segunda-feira, 3 de dezembro de 2018


O ciberespaço e a cibersegurança – desafios e soluções
 
Considerações gerais: a tentativa de definição dos conceitos de ciberespaço, cibersegurança
 
Atualmente não existe uma definição de conceitos como o ciberespaço, aceite por todos de forma generalizada. Mas podemos entender que este abrange a informação digitalizada, as infraestruturas como as comunicações por satélites, as redes de servidores, a internet, os computadores e até os seres humanos que fazem uso da tecnologia. O ciberespaço ultrapassa assim as fronteiras de um Estado, devido até aos vários atores envolvidos como Estados, organizações internacionais e privados, pelo que a responsabilidade do que se passa no ciberespaço deve ser partilhada por todos eles.
 
A União Europeia e o Ciberespaço
 
Enquanto organização internacional a União Europeia está dependente do ciberespaço, preocupando-se com o seu acesso livre e seguro bem como com o seu controlo. Porém esta preocupação da União com o ciberespaço é recente.
A Comissão Europeia (CE), em colaboração com a Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança, publicou a 7 de fevereiro de 2013 a estratégia em matéria de cibersegurança e uma proposta de diretiva sobre a segurança das redes e da informação (SRI) que requer que todos os Estados-Membros, bem como os fornecedores de serviços de Internet e os operadores de infraestruturas garantam um ambiente digital seguro e fiável em toda a União Europeia.
A estratégia da União Europeia para a cibersegurança, denominada "Um ciberespaço aberto, seguro e protegido" procura promover os valores europeus de liberdade e democracia e, ao mesmo tempo, garantir que a economia digital se desenvolva em condições de segurança.  Esta estratégia traduz assim a visão global da União Europeia (UE) sobre a melhor forma de prevenir e dar resposta às perturbações e ataques na Internet. O plano de cibersegurança está assente em cinco prioridades: alcançar a resiliência do ciberespaço; reduzir drasticamente a cibercriminalidade; desenvolver a política e as capacidades no domínio da ciberdefesa no quadro da política comum de segurança e defesa; desenvolver os recursos industriais e tecnológicos para a cibersegurança; estabelecer uma política internacional coerente em matéria de ciberespaço na Europa e promover os valores fundamentais da UE.
Defende a Comissão Europeia que "para que o ciberespaço permaneça aberto e livre devem aplicar-se no universo em linha as mesmas normas, princípios e valores que a União defende para o mundo físico.”[i]
Na comunicação conjunta ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social e ao Comité das Regiões que inclui a estratégia da União Europeia para a cibersegurança, a Comissão e a Alta Representante chamaram à atenção para os chamados incidentes de cibersegurança[ii], quer sejam intencionais ou meramente acidentais, terem aumentado a um nível preocupante e para o facto de estes puderem mesmo vir a provocar uma perturbação na prestação dos serviços básicos, como é o caso do abastecimento de água ou eletricidade, os cuidados de saúde ou os serviços de telecomunicações móveis.
Estas ameaças podem ter origens diversas, nomeadamente ataques criminosos, politicamente motivados, terroristas ou patrocinados por alguns Estados ou catástrofes naturais e até erros humanos involuntários.
É ainda destacado na comunicação que a economia da União já era bastante afetada pela cibercriminalidade[iii]que atinge o sector privado e os particulares.
Assim, apesar de recente, a preocupação da União neste domínio é evidente, desde logo devido à diversificação e aumento dos incidentes de cibersegurança, como ataques perpetrados por meio de software de sequestro (ransomware) que triplicaram entre 2015 e 2017 e o impacto económico da cibercriminalidade que quintuplicou desde 2013[iv].
Na comunicação conjunta ao Parlamento Europeu e ao Conselho, de 13 de Setembro de 2017, a Comissão e a Alta Representante propuseram soluções concretas[v] para tentar fazer face a estes problemas, sob pena de ficar comprometida a segurança e a proteção da UE contra ciberameaças às economias e também ao próprio funcionamento das democracias, liberdades e valores que defendemos.
As referidas soluções baseiam-se numa abordagem coletiva, global e transversal e destinam-se a: desenvolver a resiliência da UE aos ciberataques; criar uma dissuasão eficaz a nível da UE e reforçar a cooperação internacional em matéria de cibersegurança.
Quanto à primeira solução, tendo em vista o aumento da resiliência aos ciberataques, a referida comunicação propõe a aplicação na íntegra da Diretiva relativa à segurança das redes e da informação[vi] (Diretiva SRI) que constitui o primeiro ato legislativo a nível da UE em matéria de cibersegurança e destina-se a reforçar a resiliência melhorando as capacidades nacionais em matéria de cibersegurança, promovendo uma melhor cooperação entre os Estados-Membros e obrigando as empresas de setores económicos importantes a adotarem práticas eficazes de gestão dos riscos e a comunicarem incidentes graves às autoridades nacionais. A diretiva visa uma abordagem mais sólida e mais sistemática e um melhor fluxo de informação.
