Upload
andre-rua
View
80
Download
4
Embed Size (px)
DESCRIPTION
Cibersegurança e Ciberdefesa Em Portugal
Citation preview
MINISTRIO DA DEFESA NACIONAL
INSTITUTO DA DEFESA NACIONAL
XV CURSO DE DEFESA PARA JOVENS
Cibersegurana e Ciberdefesa em Portugal
GRUPO DE TRABALHO N. VII
Filipa Rafael
Ins Nunes de Freitas
Bruno Garcs
Artur Oliveira
Andr Rua
Joo Tavares
Lisboa, 23 de setembro de 2014
Cyber attacks that may constitute a national security threat are not a
science-fiction thing anymore.
Jaak Aaviksoo, Former Estonian Defence Minister
Cibersegurana e Ciberdefesa em Portugal 1 XV Curso de Defesa para Jovens
Contents ndice de Abreviaturas 2
Introduo 3
Enquadramento conceptual 5
Enquadramento Legal 7
A realidade portuguesa sobre o Ciberespao 11
Caso de Estudo 14
Concluso 17
Bibliografia 20
Cibersegurana e Ciberdefesa em Portugal 2 XV Curso de Defesa para Jovens
ndice de Abreviaturas
AR Assembleia da Repblica
CCDOE Cooperative Cyber Defence Centre of Excellence
CM Conselho de Ministros
CNCSeg Centro Nacional da Cibersegurana
Conv. Conveno
DR Dirio da Repblica
ENC Estratgia Nacional de Cibersegurana
ENISA European Network & Information Security Agency
EUA Estados Unidos da Amrica
GNR Guarda Nacional Repblicana
GNS Gabinete Nacional de Segurana
PSP Polcia de Segurana Pblica
L. Lei
N - nmero
PE Parlamento Europeu
Res. Resoluo
UE Unio Europeia
Cibersegurana e Ciberdefesa em Portugal 3 XV Curso de Defesa para Jovens
Introduo
Em pleno sculo XXI, basta olhar em redor para perceber que a nossa
sociedade, que outrora pulsava com as evolues da era industrial, se rendeu ao
esplendor e magnificncia de ter quase toda a informao distncia de um
click. Num passado mais recente, assistimos a um autntico boom quer da
evoluo da tecnologia, quer do acesso por parte da mesma a qualquer cidado.
Tudo isto devido rede criada no seio do exrcito militar dos E.U.A ,
durante a Guerra Fria, denominada APARNET, e que apenas na dcada de 90
chega aos utilizadores comuns, tendo sido desmantelada pelo Departamento de
Defesa, recebendo outras denominaes at ser expandida a todo mundo graas
ao sistema World Wide Web acabando por ficar conhecida como Internet(
Almeida, 2005).
Se outrora o acesso a tecnologia e, nomeadamente, a um computador, era
um luxo disponvel s para um determinado setor da sociedade, hoje em dia
encontra-se completamente vulgarizado, sendo que qualquer pessoa pode aceder
a esta rede global recorrendo a diversos tipos de dispositivos; no entanto, poucos
so os conhecedores dos possveis riscos que enfrentam.
De uma perspetiva individual, faamos uma pequena reflexo sobre um
possvel cenrio: O acesso de um terceiro ao nosso computador, ou ainda pior
que isso, o acesso a todas as nossas contas de redes sociais, ao nosso e-mail,
nossa conta bancria. Um simples cibernauta da nossa sociedade, cada vez
mais informatizada, que, diariamente, acede a rede global por diversos meios,
est longe de imaginar um cenrio destes, no entanto mais do que uma
possibilidade, tornando-se, em alguns casos, uma realidade desconfortvel.
Hacker, ou pirata informtico, so as designaes vulgarmente dadas a
uma pessoa com grandes conhecimentos de informtica e programao que se
dedica a encontrar falhas em sistemas e redes computacionais (in Dicionrio
Priberam da Lngua Portuguesa). Com um recurso a um computador em rede,
so estas pessoas que, a partir dos conhecimentos que possuem nesta arte da
programao, facilmente conseguem aceder a um computador pessoal, s nossas
contas e a toda a nossa informao.
Cibersegurana e Ciberdefesa em Portugal 4 XV Curso de Defesa para Jovens
Esta hipottica situao piora quando evolumos do nvel individual, do
simples utilizador da Internet, e nos focamos numa empresa, num organismo
pblico, ou todo e qualquer sistema que faa parte da Estrutura interna de um
Pais, que hoje em dia assenta em toda uma panplia de sistemas informticos
ligados em rede para a gesto de coisas to fundamentais, como a justia, a
defesa, a segurana social, a sade entre outros. Um ataque dirigido a um destes
sistemas iria comprometer, certamente, a Segurana e Defesa de um Pas; estes
ataques podem ter como objetivo o simples roubo de informao, ou a sua
sabotagem, sendo que os motivos que sustentam a ao variam desde os fins
criminosos, polticos ou militares ( Caldas e Freire, 2013). Desde o aparecimento
desta realidade da guerra ciberntica que Pases, Organizaes e at mesmo
empresas multiplicam-se diariamente em esforos para conseguir adquirir
informaes privilegiadas entre outros objetivos.
A nvel mundial so vrios os episdios conhecidos de potenciais ataques a
diversos organismos e empresas por parte de hackers. Vejamos o exemplo da
gigante empresa norte americana Google que, em 2010, estaria sobre fogo de
ativistas chineses. Tambm o Brasil ingressa nesta lista como vtima, alegando ter
sido vtima de espionagem informtica por parte dos E.U.A e Canad. A nvel dos
pases pertencentes OTAN encontramos um exemplo ainda mais critico da
vulnerabilidade que um pas poder apresentar relativamente a um ataque deste
gnero, em 2007, quando a Estnia viu quase todos os sistemas informticos
ligados ao sistema pblico a ficarem offline devido a um ataque informtico do
qual ainda hoje se desconhece a origem (Goetz et al, 2009).
