e Cibersegurança” em conjunto com o André Baptista. Outro Associado Qualificado, o Pedro Queirós moderou o painel da Women4Cyber Portugal dedicado ao tema “Ameaças e Tendências Emergentes da Cibersegurança”. Estivemos ainda presentes no V Encontro Nacional da APDPO, com a apresentação “O DPO na IA: o papel da Proteção de Dados Pessoais na Inteligência Artificial” pelo nosso Associado Qualificado Miguel Gonçalves. Veja aqui as fotos.
Em Novembro estivemos também na 22 a edição da Pós-Graduação de Direção e Gestão de Segurança da Universidade Autónoma de Lisboa a lecionar o módulo “Segurança da Informação – Desafios para o Diretor de Segurança”, com o nosso parceiro ADSP. Marcámos também presença, pela figura do Jorge Pinto, na Conferência Liberdade e Segurança na Era Digital, organizada pela Associação de Ex-Deputados da Assembleia da República, onde o nosso Presidente teve a oportunidade de demonstrar a nossa abertura para colaborar com as entidades policiais na busca de processos e mecanismos de combate ao crime no mundo digital que não coloquem em causa os direitos dos cidadãos. Fomos também parceiros da 8ª Conferência Anual do ISACA Lisbon Chapter. Assinámos ainda, em conjunto com outras organizações, cientistas e investigadores de 32 países, um texto de alerta relativo à revisão do Regulamento da União Europeia eIDAS.
Ainda em Novembro celebrámos o 10º Aniversário da BSidesLisbon, com o habitual dia e meio de imersão em segurança da informação, desafios, networking e encontros. A conferência contou, como habitualmente, com dois keynotes, um rol de fantásticos oradores e, desta vez, com um bolo de aniversário! Veja aqui algumas entrevistas efetuadas durante a conferência. As várias apresentações estarão disponíveis brevemente no canal YouTube. Também em Novembro lançámos os grupos de trabalho “A sensibilização não tem idade”, coordenado pelo Associado Qualificado Rui Martins e com a participação dos Associados Júlio Morais e André Garrido, e “Infosec Trivia” coordenado pelo Jorge Pinto e com a participação dos Associados Diogo Sousa e Rodrigo Bastos.
Em Dezembro participámos no regresso do grupo de reflexão “Resiliência Cibernética” do Instituto de Defesa Nacional e estivemos à conversa com o André Baptista num podcast do nosso Associado Colectivo Ethiack onde, juntamente com o Jorge Pinto, foi discutido o tema “como é que uma associação relacionada com segurança de informação e cibersegurança pode ajudar a sociedade?”. Também em Dezembro respondemos a um convite da Embaixada Britânica para moderar o painel “Assessing the cyber security of your supply chain: where to start?” ao qual o Miguel Gonçalves respondeu da melhor forma liderando a discussão e a partilha de conhecimento do painel pela audiência. No âmbito da Global Encryption Coalition assinámos também uma carta endereçada à Comissária Australiana para o tema eSafety, Inman Grant, a endereçar um conjunto de preocupações relacionadas com dois standards que estão a ser preparados pelas entidades Australianas e os seus impactos negativos nas comunicações cifradas.
Em termos de vantagens para associado/as:
- Firmámos, mais uma vez, um protocolo de apoio à conferência ICISSP em 2024 que teve lugar de 26 a 28 de Fevereiro, em Roma. Os associados da AP2SI usufruíram de um desconto no registo para a conferência igual ao praticado para os membros do INSTICC.
- Apoiámos, as conferências IDC Directions, IDC Security Roadshow e IDC Future of Digital Innovation às quais os associados da AP2SI puderam aceder de forma gratuita.
Ainda em 2023 demos as boas-vindas à Art Resilia, DXC Technology, ETHIACK, ACP – Automóvel Club de Portugal, LastPass Portugal, e CyberX que se juntaram à S21SEC, Sincronideia, Claranet Portugal, NX Security, Axians, Siemens Portugal, Huawei, Accenture, Integrity, Checkmarx, Probely, Visionware e Cyberawareness como associados coletivos. Os nossos sinceros agradecimentos pelo vosso apoio!
Não poderíamos terminar este resumo sem uma nota especial de agradecimento aos membros do Júri do Prémio de Mérito AP2SI – os nossos Associados Fundadores Bruno Morisson, Carlos Serrão e Sérgio Nunes, o nosso Associado Qualificado Pedro Inácio, a quem se juntou o convidado Paulo Moniz e que durante várias semanas leram e avaliaram as dissertações a concurso.
Celebrámos os 10 anos de apoio dos nossos Associados Qualificados Paulo Morgado e Hugo Rodrigues e procedemos à Qualificação dos Associados Rogério Resende, Márcio Isidro, Francisco Salvador e João Farinha que se juntaram aos já 45 detentores da distinção.
Resta-nos agradecer a todo/as os/as associado/as que depositaram em nós a sua confiança durante este ano e fazemos votos de continuar a contar com, e a merecer, o vosso apoio em 2024 para onde seguimos com confiança!
A Direcção