Portugal sem estratégia coordenada de cibersegurança

Quem manda na cibersegurança em Portugal? Ninguém.

Há um mês e meio, Portugal sofreu um ataque informático a partir principalmente de servidores da China e da Rússia. Os pedidos de acesso ao domínio de topo português .pt foram de 20 mil por segundo, afirma Pedro Veiga.
O presidente da Fundação para a Computação Científica Nacional (FCCN) usou o ataque esta manhã, no âmbito da conferência “Cibersegurança: do pensar à acção”, realizada pelo Gabinete Nacional de Segurança (GNS), EuroDefense Portugal e Associação para as Comunicações e Electrónica nas Forças Armadas (AFCEA), para exemplificar como Portugal não está imune a ciberataques.
“Todos os dias há ataques a Portugal”, assegurou Torres Sobral, da Autoridade Nacional de Segurança, para quem, “em seis meses, os ataques destrutivos serão uma realidade”.
“Só vamos ver a situação piorar”, acompanha Paulo Veríssimo, docente da Faculdade de Ciências da Universidade de Lisboa. A razão desta afirmação é simples: a infra-estrutura de acesso pelas redes está generalizada, assim como as formas de ataque, e os atacantes aumentaram, incluindo agora agências de Estado ou terroristas. “Muitos ataques são externos [às organizações] e as vítimas não sabem, são alertadas do exterior”, refere.
Os ataques (e os atacantes) também evoluíram. Os primeiros passaram da simples demonstração de capacidades técnicas para o desenvolvimento de ferramentas que podem ser usadas por “nabos”, entrando depois na ciberguerra com a fusão de ataques informáticos com motivações políticas, como se antecipa que tenha ocorrido com o worm Stuxnet no ano passado.
Ou, antes, com o ataque à Estónia em 2007 e, no ano seguinte à Geórgia, a primeira vez que ocorreu um ataque militar no terreno e informático em simultâneo, lembrou João Maia, do GNS, para quem “os ciberataques podem ser mais eficientes do que com as armas convencionais”.
“Agora, as vulnerabilidades não são divulgadas, o ataque já não é por piada para o mundo hacker, e são utilizadas após meses de preparação”, revela Veríssimo. “A severidade” e a “sofisticação dos ataques tem vindo a aumentar”, enquanto o número dos que têm um bom conhecimento tem vindo a diminuir “mas os que têm esse conhecimento podem ser muito perigosos”.
Para este responsável e neste cenário, a estratégia futura não passa por eliminar os ataques, até porque isso é quase impossível. “Vamos ter de viver debaixo de ataques” num mundo em que “não é só ter segurança, é preciso ter melhor segurança”.
Que segurança, quando as infra-estruturas estão, “na sua maioria, nas mãos de entidades privadas focadas no lucro e não na segurança”, lembrou Pedro Veiga, que salientou os benefícios do DNSSEC. Esta norma de segurança deve ser suportada no cliente (e os browsers não o fazem nativamente), embora tenha respostas dos servidores mais demoradas (até três vezes mais), gera mais tráfego nas redes e obriga a maiores cargas nos CPUs.
No entanto, embora o DNS.pt tenha sido o oitavo domínio a adoptar a norma (de um total actual de 300), Veiga salientou que “as pessoas queixam-se de que a Internet não é segura mas, quando há ferramentas, não as usam”.

Ciberataques das nove às cinco
“O terrorismo e o poder ofensivo dos Estados serão a maior ameaça no futuro”, antecipa João Maia, e “os Estados estão motivados para aceder a outras redes”. Por exemplo, “a China tem ataques das 9 horas de segunda-feira às 17 horas de sexta-feira, ao sábado e domingo não há ataques”, referiu para exemplificar a profissionalização dos ciberataques.
Em Portugal, as estruturas militares parecem estar preparadas para este cenário e seguem de perto as recomendações da OTAN.
Sousa Pereira, do Estado-Maior General das Forças Armadas (EMGFA) lembrou que em 2008 foi criado o CRISI – Capacidade de Resposta a Incidentes de Segurança Informática nas Forças Armadas e o grupo de resposta GRISI, a servirem o EMGFA e os Estados Maiores da Armada, Exército e Força Aérea.
No primeiro ramo, Pereira Simões fala do “caminho a seguir”, com a necessidade de “alinhamento de políticas, normas e procedimentos”, definição de “capacidade conjunta” e “cooperação e partilha de informação”.
Viegas Nunes assegura que o Exército já possui “capacidade ofensiva e também defensiva na sua estrutura” e os seus objectivos estratégicos estão inscritos numa “Visão para a superioridade da informação”.
Também a Força Aérea, segundo Paulo Alves, já viu promulgada a sua “Política de Ciberdefesa”.
Mas, quando a OTAN lhe perguntou qual a entidade coordenadora da ciberdefesa em Portugal, Torres Sobral “não soube responder”.
Não só o canal de comunicação não existe – “a OTAN está, desde o início do ano, à procura de circuitos classificados em Portugal para comunicações de emergência”, revelou este vice-almirante – como, neste domínio, “a lei não existe ou está desactualizada”.
A necessidade de um Centro Nacional de Cibersegurança foi focada por várias destas entidades. Antero Luís, Secretário-geral do Sistema de Segurança Interna (SSI), considera necessária uma estratégia nacional “que não pode ser diferente da de outros países”, que passa por dois níveis, um estratégico e outro táctico.
A dúvida é se deve ser criada uma nova estrutura ou aproveitar as já existentes, congregando os três Conselhos Superiores de Defesa, Administração Interna e de Informações.
No geral, é preciso “agregar o que hoje anda disperso e que não se deixe ninguém de fora”, referiu, salientando que se trata de “uma decisão política” necessária para “cimentar o que já existe”.