Por mais que esta realidade nos parea distante, ainda este ano, a 25 de
Abril, vrios meios de comunicao social noticiavam que assinalando o
aniversrio da Revoluo, um grupo de hackers ligado ao grupo Anonymous
divulgava, on-line, uma lista de nomes e contactos telefnicos de vrios
Magistrados, que obtiveram como fruto de um ataque informtico ao site da
Procuradoria Geral Distrital de Lisboa. Por sua vez, no ms de maio, o mesmo
grupo divulgou cerca de 300 matrculas, marcas, modelos e cr de viaturas
usadas pela PSP e GNR em aes de fiscalizao.
Este apenas um exemplo que mostra que esta cyberwar est bem
presente, sendo necessrio implementar uma politica de segurana nesta rea,
Cibersegurana e Ciberdefesa em Portugal 5 XV Curso de Defesa para Jovens
bem como o estabelecimento de uma entidade para combater exclusivamente
aes deste gnero que, de um momento para o outro podem pr em causa o
funcionamento de estruturas fundamentais do nosso Estado, pondo em causa a
nossa segurana e soberania. Alis, basta-nos ler o documento Conceito
Estratgico de Defesa Nacional para perceber que os conceitos clssicos que,
num passado recente, eram considerados uma ameaa, como o terrorismo, a
guerra e a criminalidade, adquirem um prefixo de ciber passando assim a haver
preocupaes em matrias como o Ciberterrorrismo, a Ciberguerra e a
Cibercriminalidade. Sendo que h uma plena conscincia do perigo a que a nossa
estrutura tecnolgica, redes de sistemas e servios vitais onde a nossa sociedade
se apoia, bem como a infraestruturas crticas as quais, caso fossem afetadas,
poriam seguramente os nossos valores fundamentais em causa, foi necessrio
introduzir na nossa estratgia de defesa os conceitos de Cibersegurana e
Ciberdefesa, que ao longo deste documento iremos aprofundar.
Enquadramento conceptual
Os constantes avanos econmicos, sociais e tecnolgicos levaram a que
as sociedades congregassem, na sua gnese, as noes de ciberespao e, por
consequncia, as noes de cibersegurana e ciberdefesa como elementos
essenciais para o desenvolvimento estratgico futuro. Portugal no foi exceo.
As orientaes da Res. do CM n 19/2013 congregam em si o Conceito
Estratgico de Defesa Nacional, partindo do princpio de que, para a realizao
dos objetivos da segurana e da defesa nacional, concorrem todas as instncias
do Estado e da Sociedade e que resultam em compromissos internacionais do
Estado, com a Carta das Naes Unidas, o Tratado do Atlntico Norte e os
Tratados da Unio Europeia. H ainda a considerar a Comunicao conjunta ao
Parlamento Europeu (PE) ao conselho, ao comit econmico-social e ao comit
das regies, apresentada pela Comisso Europeia e pela alta representante da
unio para os negcios estrangeiros e a politica de segurana relativa estratgia
da unio europeia no que respeita cibersegurana (de 7 de fevereiro de 2013) e
que estabelece como prioridade estratgica desenvolver a politica e a capacidade
no domnio da ciberdefesa no quadro da politica comum de segurana e defesa.
Assim, precedido destas normativas de segurana europeia, surgem, atravs do
Cibersegurana e Ciberdefesa em Portugal 6 XV Curso de Defesa para Jovens
despacho n 13692/2013, publicado a 28 de outubro de 2013 no DR, as
orientaes politicas para a Ciberdefesa.
As informaes constituem, neste momento, um instrumento estratgico do
Estado essencial para apoiar a deciso poltica, sobretudo em matrias de
segurana e defesa. Atendendo atual conjuntura econmica, diplomtica e
social, fundamental a salvaguarda dos interesses nacionais em diferentes
regies nos prximos anos, como uma das principais e mais exigentes atribuies
do Estado tornando fundamental o reforo dos servios de informao.
Os avanos da tecnologia informtica das ltimas dcadas, nomeadamente
a internet, levaram a que se criasse o conceito de ciberespao, que per se um
espao aberto, livre de fronteiras tangveis, onde todos os cidados interagem de
igual forma. No , por isso, um espao seguro e protegido na totalidade, o que
poder causar alguma debilidade no que concerne aos ataques cibernticos,
cujas ocorrncias a histria do nosso pas se revela j conhecedora. No domnio
dos conceitos de ciberespao, cibersegurana e ciberdefesa, impe-se, assim,
uma avaliao das vulnerabilidades dos sistemas de informao e das mltiplas
infraestruturas e servios.
Assim, no que concerne distino entre ciberdefesa e cibersegurana,
percebemos que o conceito de ciberdefesa reveste-se de um carter mais
abrangente, pois designa o conjunto de tecnologias e meios cujo objetivo
primordial proteger de danos causados pela intruso ilcita, todos os meios e
tecnologias informticas, sejam computadores, redes ou dados. De uma forma
geral, os ciberataques pretendem atacar pessoas, empresas e pases de forma a
que as suas vulnerabilidades sejam configuradas em trs reas: Integridade,
Confidencialidade e Disponibilidade.
No que diz respeito ao conceito de Ciberdefesa, podero ser consideradas
todas as polticas de proteo que atendem s necessidades da Defesa Nacional,
visando assegurar a utilizao do espao ciberntico, impedindo ou dificultando o
seu uso contra os interesses da Nao.
Segundo as orientaes do Ministrio da Defesa Nacional, os objetivos
primordiais da politica de ciberdefesa so: a garatia de proteo, a resilincia e a
segurana das redes e dos Sistemas Internos de Comunicao da Defesa
Nacional contra os ciberataques. Contribuir de forma cooperativa para a
Cibersegurana e Ciberdefesa em Portugal 7 XV Curso de Defesa para Jovens
cibersegurana nacional e assegurar a liberdade de ao de Portugal no
ciberespao, com o intuito de impedir ou dificultar o seu uso hostil contra os
interesses da Nao.
