28 de maio de 2026

O Sinal de Alerta

No espaço de um único ano, os incidentes cibernéticos de importância nacional que tiveram como alvo o setor público do Reino Unido mais do que duplicaram – passando de 89 para 204. O ataque à Synnovis interrompeu a realização de análises ao sangue em hospitais de Londres, obrigou ao cancelamento de mais de 10 000 consultas e 1 700 procedimentos eletivos e contribuiu para a morte de um doente. A violação da Legal Aid Agency comprometeu dados pessoais sensíveis. O ataque de ransomware à British Library devastou uma das instituições culturais mais importantes do país. Uma atualização de software não maliciosa da CrowdStrike derrubou milhares de serviços da noite para o dia.

Não se tratava de riscos abstratos, mas sim de falhas com consequências imediatas para os cidadãos. A própria avaliação do governo britânico é sincera quanto ao que revelou: uma abordagem fragmentada à cibersegurança que exigia uma reforma fundamental e medidas imediatas.

O que o Plano Cibernético do Reino Unido realmente altera

O Governo do Reino Unido publicou o Plano de Ação Cibernética do Governo, apoiado por um investimento central de 210 milhões de libras. Desenvolvido pelo Departamento de Ciência, Inovação e Tecnologia (DSIT), substitui um modelo vagamente federado e orientado por diretrizes por algo muito mais centralizado e diretivo.

No centro de tudo isto está uma nova Unidade Cibernética do Governo (GCU) responsável por definir normas, coordenar a gestão de riscos e garantir progressos mensuráveis em todos os departamentos. O Relatório sobre o Estado do Governo Digital já tinha deixado clara a avaliação: o risco cibernético para o governo é extremamente elevado, 28% do património digital funciona com tecnologia obsoleta e a meta de resiliência original para 2030 já não é exequível.

O plano será implementado em três fases:

  • A Fase 1 (até abril de 2027) estabelece as bases: criação da GCU, implementação de quadros de responsabilização e publicação de um Plano de Resposta a Incidentes.
  • A Fase 2 (2027–2029) visa expandir o modelo através de um processo de tomada de decisões baseado em dados e de serviços de apoio centralizados.
  • A Fase 3 (a partir de abril de 2029) passa a centrar-se na melhoria contínua e na garantia proativa da cadeia de abastecimento.

Os departamentos e os seus fornecedores terão agora de demonstrar a conformidade com quadros de garantia estruturados – principalmente GovAssure e o NCSC Cyber Assessment Framework (CAF) – e adotar o Secure by Design .

O papel da verificação de identidade

O prefácio ministerial define o tom, referindo a verificação de identidade a par dos cuidados de saúde e das prestações sociais como parte da «infraestrutura essencial da vida britânica moderna». Mas é o que se passa nos capítulos operacionais que mais importa para os prestadores de serviços de identificação.

Em primeiro lugar, o Controlo de Identidade e Acesso é um resultado fundamental no âmbito do Quadro de Avaliação Cibernética – a norma pela qual todos os departamentos serão agora avaliados através do GovAssure. O Princípio B2 exige que os departamentos demonstrem que os utilizadores que acedem aos serviços são «adequadamente verificados, autenticados e autorizados». Não há dúvida: trata-se de um requisito de garantia mensurável com supervisão central.

Em segundo lugar, o plano identifica explicitamente a autenticação legada como uma vulnerabilidade sistémica. O património de sistemas legados não se resume apenas a servidores antigos – inclui as senhas, tokens de hardware e métodos de verificação baseados no conhecimento que ainda sustentam grande parte da infraestrutura de identidade do governo. A obrigação de substituir sistemas frágeis aplica-se diretamente aqui.

Em terceiro lugar, o novo modelo de responsabilização da cadeia de abastecimento implica que os fornecedores de identidade que prestam serviços ao governo enfrentarão um escrutínio crescente. Os fornecedores que prestam serviços em grande escala poderão ser designados como «estratégicos», estando sujeitos a parcerias formais com a GCU e a expectativas de garantia direta.

