O novo relatório do Observatório de Cibersegurança do Centro Nacional de Cibersegurança (CNCS) analisa os principais problemas éticos e jurídicos associados à insegurança no ciberespaço, detalhando assim como as soluções que têm vindo a ser desenvolvidas a nível nacional e internacional para mitigar os problemas.
Depois de dar a conhecer as tendências que marcam o mundo do cibercrime e de destacar a falta de preparação dos utilizadores e empresas portuguesas para lidar com as ciberameaças, o Observatório de Cibersegurança do CNCS apresenta agora um novo relatório centrado na temática da Ética e Direito.
Descrito como um estado da arte da Ética e do Direito da Cibersegurança, o objetivo do relatório é analisar os principais problemas éticos e jurídicos associados à insegurança no ciberespaço, assim como as soluções que têm vindo a ser desenvolvidas para mitigar os problemas, tanto a nível nacional como internacional.
O Observatório do CNCS detalha que a cibersegurança é fundamental para “preservar a confiança dos cidadãos nas infraestruturas digitais, nas instituições e na própria autoridade estatal”. Porém, os seus mecanismos e práticas podem assumir também contornos “perigosamente intrusivos, cortando os mesmos direitos e liberdades que visa proteger”.
A natureza ética da cibersegurança tem vindo a acentuar-se nos últimos anos, reconhecendo a necessidade de a mesma e daqueles que a providenciam de ir além das implicações técnicas, apesar de a heterogeneidade de contextos de atuação e a rapidez das transformações tecnológicas dificultarem a implementação de diretrizes éticas estáveis e uniformes.
“Não existe um código único, pormenorizado e estável, que permita aos fornecedores de tecnologias de cibersegurança saber, em cada situação particular, qual a melhor estratégia a adotar”, indica o observatório. Mas, a definição de estratégias neste âmbito deve centrar-se em torno de eixos como a confiabilidade, a transparência e a responsabilidade, sem esquecer os direitos fundamentais.
Cabe às entidades prestadoras de serviços, os profissionais da área e aos próprios cidadãos, enquanto utilizadores das plataformas e sistemas digitais, a promoção de uma cultura de transparência e da ética de responsabilidade, havendo um esforço no que toca à sensibilização de práticas e comportamentos adequados.
Tendo em conta o panorama nacional, o Observatório sublinha que as políticas públicas e os desenvolvimentos legislativos em matéria de cibersegurança têm vindo a acompanhar as diretrizes definidas pela União Europeia e os compromissos assumidos no quadro do Conselho da Europa.
No entanto, o relatório destaca algumas necessidades de intervenção legislativa. Em questão está, por exemplo, a adoção de legislação que seja capaz de fixar os requisitos de segurança e de notificação de incidentes, nos termos dos artigos 12.º e 13.º da Lei n.º 46/2018 e, ainda, a introdução de alterações à Lei n.º 58/2019, relativa à execução do Regulamento Geral de Proteção de Dados na ordem jurídica portuguesa, para assegurar a sua conformidade com o Direito da União.
A transposição da Diretiva que estabelece o Código Europeu das Comunicações Eletrónicas é outro dos pontos que necessita de intervenção. O Código tem como objetivo a assegurar a liberdade de oferta de serviços e redes de comunicações eletrónicas, os quais “devem ser prestados com um nível particularmente elevado de segurança”, lembrando que os fornecedores devem especificar as medidas a ser adotadas nos casos de incidentes, ameaças e vulnerabilidades.
Errar é humano e os cibercriminosos sabem disso. Desde o confinamento, os ataques têm aumentado
À medida que as nossas vidas transitam para o mundo virtual, é inegável ver como a tecnologia nos facilita o dia-a-dia, mas também como nos expõe cada vez mais à cibercriminalidade, que acompanhou a sociedade nesta mudança de paradigma. Hoje em dia, os criminosos não estão apenas na rua e nas organizações, estão em parte incerta, atrás de um computador a explorar as vulnerabilidades dos sistemas informáticos, mas, acima de tudo, do ser humano, porque afinal errar é humano e os cibercriminosos sabem disso.
Os mais desatentos podem pensar “bem, eu não tenho dados sensíveis no meu portátil, no meu tablet ou no meu smartphone”, mas a verdade é que a maioria de nós usa redes sociais, abertas e carregadas de dados pessoais, acede a aplicações financeiras e até tem dados de saúde impecavelmente organizados em aplicações dedicadas. Se a isto juntarmos o acesso a um site inseguro ou à abertura de um email suspeito ou ao download de um documento de um remetente desconhecido, contendo código malicioso, facilmente se percebe que os ciberataques podem não acontecer só aos outros.
A fragilidade digital das pessoas é particularmente relevante para as organizações. Os cibercriminosos estão conscientes dessa vulnerabilidade e, utilizando métodos que exploram a ingenuidade das vítimas para atingirem os seus objectivos (como o recurso a mensagens personalizadas e apelativas), fazem-se passar por pessoas e entidades em que os alvos depositam confiança. De acordo com um estudo recente da CybSafe, cerca de 90% da fuga de dados é causada por falha humana.
De forma a atingirem os colaboradores que têm acesso a informação mais restrita, e por essa razão com mais valor, os cibercriminosos tentam entrar nas organizações através de colaboradores menos sensibilizados para estas matérias. Isto não significa que os criminosos saibam de antemão o alvo mais fácil, no entanto, todo este processo baseia-se na experiência e desenvolve-se por tentativa-erro.
Dados recentemente partilhados pelo Observatório de Cibersegurança indicam que em março de 2020 – início do Grande Confinamento – se verificou um aumento de 176% de incidentes, em comparação com o ano transato. Um facto que indicia um aproveitamento dos atacantes relativamente à transição da população para um regime de trabalho remoto, desenvolvido a partir de redes domésticas, habitualmente menos protegidas do que as corporativas, e nas quais habitualmente todos nos sentimos mais confortáveis e menos atentos ao risco.
Apesar de mais protegidas, as redes corporativas têm também fragilidades, que são especialmente colocadas à prova com a tendência crescente dos colaboradores levarem para o espaço de trabalho equipamentos particulares (BYOD – bring your own device), o que torna mais difícil distinguir onde está a fronteira pessoal e profissional.
O Relatório de 2019 publicado pelo Observatório de Cibersegurança revela a existência de uma discrepância significativa entre os portugueses e os pares europeus relativamente ao conhecimento de alguém vítima de um ataque fraudulento de dados – 3% vs 26%. Estes dados não significam que os portugueses sofram menos ataques do que os vizinhos Europeus. Pode querer dizer sim, que os portugueses estão menos sensibilizados para estes fenómenos ou para a forma e importância de os reportar.
Em Outubro, mês da Cibersegurança, muitas organizações apostaram em campanhas de sensibilização. No entanto, a cibersegurança deve ser um tema presente em todo o ano. Devemos olhar para estas evidências, para que a sociedade se mobilize no sentido de se defender melhor. Precisamos de melhorar a literacia digital e apostar em formação continua. Um esforço que tem de ser desenvolvido por autoridades, organizações e pelos próprios cidadãos.
A cibersegurança é um domínio complexo e dinâmico, que não funciona à base de fórmulas estandardizadas. Varia em função do contexto, mas compreende sempre medidas relacionadas com quatro dimensões – tecnologia, pessoas, processos e modelos de governance. Só conjugando esforços nestas quatro matérias conseguimos preparar pessoas e organizações para fazer face às ameaças do ciberespaço.
Janeiro 2021
Sapo Tek/ Sapo Human Resources
Foto: Pixabay em Pexels