No que respeita s linhas orientadoras para a execuo, o plano de
ciberdefesa nacional, tal como consta no despacho n 13692/2013, datado de 28
de outubro de 2013, estas sero vocacionadas para, num primeiro momento, criar
uma estrutura de raz de Ciberdefesa Nacional e o Planeamento de Defesa
Militar. A capacidade de resposta para a conduo de operaes militares em
redes de computador tambm um fator fulcral para potencializar o nosso pas a
este nvel. O reforo da capacidade de informao no ciberespao, a partilha de
informao de ciberdefesa, assim como a sensibilizao/ formao para os
recursos humanos dos diferentes estratos do Ministrio da Defesa Nacional, a
aposta na investigao e desenvolvimento de software sero formas de Portugal
se exponenciar a nvel de ciberdefesa e proteger no que concerne
cibersegurana e s suas muitas questes de vulnerabilidade. No entanto, para
que tal acontea com sucesso, dever existir uma articulao com todas as
instituies internacionais que so nossas parceiras.
Enquadramento Legal
Como j foi aqui referido, o aumento do volume e sofisticao dos meios
tecnolgicos pode representar uma ameaa para a segurana nacional. Num
mundo em que o acesso Internet pode ser visto como um direito fundamental do
cidado, a limitao ou controlo do mesmo dever ser efetuada com cautela por
rgos legitimados para o efeito e com respeito pelos direitos de liberdade de
expresso e de informao.
Os eventos passados que se caracterizaram como ciberataques (como por
exemplo os ataques Estnia, Georgia, aos Estados Unidos da Amrica, entre
outros) que podem ter como objetivo afetar o funcionamento de uma instituio, o
roubo de identidade, a burla, ou at mesmo roubo e destruio de documentao
vital de uma instituio/organismo, levantam uma necessidade de no s avaliar e
analisar o risco de ataques cibernticos como tambm contemplar uma resposta a
estes mesmos ataques. A criao de legislao e de medidas para controlar estes
Cibersegurana e Ciberdefesa em Portugal 8 XV Curso de Defesa para Jovens
ataques passa a ser relevante no s a nvel nacional mas tambm a nvel
internacional.
Porm, vrios problemas se levantam quanto criao de legislao neste
campo. A proliferao dos meios tecnolgicos e o anonimato dos mesmos; a
multidimensionalidade e natureza global do ciberespao; a ausncia de
fronteiras do ciberespao; a ausncia de definies e padres comuns no que
concerne a este tema; a utilizao do ciberespao como meio de livre
circulao de ideias e liberdade de expresso e a novidade que se pode
associar a estes atos apresentam-se como desafios a uma resposta eficaz para a
deteo e combate destes ataques. Por outro lado, as definies de
cibersegurana e ciberdefesa acabam por se confundirem e ainda no se
encontram claramente definidas.
No obstante as dificuldades acima enumeradas, as ciberameaas e
ciberataques contra organismos governamentais, militares e at mesmo
internacionais so uma realidade crescente e configuram-se como uma
preocupao que os Estados e restantos atores internacionais devero ter em
considerao. Assim sendo, surge a necessidade da criao de uma abordagem
global e coordenada contra estas ameaas que dever abranger no s a criao
de estratgias e iniciativas de preveno e combate, como tambm criar
definies e critrios claros que diferenciem os nveis de ciberataques em funo
da sua motivao e consequncia, bem como a criao de meios de identificao
dos autores dos ataques a fim de os responsabilizar juridicamente.
Neste sentido, foram tomadas vrias medidas, tanto a nvel internacional
como a nvel local/regional; poltico vs legislativo. De salientar que algumas
destas medidas no so medidas legislativas e sim medidas polticas, outras um
hbrido entre medidas polticas e legislativas, e que a sua aplicao depende de
vrios fatores, como, por exemplo, do tipo de autor, ou da sua motivao.
De seguida enunciaremos alguns dos exemplos mais relevantes dessas
mesmas medidas nos diferentes nveis de atuao/elaborao.
A nvel internacional encontramos o relatrio Strategic Concept 2010 -
Ative Engagement, Modern Defence. Strategic Concept for the Defense and
Security of the Members of the North Atlantic Treaty Organisation adotado na
Cimeira de Lisboa em 2010. Este relatrio insta os aliados a investir e criar
Cibersegurana e Ciberdefesa em Portugal 9 XV Curso de Defesa para Jovens
ferramentas/capacidades essenciais para lidar com as ameaas emergentes e
desenvolver, no mbito da organizao, as capacidades necessrias para
defender contra ciberataques. Encontramos tambm o National Cyber Security
Framework Manual elaborado pela OTAN em novembro de 2012, que inclui um
conjunto de princpios orientadores de atuao dos Estados que decorrem da
necessidade de articulao entre vrios eixos de interveno; e o Manual Tallinn
sobre a aplicabilidade do direito internacional ciberguerra emanado pelo
CCDOE em 2009.
Outro instrumento relevante a nvel internacional a Conveno sobre o
Cibercrime, tambm conhecida como Conv. de Budapeste, que tem, entre outros,
por objetivos principais: (1) a harmonizao dos elementos relativos a infraes
no contexto do direito penal substantivo de mbito nacional e das disposies
conexas na rea da cibercriminalidade; (2) a definio, ao abrigo do cdigo de
processo penal interno, dos poderes necessrios para investigar e intentar aes
penais relativamente a tais infraes, assim como relativamente a outras
infraes cometidas por meio de um sistema informtico ou s provas com elas
relacionadas e existentes sob a forma eletrnica.
