“É preciso punir crime de omissão” na segurança informática

Vítor Agostinho, da unidade portuguesa da Europol, desconfia das garantias de segurança dos fornecedores de cloud computing.

Sede da Europol

Pouco crente no reconhecimento da importância da segurança de SI por parte das empresas portuguesas, Vítor Agostinho recomenda-lhes consultoria, mesmo quando equacionarem usar cloud computing para os fins mais críticos. O agente da unidade portuguesa da Europol, em Portugal, deu ao Computerworld uma entrevista conjunta com o director-geral da Kasperksy em Portugal, Fernando Simões.

Apesar de sugerir a penalização da omissão de incidentes de segurança, considera que o mais importante é haver uma mudança de mentalidade.

Computerworld ‒ Que tipo de colaboração está a Europol a desenvolver em Portugal com a Kaspersky?

Vítor Agostinho ‒ O centro europeu de combate ao cibercrime (European Cybercrime Centre ou EC3), da Europol, tem acordos com muitas empresas de tecnologia de segurança de informação. Existe até uma plataforma onde especialistas trocam opiniões. Em Portugal, [a colaboração] resulta de outras actividades também. A Polícia Judiciária, onde está a unidade nacional da Europol, colabora com quem nos pedir. Aconteceu com a Kaspersky, mas [também] com a Microsoft.

CW ‒ Mas qual é a lista de prioridades? Há algum sector com maior incidência?

VA ‒ A prioridade é determinar as principais ameaças. Saber que entidade da Administração Pública pode ser um alvo preferencial é transversal. Interessa-nos acautelar algumas eventualidades e tentar evitá-las. A prevenção é determinante.

CW ‒ Face ao mapa de incidências, por exemplo no ataque Carbanak e por outras informações, fica-se com a ideia de que Portugal constitui uma região pouco atacada. Isto é verdade?

VA ‒ Não posso falar de casos concretos. Mas Portugal, segundo a minha experiência profissional, não é melhor nem pior nessa matéria, face aos outros países. E já tivemos alguns sucessos na investigação criminal, tendo a informação e o apoio do EC3 sido muito importantes. Sobretudo em áreas de competência técnica.

CW ‒ Mas no Carbanak, não houve casos conhecidos.

VA ‒ Não posso falar mais sobre isso.

CW ‒ E que tipo de informação técnica tem sido importante?

VA ‒ Não posso revelar.

CW ‒ Qual é o tipo de colaboração previsto com o novo Centro Nacional de Cibersegurança?

VA ‒ Cada Estado membro pode pedir ajuda desde que envolva um crime da área de mandato. Pode pedir consultoria técnica e tudo o que seja pertinente mediante as várias condições já estabelecidas.

CW ‒ Os hackers do Brasil são uma ameaça em particular para os sistemas em Portugal?

VA ‒ Só respondo a essa pergunta do ponto de vista pessoal: sim, o Brasil sempre teve gente com muito jeito e esta usou também o espaço português. Mas a Europol não tem qualquer acordo de colaboração com o Brasil, embora existam alguns oficiais de ligação.

CW ‒ E isso constitui um problema?

VA ‒ Nós somos cerca de 10 milhões de pessoas e eles muito mais. Logo, do ponto de vista da massa crítica e quantidade possível de hackers, o Brasil será sempre uma ameaça. E lá o combate ao cibercrime também está um pouco mais atrasado do que na Europa, embora seja uma questão de tempo e prioridade.

Fernando Simoes_director-geral da Kaspersky_r

Fernando Simões, director-geral da Kaspersky em Portugal

CW ‒ Como é que a Kaspersky em Portugal está a colaborar com a Europol?

Fernando Simões ‒ O meu papel é fazer chegar informação genérica, incluindo relatórios públicos. Toda a outra informação é solicitada por outros canais e nem eu tenho acesso.

CW ‒ Qual é o cenário actualmente em Portugal?

FS ‒ Vai além do que se imagina, como diz o Eugene Kaspersky (CEO e fundador da empresa). O alvo é cada vez mais a casa inteligente e a engenharia social tem um papel cada vez mais importante e vai comandar o ciberataque.

Se eu atacar directamente uma empresa, corro o risco de ser detectado por algum sistema. Mas se eu conseguir uma ofensiva indirecta, através da conta de dois ou três responsáveis, tenho um controlo mais amplo sobre os dados.

CW ‒ Gostava de ter maior colaboração das empresas portuguesas?

VA ‒ O problema das empresas portuguesas, e a lei não melhora porque existem “cifras negras” [valores de ocorrências sem confirmação], é uma questão de credibilidade e reputação no seu meio. Até com o papel que vai para o lixo são negligentes.

