Estratégia Nacional de Segurança da Informação e o Centro Nacional de Cibersegurança

Por AP2SI (*)

O Governo apresentou, recentemente, na Resolução do Conselho de Ministros nº12/2012, o arranque da definição e implementação de uma Estratégia Nacional de Segurança da Informação (ENSI).

Esta iniciativa surge num contexto em que se têm registado, globalmente, ataques que visam infra-estruturas de inúmeras organizações, incluindo infra-estruturas Estatais. Realçam-se os ataques às redes de comunicação na Geórgia durante os conflitos armados na Ossétia do Sul em 2008, o caso StuxNet envolvendo o Irão, Israel e os EUA, e os alegados ataques realizados por hackers chineses a contas de correio electrónico no Google, pertencentes a membros do governo dos EUA.

No mundo das organizações civis, estas são obrigadas a lidar diariamente com ameaças como os ataques de negação de serviço (DoS), o phishing e spam. Têm-se verificado ainda múltiplas situações que comprometem a segurança da informação, tais como ataques ao sector financeiro e ataque de espionagem industrial, com origem em grupos de hacktivistas e máfias organizadas.

No fim da linha emerge o cidadão, vítima de ataques como o roubo de identidade, fraude e destruição de propriedade, caracterizado pela sua fragilidade e desconhecimento do mundo complexo que são hoje as tecnologias de informação e de comunicação.

Todas estas situações, com o acentuado dinamismo e impacto crescente caracterizador das tecnologias de informação, justificam a necessidade de se olhar para o tema da segurança no ciberespaço – a cibersegurança – como uma preocupação nacional, multidisciplinar e transversal à sociedade.

Uma reacção do Estado Português urgia, portanto, face a estes fenómenos de consequências potencialmente tão lesivas para pessoas, instituições e para a sociedade em geral. De tal maneira que quando finalmente surge, fá-lo com uma proposta concreta de calendarização, com revisão da Estratégia a 6 meses, e execução das demais medidas num máximo de 12. Entre estas medidas consta a criação, instalação e operacionalização de um Centro Nacional de Cibersegurança (CNC).

Porém, a implementação de iniciativas como esta enfrenta alguns desafios e levanta algumas dúvidas, que devem ser ultrapassadas para atingir, de forma abrangente e com um âmbito nacional, os objectivos a que se propõe.

Em primeiro lugar, o “desenvolvimento desta medida será coordenado pelo Gabinete Nacional de Segurança (GNS), com a colaboração de todas as entidades relevantes em razão da matéria, no âmbito do grupo de trabalho existente na Rede Interministerial TIC”. Este aspecto indicia uma iniciativa de âmbito limitado à Administração Pública.

Da perspectiva da Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI), uma iniciativa com esta importância não deverá ter apenas uma operacionalização interministerial, devendo ser efectivamente transversal à sociedade. Caso contrário, corre-se o risco de se perder uma oportunidade de se dar um salto qualitativo e quantitativo na resposta aos desafios nesta área, de uma forma abrangente.

A ENSI deve ser transversal à sociedade civil, e esta deverá ser tida em conta nas suas diferentes facetas e sectores como forma de conceber quais as necessidades, características e âmbitos efectivos que conduzam à eficiência e eficácia da iniciativa. Desta articulação é expectável que sejam identificadas as reais necessidades que o CNC deverá assegurar, não correndo o risco de criar algo com base num modelo externo, adoptado ou sugerido por outros, que não seja adequado à realidade Portuguesa.

Em segundo lugar, apesar da motivação para a edificação do CNC estar alicerçada na segurança nacional, é importante assegurar a interacção com outras entidades internacionais. Nesse sentido, deve assegurar-se internamente a existência de capacidades técnicas, humanas e organizativas de modo a representar Portugal em fóruns internacionais.

Em particular, Portugal deverá trabalhar em conjunto com os seus parceiros e aliados internacionais, como a União Europeia, a OTAN, a OSCE, e a OCDE bem como no contexto da ONU, na definição de mecanismos legais que permitam assegurar um consenso alargado sobre o modo de lidar com as ameaças no ciberespaço.

Finalmente, é importante esclarecer uma questão fundamental sobre os objectivos e a implementação da ENSI: Qual é o âmbito de actuação do CNC? Será apenas uma entidade que irá preocupar-se com a segurança das infra-estruturas de informação da Administração Pública? Ou também da segurança das infra-estruturas de informação nacionais, em geral? O CNC será ainda uma entidade com um âmbito mais alargado, que representará Portugal no Mundo nos assuntos relacionados com este tema, em fóruns tão diversos como a ONU, a Comunidade Europeia ou até a própria NATO, nas várias vertentes de discussão?

Esta iniciativa é essencial para a segurança da informação em Portugal. No sentido de atingir com eficácia os objectivos a que se propõe, é essencial envolver os vários sectores da sociedade, e, em particular, é importante que os profissionais de segurança da informação sejam uma parte activa deste processo. A AP2SI é uma das faces visíveis deste sector, e os seus objectivos passam, entre outros, por trazer contributos relevantes para esta discussão.

(*) Este artigo foi preparado colegialmente pela direção da AP2SI, a recém criada Associação Portuguesa para a Promoção da Segurança da Informação, em resposta a um desafio do TeK para escrever uma opinião sobre a nova estratégia do Governo nesta área.