No mbito da UE, existem vrios instrumentos relevantes nesta matria. Na
sua grande maioria, elaborados no mbito de funcionamento da ENISA mas no
s. No mbito de funcionamento da ENISA podemos referir documentos como:
Roadmap for European Cyber Security Month relatrio emanado em novembro
de 2013; A Good Practice Collection for CERTs on the Directive on attacks
against information systems - publicado em outubro de 2013, que sistematiza
boas prticas da ENISA em matria de funcionamento de Equipas de Resposta
Informtica de Emergncia (CERT) e de Equipas de Resposta a Incidentes de
Segurana Informtica (CSIRT); Good Practice Guide for securely deploying
Governmental Clouds relatrio emanado em novembro de 2013 que sustenta um
guia de referncia para implementao de computao em nuvem em organismos
pblicos; Security certification practice in the EU - Information Security
Management Systems - A case study relatrio elaborado em outubro de 2013,
sobre certificao de segurana na UE visando os objetivos da ciberestratgia
europeia e sustentado num estudo de caso e finalmente Cybersecurity
cooperation - Defending the digital frontline estudo da ENISA, datado de
Cibersegurana e Ciberdefesa em Portugal 10 XV Curso de Defesa para Jovens
outubro de 2013, que apresenta o contexto operacional atual em matria de
segurana das redes e da informao, assim como os recentes desenvolvimentos
polticos na UE e o enquadramento regulamentar nesse mbito e, em especial, no
da cibersegurana. Ainda no mbito da UE podemos encontrar a Res. do PE, de
22 de novembro de 2012 sobre cibersegurana e ciberdefesa (2012/2096 (INI));
Resoluo do PE, de 10 de maro de 2010, sobre a execuo da Estratgia
Europeia de Segurana e a Poltica Comum de Segurana e Defesa
(2009/2198(INI)); a Res. do PE, de 22 de maio de 2012, sobre a Estratgia de
Segurana Interna da UE ((2010/2308(INI)); a Res. do PE, de 12 de junho de
2012, sobre a proteo das infraestruturas crticas da informao realizaes e
prximas etapas; para uma cibersegurana mundial (2011/2284(INI)); a
Comunicao Conjunta ao PE, ao Conselho, ao Comit Econmico e Social
Europeu e ao Comit das Regies Estratgia da Unio Europeia para a
cibersegurana: Um ciberespao aberto, seguro e protegido, JOIN(2013) 1 final;
o Parecer do Comit das Regies Estratgia para a Cibersegurana, (2013/C
280/05); a Comunicao da Comisso ao PE, ao Conselho, ao Comit Econmico
e Social Europeu e ao Comit das Regies - Proteo das infraestruturas crticas
da informao Realizaes e prximas etapas: para uma cibersegurana
mundial COM(2011) 163 final.
No que concerne ao direito interno portugus, de relevar a Res. do CM n
12/2012 que atribui ao GNS, no mbito da medida 4 do plano global estratgico
de racionalizao e reduo de custos com as Tecnologias da Informao e
Comunicao, a misso de coordenao com as entidades relevantes da
definio e implementao de uma Estratgia Nacional de Segurana da
Informao e que compreende, entre outras medidas, a criao, instalao e
operacionalizao de um Centro Nacional de Cibersegurana; Res. do CM n
42/2012, que aprova a criao instaladora de um Centro Nacional de
Cibersegurana que ter como misso contribuir para que Portugal use o
ciberespao de uma forma mais livre, confivel e segura, atravs da promoo da
melhoria contnua da Cibersegurana nacional e da cooperao internacional;
Res. do CM n 19/2013, j aqui referido, que aprova o Conceito Estratgico de
Defesa Nacional; a Res. do CM n 26/2013 que fixa as orientaes especficas
Cibersegurana e Ciberdefesa em Portugal 11 XV Curso de Defesa para Jovens
da Reforma Defesa 2020 e o Despacho n 13692/2013, com as orientaes
polticas para a ciberdefesa.
tambm de salientar a j aqui referida L. n 109/2009 (Lei do Cibercrime),
de 15 de setembro; a L. n. 52/2003, de 22 de agosto, (Lei de Combate ao
Terrorismo em cumprimento da Deciso Quadro n. 2002/475/JAI, do Conselho,
de 13 de junho) e o nosso Cdigo Penal Portugus.
Como j aqui referimos, bastante difcil enquadrar juridicamente um
ataque deste gnero, sendo necessrio, para tal, no s identificar o autor do
crime (sendo que este poder ser individual, institucional ou at mesmo estadual),
como tambm as suas intenes. Por outro lado, ainda existem bastantes
incertezas e divergncias doutrinrias nesta matria. Ser, desta forma,
necessrio um esforo contnuo dos atores internacionais de no s combaterem
ativamente estas agresses, mas tambm trabalharem para a preverem e, dessa
forma, as evitarem.
A realidade portuguesa sobre o Ciberespao
Desde o fim da Guerra Fria o Ciberespao comeou por ser considerado
um espao comum a juntar-se aos espaos tradicionais existentes como: o
espao terrestre, o espao areo e o espao martimo.
A Internet veio tornar-se numa arma adequada a ser utilizada por qualquer
pessoa ou qualquer grupo organizado equipado com os conhecimentos
necessrios e acessvel a todos. No entanto, a longo prazo, os seus efeitos
demonstraram ser to destruidores como os efeitos provocados pelas guerras
tradicionais. Depressa se converteu numa arma de eleio nos conflitos
assimtricos. Passou a favorecer a entidade mais fraca contra a entidade mais
forte a nvel militar, provocando desequilbrios em termos de poder.
Em virtude da reestruturao transversal que o Estado teve que
operacionalizar no que concerne s Tecnologias de Comunicao e Informao e
ao tipo de funcionamento operativo da Administrao Pblica Portuguesa, o
Estado Portugus nunca teve a necessidade de se ir adaptando s novas
circunstncias e exigncias provenientes do novo ciberespao.
