O ciberespaço e a cibersegurança – desafios e soluções

-

O ciberespaço e a cibersegurança – desafios e soluções
INTRODUÇÃO

O Ciberespaço
A invenção da Internet, como uma rede mundial de computadores, veio confirmar as expectativas ao criar um novo espaço para a expressão, conhecimento e comunicação humana. Trata-se de um espaço que não tem existência física, apenas virtual.
 ANA GUERRA MARTINS entende o ciberespaço como um domínio de operações no qual os atores internacionais se têm de defender tão eficazmente como se fosse no ar, na terra ou no mar.
O espaço cibernético intensificou transformações sociais nos mais diversos campos da atividade humana. No campo da produção de mercadorias, surgiram as empresas virtuais que têm a Internet como base de atuação, mas também ocorreram importantes alterações socioculturais e políticas que atingiram os principais meios de comunicação, em decorrência do aceleramento dos meios de comunicação e de informação. Assim sendo, com o ciberespaço constituiu-se um novo espaço de sociabilidade, que não é presencial e que possui impactos importantes na produção de valor, nos conceitos éticos e morais e nas relações humanas.
 Ao abrirmos o Mundo para esta nova realidade sem fronteiras, levanta-se a problemática da segurança, sendo que qualquer pessoa ou, inclusive, um programa virtual pode interagir tendo, muitas vezes, propósitos de cariz duvidoso.

DESENVOLVIMENTO

Cibersegurança
 A Cibersegurança é definida como a garantia de fiscalização e policiamento do ciberespaço de forma a garantir uma eficaz reação à prática criminosa no mesmo.
Deste modo, a problemática da cibersegurança gira em torno do valor da informação. A cibersegurança, que envolve as forças de segurança, refere-se ao combate do cibercrime e ao hacktivismo.
Relativamente ao cibercrime[1], podemos defini-lo como qualquer prática criminosa que tenha associada à sua realização, ou como meio, um aspeto cyber ou o recurso à utilização de computadores.
Por sua vez, o hacktivismo[2] é um conceito amplo, que alia o ativismo ao uso de métodos de hacking, normalmente declarados como ilegais, mas em que a ideia principal é a de transmitir uma mensagem a um maior número de pessoas.[3] Temos ainda a cibersegurança ligada aos serviços informáticos, ou seja, a ciberespionagem e o ciberterrorismo.
A ciberespionagem trata uma variante da espionagem tradicional - é levada a cabo pelos Estados e tem como foco recolher informações que possam conceder uma vantagem estratégica sobre terceiros.
Já o ciberterrorismo, para que seja considerado como tal, tem de observar dois critérios cumulativos: o de apresentar uma motivação política e o de desencadear um resultado destrutivo fisicamente visível.

Consequentemente, uma vez confrontados diariamente com problemas relativos a este campo - quer seja por um medo irracional do desconhecido, quer seja porque efetivamente existem ameaças reais - a metodologia da ciberdefesa tem de ser feita tanto no plano nacional, como no internacional.

Contextualização no Plano Internacional (em geral)
A nível internacional, temos o Computer Emergency Response Team (CERT). Por sua vez, o CERT tem como missão resolver problemas relativos à segurança cibernética e vulnerabilidades de segurança de pesquisa em produtos de software, com o intuito de contribuir para mudanças a longo prazo nos sistemas em rede. Desenvolvem, ainda, ferramentas, produtos e métodos para ajudar as organizações a realizar exames forenses, analisar vulnerabilidades e monitorar redes de grande escala.
A nível nacional, apresenta-se o Centro Nacional de CiberSegurança (CNCS)[4]. O CNCS tem como missão, de acordo com o respetivo Decreto-Lei, implementar as medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de situações que, face à iminência ou ocorrência de incidentes ou ciberataques, ponham em causa o funcionamento dos organismos do estado, das infraestruturas críticas e dos interesses nacionais e apostar claramente numa estratégia de prevenção, sensibilizando e educando as organizações em particular e a sociedade civil em geral para as questões da cibersegurança, contribuindo desta forma para a criação de uma comunidade de conhecimento e de uma cultura nacional de cibersegurança.
No plano europeu, a Comissão Europeia, em 1999, lançou a iniciativa eEurope destinada a garantir que a União Europeia tire partido da evolução associada à Sociedade da Informação e adotou medidas destinadas a enquadrar e limitar os riscos associados – designadamente, um plano de ação destinado a promover uma utilização segura da Internet e a combater as mensagens com um conteúdo ilícito e prejudicial.

