1. Introdução

1.3. Risco, património, vulnerabilidade

1.3.1        Risco

Antes de definir os termos de ameaça, acontecimento, incidente e ataque, consideramos necessário definir pelo menos uma definição geral do termo "risco", que está directamente relacionada com os termos definidos subsequentemente.

O Glossário de Ciber-segurança define risco como: "(1) Perigo, possibilidade de danos, perda, falha. (2) O efeito da incerteza sobre a realização dos objectivos. (3) A possibilidade de uma determinada ameaça explorar a vulnerabilidade de um activo ou grupo de activos e causar danos à organização. "[1]

O risco também pode ser definido como o potencial para uma ameaça se tornar real e explorar a vulnerabilidade de um activo. De acordo com o Artigo 4 (9) do NIS, risco é "qualquer circunstância ou evento razoavelmente identificável que possa ter um impacto negativo na segurança das redes e dos sistemas de informação". "No ciberespaço, os utilizadores, bem como os sistemas e aplicações informáticas estão em risco, bem como outros elementos das TIC.

O termo "risco" expressa a probabilidade com que um evento indesejado pode ocorrer. O grau de probabilidade de este evento ocorrer é expresso através da análise de risco. Os valores-padrão mínimos para métodos de identificação, análise, avaliação e tratamento de riscos são definidos em ČSN EN 31010.

Valášek et al[2] declaram que a avaliação de risco é geralmente baseada em três questões básicas:

·       Que pode correr mal (ser indesejado)? O que pode falhar?

·       Qual é a possibilidade/probabilidade de isto acontecer?

·       Quão graves (intensidade, dimensão, etc.) podem ser os efeitos (impactos, consequências)?

Segundo Valášek, porém, estas questões representam apenas um quadro básico capaz de definir o seu próprio risco. Para além destas três perguntas, são feitas as seguintes perguntas complementares, que se relacionam com factores significativos que influenciam a caracterização do risco:

Factor

Pergunta

Hora

"Durante quanto tempo estaremos expostos ao risco (ameaça)"?

Instabilidade

"Quão próximas estão as estimativas dos impactos de

um evento de risco para a realidade?"

Complexidade

"É difícil compreender o risco?"

Relações mútuas

"Até que ponto estão os diferentes riscos ou factores de risco

 relacionado?"

Influência

"É possível gerir o risco?"

Ciclo de vida

"Como é que o risco muda com o tempo?"

Relação custo-eficácia

"Qual é o custo das medidas em relação ao risco?"

Para cada risco, é calculado o grau de significância do risco, que pode ser expresso da seguinte forma:

Significado do risco = Impactos do risco * Probabilidade de ocorrência do risco

"O resultado da análise de risco é determinar o significado dos riscos definidos. Cada risco, em relação à tarefa atribuída, tem diferentes impactos que pode causar. Avaliamos os impactos do risco ou das consequências numa escala de cinco pontos, por exemplo, da seguinte forma:"

Pontos

Probabilidade de ocorrência de risco

Descrição da ocorrência

5

CERTO

O risco ocorre quase sempre ou com uma probabilidade de 90-100%.

4

PROVÁVEL

O risco é susceptível de ocorrer

3

POSSÍVEL

O risco pode por vezes ocorrer (por exemplo, em condições específicas).

2

IMPROVÁVEL

O risco pode por vezes ocorrer, mas é improvável.

1

 IMPOSSÍVEL

O risco ocorre apenas em casos excepcionais e sob condições específicas.

Para além do impacto, podem ou não ocorrer riscos individuais. Por conseguinte, é determinada a probabilidade de ocorrência de riscos. A ocorrência é novamente avaliada numa escala de cinco pontos da seguinte forma: [3]

Pontos

Impacto do risco

Descrição do impacto

5

CRISIS

A situação irá fundamentalmente reduzir ou terminar as operações da empresa (por exemplo, falência, perda de vidas, etc.).

4

SIGNIFICANTE

A situação afecta muito perigosamente o funcionamento interno e externo da empresa (por exemplo, a ocorrência de perdas financeiras significativas - 100% sobre o orçamento, o tempo, o surgimento de litígios, ferimentos, etc.).

3

MÉDIO

A situação afectará perigosamente o funcionamento interno e externo da empresa (por exemplo, ocorrerão perdas, mas a empresa poderá continuar a funcionar, ocorrerão perdas financeiras até 30% do orçamento, etc.).

2

INSIGNIFICANTE

A situação limita o funcionamento interno da empresa (por exemplo, haverá atrasos de tempo até 30 dias).

1

NEGLIGÍVEL

Embora a situação limite negativamente o funcionamento da empresa, não causa perdas superiores a 5%.

Para além das circunstâncias acima referidas, outras circunstâncias devem ser tidas em conta na avaliação do risco, que são

·       a própria natureza (tipo) do risco ou ameaça,

·       vulnerabilidade dos bens,

·       probabilidade de que o risco se transforme num evento ou incidente de segurança.