Cibersegurana e Ciberdefesa em Portugal 12 XV Curso de Defesa para Jovens
A vinculao de Portugal a estruturas internacionais, nomeadamente a
OTAN e da UE, como j referimos anteriormente, trouxe tambm a necessidade
estratgica de iniciar o desenvolvimento de polticas neste campo, tendo em vista
garantir a segurana e a proteo da sua infraestrutura de informao presente
no ciberespao, o que culminou com a criao do Centro Nacional da
Cibersegurana (CNCSeg).
Assim o aprimorar das circunstncias leva a que a proposta da Estratgia
Nacional de Cibersegurana (ENC) destaque que uma das maiores ameaas que
Portugal ter de enfrentar nos prximos anos ser, sem dvida, a dos
ciberataques em larga escala s Infraestruturas Crticas Nacionais. Porm o
Estado, ciente destas necessidades, que versam nos documentos estartgicos do
estado, como, por exemplo, a resoluo vinte/vinte, continua a carecer de
algumas infraestruturas necessrias para proceder com a misso do CNCSeg.
Esta situao o espelhar da situao econmica e financeira do Estado
Portugus.
Apesar de estarem a ser dados passos importantes no que diz respeito
cibersegurana em Portugal e aos mecanismos de defesa apropriados aos
ataques cibernticos contra os seus sistemas de informao, criam-se algumas
brechas na estrutura nacional de segurana e defesa que vo expondo as
vulnerabilidades portuguesas no ciberespao a qualquer entidade a presente.
Sob a alada Nacional, os exemplos mais recentes deste tipo de aes
foram a invaso aos sistemas e servidores do Ministrio dos Negcios
Estrangeiros e dos Procuradores do Ministrio Pblico, no plano governamental.
No plano corporativo, os servidores do Novo Banco sofreram uma invaso. Este
gnero de invases, teve a sua autoria atribuda a uma organizao de pirataria
informtica conhecida por Anonymous e a alguns outros grupos isolados.
Contudo, face ausncia da identidade do grupo e s o conhecimento da
localizao da origem do ataque informtico, Portugal no pde atuar de maneira
apropriada devido falta de informaes. Esta ao demonstrou algumas das
fragilidades, da ciberdefesa nacional, ou seja, exps a vulnerabiliade dum setor
estratgico na viso presente e futura da defesa nacional, pois colocou em risco a
segurana de documentos confidenciais.
Cibersegurana e Ciberdefesa em Portugal 13 XV Curso de Defesa para Jovens
No caso das invases aos servidores pertencentes aos Procuradores do
Ministrio Pblico, o grupo Anonymous atuou tendo em vista a exposio do
funcionamento operacional e a atuao da Justia portuguesa opinio pblica
portuguesa, muito provavelmente com o intuito de criar vulnerabilidades
exercendo, desta forma, presso sobre o Estado atravs das crticas. Este tipo de
aes quase que podemos inferir que colocaram em questo a integridade e a
idoneidade do sistema jurdico portugus e dos seus agentes.
No plano corporativo, a invaso do Novo Banco foi da autoria da
Anonymous Portugal, uma subsidiria do grupo anteriormente mencionado. Neste
ataque o grupo em questo foi considerado responsvel por invadir as
correspondncias internas e outros documentos do banco e publicar na internet
as mesmas.
Este tipo de acontecimentos, quer ocorram nos sistemas pertencentes ao
Estado Portugus, quer ocorram nos sistemas pertencentes a uma entidade
particular, expem a real necessidade de ser feito um investimento no estudo,
investigao e desenvolvimento de equipamentos/software e recursos humanos,
mais especializados. Neste sentido o CNCSeg necessita de possuir as
capacidades necessrias para o Estado ser capaz de impr medidas
rapidamente, de ripostar contra estes movimentos, e de se proteger de agncias
estrangeiras inimigas ou de grupos como o Anonymous.
Dentro desta linha orientadora, Portugal deve trabalhar de forma prxima
com as empresas de telecomunicaes e empresas tecnolgicas como a Portugal
Telecom e a Microsoft Corporation e com as instituies europeias como a
Agncia Europeia de Defesa e a Europol para o desenvolvimento de sinergias em
matria de segurana e defesa dentro do espao europeu e do territrio nacional.
So tambm fundamentais a continuao do desenvolvimento de parcerias dentro
da esfera da OTAN para partilhar informaes, tcnicas e experincias com
outras agncias como a Agncia de Segurana Nacional norte americana (NSA)
e o Centro de Comunicaes Governamentais britnica (GCHQ), tendo em vista a
crescente ameaa de ciberguerra por parte de pases como a Federao Russa
ou a Sria, e a ameaa de ciberterrorismo por parte de grupos extremistas como a
Al - Qaeda.
Cibersegurana e Ciberdefesa em Portugal 14 XV Curso de Defesa para Jovens
A nvel de estrutura interna, Portugal deve melhorar a interoperacionalidade
do CNCSeg no que diz respeito passagem de informaes a entidades como a
Polcia Judiciria, o Servio de Informaes de Segurana, ao Servio de
Informaes Estratgicas da Defesa, em matria de cibercrime ou ciberterrorismo.
Todas estas diretrizes tornam vital a promoo de uma maior proximidade dos
problemas reais com a criao de um Centro Nacional de Resposta a Incidentes
para lidar com possveis invases aos sistemas de informao.
imperativo que os partidos com assento parlamentar na Assembleia da
Repblica (AR) continuem a efetivar um entendimento para o desenvolvimento de
estratgias no mbito da cibersegurana e ciberdefesa a longo prazo.