A União Europeia (em especial)
 A nível europeu, a ENISA - European Union Agency for Network and Information Security - criada em 2004, é a agência especializado em cibersegurança. Tem como missão contribuir para segurança cibernética na Europa, aumentando a consciência da segurança das redes e da informação e para desenvolver e promover uma cultura, das redes e da informação na sociedade em benefício dos cidadãos, consumidores, empresas e organizações do sector público em a União[5]. A ENISA é também responsável pela elaboração de relatórios que permitam visualizar as diferentes situações que ocorrem no ciberespaço, fornecendo, a cada Estado-Membro, conselhos e soluções para os problemas que possam surgir.[6]  A ENISA trabalha, ainda, no desenvolvimento e implementação da política e da legislação da União Europeia sobre questões relativas à cibersegurança.
Em 2013, foi criado o EC3 – European Cybercrime Centre, apesar de, em 2010, a Comissão já ter anunciado a sua intenção de o criar.[7]  Este organismo, que surgiu da crescente preocupação e ameaça da possibilidade de cibercrime na União Europeia, está sob a alçada da Europol, surgindo a sua relação com a ENISA da capacidade que o EC3 dispõe de regular as medidas protocolarmente definidas por esta entidade. O EC3 tem como objetivos o fortalecimento da resposta da aplicação da lei da criminalidade informática na União Europeia e ajudar a proteger os cidadãos europeus, empresas e governos. Tem como principal campo de ação o auxílio aos Estados-Membros, para que estes consigam extinguir redes de cibercrime relacionadas com o abuso sexual de crianças, fraude informática, intrusões e botnets.
A ENISA apoia o trabalho desenvolvido pelo EC3, tendo um papel de mediador e auxiliando na articulação e aplicação da lei entre os estados-membros, respeitante à prevenção e combate ao cibercrime.

Ainda em 2013, é emitida pela Comissão Europeia e pela Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança (ARUNEPS) a Comunicação Conjunta ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social e ao Comité das Regiões, que lançou a Estratégia da União para a Cibersegurança: um ciberespaço aberto, seguro e protegido.
Este documento de soft law representou um avanço significativo do Direito da União Europeia[8], na medida em que pretende detetar problemas e definir soluções para o desafio que é o ciberespaço, no âmbito europeu.
Partindo do postulado da importância do ciberespaço para o desenvolvimento do espaço europeu, a Estratégia sinaliza problemas que o mesmo pode colocar e propõe soluções para enfrentar os desafios colocados por este novo espaço que é de crescimento e, ao mesmo tempo, de ameaça.
Começa, desde logo, por alertar para o aumento dos incidentes no mundo cibernético, referindo que os mesmos, sejam intencionais ou acidentais, estão a aumentar a um ritmo alarmante e poderão perturbar a prestação de serviços essenciais que consideramos garantidos, como a água, os cuidados de saúde, a eletricidade ou os serviços móveis. Prossegue, referindo que (a)s ameaças podem ter origens diversas — nomeadamente ataques criminosos, politicamente motivados, terroristas ou patrocinados por Estados, assim como catástrofes naturais e erros involuntários.
Para além disso, (n)os países não pertencentes à UE, os governos podem também utilizar de forma abusiva o ciberespaço para a vigilância e o controlo dos seus próprios cidadãos.
Detetados estes desafios, a Comissão Europeia e a Alta Representante da União Europeia para os Negócios Estrangeiros e a Política de Segurança (ARUNEPS), concluem pela necessidade de a União intensificar a sua ação neste domínio, contribuindo, com isso, para a segurança e o bom funcionamento do mundo digital e, consequentemente, para proteção dos cidadãos e da democracia.

Mais recentemente ainda, a 13 de setembro de 2017, a Comissão e a Alta Representante apresentaram outra Comunicação Conjunta ao Parlamento Europeu e ao Conselho, propondo soluções mais concretas de combate aos problemas.
Por sua vez, a 8 de Junho de 2018, o Conselho definiu a sua orientação geral sobre o Regulamento de Cibersegurança e, a 13 de setembro de 2018, iniciou as negociações com o Parlamento Europeu para chegar a acordo sobre o regulamento em questão até ao final do ano.