Outras das ações propostas quanto a esta primeira solução são, entre outras, a adoção rápida, pelo Parlamento Europeu e pelo Conselho, do regulamento que estabelece um novo mandato para a Agência da UE para a Segurança das Redes e da Informação (ENISA) e um quadro europeu para a certificação; a iniciativa conjunta da Comissão e da indústria para definir um princípio de “dever de diligência” a fim de reduzir as vulnerabilidades dos produtos/suportes lógicos e promover a segurança desde a conceção; a execução rápida do plano de ação para a resposta a incidentes transfronteiriços em grande escala; o apoio aos Estados-Membros na identificação dos domínios em que projetos de cibersegurança comuns possam ser considerados para efeitos de financiamento pelo Fundo Europeu de Defesa; a criação de um “balcão único” a nível da UE para ajudar as vítimas de ciberataques, prestando informações sobre as ameaças mais recentes e reunindo recomendações práticas e instrumentos de cibersegurança; a adoção, pelos Estados-Membros, de medidas para integrar a cibersegurança em programas de competências, na administração pública em linha e em campanhas de sensibilização.
Quanto à segunda solução, a União deve pôr em prática um conjunto de medidas que sejam credíveis e que tenham um efeito dissuador para os potenciais cibercriminosos e autores de ataques. Já foi dado um passo importante no sentido de melhorar a resposta do direito penal aos ciberataques, com a adoção, em 2013, da Diretiva relativa a ataques contra os sistemas de informação[vii]. Esta estabelece regras mínimas relativas à definição das infrações penais e das sanções no domínio dos ataques contra os sistemas de informação e prevê medidas operacionais para melhorar a cooperação entre autoridades. Apesar da importância desta diretiva que conduziu a progressos substanciais no âmbito da criminalização dos ciberataques a um nível comparável em todos os Estados-Membros, a Comunicação avança com outras medidas, como: a adoção rápida, pelo Parlamento Europeu e pelo Conselho, da proposta de diretiva relativa ao combate à fraude e à contrafação de meios de pagamento que não em numerário; a introdução de requisitos relativos ao IPv6 nos concursos públicos e no financiamento de investigação e de projetos por parte da UE; a celebração de acordos voluntários entre os Estados-Membros e os fornecedores de serviços de Internet para promover a adoção do IPv6; a ênfase renovada e alargada da Europol no domínio da informática forense e da monitorização da Internet obscura (darknet), entre outras.
Por último, quanto à terceira solução, a Comunicação preconiza o reforço da cooperação internacional do domínio da cibersegurança bem como o aprofundamento da cooperação com a NATO (Organização do Tratado do Atlântico Norte) e propõe as seguintes ações: avançar com o quadro estratégico para a prevenção de conflitos e a estabilidade do ciberespaço; desenvolver uma nova rede de reforço das capacidades para apoiar a capacidade de resposta dos países terceiros às ciberameaças, e elaborar diretrizes da UE para o reforço das capacidades em matéria de cibersegurança que permitam definir melhor as prioridades dos esforços da UE; e reforçar a cooperação entre a UE e a NATO, incluindo a participação em exercícios paralelos e coordenados e uma maior interoperabilidade das normas relativas à cibersegurança.
Analisada a Comunicação, pergunta-se qual a razão desta “estratégia” e a resposta prende-se com o facto de a UE, confrontada com crescentes desafios à cibersegurança, precisar de reforçar a sensibilização para os ciberataques que têm os Estados-Membros ou as instituições desta como alvo, bem como melhorar a resposta aos mesmos. A “Internet das coisas” é já uma realidade, esperando-se que, até 2020, haja na UE dezenas de milhares de milhões de dispositivos digitais conectados. Simultaneamente, os atuais sistemas informáticos podem ser seriamente afetados por incidentes de segurança, tais como falhas técnicas e vírus. Este tipo de incidentes, a que muitas vezes se dá o nome de incidentes de segurança das redes e da informação (SRI), está a tornar-se cada vez mais frequente e mais difícil de resolver.
Além disso, calcula-se que os ciberataques tenham um custo de 400 mil milhões de euros por ano.
Em suma, a presente comunicação conjunta definiu a dimensão do desafio e o conjunto de medidas que a UE pode tomar. Precisamos de uma Europa que seja resiliente e capaz de proteger os seus cidadãos de forma eficaz, antecipando possíveis incidentes de cibersegurança, criando uma sólida proteção das suas estruturas e comportamentos, recuperando rapidamente de eventuais ciberataques, e dissuadindo os responsáveis por tais práticas. A União Europeia tem procurado dotar-se dos meios necessários para fazer face aos problemas que o ciberespaço apresenta, sendo fundamental a coordenação e cooperação entre as diversas instituições, agências e órgãos competentes dentro da União.
 