  1. “Quem manda na cibersegurança em Portugal? Ninguém” — típica ‘problematização’ de conveniência quando se espera a conclusão acrítica “urge então que alguém mande!”, mesmo antes de se perceber exactamente se a questão é uma de “mandar” (e exactamente em quê), e com que utilidade, legitimidade, riscos.
    Um horror ao vazio que parece particularmente forte numa terra longe de se libertar da mentalidade corporativista em leis, práticas e expectativas.

    A nível institucional e individual parecem não faltar já candidatos ao protagonismo, aos recursos, a novos poderes. É natural o apelo de um novo domínio tão na moda e com tanto potencial para a exploração alarmista de ignorâncias (expectáveis mesmo entre guem legisla).

    No que toca à indústria de segurança, não faltam jogadores do lado da oferta ansiosos por ampliar a sua participação, ao mais alto nível, na definição da procura — algo já rotineiro no espaço europeu, onde políticas de segurança interna e programas de investigação em segurança acabam em grande parte moldados pela indústria de defesa
    http://www.statewatch.org/Targeted-issues/ESRP/security-research.html

    Sugiro fortemente o artigo “Loving the Cyber Bomb? The Dangers of Threat Inflation in Cybersecurity Policy” http://is.gd/RmlX5H
    de Jerry Brito e Tate Watkins [publicado em 26 de Abril], uma observação da “ciber-retórica” alarmista, em particular quanto à sua validade e quanto aos riscos que ela própria acarreta.
    E, partindo do artigo anterior e também útil como introdução,
    “Cyberwar Hype Comes Under Increasing Scrutiny” http://is.gd/dmNPwH
    por Sean Lawson [Forbes, 28 de Abril].

    Como dizem Brito e Watkins, urge começar por
    abandonar a ‘ciber-retórica’: “A retórica alarmista que agora domina
    o discurso político é inútil e potencialmente perigosa”.

    Mas ao ver o artigo acima temo que o diagnóstico nacional seja novamente: falta mais uma lei, falta mais uma hierarquia com poder “que não deixe ninguém de fora”.

    A segurança é mal servida por catastrofismos superficiais e rituais hierárquicos — úteis para protagonismo mediático e reacções políticas apressadas, mas não para melhorar percepções de risco, atitudes, procedimentos.

  2. Caro Cerqueira Esteves,
    ao contrário do texto de Brito e Watkins, os ciberalarmes para Portugal neste evento não vieram principalmente do governo ou de entidades militares, para assim justificar qualquer compra de equipamentos ou serviços ao “complexo”.
    O facto, notado pela NATO, é a falta de interlocutor nacional. Problema que não afecta os EUA – que nomeou um responsável que fala por três entidades (leia-se http://newsok.com/cyber-command-chief-tells-of-need-for-defense/article/3562036) – mas que Portugal ainda não resolveu.
    Aliás, como Tito de Morais lembra nos tweets que lhe motivaram este comentário, instituições nacionais que pugnam pela cibersegurança têm a sua casa desarrumada.
    Ora são estas duas dimensões (estratégica/teórica e táctica/operacional, para usar termos utilizados na conferência) que parecem faltar a Portugal.
    Sem catatrofismos, reacções apressadas (se ler bem o texto, vê que há estruturas militares nacionais com anos neste domínio) mas – e, aí, talvez concordemos -, uma enorme necessidade de, sem “protagonismo mediático e reacções políticas apressadas”, se poder “melhorar percepções de risco, atitudes, procedimentos”.

Deixe um comentário

O seu email não será publicado