É preciso reforçar a defesa e a resiliência dos serviços informáticos da Administração Pública (central e local), das empresas e dos particulares contra os novos cenários de guerra cibernética que se avizinham e que, em diversas ocorrências no passado recente, já provaram que o campo de batalha mudou agora, em grande parte, para a área das tecnologias de informação e para as comunicações.
O recente furto massivo de dados de 500 milhões (!) de clientes da rede Marriot International deixou pistas que apontam para uma operação planeada e executada pelo governo chinês para compilação de dados, destinados a operações de chantagem e a compreender as deslocações e localizações de diplomatas e agentes das forças de segurança e serviços secretos ocidentais. Mas se este foi o caso mais recente de ciberguerra conduzida por um Estado, não foi, certamente, o mais grave em extensão ou escala dos danos. Este pico máximo (até ao momento) teve lugar há 12 anos, na Estónia, quando ciberataques contra uma ampla panóplia de sites do Estado estónio, organizações da sociedade civil, institutos e empresas estatais, bancos e jornais apagou, durante meses, a pegada online da Estónia. A resposta do Estado báltico foi, quase de imediato, apontar o dedo ao Kremlin, o qual rejeitou a acusação, desculpando-se com o “nacionalismo extremo” de alguns dos seus nacionais e negando qualquer responsabilidade ou controlo na operação. Posteriormente, a Estónia acabou por adoptar algumas das medidas de ciberprotecção mais avançadas do mundo e um protocolo de resposta eficaz contra recorrências destes incidentes.
Nota importante: ambos os casos ocorreram em tempo de paz e sem uma declaração formal ou informal de guerra, sendo que, em ambos, os governos suspeitos de estarem por detrás dos ataques negaram qualquer responsabilidade. E falamos apenas de dois, entre muitos, casos recentes.
Em resposta aos ciberataques de 2007, a NATO (organização que integra a Estónia desde 2004) conduziu uma grande operação de avaliação da cibersegurança das suas infraestruturas de TI e de comunicações, produzindo um relatório em outubro de 2007 e fundando o NATO Cooperative Cyber Defence Center of Excellence (CCDCOE), com sede na Estónia, em 2008. Também em consequência destes ataques foi criado o “Tallinn Manual on the International Law Applicable to Cyber Warfare” ou, mais simplesmente, o “Manual Tallinn”, um relatório sobre as leis internacionais que podem ser aplicadas em caso de ciberataque, onde se afirma, a dado ponto, que embora os Estados não tenham controlo total sobre a internet (e as recentes dificuldades russas em barrar a rede social Telegram provam-no), têm soberania sobre os componentes e agentes da rede global que estão nos seus territórios e, logo, podem ser responsabilizados pelo que se passa no seu território. Note-se, contudo, que o “Manual Tallinn” é um texto académico, não vinculativo, embora escrito entre 2009 e 2012 a convite do CCDCOE da NATO por vários especialistas independentes. O manual não determina, assim, a resposta da NATO nem de nenhum dos seus Estados-membros, mas pode e deve servir de referência para a definição de políticas integradas de cibersegurança nos Estados da aliança e, claro, em Portugal.
Além de criar uma versão nacional, actualizada e adaptada do “Manual de Talinn”, Portugal precisa de criar um regulamento interministerial de cibersegurança para os serviços públicos, que determine melhores práticas, respostas e procedimentos padronizados, mas flexíveis, em caso de ataque à presença online da administração central e local. Um regulamento assente numa rede entre ministérios, serviços públicos, universidades e autarquias de troca de opiniões, políticas e melhores práticas de cibersegurança e privacidade. Estes procedimentos seriam parte de uma Estratégia Nacional de Capacidade de Cibersegurança, que promova a criação e defesa de um espaço cibernético aberto, seguro e resiliente entre os organismos do Estado central, da Administração Local e as empresas. Recomendações de boas práticas e legislativas poderiam também ser produzidas por este organismo, numa base anual, e apresentadas à Comissão Parlamentar de Economia, Inovação e Obras Públicas para eventual produção legislativa.
Precisamos, igualmente, de criar uma rede universitária de investigação em cibersegurança, que coloque o desenvolvimento de novas tecnologias de encriptação e a computação quântica como prioridades nacionais para o século XXI, que ligue todas as pós-graduações e mestrados em cibersegurança e ciberdefesa, desenvolvendo uma rede universitária de investigação nessa área que possa colaborar, em grande proximidade, com a elaboração da Estratégia Nacional de Capacidade de Cibersegurança e constante actualização que esta deve ter numa base que seja, pelo menos, anual.