Conclusão
 
A União Europeia pretende reforçar as suas regras em matéria de cibersegurança, a fim de combater a crescente ameaça que representam os ciberataques, bem como de tirar partido das oportunidades da nova era digital.
Em 18 de outubro de 2018, o Conselho Europeu apelou à adoção de medidas destinadas a desenvolver uma cibersegurança sólida na União Europeia. Os dirigentes da UE referiram-se, em particular, a medidas restritivas capazes de dar resposta aos ciberataques e de os dissuadir.
A base para o empenhamento renovado da UE em combater as ciberameaças é como vimos este pacote de reformas em matéria de cibersegurança apresentado pela Comissão Europeia em setembro de 2017. Esta reforma pretende desenvolver as medidas estabelecidas pela estratégia para a cibersegurança e pelo seu principal pilar, a diretiva relativa à segurança das redes e da informação – a Diretiva SRI.
Os dirigentes da UE consideram a reforma da cibersegurança um dos principais aspetos do caminho para a realização do mercado único digital da UE. É igualmente essencial para a prosperidade da UE garantir o futuro digital da Europa, uma vez que os dados são amplamente considerados o novo "petróleo da economia". Algumas das prioridades no caminho a percorrer consistem em: combater as ameaças às plataformas em linha e permitir-lhes contribuir de forma positiva para a sociedade; apoiar as pequenas e médias empresas para que possam ser competitivas na economia digital e investir na utilização de inteligência artificial e de supercomputadores em domínios como os tratamentos médicos e a eficiência energética.
 
A UE está assim bem posicionada para abordar as questões da cibersegurança, dado o âmbito das suas políticas e os instrumentos, estruturas e capacidades à sua disposição. Embora os Estados-Membros continuem a ser responsáveis pela segurança nacional, a escala e a natureza transfronteiriça da ameaça constituem um forte argumento a favor da ação da UE no sentido de proporcionar incentivos e apoio aos Estados-Membros para que desenvolvam e mantenham mais e melhores capacidades nacionais em matéria de cibersegurança, reforçando ao mesmo tempo as capacidades a nível da UE. Esta abordagem destina-se a mobilizar todos os intervenientes, ou seja, a UE, os Estados-Membros, a indústria e os cidadãos, para que deem à cibersegurança a prioridade necessária para proporcionar uma melhor resposta da UE aos ciberataques.
 
 
Referências bibliográficas:
 
·         Martins, Ana Maria Guerra. “Os Desafios Contemporâneos à Ação Externa da União Europeia – Lições de Direito Internacional Público II”, Almedina, 2018
·         https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52017JC0450&from=ES
 
 
 
 
 
 

[i] Defende ainda a Comissão que os direitos fundamentais, a democracia e o Estado de Direito devem ser protegidos no ciberespaço." Ao mesmo tempo a liberdade em linha exige também segurança e proteção, devendo o ciberespaço ser protegido contra incidentes, atividades maliciosas e utilizações abusivas, tendo os governos um importante papel a desempenhar neste domínio”.
 
 
[ii] Tal como é referido na Comunicação da Comissão, o termo cibersegurança refere-se, geralmente, às precauções e ações que podem ser utilizadas para proteger o ciberespaço, tanto nos domínios civil como militar.
 
[iii] A cibercriminalidade refere-se, geralmente, a um amplo leque de diferentes atividades criminosas que envolvem os computadores e os sistemas informáticos. A cibercriminalidade inclui as infrações nacionais (por exemplo, fraude, falsificação e roubo de identidade), infrações relativas aos conteúdos (por exemplo, distribuição de material pedopornográfico em linha ou incitamento ao ódio racial) e crimes respeitantes exclusivamente a computadores e sistemas informáticos (por exemplo, ataques contra os sistemas informáticos, recusa de serviço e software malicioso).
 
[iv] Segundo a Comissão Europeia, apesar da ameaça crescente, a sensibilização para a cibersegurança e os conhecimentos sobre a mesma são ainda insuficientes, dado que 51 % dos cidadãos europeus consideram estar pouco informados sobre as ciberameaças e 69 % das empresas têm, quanto muito, um conhecimento básico sobre a sua exposição aos riscos de ciberataques.
 
[v] A abordagem definida na presente comunicação conjunta dará à UE melhores condições para fazer face às referidas ameaças. Permitirá criar uma maior resiliência e autonomia estratégica, aumentando as capacidades em termos de tecnologia e de competências, e contribuindo para criar um mercado único forte. Para tal, é necessário dispor das infraestruturas adequadas para criar uma cibersegurança sólida e reagir sempre que necessário, com a plena participação de todos os intervenientes.
 
[vi] Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.
[vii] Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho.
Publicada por à(s)

Sem comentários:

Enviar um comentário

Subscrever: Enviar feedback (Atom)