O Estado Portugus deve investir na promoo da discusso e
consciencializao da sociedade civil para estas questes, de modo a manter-se
como Nao informada e fornecer as ferramentas necessrias para esta colaborar
na execuo das estratgias e, ao mesmo tempo, adotar comportamentos de
defesa perante estas ameaas.
Caso de Estudo
A guerra entre a Rssia e a Gergia, em agosto de 2008, representou uma
longa histria de conflitos geoestratgicos entre as duas naes e foi baseada em
vrios fatores complexos: geopolticos, legais, culturais e econmicos.
As tenses tinham vindo a crescer na regio h alguns anos, antes do
incio do conflito em agosto de 2008. A guerra comeou, oficialmente, a 7 de
agosto de 2008, aps vrias semanas de crescentes discusses sobre o futuro do
territrio da Osstia do Sul.
O conflito forou cerca de 25.000 moradores da Gergia a fugir do
combate terrestre como refugiados, em deslocamento interno. Os dois pases
assinaram um acordo de cessar-fogo uma semana depois, mas as tenses
permanecem altas at hoje. A Rssia no conseguiu implementar alguns dos
termos do acordo de cessar-fogo, resultando na perda de territrio georgiano para
ocupao russa.
Na superfcie, ela representa uma das muitas guerras frias (com
renovaes peridicas de conflito oficial militar de nvel nacional) travadas todos
Cibersegurana e Ciberdefesa em Portugal 15 XV Curso de Defesa para Jovens
os dias no "exterior prximo" da periferia da Rssia. Um conflito que pode no
terminar por muito, muito tempo.
Mas, enquanto grande parte disso verdade, uma anlise mais profunda
das operaes de domnio do ciberespao realizadas por ambas as partes neste
conflito indicam que essa imagem ilusria e incompleta.
A guerra russo-georgiana foi bastante histrica e definiu precedentes por
vrias razes.
Este parecia ser o primeiro caso na histria de um ataque coordenado ao
domnio do ciberespao sincronizado com as principais aes de combate em
outros domnios de combate. Trs semanas antes da guerra entre a Gergia e a
Rssia comear invasores online comearam a agredir sites da Gergia. Desde
ento, os investigadores tm tentado descobrir quem planeou os ataques rede -
sem encontrar nada definitivo.
No entanto, a Rssia invadiu a Georgia em quatro frentes. Trs delas
foram as convencionais - por terra, pelo ar, e por mar. O quarto era novo - os
ataques via ciberespao. , simplesmente, implausvel que os ataques paralelos
por terra e ciberespao tenham sido uma coincidncia - desmentidos oficiais de
Moscovo, no obstante.
O (suposto) ataque russo sobre as redes militares e do governo da
Gergia foi muito bem sucedido.. Cinquenta e quatro sites na Gergia
relacionados com comunicaes, finanas e governo foram atacados por
elementos da Rssia. Ento, enquanto tanques e tropas iam atravessando a
fronteira e bombardeiros voavam, os cidados Georgianos no podiam acessar
sites para obter informaes e instrues.
As autoridades georgianas descobriram que o seu acesso Internet e
redes de comunicao era excecionalmente vulnervel (suposta) interferncia
russa.
Havia um outro aspeto historicamente singular e fundamental para a luta -
o surgimento de aes de domnio do ciberespao sincronizadas como um
indicador de inteligncia para operaes de nvel estratgico, operacional e
operaes militares de nvel ttico. Ao contrrio do (suposto) ciberataque russo
sobre a Estnia em 2007, o (alegado) ciberataque da Rssia sobre a Gergia foi
acompanhado pelo domnio fsico de combate entre as foras militares russas e
Cibersegurana e Ciberdefesa em Portugal 16 XV Curso de Defesa para Jovens
georgianas. As operaes do (alegado) ataque no ciberespao ocorreram antes
das hostilidades e foram depois espelhadas nas operaes de combate russo no
domnio terrestre.
Estes ataques incluram vrios ataques DDoS para negar / perturbar as
comunicaes e atividades de informao conduzidas para acumular inteligncia
militar e poltica das redes georgianas.
Um dos primeiros elementos da sociedade georgiana que foram atacadas
foi um popular frum de hackers - ao tentar suprimir hackers georgianos, hackers
russos, apoiados pela milcia, procuraram, preventivamente, prevenir ou mitigar
um contra-ataque de hackers georgianos. O que no amplamente conhecido
que os hackers pr-Gergia fizeram poucos, mas bem-sucedidos, contra-ataques
contra alvos russos.
Guerras de hackers entre (muitas vezes bastante talentosos) hackers
patriticos amadores, milcias cibernticas e grupos criminosos organizados
tornaram-se um meio de conflito nao-estado ao longo dos ltimos 20 anos.
Esses ativos nacionais no governamentais so geralmente usados para os fins
tradicionais de impr a vontade e as condies de uma nao sobre outra.
No nvel estratgico o (alegado) reconhecimento do ciberespao e
sondagem russa comearam semanas antes do incio real de combate virtual e
fsico. Na web russa local salas de chat e redes tambm discutiram os prximos
ataques durante vrias semanas.
Aos nveis ttico e operacional, localidades geogrficas especficas eram
praticamente alvejadas no ciberespao antes de operaes de combate no
domnio fsico. Muitos dos mais graves ataques tiveram incio assim que os
tanques comearam a circular, embora as redes tenham sido criadas de antemo
e a escolha dos alvos especialmente reveladora. Sites oficiais em Gori,
juntamente com as autoridades locais sites de notcias, foram fechados por
ataques de negao de servio antes de os avies russos l chegarem.
Parece que os russos selecionaram o governo da Gergia como o centro
de gravidade para concentrar os seus ataques primrios contra os mesmos.
