Ciberespaço e cibersegurança no contexto da União Europeia: um verdadeiro desafio

i. Enquadramento

O ciberespaço configura-se como um campo sem limites, de cariz virtual[i], que ultrapassa as fronteiras de um Estado, desde logo, por força dos atores envolvidos. Nas palavras de ANA VAZ GERALDES, o ciberespaço é definido como “um espaço artificial regulado por um conjunto próprio de leis físicas, as quais permitem aos intervenientes, Estados-nação, organizações e indivíduos, comunicar, agir ou obter resultados sobre determinado objeto, de modo imediato, sem limitações de fronteiras (ou barreiras territoriais e materiais) e onde o utilizador pode agir despersonificado, não sendo controlável a sua identificação, como condicionante do acesso e utilização desse espaço”[ii].

Note-se, todavia, que o campo em apreço, entendido como espaço de ação e meio de comunicação, embora promova a inclusão política e social a nível mundial, derrube as barreiras entre as comunidades e permita a partilha de informações à escala global, contorna as certezas e a segurança do quotidiano, sendo várias as ameaças que se procuram agonizar. 

ii. Principais ameaças ao ciberespaço no contexto da União Europeia

Em virtude da interdependência das redes, da correlação das infraestruturas informáticas, do rápido crescimento da utilização da internet e da submissão global à ciberrealidade do mundo social, económico, político e militar, proliferou-se um número sem precedentes de ameaças no espaço cibernético. No seio das ameaças ilícitas, insere-se o cibercrime, a ciberespionagem e o ciberterrorismo, que passaremos de imediato a analisar.

a) Cibercriminalidade

Além das vulnerabilidades e das fraquezas informáticas, o ciberespaço é propício à cibercriminalidade, pois este, tratando-se de um espaço cuja acessibilidade é fácil, simples e económica, exponencia a facilidade de comunicação, planeamento, preparação e execução de crimes virtuais.

De acordo com a Comissão Europeia, os cibercrimes são definidos como atos ilegais, antiéticos ou não autorizados, “cometidos através de redes de comunicação eletrónicas e de sistemas de informação ou contra essas redes e sistemas”[iii],que afetam os direitos fundamentais dos cidadãos, ameaçam o Estado de Direito no ciberespaço e comprometem a estabilidade das sociedades democráticas. Os mesmos subsumem-se, segundo o mesmo órgão, a três categorias distintas, i.e, à categoria de crimes tradicionais (v.g crimes contra a honra ou o comércio de drogas); de crimes relacionados com o conteúdo (v.g violação do direito de autor ou difusão de pornografia infantil) e de crimes exclusivos de redes eletrónicas[iv].

Recorde-se, nesta sede, do ataque cibernético ocorrido em Maio de 2017, potencializado pelo ransomware WannaCry,que resultou no sequestro de ficheiros a troco de dinheiro em mais de uma centena de países[v] e no qual Jean-Claude Junker, atual presidente da Comissão Europeia, chamou a atenção para o facto de “os ciberataques pode[re]m colocar mais em perigo a estabilidade das democracias e da economia do que armas ou tanques de guerra.”[vi]

No mesmo ataque consumado foi empregue um vírus que, ao explorar uma vulnerabilidade no software do sistema Microsoft Windows, encriptou dados de vários usuários através de mensagens de correio eletrónico de phising, exigindo, em troca, o pagamento de uma quantia monetária – em bitcoins – para a desencriptação dos respetivos dados. Dos afetados, constam o sistema informático do Serviço Nacional de Saúde britânico, os caminhos-de-ferro alemães, as universidades italianas e as fábricas do grupo Renault.

O ataque ao e-government da Estónia, levado a cabo em 2007, configura outro exemplo prototípico de um cibercrime realizado num país da Europa. Através de botnets, foram paralisados os sistemas informáticos do mesmo país, o que condicionou em grande escala numerosas empresas do mesmo Estado.

b) Ciberespionagem 

O acesso livre e sem fronteiras das redes de informação conduz frequentemente a fenómenos de ciberespionagem. Esta é definida como o “roubo de segredos armazenados em formatos digitais ou em computadores e redes de Tecnologia de Informação”[vii], isto é, como o “uso de redes de computadores para obter acesso ilícito a informações confidenciais, tipicamente na posse de um governo ou de uma organização”[viii].Traduz-se, portanto, na exploração de falhas e vulnerabilidades tecnológicas, tendo como principal objetivo pressionar um Estado ou uma Organização e obter vantagens estratégias sobre terceiros.