Finalmente, em outubro de 2018, o Conselho Europeu fez um apelo à adoção de medidas destinadas a desenvolver uma cibersegurança sólida na União Europeia, de modo a criar medidas restritivas capazes de responder e dissuadir os ciberataques, baseado no pacote de reformas em matéria de cibersegurança que tinha sido apresentado pela Comissão Europeia e pela Alta Representante em Setembro de 2017.
Conclui-se assim, que a União Europeia está, neste momento, a estudar formas para se defender cada vez melhor dos ciberataques e para solucionar os diferentes e recentes problemas que se colocam no ciberespaço.

Portugal (em especial)
                Só em 2009, volvidos 8 anos sobre a assinatura da Convenção sobre o Cibercrime, de 23 de Novembro de 2001, é que o conceito de cibercrime teve acolhimento legal em Portugal, através da Lei n.º 109/91 - a denominada Lei da Criminalidade Informática - que acabou por ser revogada pela Lei n.º 109/2009, de 15 de Setembro - a Lei do Cibercrime - atualmente em vigor.
Quando o assunto é o cibercrime, estamos perante um problema que ultrapassa as fronteiras físicas, e por essa razão, devem-se concertar-se meios, a nível mundial, para combatê-lo de forma eficaz. Conforme o disposto no artigo 20º da Lei n.º 109/2009, de 15 de Setembro, as autoridades nacionais competentes cooperam com as autoridades estrangeiras competentes para efeitos de investigações ou procedimentos respeitantes a crimes relacionados com sistemas ou dados informáticos, bem como para efeitos de recolha de prova, em suporte eletrónico, de um crime, de acordo com as normas sobre transferência de dados pessoais, previstas na Lei n.º 67/98, de 26 de Outubro.[9] Portugal está também obrigado, de acordo com o princípio da solidariedade, presente no artigo 32.º do Tratado da União Europeia, a auxiliar e a cooperar com os Estados-Membros em matéria de segurança.
Em 2014, foram criados o Centro Nacional de Cibersegurança, pelo Decreto-Lei Nº 69/2014 (9 de Maio) e o Centro de Ciberdefesa, pelo Decreto-Lei 184/2014 de 29 de Dezembro. A Lei Orgânica do EMGFA[10], Decreto-Lei 184/2014 de 29 de Dezembro, criou a Direção de Comunicação e Sistemas de Informação (DIRCSI). De acordo com o seu artigo 30º, a DIRCSI tem, entre outras atribuições concedidas nesse artigo, como principal missão planear, estudar, dirigir, coordenar e executar as atividades inerentes aos sistemas de informação (SI) e tecnologias de informação e comunicação (TIC) necessários ao exercício do comando e controlo nas Forças Armadas.
Todavia, as expectativas, no que concerne à ciberdefesa em Portugal, são elevadas dado que se prevê que, em 2019, comece a funcionar, em Oeiras, a Escola de Comunicações e de Sistemas de Informação da NATO, que terá um grande impacto no reforço da capacidade de ciberdefesa de Portugal. Trata-se de uma grande oportunidade para o nosso País avançar na vanguarda mundial da ciberdefesa.

NATO
A 10 de Fevereiro de 2016, a NATO e a UE assinaram um acordo histórico com o intuito de combater o cibercrime e outras ameaças híbridas. Ou seja, a NATO e a UE decidiram tomar medidas conjuntas, de modo a que as equipas de ambas as instituições possam dar uma resposta mais eficaz em caso de emergência.
Para que tal seja concretizável, ficou acordado a criação de um quadro estruturado que facilite a troca de informações e a partilha de práticas mais avançadas. Tal estreitar de relações entre a UE e a NATO, no âmbito da ciberdefesa e do cibercrime, teve como pilar a realização em Portugal, no ano de 2015, da 1ª Conferência NATO dos Projetos de Smart Defense na área da Ciberdefesa[11]. Esta conferência apresenta como objetivo aprofundar o desenvolvimento de sinergias e discutir futuras iniciativas conjuntas dos projetos da NATO, referentes à Smart Defense e à comunidade cibernética em geral.
As principais conclusões a retirar são as de que se devem criar projetos multinacionais, dado que estes fornecem uma opção de baixo custo para as nações aliadas adquirirem meios e capacidades para prosseguirem os seus fins que, por serem nacionais, não são elegíveis para o cofinanciamento da NATO. Deve, igualmente, criar-se uma ciberdefesa interseccional, na qual possamos encontrar várias áreas de atuação. Note-se que todas estas medidas têm como intuito promover e fomentar a cooperação internacional em ciberdefesa e, por conseguinte, o desenvolvimento de capacidades entre os aliados e as nações parceiras da NATO.
Neste sentido, o Comité da NATO, de Março de 2016, estabeleceu, como linhas orientadoras, melhorar as compatibilidades cibernéticas, aumentar a compreensão das ameaças e estabelecer uma compreensão das estruturas cibernéticas, para que se possam adotar as práticas mais adequadas. Todavia, desde 2008 que a NATO dispõe de um exército - o Cyber Coalition - dedicado à defesa cibernética.

