Por: TCor Jorge Ralo
A cibernética é uma questão
transnacional, com desafios próprios, que combina ameaças provenientes de
atores estatais e não estatais, expõe as vulnerabilidades civis e militares,
requer respostas civil-militares e público-privadas e está numa encruzilhada de
questões legais, políticas, públicas e doutrinais.
O ambiente das ameaças coloca
duas questões fundamentais, uma de ordem técnica e outra de ordem política. No
plano técnico, a arquitetura subjacente ao ciberespaço privilegiou a abertura e
facilidade da comunicação em detrimento da segurança. À medida que a
cibernética foi fazendo parte do quotidiano, o espectro dos ciberataques
evoluiu dos hacktivistas a alterar sites para o patamar da espionagem e do
terrorismo, revelando vulnerabilidades do sistema. Por outro lado, o
desenvolvimento da tecnologia da informação ultrapassou as estruturas
políticas, legais e organizacionais necessárias para conter as ameaças
cibernéticas. A mudança em curso para tecnologias móveis é o mais recente salto
tecnológico que abre uma nova gama de vulnerabilidades. O resultado são os
ataques cada vez mais frequentes às infraestruturas críticas dos estados,
organizações e empresas que se traduzem em avultadas perdas económicas. Esta
ameaça centrada nos estados é vista pela maioria dos analistas como mais grave
do que a ameaça terrorista convencional.
Os ataques informáticos de que
a Estónia e a Geórgia foram alvo, em 2007 e 2008 respetivamente, alertaram a
comunidade internacional para esta nova realidade, expondo a urgência da
definição de uma nova agenda global nesta área. Esta necessidade de articulação
tem levado estados e organizações à criação de estruturas próprias de
cibersegurança e ciberdefesa para lidar especificamente com as ciberameaças e
ciberconflitos.
Por ciberdefesa entendem-se as
atividades de monitorização, prevenção e resposta às ameaças que ponham em
risco a soberania e a segurança nacional (ciberguerra) e cuja responsabilidade
de resposta recai nas Forças Armadas. Na cibersegurança incluem-se as
atividades de monitorização, prevenção e resposta às ameaças que ponham em
risco o espaço de liberdade individual/coletiva e de prosperidade que ele
constitui e cuja responsabilidade de policiamento deve caber às Forças de
Segurança e aos Serviços de Informações. A diferença entre a ciberdefesa e a
cibersegurança é, por vezes, muito ténue e, devido à natureza de algumas
ameaças, acabam por se sobrepor numa larga percentagem. Um ataque a uma
infraestrutura crítica nacional, rede elétrica por exemplo, abrange as duas
esferas.
Face ao impacto disruptivo das
ciberameaças e à necessidade de garantir o comando integrado das operações a
desenvolver no ciberespaço, os Estados Unidos da América, em 2009, anunciaram a
criação do US Cyber Command, assumindo
de forma clara o ciberespaço como um novo domínio operacional, onde podem ser
conduzidas operações militares. Seguindo a iniciativa norte-americana, a
Alemanha anunciou pouco tempo depois o levantamento da sua estrutura nacional
de cibersegurança e ciberdefesa, no âmbito da qual previa o levantamento e
ativação de um comando militar para o ciberespaço. Mais recentemente, cerca de
30 países assumiram igualmente iniciativas neste domínio.
Paralelamente, a North Atlantic Treaty Organization
(NATO) e a União Europeia (UE) têm vindo a desenvolver esforços similares. O
novo Conceito Estratégico da NATO, aprovado na Cimeira de Lisboa em Novembro de
2010, definiu como prioritário o levantamento de uma capacidade de ciberdefesa
da Aliança, dando início a um processo que culminou em Junho de 2011 com a
aprovação da NATO Policy on Cyber Defence.
Constituindo igualmente uma das principais lacunas identificadas no âmbito das
capacidades militares da UE, foi recentemente desenvolvido o conceito de Computer Network Operations (CNO) que,
entre outros aspetos, procura dar resposta aos desafios levantados pela
ciberdefesa na UE.
Mas é sobretudo aos governos
nacionais que cabe agir de modo a prevenir os incidentes e as ameaças
cibernéticas através dos seus Computer
Emergency Response Team (CERT), fazendo uma permanente monitorização das
redes informáticas das suas infraestruturas críticas. Quer a NATO, quer a UE,
esperavam que os "corpos digitais de bombeiros”, que são os CERT
nacionais, entrassem em funcionamento até final de 2012. Portugal não cumpriu
esta meta, apesar de a ter assumido como prioritária no início de 2012.
No quadro nacional, o
“policiamento repressivo” já está perfeitamente consolidado do ponto de vista
jurídico, no entanto, o “policiamento preventivo" ainda se encontra numa
fase incipiente de produção normativa. Em fevereiro de 2012 foi anunciada a
criação do Centro Nacional de Cibersegurança (CNC), no âmbito da Estratégia
Nacional de Segurança da Informação e do Grupo de Projeto para as Tecnologias de
Informação e Comunicação na Administração Pública. Em abril de 2012 foi
aprovada em Conselho de Ministros a criação da Comissão Instaladora do CNC, com
a missão de, até 30 de junho de 2012, definir as medidas e os instrumentos
necessários à criação, instalação e operacionalização em Portugal do CNC. A
proposta da comissão de instalação foi entregue a 14 de julho de 2012, mas a
implantação de um centro de cibersegurança em Portugal continua a aguardar
decisão governamental.
O Ciberespaço não é limitado
nem alienável, constitui uma sociedade em rede e um domínio estratégico
prioritário de defesa de valores e interesses nacionais. A construção de um
futuro digital para Portugal exige uma Estratégia Nacional de Cibersegurança.
Portugal tem obrigações internacionais nesta matéria e não tem motivo para
continuar a adiar a decisão. Havendo necessidade de dar corpo à vertente de
segurança pública no ciberespaço, a futura criação do CNC pode ter um papel
determinante neste domínio, através do qual este tipo de ameaça pode ser
prevenida, detetada e minimizada.
Sem comentários:
Enviar um comentário