Operaes realizadas pela milcia ciberntica russa no domnio ciberntico
apoiaram esse esforo, negando a capacidade do governo georgiano para
comunicar tanto internamente como com o mundo exterior. Atravs destas aes
Cibersegurana e Ciberdefesa em Portugal 17 XV Curso de Defesa para Jovens
e combinado com outras aes de domnio fsico, os russos foram capazes de
demonstrar que o governo georgiano foi incapaz de defender o seu territrio
soberano em ambos os domnios fsico e do ciberespao.
As aes russas a nvel ttico e operacional (em todos os domnios)
durante esta guerra ajustam-se perfeitamente a uma estratgia geopoltica maior
de dominncia de energia, ameaando diferentes fontes de energia nos
ambientes fsicos e do ciberespao e desestabilizando governos nacionais que
representam essas fontes de energia alternativas e concorrentes.
A lio ilustra a necessidade das naes que pretendem operar com
sucesso o domnio do ciberespao para o desenvolvimento, precisam de fornecer
um treino para os operadores do ciberespao entenderem e praticarem as
nuances de ambas as operaes ofensivas e defensivas (geralmente duas
comunidades separadas) e como sincronizar operaes no ciberespao com o
espectro completo de operaes de Informao (IO) e objetivos poltico-militares
nos outros domnios.
Concluso
Se num campo de batalha o facto de estarmos em inferioridade numrica
ou termos um armamento no to moderno como o adversrio no impede que
possamos fazer frente ao nosso adversrio (podendo porm comprometer a
vitria nessa mesma batalha), em questes de cibersegurana o mesmo j no
acontece, pois se no estivermos constantemente na vanguarda da tecnologia ao
nvel de sistemas de segurana podemos, de imediato, comprometer toda uma
estratgia de defesa, com repercusses irreversveis.
portanto fundamental que as entidades polticas se esforcem para que
sejam disponibilizados meios e recursos de modo a que os organismos que tm
como funo a proteo do nosso pas ao nvel de ciberdefesa, possam
assegurar uma efetiva e real eficcia no que toca a esta matria. Para tal, urge
que os agentes polticos e governamentais ultrapassem uma viso tantas vezes
limitada a uma conjuntura de interesses econmicos, imediatos e particulares, e
tenham antes uma viso alargada em termos estruturais e futuros para que o
interesse nacional a nvel de segurana no fique submerso sobre outros
interesses.
Cibersegurana e Ciberdefesa em Portugal 18 XV Curso de Defesa para Jovens
importante que a sociedade civil tenha conscincia da premncia de
investir nesta rea, funo essa que cabe, em primeira linha, s instituies
governamentais, por forma a conseguirem, atravs da comunicao social,
chegar populao em geral para que a mesma comece a consciencializar-se
sobre aspetos relacionados com a cibersegurana, pois neste momento termos
como cibersegurana e ciberespao no so do conhecimento geral.
necessria vontade poltica para continuar a investir nestas matrias e
criar um grupo de trabalho focado inteiramente nesta matria, grupo esse que ter
como misso no s a seleo dos dados, informaes e sistemas que tm de
ser protegidos como a interligao que se impe fazer entre as diferentes
entidades, pois a matria que vai ser trabalhada encontra-se no s em sistemas
do Estado mas tambm em empresas privadas que venham a ser consideradas
de relevante interesse nacional por razes econmicas e sociais. Neste campo, a
OTAN tem sido um dos grandes impulsionadores a nvel mundial para que sejam
feitos avanos nestas matrias e com a maior brevidade possvel, ajudando os
pases membros em diferentes aspetos como, por exemplo, na proteo de
infraestruturas que sejam consideradas crticas para cada pas. Tudo isto atravs
de uma politica orientadora que tem como plano de ao o aumento da robustez
dos pases membros na ciberdefesa, plano esse que foi implementado numa
cimeira realizada em setembro deste mesmo ano (2014) no Pas de Gales e que
tem como prioridade a proteo dos sistemas de comunicao de todos os seus
aliados.
Seria deveras interessante aproveitar a massa criativa do nosso Pas, em
especial da juventude que na rea das tecnologias tem demonstrado um grande
know-how e que j conta com provas dadas na criao (por exemplo de
aplicaes para diferentes sistemas operativos como a apple e android) e que
inclusiv marcam presena no mercado internacional e so vistas como
inovadoras e de um elevado grau de complexidade.
Isto porque o facto de os sistemas de segurana serem inteiramente
criados de raiz pelo prprio Estado e no adquiridos a outras empresas
especializadas no ramo, muitas vezes localizadas noutros paises com interesses
diferentes dos nossos, d-nos logo partida um fator importantssimo de
segurana pois diminuem-se drasticamente as hipteses de acesso por terceiros,
Cibersegurana e Ciberdefesa em Portugal 19 XV Curso de Defesa para Jovens
devido autenticidade do sistema e pelo facto de, assim, diminuir o nmero de
intermedirios pelo qual os programas tm de passar at chegarem ao
destinatrio final.
Finalmente, destaca-se a importncia de continuar um estreita articulao
com as instituies europeias e mundiais de modo a atingir uma robustez slida
ao nvel da cibersegurana, robustez essa que s ser alcanada atravs de um
rduo trabalho por parte de todas as entidades envolvidas nesta matria; esse
trabalho ter de ser contnuo e duradouro, uma vez que no mundo global do
sculo XXI o conhecimento evolui rapidamente e os acontecimentos precipitam-se
a uma velocidade que, por vezes, ultrapassa as melhores previses tecnolgicas.
Cibersegurana e Ciberdefesa em Portugal 20 XV Curso de Defesa para Jovens
Bibliografia
Almeida, Jos Maria Fernandes, Breve Historia da Internet,
Universidade do Minho. Departamento de Sistemas de Informao,
Outubro 2005.