Estudo de Caso: Ataque Cibernético à Geórgia
O ataque cibernético à Geórgia ocorreu em agosto de 2008 e foi articulado com a invasão territorial Russa. É, assim, visto como o primeiro caso de articulação de um ataque no domínio do ciberespaço com as operações militares nos restantes domínios. Três semanas antes da guerra “física” entre a Geórgia e a Rússia, assistiu-se ao despoletar de uma série de ciberataques contra websites georgianos.
O alegado ataque Russo contra as redes de comunicação governamentais e militares georgianas, foi extremamente bem-sucedido: conseguiu concretizar o ataque a 54 websites georgianos relacionados com comunicações, finanças e governo de tal modo que, enquanto se davam as invasões territoriais e os bombardeamentos, os cidadãos georgianos não conseguiam aceder a informação nem a possíveis instruções, ficando assim bastante debilitados, perante a rápida investida russa.
A um nível estratégico, o ciberataque de reconhecimento russo começou a ser discutido em websites e chat rooms várias semanas antes dos conflitos. Em julho, foi efetivado um ataque, por hackers russos, ao website presidencial georgiano. No início de Julho, um investigador em Massachusetts identificou um ciberataque contra a Geórgia, verificando um grande fluxo de dados direcionado a websites governamentais georgianos que continham a mensagem win+love+in+Rusia. Segundo peritos técnicos informáticos, estes ataques de julho terão sido um ensaio geral para a ciberguerra que iria acompanhar a invasão russa.
Outro aspeto fundamental foi o nível de precisão e coordenação das operações no ciberespaço com os objetivos estratégicos do governo russo. A nível tático e operacional, as localizações geográficas específicas foram definidas como alvo no domínio do ciberespaço, ainda antes das operações no domínio físico, e assim que as operações no solo tiveram início, os ciberataques (previamente preparados) também foram lançados.
No domínio do ciberespaço, as operações conduzidas pela Rússia conseguiram degradar a habilidade governamental georgiana de comunicar, tanto internamente como com o mundo exterior.
Em suma, a Rússia demonstrou que o governo da Geórgia não era capaz de defender o seu território soberano, quer no domínio físico quer no ciberespaço.


CONCLUSÃO
Posto isto, parece ficar, assim, demonstrado que as operações conduzidas no ciberespaço são consideradas, de um modo legítimo, tão importantes como aquelas conduzidas nos restantes domínios, e que se encaixam perfeitamente como um meio e parte da estratégia para atingir objetivos geopolíticos.
Assim, numa sociedade que tende a evoluir do plano físico para o plano virtual, afigura-se necessário esforços da União Europeia e dos restantes Estados no sentido de assegurar no plano virtual, pelo menos, o mesmo nível de segurança que nos é atualmente oferecido no mundo físico, sob pena de se abrir espaço para a realização de crimes ainda mais graves do que os cometidos nos dias de hoje no plano físico.


BIBLIOGRAFIA
- ANA MARIA GUERRA MARTINS, Os Desafios Contemporâneos à Ação Externa da União Europeia – Lições de Direito Internacional Público II, Almedina, 2018;
- ANA MARIA GUERRA MARTINS, Manual de Direito da União Europeia, Almedina, 2012;
- Reforma da cibersegurança na Europa, Conselho Europeu Conselho da União Europeia, 12/11/2018, disponível em URL: https://www.consilium.europa.eu/pt/policies/cyber-security/.


