"Não há sistemas de cibersegurança perfeitos"

Café com... LINO SANTOS

"Não há sistemas de cibersegurança perfeitos"

0 coordenador do Centro Nacional de Cibersegurança, organismo público que zela pela utilização do ciberespaço, considera que os portugueses são utilizadores atentos da Internet. Mas deixa vários conselhos para uma experiência online com menos riscos.

texto Nuno Estêvão

Vivemos rodeados de serviços vitais, com base informática. Estamos preparados para nos defendermos de um ciberataque? Ninguém pode dizer que está preparado para responder de forma eficaz a um ataque. Temos um conjunto de entidades que coopera entre si, de forma muito estreita, para poder colocar em prática essa reação. O Centro Nacional de Cibersegurança (CNCS) atua numa lógica multifacetada de garantir a continuidade de atividade após um ciberataque a uma organização; a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica, da Polícia Judiciaria, identifica os autores e leva-os à justiça; os Serviços de Informações dãonos o contexto do que se está a passar; e o Centro de Ciberdefesa, do Estado-Maior das Forças Armadas, atua se o ataque tiver uma dimensão que ameace o interesse nacional. Temos as capacidades necessárias, dentro das melhores práticas, para reagir a um incidente de grande dimensão.

Há sistemas de cibersegurança perfeitos ou também aqui os criminosos andam um passo à frente das autoridades?

Não, obviamente que não há sistemas perfeitos. Tal como acontece no 'mundo físico', a capacidade humana tanto é capaz de desenvolver e inovar, como de tirar proveito das novas tecnologias para práticas ilícitas e criminais.

Como avalia o conhecimento dos portugueses em relação à sua cibersegurança quotidiana, na utilização do computador, telemóvel e redes sociais, por exemplo?

É muito difícil responder, de uma forma concreta, se os cidadãos têm os comportamentos mais seguros, se estão preparados e sensibilizados. Nós estamos a trabalhar na criação de um Observatório de Cibersegurança para que possamos medir com diferentes lentes as componentes social; económica; legal e ética; relativa aos conflitos e riscos; e de políticas públicas na área da cibersegurança. O objetivo é, de uma forma sistemática, recolher indicadores que nos permitam responder eficazmente à pergunta 'Portugal está ou não ciberseguro?

Julgo que os portugueses estão em alerta - temos o exemplo recente da aplicação FaceApp [que envelhece o rosto de uma pessoa numa fotografia], que de alguma forma viola a privacidade de quem a utiliza, e a mediatização que houve mostra que a sociedade está alerta. Temos de dar resposta a estes cidadãos e ter instrumentos que possam melhorar a reação, a sua forma de estar neste ciberespaço. Essa é a nossa área de ação: sensibilização, treino e capacitação nacional. Não basta estar alerta, há que saber o que fazer para melhorar os níveis de cibersegurança.

No site do CNCS é possível fazer-se um curso online de cibersegurança...

Sim, está em cncs.gov.pt. É gratuito e dura entre quatro a cinco horas. Qualquer pessoa pode e deve fazê-lo para ganhar os comportamentos de cibersegurança. O curso explica como devemos lidar com passwords, porque devemos fazer backups da nossa informação e manter as aplicações atualizadas, quais os cuidados a ter com os downloads de aplicações ou software da Internet, que utilização devemos dar a uma pen, cuidados com as redes públicas abertas, etc. É um conjunto de 15 boas práticas que qualquer cidadão deve ter. Em relação às empresas, ao nível da capacitação, estamos a trabalhar com uma abordagem de modelos maturidade. Publicámos em junho um quadro de referência para a cibersegurança e em cima disso vamos produzir em outubro quatro modelos de maturidade: deteção, prevenção, reação a ciberincidentes e gestão da segurança da informação. Com estes modelos vamos ter um site onde qualquer empresa pode, respondendo a um questionário, fazer uma autoavaliação do seu grau de maturidade. Mas mais do que isso, em relação ao que 'podemos fazer', vamos ter instrumentos e ações de formação - estamos, por exemplo, a trabalhar com universidades e politécnicos para ter uma oferta formativa específica sobre como crescer em maturidade em cibersegurança. A nossa aposta é esta abordagem direcionada para cidadãos e empresas.

Qual é o risco real de sofrermos um ciberataque em nossa casa?

Se as pessoas adotarem um conjunto de comportamentos mínimos - ter o software dos dispositivos permanentemente atualizado, passwords seguras, comportamentos de navegação que evite sites não confiáveis e uma firewall ligada - os riscos são diminutos.