A União Europeia já veio a ser vítima de ciberespionagem numerosas vezes, tendo se verificado a última situação a poucas semanas antes das eleições europeias de 2019. Na verdade, dois grupos de piratas informáticos com ligações à Rússia – FancyBeare Sandworn– tentaram aceder aos sistemas de vários governos europeus, usando a técnica de spear phising[ix], de modo a divulgarem informações que poderiam ser danosas para um ou mais partidos[x].

c) Ciberterrorismo 

O termo ciberterrorismo está geralmente associado a ataques e ameaças que, mediante recurso a meios informáticos, produzem prejuízos severos (v.g perdas humanas, prejuízos económicos, ataques contra redes e respetiva informação nelas armazenada) a infraestruturas críticas e a sistemas de informação, com o objetivo de sabotar ou controlar sistemas informáticos. 

Não obstante, várias são as noções apresentadas pela comunidade jurídica.

De acordo com ANA VAZ GERALDES[xi], o ciberterrorismo circunscreve-se à atividade terrorista praticada através do ciberespaço. A mesma afirma que o ciberespaço pode ser utilizado de duas maneiras distintas na prática do terrorismo, isto é, como “meio auxiliar” e/ou como “meio ou objeto direto do ataque terrorista”. No primeiro caso, faz-se uso das ciberatividades, entre as quais se destacam a propaganda, o recrutamento, as comunicações, a recolha de dados, a divulgação de informação e as transações comerciais; no segundo, recorre-se, designadamente, a práticas de angariação de fundos e de lavagem de dinheiro. De acordo com a mesma autora, o ciberterrorismo traduz-se num ato praticado por via informática – lícito ou ilícito – que visa “desestabilizar gravemente ou destruir as estruturas fundamentais, políticas, constitucionais, económicas ou sociais de um país ou de uma organização internacional”[xii].

No mesmo sentido, DOROTHY DENNING considera o ciberterrorismo como o conjunto de “ataques ilícitos e ameaças de ataques, contra computadores, redes e informação armazenada no seu interior, quando feitos para intimidar ou coagir um governo, ou as pessoas, na prossecução de objetivos políticos ou sociais”. Para que possa ser qualificado como ciberterrorista, a mesma refere que um ataque deverá causar danos suficientes para poder gerar medo. Citando a mesma, “ataques que levem à morte ou dano físico, explosões, queda de aviões, contaminações de água,  ou graves perdas económicas serão exemplos; ataques sérios contra infraestruturas críticas poderão ser [ou não] ataques de ciberterrorismo, dependendo do seu impacto; e os ataques que afetem serviços não essenciais ou que constituam apenas prejuízo sem outra gravidade que a material não são”[xiii].

Partindo da linha de orientação destes autores, é de atestar que o ciberterrorismo corresponde a uma modalidade de terrorismo que utiliza a informação como arma, método ou alvo. O mesmo implica a destruição física, a disrupção e a negação de serviço de equipamentos, sendo um ataque premeditado e politicamente motivado contra a informação e os sistemas informáticos.

Relembre-se, neste âmbito, do célebre caso do terrorista Stephan Balliet que, em Outubro de 2019, não só publicou na internet um manifesto a anunciar o alvo, as armas e o dia do atentado terrorista que ia levar a cabo na Alemanha, como também transmitiu em direito numa plataforma de live streamingo mesmo ataque[xiv]. Este é um dos casos mais paradigmáticos que refletiu o uso da internet como meio auxiliar do terrorismo.

iii. Cibersegurança na Europa: instrumentos e medidas legislativas

Face às ameaças cibernéticas que surgiram ao longo do tempo, a União procurou criar – a nosso ver, tardiamente – um conjunto de medidas dissuasoras.