Têm dificuldade em participar e denunciar porque não se sentem confortáveis com o facto de alguns concorrentes ou parceiros tomarem conhecimento das falhas.

CW ‒ O novo regulamento previsto para a União Europeia vai ajudar nisso?

VA ‒ Pode ajudar, mas ajudava mais uma mudança de mentalidade que levasse a perceber que constitui um problema mais generalizado, menos particular, mas contagioso.

FS – E se uma empresa já reservou uma verba para incidentes como as fraudes, quando o impacto de um incidente não supera o valor, é só mais uma despesa [prevista]. Porquê revelar a falha se já provisionei o dinheiro? A reputação da empresa não pode ser afectada. A realidade portuguesa é assim.

CW ‒ Mas o novo regulamento poderá até impor investimento em tecnologia?

VA ‒ Como será isso possível, quando Portugal é um país pequeno onde os custos de TI são considerados elevados? E quando estamos a domiciliar quase tudo em cloud computing? Para isso, é preciso punir o crime de omissão. Enquanto não conseguirmos demonstrar o valor da denúncia, não havendo cultura de segurança e enquanto as nossas empresas comprarem software de consumo para uso profissional, continuarão a ocorrer certas falhas.

CW ‒ Nesse cenário, acredita que as organizações serão forçadas a investir?

VA ‒ Acredito que é preciso pressão no sentido de sensibilizar as empresas para práticas correctas. Não acredito muito no investimento, porque muitos escritórios profissionais estão a investir na cloud para não investir em hardware.

CW ‒ Mas o outsourcing das funções de segurança não pode ser uma boa prática de segurança?

VA ‒ São coisas diferentes, estou a falar de centros de dados: devia ter saído legislação comunitária no terceiro trimestre de 2013 mais não saíu e, entretanto, fala-se de boas práticas. Mas como é que as empresas têm a certeza de a informação não ser duplicada? Que está segura, quando nem se sabe se as pessoas a trabalharem nos centros de dados são acreditadas pelo Gabinete Nacional de Segurança?

CW ‒ Então se as PME recorrerem a plataformas de cloud computing correm riscos sérios?

VA ‒ Acredito que sim.

CW ‒ Mas os fornecedores dizem que, na cloud, os clientes conseguem garantir melhor segurança. Acredita nisso?

VA ‒ Não acredito. Até prova em contrário, todas as pessoas são sérias. Mas eu não sei quem está na consola em determinado centro de dados, nem que seja só a monitorizar um painel sobre energia. Que permissões tem essa pessoa? Os dados podem estar cifrados, mas a cifra é do cliente ou do fornecedor? Se calhar era bom ter mais uma cifra. Talvez as empresas precisem de alguma consultoria nisso, o que não é propriamente barato.

E os dados da empresa são críticos ou não? Podem estar em backup [fora da empresa], mas a exclusividade sobre essa informação deixa de existir. Quanto custa ter uma boa base de dados? Quantas empresas pedem, em documento assinado, o respeito pela confidencialidade dos dados da empresa, quando aquele sai? Em Portugal, muito poucas ou quase nenhuma.

CW ‒ Mas os fornecedores de cloud computing estão vinculados a um contrato e à legislação…

VA ‒ Não há legislação. O que existe é um parecer, segundo o qual a informação deve permanecer em espaço europeu. Mas pode-se ter no servidor um “link”, para qualquer parte do mundo.

FS ‒ O cliente português procura preço e não o valor por trás dele. Quando um banco faz outsourcing das suas operações de TI, questiona-se, por exemplo, sobre se algum dos técnicos do fornecedor tem algum problema pessoal?

VA ‒ Haja ou não lei, é preciso perceber por onde se vai distribuir os ovos, quanto se pode gastar nisso e se o investimento é possível e se posso. As pessoas são pouco avisadas e não dão valor aos seus dados.

As características dos dispositivos de dados domésticos são consideradas suficientes e a crise agravou a situação.

CW ‒ A Kasperksy presta serviços de segurança às empresas. O que faz a empresa para controlar a idoneidade dos profissionais contratados para esses serviços?

FS ‒ Tentamos passar os bons valores e as boas práticas. Mas há sempre a possibilidade de prevaricação, enquanto não houver legislação. Só há uma forma [de segurança]: manter os dados de maior valor dentro de casa.

CW ‒ E com muita tecnologia à volta?
FS ‒ Se eu quiser valor, tenho de pagar.




Deixe um comentário

O seu email não será publicado