Hoje, muita da informação sobre a nossa vida pode estar concentrada no telemóvel. Como podemos proteger a nossa privacidade?

O princípio é o mesmo, mas no caso dos telemóveis existe uma mistura muito grande entre a utilização de lazer e trabalho. Em muitos casos, não devemos misturar estas duas funções. Se no telemóvel lidarmos com informação sensível para o negócio ou atividade, devemos evitar a utilização do dispositivo para efeitos de lazer. De uma forma geral, é aconselhável ter muito cuidado com os downloads e as aplicações que instalamos no telemóvel. Devemos utilizar apenas as lojas de apps oficiais e avaliar os comentários na Internet sobre a app que estamos a descarregar.

E as empresas estão preparadas para cibe rataques?

O nosso tecido económico é composto maioritariamente por pequenas e médias empresas (PME). Se voltarmos atrás e falarmos de sensibilidade para o tema, praticamente todas têm. A cibersegurança tem estado nas capas dos jornais nos últimos anos. Todas as semanas aparecem notícias em que o tema é a ciberintrusão, empresas que vão à falência por causa de ciberataques ou que foram alvo de esquemas de extorsão (como o ransomware). Eu diria que só quem não é deste mundo é que não está sensibilizado para o tema da cibersegurança.

Exatamente por termos um grande número de PME queremos perceber se elas sabem como se preparar e daí os instrumentos que estamos a desenvolver - os modelos de maturidade e a política de 'divulgação responsável', esta última com a Procuradoria-Geral da República e a Associação Portuguesa para a Promoção da Segurança da Informação. É importante dizer qual o caminho que as PME devem prosseguir, porque a maioria delas está na fase de transformação digital. Normalmente, os empresários pensam nos benefícios da entrada da empresa no mercado global que é a Internet, ou seja os canais do e-commerce, mas ao mesmo tempo devem perceber que esse passo também traz riscos, que colocam em causa a fiabilidade da sua organização, e obriga a um investimento em cibersegurança. Face a isto, pode haver uma decisão de não avançar para a transformação digital. Essa hipótese terá de ser avaliada pelo empresário. E é isso que falta: dar os instrumentos às empresas para que possam medir esse risco, e se optarem por seguir o processo de inovação, saber se têm os instrumentos necessários para diminuir ou mitigar o risco de sofrerem um ciberataque.

Numa sociedade em que a informação é valiosa, para termos acesso a conteúdos grátis temos de aceitar ceder parte da nossa privacidade. Será que os cidadãos estão cons cientes disso?

O negócio das apps tem três modelos mais comuns. Num deles, a app tem um preço associado e o que estamos a pagar é uma licença que pode ser temporária ou perpétua. Noutro modelo, a app é gratuita, mas a sua funcionalidade é restrita. E se quisermos ter acesso a toda a funcionalidade há um custo associado que paga o trabalho de desenvolvimento. Por fim, o terceiro modelo corresponde às apps que são completamente gratuitas. Estas, por norma, têm um modelo de negócio associado que tem a ver com a recolha de dados sobre o utilizador.

Os dados recolhidos podem ser para a própria entidade poder melhorar a sua oferta comercial noutras apps - essas pagas - ou para serem vendidos a terceiros. A ideia é que devemos ter sempre presente de que se uma app é gratuita os nossos dados poderão estar em causa. Então, temos de fazer a escolha e concluir se a função que estamos a instalar no nosso dispositivo vale a exposição que estamos a dar àquela empresa e, eventualmente, a terceiros.

Quais são os principais problemas de cibersegurança reportados ao CNCS?

O cert.pt [nr.: serviço do CNCS que coordena a resposta a ciberincidentes] trata de todo o tipo de casos, desde simples spam a coisas mais complexas, como ações de espionagem ou sabotagem. Quanto a tendências, observamos que a maior parte dos incidentes que tratámos em 2018 foram relativos a esquemas de ransomware. Mais recentemente, a atividade dos cibercriminosos deslocou-se para a mineração de criptomoeda ('criação' de moeda digital). Estes agentes criminosos viram que era muito mais vantajoso e silencioso penetrar em computadores alheios para este efeito. Neste caso, na maior parte das vezes o utilizador não sabe que o seu computador está infetado, aquilo que sente é uma diminuição das capacidades da máquina, que se torna mais lenta - e isso pode ser um indicador de que está a ser utilizada por terceiros.

A cibercriminalidade pode movimentar valores milionários. Para combatê-la, vê vantagem na introdução da figura legislativa da delação premiada (justiça negociada)?