Parte dessa estratégia deve assentar no desenvolvimento de uma estrutura nacional de “Public Key Infrastructure” (PKI), em que cada cidadão tem uma chave criptográfica com o mesmo valor de uma assinatura escrita. Em Portugal já temos uma estrutura nacional de PKI, que atribui a cada cidadão uma chave criptográfica no serviço autenticação.gov, a qual, em conjunto com o Cartão de Cidadão, permite fazer uso da funcionalidade de Federação de Identidades da Plataforma de Interoperabilidade da Administração Pública para a identificação dos cidadãos, com altos níveis de segurança e privacidade no processo de autenticação e identificação.
O sistema português permite que existam credenciais comuns a todos os sites da Administração Pública, assegurando que o utilizador necessita autenticar-se apenas uma vez para aceder a um ou vários serviços, que podem ser iniciados em portais como o Portal do Cidadão ou o Portal da Empresa, e conduzir a autenticação de um utilizador com recursos a outros certificados digitais que não o do Cartão de Cidadão, possibilitando e alargando o leque de autenticação disponível para as entidades privadas que pretendam delegar a autenticação nesta componente. A autenticação.gov permite a criação de comunicações HTTP em canal cifrado – SSL ou TLS, em que os dados do utilizador se mantêm privados, impedindo a sua visualização por terceiros (ex. visualização de dados por um “sniffer” de rede) e assegurando a integridade de dados através do uso do protocolo SAML (impedindo ataques “Man-in-the-Middle“). Mas esta estrutura está subdesenvolvida… Precisamos de, por força de lei, tornar corrente o uso da assinatura digital em contratos entre o Estado e privados e, gradualmente, estender o seu uso a todos os tipos de contratos celebrados, também por particulares. E, paralelamente, criar pilotos de voto remoto, com este alto nível de segurança, para que os eleitores possam participar nos actos eleitorais, de forma segura e fácil, a partir de casa.
Esta rede de Defesa Nacional de Cibersegurança, erguida em torno do Estado central e local, de comunicações cifradas sob a estrutura nacional de PKI, poderia ser reforçada por uma extensão às empresas nacionais de eCommerce (lojas virtuais), que seria monitorizada pela Anacom, fundando uma Autoridade Nacional para a Cibersegurança que proteja os consumidores de TIs – particulares – que, assim como a ASAE protege os consumidores em geral, proteja os utilizadores de serviços digitais contra abusos, riscos e ameaças.
Precisamos, igualmente, de criar uma “marca”, por exemplo, “Comércio Electrónico Português Seguro”, tendo em conta que as encomendas online não param de subir em Portugal, ano após ano; criar um selo de segurança para o comércio electrónico português, baseado em auditorias independentes obrigatórias aos sistemas das entidades que se candidatem a este selo atribuído pela Anacom, e estabelecendo que as transacções comerciais que usassem o PKI do Cartão de Cidadão, e que passassem nessa bateria regular de testes, o poderiam exibir nos respectivos sites. Esta marca daria segurança e iria promover o crescimento do comércio electrónico, que em Portugal aumentou 12,5% em 2018, somando hoje mais de 4 mil milhões de euros. O eCommerce tem uma pegada ambiental e de carbono menor do que o comércio tradicional (menos logística, custos de transportes de armazém para armazém e ocupação de espaço) e implica, geralmente, preços mais baixos, maior facilidade de compra quer na oferta comparada, quer no momento da mesma. Mas só pode haver crescimento sustentável do eCommerce em Portugal se este for percepcionado pelos consumidores como sendo seguro. Daí a importância da criação deste selo e de o ligar a uma entidade credível e, preferivelmente, controlada ou detida directamente pela Anacom.
Este selo reduziria a ocorrência de fraudes electrónicas nas lojas virtuais, aumentando a protecção que advém do uso (hoje em dia, forçado pelas últimas versões do Google Chrome) do HTTPS (repare, por exemplo, nos endereços dos sites onde faz compras: se tiverem https://, significa que usam este protocolo e verifique se o certificado está válido, o browser alerta para estes casos). Na prática, sugerimos que o país, via Anacom, instaure um novo Selo de Segurança “Comércio Electrónico Português Seguro”. A Anacom realizaria regularmente auditorias automáticas de segurança aos sites com este selo, tendo os aderentes a possibilidade de consultar online os resultados das mesmas.
Esta estratégia multifacetada, flexível e adaptável seria crucial para o desenvolvimento da Economia Digital em Portugal, criando uma base resiliente para a sociedade cada vez mais digital em que vivemos.