Pages - Menu

quarta-feira, 6 de março de 2013

Artigo de Opinião- CiberSegurança e CiberDefesa

Por: TCor Jorge Ralo
A cibernética é uma questão transnacional, com desafios próprios, que combina ameaças provenientes de atores estatais e não estatais, expõe as vulnerabilidades civis e militares, requer respostas civil-militares e público-privadas e está numa encruzilhada de questões legais, políticas, públicas e doutrinais.

O ambiente das ameaças coloca duas questões fundamentais, uma de ordem técnica e outra de ordem política. No plano técnico, a arquitetura subjacente ao ciberespaço privilegiou a abertura e facilidade da comunicação em detrimento da segurança. À medida que a cibernética foi fazendo parte do quotidiano, o espectro dos ciberataques evoluiu dos hacktivistas a alterar sites para o patamar da espionagem e do terrorismo, revelando vulnerabilidades do sistema. Por outro lado, o desenvolvimento da tecnologia da informação ultrapassou as estruturas políticas, legais e organizacionais necessárias para conter as ameaças cibernéticas. A mudança em curso para tecnologias móveis é o mais recente salto tecnológico que abre uma nova gama de vulnerabilidades. O resultado são os ataques cada vez mais frequentes às infraestruturas críticas dos estados, organizações e empresas que se traduzem em avultadas perdas económicas. Esta ameaça centrada nos estados é vista pela maioria dos analistas como mais grave do que a ameaça terrorista convencional.

Os ataques informáticos de que a Estónia e a Geórgia foram alvo, em 2007 e 2008 respetivamente, alertaram a comunidade internacional para esta nova realidade, expondo a urgência da definição de uma nova agenda global nesta área. Esta necessidade de articulação tem levado estados e organizações à criação de estruturas próprias de cibersegurança e ciberdefesa para lidar especificamente com as ciberameaças e ciberconflitos.

Por ciberdefesa entendem-se as atividades de monitorização, prevenção e resposta às ameaças que ponham em risco a soberania e a segurança nacional (ciberguerra) e cuja responsabilidade de resposta recai nas Forças Armadas. Na cibersegurança incluem-se as atividades de monitorização, prevenção e resposta às ameaças que ponham em risco o espaço de liberdade individual/coletiva e de prosperidade que ele constitui e cuja responsabilidade de policiamento deve caber às Forças de Segurança e aos Serviços de Informações. A diferença entre a ciberdefesa e a cibersegurança é, por vezes, muito ténue e, devido à natureza de algumas ameaças, acabam por se sobrepor numa larga percentagem. Um ataque a uma infraestrutura crítica nacional, rede elétrica por exemplo, abrange as duas esferas.

Face ao impacto disruptivo das ciberameaças e à necessidade de garantir o comando integrado das operações a desenvolver no ciberespaço, os Estados Unidos da América, em 2009, anunciaram a criação do US Cyber Command, assumindo de forma clara o ciberespaço como um novo domínio operacional, onde podem ser conduzidas operações militares. Seguindo a iniciativa norte-americana, a Alemanha anunciou pouco tempo depois o levantamento da sua estrutura nacional de cibersegurança e ciberdefesa, no âmbito da qual previa o levantamento e ativação de um comando militar para o ciberespaço. Mais recentemente, cerca de 30 países assumiram igualmente iniciativas neste domínio.

Paralelamente, a North Atlantic Treaty Organization (NATO) e a União Europeia (UE) têm vindo a desenvolver esforços similares. O novo Conceito Estratégico da NATO, aprovado na Cimeira de Lisboa em Novembro de 2010, definiu como prioritário o levantamento de uma capacidade de ciberdefesa da Aliança, dando início a um processo que culminou em Junho de 2011 com a aprovação da NATO Policy on Cyber Defence. Constituindo igualmente uma das principais lacunas identificadas no âmbito das capacidades militares da UE, foi recentemente desenvolvido o conceito de Computer Network Operations (CNO) que, entre outros aspetos, procura dar resposta aos desafios levantados pela ciberdefesa na UE.

Mas é sobretudo aos governos nacionais que cabe agir de modo a prevenir os incidentes e as ameaças cibernéticas através dos seus Computer Emergency Response Team (CERT), fazendo uma permanente monitorização das redes informáticas das suas infraestruturas críticas. Quer a NATO, quer a UE, esperavam que os "corpos digitais de bombeiros”, que são os CERT nacionais, entrassem em funcionamento até final de 2012. Portugal não cumpriu esta meta, apesar de a ter assumido como prioritária no início de 2012.

No quadro nacional, o “policiamento repressivo” já está perfeitamente consolidado do ponto de vista jurídico, no entanto, o “policiamento preventivo" ainda se encontra numa fase incipiente de produção normativa. Em fevereiro de 2012 foi anunciada a criação do Centro Nacional de Cibersegurança (CNC), no âmbito da Estratégia Nacional de Segurança da Informação e do Grupo de Projeto para as Tecnologias de Informação e Comunicação na Administração Pública. Em abril de 2012 foi aprovada em Conselho de Ministros a criação da Comissão Instaladora do CNC, com a missão de, até 30 de junho de 2012, definir as medidas e os instrumentos necessários à criação, instalação e operacionalização em Portugal do CNC. A proposta da comissão de instalação foi entregue a 14 de julho de 2012, mas a implantação de um centro de cibersegurança em Portugal continua a aguardar decisão governamental.

O Ciberespaço não é limitado nem alienável, constitui uma sociedade em rede e um domínio estratégico prioritário de defesa de valores e interesses nacionais. A construção de um futuro digital para Portugal exige uma Estratégia Nacional de Cibersegurança. Portugal tem obrigações internacionais nesta matéria e não tem motivo para continuar a adiar a decisão. Havendo necessidade de dar corpo à vertente de segurança pública no ciberespaço, a futura criação do CNC pode ter um papel determinante neste domínio, através do qual este tipo de ameaça pode ser prevenida, detetada e minimizada.

Sem comentários:

Enviar um comentário