Essa é uma área que deve ser tratada pela Justiça. No nosso contexto, temos algo semelhante a que chamamos 'divulgação responsável1. Resulta do facto de a comunidade de cibersegurança nacional, alguns investigadores e curiosos identificarem vulnerabilidades da cibersegurança da administração pública, empresas e outras instituições, e comunicarem ao CNCS no sentido de que essa fraqueza seja corrigida, de forma responsável, antes que possa ser explorada por agentes maliciosos. Não se trata de uma delação, mas sim de uma divulgação responsável.

A tecnologia é inimiga da liberdade?

Esse é um conflito que vai sempre existir, entre a liberdade e a segurança. Quando a Internet surgiu trouxe uma sensação de liberdade, associada ao conceito de sociedade de informação. Agora observamos que as relações de poder entre estados, cidadãos e as grandes empresas tecnológicas se alterou com o tempo. Observámos isso nas 'primaveras árabes', em que a tecnologia foi utilizada para coordenação de uma ação coletiva, mas nos últimos casos que observámos, como no Cairo ou no Bahrein, essa mesma tecnologia foi utilizada pelos regimes para monitorizar quem se estava a deslocar para os protestos. Esse choque vai sempre existir. Em Portugal, vivemos num Estado de Direito e a nossa estratégia de cibersegurança reforça o princípio da proporcionalidade. Portanto, as ações que são tomadas para melhorar a cibersegurança do país têm sempre em atenção o respeito pelo Estado de Direito.

Há uma fotografia célebre do CEO do Facebook, Mark Zuckerberg, em que o computador dele está com o microfone e a cama ra tapados. O cidadão comum também deve ter estas preocupações?

Devemos partir do princípio que os sistemas informáticos têm vulnerabilidades e que elas podem ser exploradas. Não custa nada ter uma atitude preventiva e minimizar o uso da câmara de filmar e do microfone, que são os dois elementos mais intrusivos da nossa vida privada nos vários equipamentos que utilizamos - não estou a falar só do computador e do telemóvel, pois há muitas televisões que temos em casa que trazem câmaras instaladas para videoconferências, etc. Não custa nada ter uma 'janelinha' que está sempre fechada e que só abrimos quando a queremos utilizar.

A inteligência artificial (IA) está cada vez mais presente no nosso quotidiano. Para efeitos de cibersegurança, vê nela mais vantagens ou desvantagens?

Qualquer tecnologia nova introduz riscos e a IA não é diferente. Nós temos é que nos preparar para lidar com eles e também utilizar a própria tecnologia em proveito da cibersegurança. O CNCS tem um projeto com duas universidades para a utilização de mecanismos de IA e machine learning. O objetivo é que se consiga identificar padrões nos dados que temos, algo que seria impossível fazer com humanos, dado o grande volume de informação. Há uma lógica de utilizar essas tecnologias para melhorar a eficácia da nossa ação, mas ao mesmo tempo é necessário introduzir uma dimensão - até ética - para proteger a sociedade dos impactos que qualquer tecnologia comporta.

Recentemente, falou-se muito do 'caso Huawei'. Há motivos para alarme?

Uma das coisas que nos apercebemos é que a Europa como um todo ficou no meio de uma guerra comercial entre EUA e China. E quando digo estar 'no meio' é porque a Europa não tem o controlo sobre a tecnologia que utiliza para muitas das suas funções vitais. Vejo isto

como uma oportunidade para focarmos a nossa atenção e desenvolvermos as nossas capacidades na área da soberania digital. É importante tornarmo-nos mais resilientes à cadeia de abastecimento de tecnologia e desenvolvermos os nossos produtos para ficarmos menos dependentes do exterior.

Se a economia portuguesa continuar a prosperar haverá um aumento do cibercrime?

Não acho que dependa do crescimento económico. A maior parte dos ataques não são direcionados. Há uma parte que é, mas a maioria dos ataques são feitos por 'varrimento'. Os criminosos não olham ao alvo. Tentam é num milhão de potenciais vítimas conseguir tirar proveito de 100 ou 1 000. Portanto, não tem a ver com o nosso grau de desenvolvimento económico. Mas se essa prosperidade for acompanhada por uma transformação digital é natural que a superfície de ataque aumente. Havendo mais sistemas informáticos, aumentará também a cibervulnerabilidade. O CNCS está a trabalhar na preparação dessa transformação digital, e nas implicações que pode ter nos cidadãos e nas empresas.

13/12/2019 12:41:07