Assim, a 7 de fevereiro de 2013, a Comissão e a Alta Representante, por via da Comunicação Conjunta ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões, clarificaram os princípios que devem servir de base à política da cibersegurança na União Europeia e fixaram como prioridades estratégicas a garantia da resiliência do ciberespaço, a redução da cibercriminalidade, o desenvolvimento de recursos industriais e tecnológicos para fazer face aos ciberataques e o estabelecimento de uma política internacional coerente no espaço cibernético. Para o efeito, os mesmos órgãos puseram ao dispor uma variedade de ferramentas políticas e promoveram o contacto entre os diferentes tipos de atores.

Não obstante, a ação da União não se esgotou num só ato, dado a mesma ter sentido a necessidade de reforçar a sua posição neste domínio. Deste modo, foi publicado, no dia 27 de Abril de 2016, o Regulamento Geral sobre a Proteção de Dados (doravante, RGPD)[xv], que fixou as regras relativas ao tratamento de dados pessoais dentro da União Europeia. O RGPD, procurando reforçar os critérios de privacidade e segurança dos titulares de dados pessoais através de uma política de privacy by design e de privacy by default, fixou o modo como deve ser dado o consentimento dos titulares dos dados, determinou o conjunto de informações que carecem de ser transmitidas aos respetivos titulares, estabeleceu o direito de retificação e consagrou o direito ao apagamento dos dados.

No mesmo dia, foi publicada a Diretiva (UE) nº 2016/681 do Parlamento Europeu e do Conselho relativa à utilização dos dados dos registos de identificação dos passageiros (doravante, PNR)[xvi], que visou prevenir e reprimir infrações terroristas e deter a criminalidade grave, de modo a reforçar a segurança interna da União Europeia. O PNR exigiu a transmissão de dados dos viajantes que chegam ou partem da União às companhias aéreas dos vários Estados Membros, dados esses que são constituídos por informações fornecidas pelos passageiros e recolhidas pelas transportadoras aéreas durante a reserva dos bilhetes (v.g nome, morada, número de telefone, número do cartão de crédito, bagagem e itinerário da viagem). O mesmo potencializou a criação de uma unidade de informações de passageiros (UIP), responsável pela recolha de dados PNR junto das transportadoras aéreas e pelo intercâmbio de dados PNR (artigo 4.º).

Mais tarde, no dia 19 de julho de 2016, foi publicada, no Jornal Oficial da União Europeia, a Diretiva (UE) n.º 2016/1148, do Parlamento Europeu e do Conselho, de 6 de Julho, que implementou um conjunto de medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação (Diretiva SRI)[xvii]. Este instrumento, com o intuito de alcançar um elevado nível de segurança das redes e dos sistemas de informação na União Europeia, obrigou os Estados Membros a adotarem uma estratégia nacional de segurança das redes e dos sistemas de informação (artigo 7.º/ 1), criou um grupo de cooperação a fim de apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-membros (artigo 11.º/1), criou uma Rede Europeia de Equipas de resposta a incidentes de segurança informática (CSIRT), a fim de contribuir para o desenvolvimento da confiança entre os Estados-Membros e promover uma cooperação operacional célere e eficaz (artigo 12.º/ 1) e estabeleceu a necessidade de adoção de requisitos de segurança e de notificação de incidentes para os operadores de serviços essenciais e para os prestadores de serviços digitais (artigo 16.º).

Volvido um ano, a Alta representante e a Comissão apresentaram uma célebre comunicação conjunta ao Parlamento Europeu e ao Conselho, intitulada de Resiliência, dissuasão e defesa: reforçar a cibersegurança na UE[xviii], que potencializou a criação de medidas concretas para ajudar a detetar qualquer tipo de ciberincidente contra a União Europeia e os seus Estados-Membros e a promover eficazmente a cibersegurança a nível mundial.

