Ciberespaço e cibersegurança – desafios e soluções

A cibersegurança tem vindo a avançar a pare e passo com as novas tecnologias que surgem através de um processo de globalização acelerado. Através do surgimento destas novas Tecnologias de Informação e Comunicação  as próprias noções de acessibilidade, disponibilidade e distância alteram-se mediante aquilo que é a visão global.

As novas tecnologias abrem portas a ataques informáticos, mas permitem, ainda, tentativas de influenciar opiniões públicas e as próprias eleições. Desta forma, é cada vez mais desafiante para a União Europeia, acompanhar esta evolução e todas as consequências que a mesma acarreta. Assim, torna-se clara a necessidade de criar estruturas que promovam a prevenção de práticas que coloquem em risco a segurança interna e externa dos Estados.

Os crescentes desafios no que diz à cibersegurança levam a que a União Europeia precise de reforçar a sensibilização para os ciberataques, que têm como alvos tanto as instituições da União como os Estados-Membros e, além disso, a sensibilização para a própria resposta a dar ao domínio de operações decorrentes do ciberespaço.

No entanto, não se pode dizer que exista uma definição de ciberespaço que seja universalmente aceite; o que traz a suas dificuldades, ainda que seja possível dizer que este abrange não só a Internet, a informação digitalizada, as infraestruturas, as informações, mas também, todos os seres humanos que fazem uso da tecnologia. Desta forma, torna-se claro, que o ciberespaço ultrapassado todas as fronteiras de um Estado, o que exige controlo e governança[1].

Daqui resulta que não só será importante a cooperação entre Estados como também entre eles e organizações internacionais. Além destes, também as empresas desempenham papeis fundamentais na medida em que são elas que fornecem os instrumentos necessários tanto à prática como ao combate destes ataques.

A Internet, as novas tecnologias e todo o espaço virtual, criam um novo espaço para a expressão, conhecimento e para a comunicação e é inegável a sua presença nos mais virados aspetos da vida quotidiana, seja por facilitar o acesso à informação, seja por facilitar as comunicações, principalmente as de longa distância, e inclusive a interação dos cidadãos com os órgãos e organismos estatais e internacionais.

A questão da cibersegurança[2] torna-se preocupante quando é claro que as redes e os sistemas de informação e, sobretudo, a Internet desempenham um papel vital na sociedade; um papel crucial ao facilitar a circulação transfronteiriça de mercadorias, de serviços e de pessoas e quando a ameaça a estes resulta no impedimento do exercício de atividades económicas, perdas financeiras e, consequentemente, prejuízos à economia da União. Pelo que, a segurança destas redes e sistemas de informação e a confiança dos seus utilizadores é essencial para o funcionamento do mercado interno. Daí que a União Europeia, dependente do ciberespaço como qualquer outra entidade, e esteja interessada em promover um acesso livre e seguro.

A cibersegurança, através do envolvimento de forças de segurança, procura o combate do cibercrime. Dentro do conceito de cibercrime cabem formas tradicionais de criminalidade como a fraude ou a falsificação; por outro lado, a publicação de conteúdos ilícitos nos meios de comunicação eletrónicos e, por fim, crimes exclusivos das redes eletrónicas como ataques contra sistemas de informação, bloqueio de serviços e pirataria.[3] Todos este crimes ganham uma dimensão maior uma vez que podem ser cometidos em grande escala e por ser muito grande a distância geográfica entre o acto criminoso e os seus efeitos.

No plano europeu, a Comissão Europeia, em 1999, lançou a iniciativa eEurope. Esta iniciativa política procurava garantir que a União tirasse partido da evolução associada à Socidade de Informação[4], adotando medidas de forma a que a cultura digital fizesse parte do conhecimento de base do jovem europeu; medidas no sentido de acelerar o comércio electrónico e de forma a garantia de acesso à Internet. O que nos torna a todos, necessariamente, mais vulneráveis ao cibercrime, pois a vulnerabilidade é indissociável de todas as vantagens que surgem destes avanços.

Verdade seja dita que a tomada de consciência da importância das problemáticas que dizem respeito ao ciberespaço, à cibersegurança e à ciberdefesa por parte da União Europeia, é relativamente recente.[5]

Em 2001 celebrou-se em Budapeste uma Convenção sobre o Cibercrime, onde se reconhece a necessidade de cooperação entre os Estados e a indústria privada no combate ao cibercrime, bem como na proteção dos interesses legítimos e ligados ao uso e desenvolvimento das tecnologias de informação. Cientes de que esta Convenção seria necessária para impedir actos praticados contra a confidencialidade, integridade e disponibilidade de sistemas informáticos, de redes e de dados informáticos; bem como a proteção de dados pessoais[6]. Procurou-se um equilíbrio adequado entre os interesses da aplicação da lei e o respeitos pelos direitos fundamentais consagrados na Convenção para a Protecção dos Direitos do Homem e das Liberdades Fundamentais do Conselho da Europa (1950), no Pacto Internacional sobre os Direitos Civis e Políticos das Nações Unidas (1966) e noutros tratados internacionais em matéria de direitos humanos.