A análise de risco é muito difícil e requer conhecimento dos bens, ameaças e, em particular, alguma experiência nesta área é necessária. Com base na análise de risco, podem ser identificadas medidas para minimizar ou eliminar os riscos.

1.3.2        Bens

Um bem é qualquer coisa que tenha um certo valor para uma pessoa, organização ou estado.

Um bem pode ser um objecto tangível (edifício, sistema informático, redes, energia, bens, etc.) ou um intangível (informação, conhecimento, dados, programas, etc.) do ponto de vista do direito civil.

Contudo, um bem pode também ser uma qualidade (por exemplo, disponibilidade e funcionalidade do sistema e dos dados, etc.) ou um bom nome, reputação, etc. As pessoas (utilizadores, administradores, etc.) e os seus conhecimentos e experiência são também uma mais-valia do ponto de vista da ciber-segurança.

De acordo com a Secção 2 (f) e (g) do DoCS, os bens são divididos em subsidiários e primários.

Um activo auxiliar é um activo técnico, empregados e fornecedores envolvidos na operação, desenvolvimento, administração ou segurança do sistema de informação e comunicação.

Um bem primário é a informação ou um serviço processado ou fornecido por um sistema de informação e comunicação.

1.3.3        Vulnerabilidade

Vulnerabilidade refere-se à fraqueza de um bem, software, segurança, que é explorado por uma ou mais ameaças.

A vulnerabilidade, bem como uma ameaça, pode ser causada por uma série de factores fundamentados no comportamento humano, falhas técnicas, e possivelmente de força maior.

No domínio da ciber-segurança, as vulnerabilidades dividem-se em:

·       vulnerabilidades conhecidas (publicado)

o   fixo (tratado) - um caso típico são as vulnerabilidades de software para as quais o fabricante já emitiu uma actualização

o   não corrigida (não tratada) - uma entidade afectada (fabricante, administrador, etc.) conhece a vulnerabilidade, mas não assegurou a sua correcção

·       vulnerabilidades desconhecidas

o   escondido

o   não descoberto

No caso de vulnerabilidades desconhecidas, é importante que sejam descobertas por um atacante, um fabricante, um analista de segurança, um testador de penetração, ou um utilizador. Igualmente importante é a motivação da pessoa que descobre a vulnerabilidade.

As vulnerabilidades de segurança são potenciais ameaças à segurança. As vulnerabilidades de segurança podem ser eliminadas, até certo ponto, actualizando e corrigindo consistentemente todo o software.[4]

O Decreto sobre Ciber-segurança no Apêndice 3 lista algumas das vulnerabilidades como exemplo. De acordo com este decreto, a vulnerabilidade é:

1.     manutenção insuficiente do sistema de informação e comunicação,

2.     obsolescência do sistema de informação e comunicação,

3.     protecção insuficiente do perímetro exterior,

4.     sensibilização insuficiente dos utilizadores e administradores em matéria de segurança,

5.     fixação inadequada dos direitos de acesso,

6.     procedimentos insuficientes para identificar e detectar fenómenos de segurança negativos, eventos de ciber-segurança e incidentes de ciber-segurança,

7.     controlo insuficiente das actividades dos utilizadores e administradores e incapacidade de detectar o seu comportamento inadequado ou defeituoso,

8.     definição insuficiente das regras de segurança, definição imprecisa ou ambígua dos direitos e obrigações dos utilizadores, administradores e funções de segurança,

9.     protecção insuficiente dos bens,

10.  arquitectura de segurança inadequada,

11.  grau insuficiente de controlo independente,

12.  incapacidade de detectar erros de forma atempada pelos empregados.


[1] JIRÁSEK, Petr, Luděk NOVÁK e Josef PO`ÁR. Výkladový slovník kybernetické bezpečnosti. [online]. 3ª edição actualizada. Praga: AFCEA, 2015. p. 99. Disponível em: https://nukib.cz/download/aktuality/container-nodeid-665/slovnikkb-cz-en-1505.pdf

[2] VALÁŠEK, Jarmil, František KOVÁŘÍK et al. Krizové řízení při nevojenských krizových situacích. Praga: Ministerstvo vnitra - generální ředitelství Hasičského záchranného sboru ČR, 2008. [online]. [cit. 01/07/2018]. Disponível a partir de: http://www.hzscr.cz/soubor/modul-c-krizove-rizeni-pri-nevojenskych-krizovych-situacich-pdf.aspx

ISBN 978-80-86640-93-8 p. 73

[3] Analýza rizik. [online]. [cit. 01/07/2018]. Disponível em: https://www.vlastnicesta.cz/metody/analyza-rizik-risk/

[4] Cf. JIRÁSEK, Petr, Luděk NOVÁK e Josef PO`ÁR. Výkladový slovník kybernetické bezpečnosti. [online]. 3ª edição actualizada. Praga: AFCEA, 2015. p. 29. Disponível em: https://nukib.cz/download/aktuality/container-nodeid-665/slovnikkb-cz-en-1505.pdf