O efeito combinado é significativo: o mecanismo de garantia e aquisição torna agora mais difícil justificar soluções de identificação pouco seguras e mais fácil defender a adoção de soluções modernas e resistentes ao phishing. Para os fornecedores de identidade, essa é uma mudança mais significativa do que qualquer citação isolada num prefácio.

Resiliência + Segurança: Acompanhar as ameaças que não param

O plano define consistentemente o seu objetivo como «segurança cibernética e resiliência», tratando-os como elementos de igual importância. No entanto, a ênfase na resiliência é notável e representa aquilo a que o próprio plano se refere como «uma mudança cultural e operacional na forma como o governo encara a resiliência». Na prática, isto significa que o governo já não se limita a perguntar «será que conseguimos impedir o ataque?», mas também «será que conseguimos manter os serviços em funcionamento e garantir a sua fiabilidade quando algo corre mal?».

Isto tem implicações específicas para a identidade. Consideremos dois cenários:

  • O primeiro é a falha nos serviços. Incidentes não maliciosos, como a interrupção da CrowdStrike, são citados a par do ransomware e dos ataques patrocinados por Estados, porque o resultado final para os cidadãos é o mesmo: os serviços ficam indisponíveis e a confiança é minada. Os sistemas de identificação que não conseguem demonstrar uma arquitetura distribuída, redundância e recuperação rápida constituem agora um ponto único de falha que o plano visa explicitamente.
  • O segundo é o comprometimento da identidade. Cada vez mais, os ataques visam a confiança humana em vez de atacarem diretamente a infraestrutura. Por exemplo, um responsável financeiro pode receber uma videochamada convincente que parece ter vindo de um alto funcionário a solicitar autorização para um pagamento de emergência. As verificações baseadas em conhecimento, o reconhecimento do autor da chamada e a autenticação tradicional podem parecer válidas. A falha aqui não é a segurança do perímetro — é a incapacidade de verificar se a pessoa por trás da interação é realmente quem afirma ser. Trata-se de uma lacuna de resiliência, não apenas de segurança.

Para as equipas de aquisições, isto redefine os critérios de avaliação. A questão já não é apenas «isto é seguro?», mas sim «o que acontece quando algo falha — e podemos continuar a confiar naqueles com quem estamos a lidar?». Os sistemas de identidade que consigam demonstrar uma monitorização ativa de ameaças e uma recuperação rápida estarão em melhor posição para satisfazer as expectativas do plano do que as ferramentas antigas que o plano identifica explicitamente como vulneráveis.

O que o Plano Cibernético do Reino Unido não faz

É importante ter uma visão clara do âmbito deste plano. Este plano é do governo, para o governo. Não estabelece diretamente novos requisitos para o setor privado ou para as infraestruturas críticas nacionais – essa é a função do Projeto de Lei sobre Cibersegurança e Resiliência, apresentada no Parlamento no mesmo dia. O projeto de lei alarga as obrigações de resiliência aos fornecedores que prestam serviços ao governo nos setores da energia, água, cuidados de saúde e centros de dados, mas as suas implicações completas só se tornarão claras à medida que for avançando.

Vários analistas do setor também questionaram se 210 milhões de libras são suficientes, dada a dimensão do desafio. A estratégia de 2021 atribuiu 2,6 mil milhões de libras, mas continuam a existir problemas.

Na prática: o que significa para si o plano cibernético do Reino Unido?

Apesar dessas ressalvas, a tendência é inequívoca — e não apenas para os departamentos governamentais. Qualquer organização na cadeia de abastecimento do setor público sentirá os efeitos. Destacam-se três mudanças.

As normas centralizadas transformam o modelo de aquisição. Uma Unidade Cibernética do Governo que estabeleça normas interministeriais cria as condições para serviços partilhados e uma infraestrutura de identidade do tipo «criar uma vez, utilizar várias vezes». Os dias das aquisições fragmentadas, departamento a departamento, estão contados.