A Comissão Europeia, em 2006, adotou um comunicado no qual expõe os princípios e os instrumentos necessários para a execução do Programa Europeu de Proteção das Infraestruturas Críticas (PEPIC), europeias e nacionais, tendo como objetivo geral melhorar a proteção das infraestruturas críticas na União Europeia. A Diretiva 2008/114/CE do Conselho veio estabelecer um procedimento de identificação e designação das Infraestruturas Críticas Europeias (ICE), ou seja, infraestrutura situada nos Estados-Membros, cuja perturbação ou destruição tenha um impacto significativo em pelo menos dois Estados-Membros

Em 2013 foi criado o EC3 – “European Cybercrime Centre”. Este organismo, que surgiu da crescente preocupação e ameaça da possibilidade de cibercrime na União Europeia (face à sua avançada infraestrutura de Internet e devido à sua economia ter como base a Internet e sistemas de pagamentos) está sob a alçada da Europol, surgindo a sua relação com a ENISA da capacidade que o EC3 dispõe de regular as medidas protocolarmente definidas por esta entidade. O EC3 tem como objetivos o fortalecimento da resposta da aplicação da lei da criminalidade informática na União Europeia e ajudar a proteger os cidadãos europeus, empresas e governos e tem como principais campos de ação o auxílio aos Estados-Membros para que estes consigam extinguir redes de cibercrime relacionadas com o abuso sexual de crianças, fraude informática e intrusões.

Em 2014 surge a já mencionada ENISA - European Union Agency for Network and Information, agência especializada em cibersegurança, tendo como missão contribuir para segurança cibernética na Europa aumentando a "consciência da segurança das redes e da informação e para desenvolver e promover uma cultura, das redes e da informação na sociedade em benefício dos cidadãos, consumidores, empresas e organizações do sector público em a União"[7]. É responsável pela elaboração de relatórios no que concerne aos sistemas críticos de cada Estado-Membro e do sector privado, trabalhando em estreita colaboração com os mesmos para fornecer conselhos e soluções para os problemas que possam surgir.

Em Setembro de 2017, a Alta Representante e a Comissão apresentaram uma comunicação conjunta ao Parlamento Europeu e ao Conselho, intitulada Resiliência, dissuasão e defesa: reforçar a cibersegurança na EU. Identificam-se problemas e propõe-se soluções concretas de forma a os tentar resolver, com base numa abordagem coletiva, global e transversal.

Assim sendo, as propostas procuram desenvolver a resiliência aos ciberataques; dissuadir ações maliciosas e criminosas ao nível da União e, reforçar a cooperação internacional no domínio da cibersegurança.

Reforça-se ainda a cooperação internacional em matéria de cibersegurança bem como o aprofundamento da cooperação com a NATO. Pelo que, desde 2016 que a União e a NATO firmam um acordo histórico com o intuito de combater o cibercrime e outras ameaças híbridas. Decidem adotar medidas conjuntas de forma a que, em caso de emergência, possam ser dadas respostas mais eficientes.

Este estreitar de relações entre a União e a NATO, teve como pilar a realização em Portugal, no ano de 2015, da 1ª Conferência NATO dos Projetos de Smart Defense na área da Ciberdefesa (1st NATO Cyber Defense Smart Defense Project Conference) que teve continuidade em 2016, com uma segunda edição com um leque de temas mais alargado.

As ameaças híbridas exploram a vulnerabilidade de um país e muitas vezes pretendem minar os valores democráticos e liberdades fundamentais[8]. Estas incluem ações como campanhas de desinformação e uso de meios de comunicação social para controlar a narrativa política ou para a radicalizar.

Apesar da responsabilidade primeira destas ameaças ser dos Estados, uma vez que está em causa a segurança e defesa dos seus nacionais, muitos Estados-Membros da União enfrentam ameaças comuns pelo que essas ameaças podem ser abordadas de uma forma mais eficaz através de uma resposta coordenada a nível Europeu. É neste sentido que em Abril de 2016, a Alta Representante e a Comissão apresentam a Comunicação Conjunta ao Parlamento Europeu e ao Conselho, onde se estabelece o Quadro comum em matéria de luta contra estas ameaças.

Nos dias de hoje assistimos a grandes transformações na sociedade e de uma forma acelerada. Os negócios, as comunicações, os transportes, a informação e a vida social e profissional dos indivíduos processa-se através do mundo virtual.

No entanto, a globalização e esta nova visão sobre o mundo trazem consigo perigos e abrem portas a ações criminosas. Desta feita, há que unir esforços em prol da cibersegurança e da ciberdefesa mediante aquilo que é a complexidade do ciberespaço e dos obstáculos que este coloca à detenção das ameaças e às políticas de segurança, ainda que se tenha vindo a progredido significativamente nesse sentido.

Há que criar estruturas de cooperação no sentido da prevenção das práticas criminosas aqui em assunto uma vez que estamos perante ameaças silenciosas e invisíveis, mas potencialmente devastadoras e que se focam naquilo que vai para além do espaço virtual. Há que querer estar sempre um passo à frente em relação à evolução tecnológica e aos perigos que traz consigo.

           

---

[1] Neste sentido, Ana Maria Guerra Martins, “Os Desafios Contemporâneos à Ação Externa da União Europeia”, p.399

[2] “Cibersegurança é a garantia de fiscalização e ‘policiamento’ do ciberespaço de forma a garantir uma eficaz reação à prática criminosa no mesmo”, Nunes, Paulo Viegas (2013)

[3] Comunicação da Comissão ao Parlamento Europeu, ao Conselho e ao Comité das Regiões - Rumo a uma política geral de luta contra o cibercrime {SEC(2007) 641} {SEC(2007) 642} /* COM/2007/0267 final */ 

[4] O conceito de Sociedade da Informação teve origem nas dissertações de Alain Touraine (1969) e Daniel Bell (1973) sobre as influências dos avanços tecnológicos nas relações de poder, identificando a informação como ponto central da sociedade contemporânea.

[5] Neste sentido, Ana Maria Guerra Martins, “Os Desafios Contemporâneos à Ação Externa da União Europeia”, p.400

[6] Tal como definido na Convenção do Conselho da Europa para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal de 1981

[7] Artigo 1º(1) do Regulamento ENISA (EU) Nº 526/2013

[8] Comunicação Conjunta ao Parlamento Europeu e ao conselho. Bruxelas, 06.04.2016