Por um Portugal Digital e Seguro

É preciso reforçar a defesa e a resiliência dos serviços informáticos da Administração Pública (central e local), das empresas e dos particulares contra os novos cenários de guerra cibernética que se avizinham e que, em diversas ocorrências no passado recente, já provaram que o campo de batalha mudou agora, em grande, parte para a área das tecnologias de informação e para as comunicações. O recente furto massivo de dados de 500 milhões (!) de clientes da rede Marriot International deixou pistas que se tratou de uma operação planeada e executada pelo governo chinês para compilação de dados para conduzir operações de chantagem e compreender as deslocações e localizações de diplomatas e agentes das forças de segurança e serviços secretos ocidentais. Mas se este foi o caso mais recente de ciberguerra conduzida por um Estado não foi certamente o mais grave em extensão ou escala dos danos. Este ponto máximo (até ao momento) teve lugar há 12 anos na Estónia quando ciberataques contra uma ampla panóplia de sites do Estado estónio, organizações da sociedade civil, institutos e empresas estatais, bancos e jornais apagou- durante meses – a pegada online da Estónia. A resposta do Estado báltico foi, quase de imediato, apontar o dedo ao Kremlin o qual rejeitou a acusação desculpando-se com o “nacionalismo extremo” de alguns dos seus nacionais e negando qualquer responsabilidade ou controlo na operação. Posteriormente, a Estónia acabou adoptando algumas das medidas de ciberprotecção mais avançadas do mundo e um protocolo de resposta eficaz contra recorrências destes incidentes. Nota importante: ambos os casos ocorreram em tempo de paz e sem uma declaração formal ou informal de guerra sendo que em ambos os casos os governos suspeitos de estarem por detrás dos ataques negaram qualquer responsabilidade. E falamos apenas de dois, entre muitos, casos recentes.

Em resposta aos ciberataques de 2007, a NATO (organização que integra a Estónia desde 2004) conduziu uma grande operação de avaliação da cibersegurança das suas infraestruturas de TI e comunicações produzindo um relatório em outubro de 2007 e fundando o “NATO Cooperative Cyber Defence Center of Excellence (CCDCOE)”, com sede na Estónia, em 2008. Também em consequência destes ataques foi criado o “Tallinn Manual on the International Law Applicable to Cyber Warfare” ou mais simplesmente “Manual Tallinin”, um relatório sobre as leis internacionais que podem ser aplicadas em caso de ciberataque onde se diz, a dado ponto, que embora os Estados não tenham controlo total sobre a Internet (e as recentes dificuldades russas em barrar o Telegram provam-no) têm soberania sobre os componentes e agentes da rede global que estão nos seus territórios e, logo, podem ser responsabilizados pelo que se passa no seu território. Note-se, contudo, que o “Manual Tallinn” é um texto académico, não vinculativo, embora escrito entre 2009 e 2012 a convite do CCDCOE da NATO por vários especialistas independentes. O manual não determina, assim, a resposta da NATO nem de nenhum dos seus Estados-membro mas pode e deve servir de referência para a definição de políticas integradas de cibersegurança nos estados da aliança e, claro, em Portugal.

Além de criar uma versão nacional, actualizada e adaptada, do “Manual de Talinn” Portugal precisa de criar um Regulamento interministerial de Cibersegurança para os Serviços Públicos que determine melhores práticas, respostas e procedimentos padronizados mas flexíveis de resposta para ataques à presença online da administração central e local assente numa rede entre ministérios, serviços públicos, universidades e autarquias de troca de opiniões, políticas e melhores práticas de cibersegurança e Privacidade. Estes procedimentos seriam parte de uma Estratégia Nacional de Capacidade de Cibersegurança que promova a criação e defesa de um espaço cibernético aberto, seguro e resilitente entre os organismos do Estado Central, da Administração Local e as empresas. Recomendações de Boas Práticas e Legislativas poderiam também ser produzidas, numa base anual, por este organismo e apresentadas à Comissão Parlamentar de Economia, Inovação e Obras Públicas para eventual produção legislativa.

Precisamos igualmente de criar uma rede universitária de investigação em cibersegurança que coloque o desenvolvimento de novas tecnologias de encriptação e a computação quântica como prioridades nacionais para o século XXI que ligue todas as pós-graduações e mestrados em cibersegurança e ciberdefesa desenvolvendo uma rede universitária de investigação nessa área que possa colaborar, em grande proximidade, com a elaboração da Estratégia Nacional de Capacidade de Cibersegurança e constante actualização que esta deve ter numa base que seja, pelo menos, anual.

