Se há pouco mais de 30 anos se encontrava em fase recém-nascida, a verdade é que, atualmente, aliada ao desenvolvimento tecnológico, a internet surge como um produto maturado, cada vez mais integrado nas nossas vidas. E desengane-se quem pensa que tem tudo controlado. Pois qualquer equipamento poderá estar interconectado e em rede e, como tal, acessível. E não são apenas os previsíveis computadores, telemóveis e laptops. Acrescentemos-lhes eletrodomésticos, viaturas automóveis, sistemas de alarme, equipamentos médicos, sistemas de produção e de logística e tantas outras tecnologias. É a chamada internet das coisas (Internet of Things, com o acrónimo “IoT”) em que o ser humano e as máquinas se encontram em permanente interconexão e, consequentemente, com os canais de comunicação abertos a quem a eles pretenda aceder.
E aqui reside a nossa fragilidade – na cada vez maior dependência das tecnologias e no facto de a grande maioria poder ser atacada. Basta alguém querer.
O termo cibersegurança tem sido por demais utilizado nos últimos tempos, se bem que, e sobretudo, associado às falhas na segurança de sistemas informáticos decorrentes de ataques praticados por hackers.
No entanto, as preocupações da cibersegurança não se limitam a estas intervenções, indo bem além dos ataques informáticos que têm sido perpetrados (e divulgados) recentemente –WannaCry e NotPetya. Estes acontecimentos, mediáticos pela gravidade das consequências e da sua abrangência territorial, são apenas uma pequena manifestação dos riscos envolvidos.
Com efeito, a segurança da rede pode ser fragilizada, igualmente, pela ocorrência de algo tão simples quanto acidentes ou fenómenos naturais, mas também como resultado das mais variadas ameaças internas, como é o exemplo da intervenção de funcionários, intencional ou em consequência da falta de consciência dos cuidados de segurança necessários.
Por isso, o que lhe convém saber, a si, que tem um sistema ou equipamento que pode ser afetado?
Em primeiro lugar, que o risco de falha na segurança sempre existirá. Em segundo, que tem de ter todas as cautelas para garantir a segurança dos seus ficheiros e dos dados armazenados. E, por fim, que há mecanismos de responsabilização dos agentes e a possibilidade de compensação dos danos causados pela quebra na segurança dos dados.
No que respeita às cautelas com a segurança, não deverá esquecer que os seus sistemas podem armazenar, não só informações de negócio, sujeitas a segredo industrial, mas também dados referentes a terceiros, nomeadamente, pessoas singulares, sobre os quais poderá incidir uma especial obrigação de confidencialidade (de que são exemplo os dados pessoais). É, então, fundamental a utilização de medidas técnicas e organizativas adequadas (nesta matéria, de relevo o novo Regulamento Geral de Proteção de Dados), designadamente, mediante a permanente atualização dos produtos de segurança e antivírus, a existência de backups, a aposta na diversidade tecnológica e ainda a formação dos seus colaboradores de forma a sensibilizar para as ameaças e as formas como elas se têm manifestado.
No entanto, as medidas não podem esgotar-se aqui. Na realidade, muitos dos ataques à segurança dos sistemas poderão ser levados a cabo pelos próprios trabalhadores, e fundados nas mais variadas motivações que não se limitam à espionagem industrial e estatal. Pelo que devem ser considerados mecanismos internos de segurança que limitem o acesso à informação armazenada e, dessa forma, reduzam os riscos de acesso não autorizado aos dados.
Já no que se refere à responsabilização dos agentes, bem como à indemnização pelos danos sofridos, entre a demais legislação penal que possa ser aplicável em concreto, a Lei n.º 109/2009 – Lei do Cibercrime – contempla disposições penais relativas a este domínio, punindo criminalmente práticas como a falsidade e sabotagem informáticas, o acesso e interceções ilegítimos e o dano relativo a programas ou outros dados informáticos, e cujas molduras penais poderão ir até aos 10 anos de prisão.
Acresce a isto a possibilidade de os agentes poderem ser responsabilizados civilmente pelos danos causados, indemnizando os lesados nos termos gerais da lei. Esses danos incluirão todos aqueles sofridos em consequência da quebra na segurança, desde os causados aos equipamentos, aos custos com o restauro dos dados, à recuperação da imagem, entre tantos outros.
Qual a grande dificuldade? A efetiva identificação do agente e a consequente prossecução da respetiva responsabilização penal e civil. Para inverter esta situação em muito contribui a cooperação existente entre os vários Estados e as autoridades competentes, da qual resulta um esforço transnacional, tão sem fronteiras quanto a rede em que os agentes atuam.
Tem sido de relevo a atividade desenvolvida, a nível da União Europeia, pela Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) e, a nível nacional, pelo Centro Nacional de Cibersegurança (CNCS), enquanto coordenador operacional em matéria de cibersegurança junto das entidades do Estado, operadores de serviços essenciais e prestadores de serviços digitais.
Neste contexto, foi, ainda, aprovada, em Portugal, a Estratégia Nacional de Segurança do Ciberespaço, em 2015, a qual definiu vários eixos de intervenção: estrutura de segurança do ciberespaço, combate ao cibercrime, proteção do ciberespaço e das infraestruturas, educação, sensibilização e prevenção, investigação e desenvolvimento, e, por fim, a cooperação.
Já o Parlamento Europeu adotou, em 2016, a Diretiva NIS (network and information security), manifestando uma franca preocupação com o aumento da cooperação entre os Estados-Membros. Acresce a isto ainda o trabalho atualmente desenvolvido entre a União Europeia e a NATO, numa união de esforços para combater as ameaças à rede.
Quanto a si, a quem, agora, parece que tudo acontece sem o seu controlo, não se assuste, porque ainda há muito que pode fazer.
Advogada do Departamento de TMT da CCA ONTIER