A apresentação de provas de conformidade torna-se um pré-requisito para a adjudicação de contratos. A transição para a conformidade com o GovAssure e o CAF significa que as equipas de adjudicação de contratos irão, cada vez mais, esperar que os fornecedores apresentem documentação de garantia previamente mapeada que demonstre a conformidade com normas de certificação reconhecidas internacionalmente. Vale a pena ter isto em conta numa fase inicial do planeamento, e não apenas na fase de celebração do contrato.

Os prazos para a substituição de sistemas legados estão a tornar-se cada vez mais apertados. Com os métodos de autenticação frágeis explicitamente identificados como vulnerabilidades sistémicas, as organizações que ainda dependem de palavras-passe, tokens de hardware ou verificação baseada no conhecimento devem começar já a planear os seus planos de transição, em vez de esperar que as exigências da Fase 2 entrem em vigor. A substituição dos sistemas legados é agora inevitável, e não apenas recomendada. Os departamentos que estão a substituir métodos de autenticação frágeis irão procurar cada vez mais parceiros capazes de acelerar transições seguras, reduzindo simultaneamente o risco operacional. Os sistemas de identidade que demonstrem resistência ao phishing, resiliência operacional e monitorização ativa de ameaças estarão mais bem alinhados com estes requisitos de migração.

Olhando para o futuro

O Plano de Ação Cibernética do Governo faz algo que as estratégias anteriores não faziam: integra a verificação de identidade no quadro central de garantia do governo, associa o desempenho cibernético à resiliência, em vez de apenas à conformidade, e cria um mecanismo centralizado de aplicação da lei com verdadeira responsabilização.

O plano reflete uma mudança mais ampla na visão do governo: a resiliência cibernética já não se mede apenas pela capacidade de impedir a entrada de atacantes, mas sim pela capacidade de manter a fiabilidade dos serviços críticos durante uma interrupção. Nesse contexto, os sistemas de identidade passam a ser parte da infraestrutura operacional, e não apenas camadas de autenticação.

Para quem está a planear o seu próximo ciclo de aquisições — seja no âmbito da administração pública ou na sua cadeia de abastecimento —, a questão já não é se se deve modernizar a autenticação, mas sim com que rapidez.

Os esforços políticos irão prosseguir, nomeadamente com o avanço do projeto de lei sobre cibersegurança e resiliência e a criação da própria GCU. Iremos acompanhar ambos de perto.

Explore o nosso mais recente Relatório de Inteligência de Ameaças 2026 para obter informações sobre o panorama de ameaças em constante evolução, ou entre em contacto para discutir como a sua organização pode alinhar-se com os novos quadros de garantia.

Perguntas frequentes sobre o Plano Cibernético do Reino Unido

P: O que significa o Plano de Ação Cibernética do Reino Unido para a verificação de identidade?
R: O plano torna o Controlo de Identidade e Acesso um resultado fundamental de garantia no âmbito do Quadro de Avaliação Cibernética (CAF). Os departamentos devem agora demonstrar que os utilizadores são «adequadamente verificados, autenticados e autorizados» através das avaliações GovAssure, e os métodos de autenticação tradicionais, como palavras-passe e tokens de hardware, são explicitamente identificados como vulnerabilidades sistémicas que requerem substituição.

P: O que é o GovAssure e como é que isso afeta os fornecedores do governo?
R: O GovAssure é o quadro de garantia cibernética do governo do Reino Unido, utilizado para avaliar os departamentos em relação ao Quadro de Avaliação Cibernética do NCSC. Ao abrigo do Plano de Ação Cibernética de 2026, 90% dos principais departamentos governamentais devem garantir que as suas cadeias de abastecimento cumprem estas normas até à Fase 2 (2027–2029). Os fornecedores que prestam serviços de identidade em grande escala podem ser designados como «estratégicos», sujeitos a parcerias formais com a Unidade Cibernética do Governo.