Parte dessa estratégia deve assentar no desenvolvimento de uma estrutura nacional de “Public Key Infrastructure” (PKI) em que cada cidadão tem um chave criptográfica com o mesmo valor de uma assinatura escrita. Em Portugal já temos uma estrutura nacional de PKI, que atribui a cada cidadão um chave criptográfica no serviço Autenticação.Gov a qual, em conjunto com o Cartão de Cidadão, permite fazer uso da funcionalidade de Federação de Identidades da Plataforma de Interoperabilidade da Administração Pública para a identificação dos cidadãos, com altos níveis de segurança e privacidade no processo de autenticação e identificação. O sistema português permite que existam credenciais comuns a todos os sites da Administração Pública, assegurando que o utilizador necessita autenticar-se apenas uma vez para aceder a um ou vários serviços que podem ser iniciados em portais como o Portal do Cidadão ou o Portal da Empresa e conduzir a autenticação de um utilizador com recursos a outros certificados digitais que não o do Cartão de Cidadão, possibilitando e alargando o leque de autenticação disponível para as Entidades privadas que pretendam delegar a autenticação nesta componente. A autenticação Autenticação.Gov permite a criação de comunicações HTTP em canal cifrado – SSL ou TLS em que os dados do utilizador se mantêm privados, impedindo a sua visualização por terceiros (ex. visualização de dados por um “Sniffer” de rede) e a Integridade de dados através do uso do protocolo SAML, impedindo, assim, ataques “Man-in-the-Middle”). Mas esta estrutura está subdesenvolvida… Precisamos de, por força de lei, tornar corrente o uso da assinatura digital em contratos entre o Estado e Privados e, gradualmente, estender o seu uso a todos os tipos de contratos celebrados, também por particulares. E, paralelamente, criar pilotos de voto remoto, com este alto nível de segurança, para que os eleitores possam participar nos actos eleitorais de forma segurança e fácil a partir de casa.

Esta rede de Defesa Nacional de Cibersegurança erguida em torno do Estado Central e Local, numa rede de comunicações cifradas sob a estrutura nacional de PKI poderia ser reforçada por uma extensão às empresas nacionais de eCommerce (Lojas Virtuais) monitorizada pela Anacom e fundando uma Autoridade Nacional para a Cibersegurança que proteja os consumidores de TIs – particulares – que, assim como a ASAE protege os consumidores em geral, proteja os utilizadores de serviços digitais, contra abusos, riscos e ameaças deste tipo. Precisamos igualmente de criar uma “marca”: “Comércio Electrónico Português Seguro”: tendo em conta que as encomendas online em Portugal não param de subir, ano após ano, criar um “selo de segurança para o comércio electrónico português” baseado em auditorias independentes obrigatórias aos sistemas das entidades que se candidatem a este selo atribuído pela Anacom e estabelecendo que as transacções comerciais que usassem o a PKI do Cartão de Cidadão e passassem essa bateria regular de testes poderiam exibir, nos seus sites, esse selo de segurança. Esta marca viria dar segurança e promover o crescimento do comércio electrónico que, em Portugal, cresceu 12,5% em 2018 somando hoje mais de 4 mil milhões de euros. O eCommerce tem uma pegada ambiental e de carbono menor que o comércio tradicional (menos logística, custos de transportes de armazém para armazém e ocupação de espaço) e implica, geralmente, preços mais baixos, maior facilidade de compra quer na oferta comparada quer na hora da mesma. Mas só pode haver cresciemento sustentável do eCommerce em Portugal se este for percepcionado pelos consumidores como sendo seguro. Daí a importância de criar esse selo e de o ligar a uma entidade credível e, preferivelmente, controlada ou detida directamente pela Anacom. Este selo reduziria a ocorrência de fraudes electrónicas nas lojas virtuais aumentando a protecção que advém do uso (hoje em dia forçado pelas últimas versões do Google Chrome) do HTTPS (repare, p.ex. nos endereços dos sites onde faz compras: se tiverem https:// usam este protocolo), verifique se o certificado está válido (o browser alerta para estes casos). Na prática sugerimos que a República, via Anacom, instaure um novo Selo de Segurança “Comércio Electrónico Português Seguro” A Anacom realizará regularmente auditorias automáticas de segurança aos sites com o selo tendo os aderentes a possibilidade de consultar online os resultados das mesmas.

Esta estratégia multifacetada, flexível e adaptável seria crucial para o desenvolvimento da Economia Digital em Portugal e criar uma base resiliente para a sociedade cada vez mais digital em que vivemos.

https://maisribatejo.pt/2020/04/27/por-um-portugal-digital-e-seguro/