Finalmente, a 19 de Dezembro de 2018, foi aprovado pelos embaixadores dos Estados Membros da União a proposta de Regulamento sobre a Cibersegurança, que procurava “transformar a agência da União Europeia para a Segurança das Redes e de Informação (ENISA) numa agência da União para a cibersegurança com caráter permanente” e instituir um mecanismo destinado a criar sistemas europeus de certificação da cibersegurança.

iv. Estratégias a adotar no quadro da cibersegurança

Embora as medidas adotadas pela União Europeia no quadro da cibersegurança tenham sido múltiplas, a verdade é que as mesmas não foram suficientemente eficientes para fazer face aos desafios que se insurgem diariamente no plano europeu. Como refere VERA MARQUES DIAS, “a dispersão legislativa (...) tornou a sua apreensão e conjugação confusa e pouco clara. A legislação deve acompanhar a constante evolução das condutas que se vão adaptando aos sucessos investigatórios e sofisticando-se [sendo] essencial à eficácia do combate [aos desafios] a especialização, através de uma formação específica e especializada”[xix].

Na sequência do que foi dito, e procurando soluções coletivas, globais e transversais, parece ser de racionalizar as noções comuns de cibercriminalidade, ciberterrorismo, cibersegurança e ciberataques, para assegurar que as instituições e os Estados-Membros da União Europeia partilhem de uma definição jurídica comum.

De igual modo, parece necessário fomentar a criação de esquemas de parceria e cooperação que permitam viabilizar mínimos de segurança e melhorar a cooperação e a coordenação entre Estados Membros e instituições da União, dado o estabelecimento e a manutenção de alianças serem fundamentais para a prevenção e dissuasão de ciberataques. 

Paralelamente, parece ser crucial aumentar a capacidade e o grau de preparação dos Estados Membros aos fenómenos desencadeados pela abertura das redes de informação, reforçando, por conseguinte, o grau de sensibilização dos cidadãos e das empresas para as questões em apreço. De grande utilidade seria, como refere convenientemente VERA DIAS, “a criação de um website, preferencialmente sob a alçada da União Europeia, onde se compile e esquematize a principal informação, meios de prevenção e reação no âmbito da cibercriminalidade de forma clara,inteligível e apreensível de modo a que o interessado não se perca numa vasta e complexa rede de informação”[xx].

Por último, parece ser fundamental que as autoridades europeias tenham ao seu dispor recursos materiais e humanos adequados, sancionando todo o tipo de comportamento que lese a segurança da comunidade europeia.

v. Conclusão

Com o presente comentário, procurámos expor de forma suscita os principais desafios ao ciberespaço e alertar para a necessidade de a Comunidade Europeia unir esforços no sentido de assegurar um razoável nível de segurança a todos os seus Membros. Cabe agora, por fim, referir que é imprescindível que a União europeia e os respetivos Estados Membros façam da segurança uma prioridade em equilíbrio com a liberdade, com a privacidade e com o respeito pelos Direitos Humanos. A transnacionalidade das ameaças supra referidas impõe uma resposta conjunta que jamais poderá ser encontrada de forma isolada. É, por conseguinte, improtelável uma consciencialização e adaptação ao mundo digital e os desafios que o mesmo acata.

Trabalho realizado por: 

Ana Margarida Neves Cerqueira

56747

---

[i]Segundo a definição oferecida pelo Collins English Dictionary - Complete & Unabridged 2012 Digital Edition, o ciberespaço corresponde “a todos os dados armazenados num computador ou numa rede, representados como um modelo tridimensional através do qual um utilizador de realidade virtual se pode mover” (tradução nossa).

[ii]GERALDES, Ana Vaz, Ciberterrorismo: cenário de materialização, Revista da Faculdade de Direito da Universidade de Lisboa, Coimbra Editora, 2012, p. 43

[iii]Disponível em http://%20eur-lex.europa.eu/legal-content/PT/TXT/?iuri=CELEX%3ª52007DC0267, no dia 12/11/2019

[iv]Previstos na lei do cibercrime, disponível em http://app.parlamento.pt/webutils/docs/doc.pdf?path=6148523063446f764c324679595842774f6a63334e7a637664326c756157357059326c6864476c3259584d76574339305a58683062334d76634842794d544d794c5668664d53356b62324d3d&fich=ppr132-X_1.doc&Inline=truehttp://app.parlamento.pt/webutils/docs/doc.pdf?path=6148523063446f764c324679595842774f6a63334e7a637664326c756157357059326c6864476c3259584d76574339305a58683062334d76634842794d544d794c5668664d53356b62324d3d&fich=ppr132-X_1.doc&Inline=true, no dia 12/11/2019