Caldas, Alexandre e Freire, Vincente, Cibersegurana: das
Preocupaes Ao Instituto da Defesa Nacional - Working Paper
2 (2013)
Carrio, Alexandre, Estratgia da Informao e Segurana no
Ciberespao, IDN Cadernos, Instituto da Defesa Nacional, 2013;
Despacho n 13692/2013 do Ministro da Defesa Nacional, Dirio da
repblica 2 srie n 208, 28 de outubro de 2013
Proposta de Estratgia Nacional de Cibersegurana, Gabinete
Nacional de Segurana, 2014;
Resoluo do conselho de ministros n 19/2013 Dirio da Repblica
1 srie n 67, 5 de abril de 2013
Minuta do Relatrio Explicativo da Conveno do Cibercrime
disponvel em:
http://www.coe.int/t/dg1/legalcooperation/economiccrime/cybercrime/
ConventionOtherLg_en.asp
John Goetz, Marcel Rosenbach and Alexander Szandar. War of the
Future National Defense in Cyberspace, DER SPIEGEL
International Online (2 de novembro de 2009)
La Rue, Frank, Report of the Special Rapporteur on the promotion
and protection of the right to freedom of opinion and expression,
Organizao das Naes Unidas. Disponvel em:
http://www2.ohchr.org/english/bodies/hrcouncil/docs/17session/A.HR
C.17.27_en.pdf
Martins, Alexandre (2013), Portugal e Espanha entre os pases em
que a NSA mais confia para partilhar dados,Pblico, 31 de Outubro
de 2013.
Cibersegurana e Ciberdefesa em Portugal 21 XV Curso de Defesa para Jovens
Strategic Concept 2010 - Active Engagement, Modern Defence.
Strategic Concept for the Defense and Security of the Members of
the North Atlantic Treaty Organisation. Disponvel em:
http://www.nato.int/nato_static_fl2014/assets/pdf/pdf_publications/20
120214_strategic-concept-2010-eng.pdf
Viegas Nunes, Paulo Fernando, A Definio de uma Estratgia
Nacional de Cibersegurana; Nao e Defesa - Cibersegurana,
Instituto da Defesa Nacional, N 133 (2012).
National Cyber Security Framework Manual. Disponvel em:
http://www.ccdcoe.org/publications/books/NationalCyberSecurityFra
meworkManual.pdf
Roadmap for European Cyber Security
Month.: http://www.enisa.europa.eu/activities/stakeholder-
relations/nis-brokerage-1/european-cyber-security-month-advocacy-
campaign/2013/ecsm-roadmap.
A Good Practice Collection for CERTs on the Directive on attacks
against information systems. Disponvel em:
http://www.enisa.europa.eu/activities/cert/support/fight-against-
cybercrime/the-directive-on-attacks-against-information-systems.
Securing personal data in the context of data retention - Analysis
and recommendations Disponvel em:
http://www.enisa.europa.eu/activities/identity-and-
trust/library/deliverables/securing-personal-data-in-the-context-of-
data-retention
Alerts-Warnings-Announcements - Disponvel em:
http://www.enisa.europa.eu/activities/cert/support/awa
Good Practice Guide for securely deploying Governmental Clouds
Disponvel em: http://www.enisa.europa.eu/activities/Resilience-and-
CIIP/cloud-computing/good-practice-guide-for-securely-deploying-
governmental-clouds
Security certification practice in the EU - Information Security
Management Systems - A case study Disponvel em:
http://www.enisa.europa.eu/activities/identity-and-
Cibersegurana e Ciberdefesa em Portugal 22 XV Curso de Defesa para Jovens
trust/library/deliverables/security-certification-practice-in-the-eu-
information-security-management-systems-a-case-study
Cybersecurity cooperation - Defending the digital frontline -
Disponvel em: http://www.enisa.europa.eu/media/key-
documents/cybersecurity-cooperation-defending-the-digital-frontline
"HACKER", in Dicionrio Priberam da Lngua Portuguesa [em linha],
2008-2013, [consultado em 17-09-2014].
Georgia DDoS Attacks A Quick Summary of Observations.
Disponivel em: http://www.arbornetworks.com/asert/2008/08/georgia-
ddos-attacks-a-quick-summary-of-observations/
The Russian Snake. Disponivel em:
http://www.israeldefense.com/?CategoryID=512&ArticleID=2880
Rssia e Ucrnia travam duelo ciberntico. Disponivel em:
http://www.planobrazil.com/russia-e-ucrania-travam-duelo-
cibernetico/
Livros
CALDAS, Alexandre; FREIRE, Vicente, Cibersegurana: das
preocupaes aco, Instituto da Defesa Nacional, Working Paper
2, 2013;
CARRIO, Alexandre (coord), Estratgia da Informao e
Segurana no Ciberespao, IDN Cadernos, Instituto da Defesa
Nacional, 2013;
Artigos Online
Artigos do Jornal Pblico
Cibersegurana e Ciberdefesa em Portugal 23 XV Curso de Defesa para Jovens
http://www.publico.pt/politica/noticia/hackers-chineses-atacaram-ministerio-
dos-negocios-estrangeiros-de-portugal-1615718
http://www.publico.pt/sociedade/noticia/hackers-divulgam-emails-internos-
do-novo-banco-e-banco-de-portugal-para-que-cidadaos-reclamem-1667325
http://www.publico.pt/mundo/noticia/portugal-e-espanha-entre-os-paises-
em-quem-a-nsa-mais-confia-para-partilhar-dados-1610851
http://www.publico.pt/portugal/jornal/ataque-pirata-expoe-emails-de-
gestores-bancarios-28500507
Artigos Direo-Geral de Poltica de Defesa Nacional
http://dgpdn.blogspot.pt/2013/03/artigo-de-opiniao-ciberseguranca-e.html
Websites
http://anonymouspt.blogspot.pt/
ENISA European Network & Information Security Agency, site
oficial: http://www.enisa.europa.eu/
OTAN Organizao do Tratado do Atlntico Norte Defending
agaisnt cyber attacks - http://www.nato.int/cps/en/natolive/75747.htm