Pedro Faria
Nº 56791 / Turma B / Subturma 9

[1] Este pode ser relativo a conteúdos, violação da confidencialidade e dados pessoais, burla informática e de telecomunicações, falsidade informática, dano e sabotagem, acesso ilegítimo, ou de autodeterminação (nomeadamente o cyberbullying e o cyberstalking).
[2] O hacktivismo desdobra-se em quatro tipos de atividades: os Hackers - os que criam e libertam malware -, os Phreakers - que praticam burlas e intrusões em redes de comunicações -, os Crackers - que removem as proteções de determinados programas com o intuito de os tornar acessíveis a todos - e os Criptoanarquistas - que são especialistas em criptografia e desenvolvem métodos de proteção de comunicações ou ações maliciosas no ciberespaço.
[3] Este conceito não se pode confundir com o ativismo, em que há uma utilização legítima da Internet para difundir informações.
[4] Estabelecido através do Decreto-Lei Nº 69/2014 (9 de Maio).
[5] Artigo 1º/1 do Regulamento ENISA (EU) Nº 526/2013.
[6] Isto, inclui os exercícios europeus de cibersegurança, o desenvolvimento de estratégias nacionais de segurança cibernética, estudos sobre a adoção da nuvem segura, abordando questões de proteção de dados, tecnologias e privacidade reforço da privacidade das novas tecnologias, entre outros.
[7] Na Estratégia de Segurança Interna da UE em Ação  (IP/10/1535 e MEMO/10/598), adotada em 22 de novembro de 2010 pela Comissão.
[8] Ainda que não consubstanciando um documento jurídico vinculativo.
[9] Esta ideia também está patente no n.º 1 do Artigo 25.º da Convenção sobre o Cibercrime, aprovada em Resolução da Assembleia da Republica N.º 88/2009, de 15 de Setembro.
[10] Estado-Maior General das Forças Armadas.
[11] 1st NATO Cyber Defense Smart Defense Project Conference, que teve continuidade.

Comentários

Enviar um comentário

Mensagens populares deste blogue

Adesão da Turquia à União Europeia: processo e problemas

-
* Laura Eva Marçal Pires Dias, Nº56859 I. Introdução             A Turquia tem sido um parceiro crucial para a União Europeia, mas também um país candidato à sua adesão. O diálogo e a cooperação verificaram-se em domínios de interesse comum, nomeadamente na forma eficaz como abordaram a matéria de migração e o forte apoio da UE aos refugiados. No entanto, este país continuou a afastar-se cada vez mais da União Europeia, com um sério recuo nos domínios do Estado de direito e dos direitos fundamentais, e devido ao enfraquecimento dos mecanismos de equilíbrio de poderes a nível do sistema político resultante da entrada em vigor de alterações à Constituição. Em junho de 2018, o Conselho observou unanimemente que as negociações de adesão com a Turquia tinham chegado a um impasse, não podendo ser ponderada a abertura nem o encerramento de qualquer novo capítulo. II. Enquadramento histórico A aproximação da Turquia à União Eur...
Ler mais

Análise Comentada do Acórdão do TJUE de 5-12-2017, proc. C-600/14 : As Atribuições de competência e a cooperação leal na atuação externa da União Europeia

-
Acórdão do TJUE de 5-12-2017, proc. C-600/14 [1] Sumário: I. Introdução; II. Atribuição de competências da UE no âmbito de um acordo internacional; III. Principio da Cooperação Leal no âmbito da atuação externa da União; IV. Conclusão I.     Introdução A União Europeia (UE), diferentemente dos Estados, não possui competência própria (inerentes à sua natureza), uma vez que não dispõe de Kompetenz- Kompetenz , facto que justifica que as atribuições de que dispõe são-lhe conferidas pelos Estados, tal como resulta do artigo 4º,nº1 do TUE. Para uma delimitação precisa das atribuições da UE, em matérias de ação interna como externa [2] , por força do atual artigo 5º TUE, recorremos ao chamado “Principio da Atribuição (ou da Especialidade)” que “implica a determinação precisa do fins justificativos do reconhecimento da personalidade jurídica, bem como um ajustamento funcional do exercício da capacidade aos fins a atingir” [3] . Cumpre, atendendo ao acór...
Ler mais

Special Rapporteur e a Influência Recíproca entre a União Europeia e a ONU

-
O Special Rapporteur é um cargo de alta especialidade integrado no âmbito das Nações Unidas. A sua atuação tem, cada vez mais, um papel fulcral para a clara e real representação dos problemas mundiais, servindo muitas vezes como base para a tomada de decisões no contexto internacional. Mas o que é o Special Rapporteur ao certo? E de que modo se relaciona com a atuação da ONU e da União Europeia? 1.       O papel da ONU no contexto internacional  Sendo o Special Rapporteur um cargo especial integrante da ONU, ainda que atuando de forma independente, é relevante considerar, por breves momentos, o papel das ONU no contexto internacional. A ONU é hoje a organização internacional com mais relevo no contexto internacional. O seu papel é essencial para garantir uma cooperação reforçada entre os vários Estados membros e a paz intergovernamental.  A sua relevância surge ligada ao seu elevado número de estados-membros, permitindo-se uma participa...
Ler mais