[v]Notícia consultada emhttps://www.enisa.europa.eu/publications/info-notes/wannacry-ransomware-outburste em https://www.publico.pt/2017/05/14/tecnologia/noticia/ciberataque-atingiu-150-paises-temese-nova-vaga-na-segundafeira-1772109, disponível no dia 12/11/2019

[vi]Discurso consultado em https://www.itinsight.pt/news/seguranca/uniao-europeia-cria-agencia-de-ciberseguranca, no dia 12/11/2019

[vii]Disponível em http://lexicon.ft.com/Term?term=cyber-espionage, no dia 12/11/2019

[viii]Disponível emhttp://www.oxforddictionaries.com/definition/english/cyberespionage (em linha), no dia 12/11/2019

[ix]Golpe proveniente de um e-mail ou de uma qualquer outra comunicação feita por via eletrônica, direcionado a um indivíduo, organização ou empresa específicos.

[x]Notícia consultada em https://insider.dn.pt/em-rede/hackers-russos-eleicoes-europeias/15838/e https://www.cnbc.com/2019/03/21/russian-hackers-target-european-governments-ahead-of-election-fireeye.html, dia 12/11/2019

[xi]GERALDES, Ana Vaz, Ciberterrorismo: cenário de materialização, Revista da Faculdade de Direito da Universidade de Lisboa, Coimbra Editora, 2012, p. 55

[xii]GERALDES, Ana Vaz, Ciberterrorismo: cenário de materialização, Revista da Faculdade de Direito da Universidade de Lisboa, Coimbra Editora, 2012, p. 56

[xiii]DENNING, Dorothy, Cyberterrorism, Testimony before the special oversight panel of terrorism committee on armed services, US House of Representatives, 2000, p. 1

[xiv]Notícia consultada em https://www.cmjornal.pt/mundo/detalhe/terrorista-anunciou-ataque-em-sinagoga-na-internetno dia 12/11/2019

[xv]Disponível em: https://mydataprivacy.eu/wp-content/uploads/2017/07/Regulamento-Geral-Proteção-Dados.pdf, no dia 12/11/2019

[xvi]Disponível https://www.sg.mai.gov.pt/Noticias/Documents/Dir%20PNR%20de%2027%20Abr%202016.pdf, no dia 12/ 11/ 2019 

[xvii]Disponível  https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016L1148&from=PT, no dia 12/11/2019

[xviii]Disponível em https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52017JC0450&from=EN , no dia 12/11/2019

[xix]Dias, V. M., A ameaça do cibercrime numa sociedade ciberdependente, Investigação criminal, ciências criminais e forenses, Nº4, 2019, p. 152

[xx]Dias, V. M., A ameaça do cibercrime numa sociedade ciberdependente, Investigação criminal, ciências criminais e forenses, Nº4, 2019, p. 153

BIBLIOGRAFIA

BITTAR, Eduardo C. B., Regulação do ciberespaço, fronteiras virtuais e liberdade, revista de Economia e Direito, Vol. 17, nº 1-2, 2012

DENNING, Dorothy, Cyberterrorism, Testimony before the special oversight panel of terrorism committee on armed services, US House of Representatives, 2000

DIAS, Vera Marques, A ameaça do cibercrime numa sociedade ciberdependente, Investigação Criminal, Ciências Criminais e Forenses. IC3F, Lisboa, Nº 4 (Abril 2019)

GERALDES, Ana Vaz, Ciberterrorismo: cenário de materialização, Revista da Faculdade de Direito da Universidade de Lisboa, Coimbra Editora, 2012

GUERREIRO, Alexandre, O direito internacional e o combate ao terrorismo e ao ciberterrorismo, O direito internacional e o uso da força no século XXI, 2018

MARTINS, Ana Guerra, “Os Desafios Contemporâneos à Ação Externa da União Europeia – Lições de Direito Internacional Público II”, Almedina, 2018