Cibersegurança e Ciberdefesa Em Portugal

MINISTRIO DA DEFESA NACIONAL

INSTITUTO DA DEFESA NACIONAL

XV CURSO DE DEFESA PARA JOVENS

Cibersegurana e Ciberdefesa em Portugal

GRUPO DE TRABALHO N. VII

Filipa Rafael

Ins Nunes de Freitas

Bruno Garcs

Artur Oliveira

Andr Rua

Joo Tavares

Lisboa, 23 de setembro de 2014

Cyber attacks that may constitute a national security threat are not a

science-fiction thing anymore.

Jaak Aaviksoo, Former Estonian Defence Minister

Cibersegurana e Ciberdefesa em Portugal 1 XV Curso de Defesa para Jovens

Contents ndice de Abreviaturas 2

Introduo 3

Enquadramento conceptual 5

Enquadramento Legal 7

A realidade portuguesa sobre o Ciberespao 11

Caso de Estudo 14

Concluso 17

Bibliografia 20


ndice de Abreviaturas

AR Assembleia da Repblica

CCDOE Cooperative Cyber Defence Centre of Excellence

CM Conselho de Ministros

CNCSeg Centro Nacional da Cibersegurana

Conv. Conveno

DR Dirio da Repblica

ENC Estratgia Nacional de Cibersegurana

ENISA European Network & Information Security Agency

EUA Estados Unidos da Amrica

GNR Guarda Nacional Repblicana

GNS Gabinete Nacional de Segurana

PSP Polcia de Segurana Pblica

L. Lei

N - nmero

PE Parlamento Europeu

Res. Resoluo

UE Unio Europeia


Introduo

Em pleno sculo XXI, basta olhar em redor para perceber que a nossa

sociedade, que outrora pulsava com as evolues da era industrial, se rendeu ao

esplendor e magnificncia de ter quase toda a informao distncia de um

click. Num passado mais recente, assistimos a um autntico boom quer da

evoluo da tecnologia, quer do acesso por parte da mesma a qualquer cidado.

Tudo isto devido rede criada no seio do exrcito militar dos E.U.A ,

durante a Guerra Fria, denominada APARNET, e que apenas na dcada de 90

chega aos utilizadores comuns, tendo sido desmantelada pelo Departamento de

Defesa, recebendo outras denominaes at ser expandida a todo mundo graas

ao sistema World Wide Web acabando por ficar conhecida como Internet(

Almeida, 2005).

Se outrora o acesso a tecnologia e, nomeadamente, a um computador, era

um luxo disponvel s para um determinado setor da sociedade, hoje em dia

encontra-se completamente vulgarizado, sendo que qualquer pessoa pode aceder

a esta rede global recorrendo a diversos tipos de dispositivos; no entanto, poucos

so os conhecedores dos possveis riscos que enfrentam.

De uma perspetiva individual, faamos uma pequena reflexo sobre um

possvel cenrio: O acesso de um terceiro ao nosso computador, ou ainda pior

que isso, o acesso a todas as nossas contas de redes sociais, ao nosso e-mail,

nossa conta bancria. Um simples cibernauta da nossa sociedade, cada vez

mais informatizada, que, diariamente, acede a rede global por diversos meios,

est longe de imaginar um cenrio destes, no entanto mais do que uma

possibilidade, tornando-se, em alguns casos, uma realidade desconfortvel.

Hacker, ou pirata informtico, so as designaes vulgarmente dadas a

uma pessoa com grandes conhecimentos de informtica e programao que se

dedica a encontrar falhas em sistemas e redes computacionais (in Dicionrio

Priberam da Lngua Portuguesa). Com um recurso a um computador em rede,

so estas pessoas que, a partir dos conhecimentos que possuem nesta arte da

programao, facilmente conseguem aceder a um computador pessoal, s nossas

contas e a toda a nossa informao.


Esta hipottica situao piora quando evolumos do nvel individual, do

simples utilizador da Internet, e nos focamos numa empresa, num organismo

pblico, ou todo e qualquer sistema que faa parte da Estrutura interna de um

Pais, que hoje em dia assenta em toda uma panplia de sistemas informticos

ligados em rede para a gesto de coisas to fundamentais, como a justia, a

defesa, a segurana social, a sade entre outros. Um ataque dirigido a um destes

sistemas iria comprometer, certamente, a Segurana e Defesa de um Pas; estes

ataques podem ter como objetivo o simples roubo de informao, ou a sua

sabotagem, sendo que os motivos que sustentam a ao variam desde os fins

criminosos, polticos ou militares ( Caldas e Freire, 2013). Desde o aparecimento

desta realidade da guerra ciberntica que Pases, Organizaes e at mesmo

empresas multiplicam-se diariamente em esforos para conseguir adquirir

informaes privilegiadas entre outros objetivos.

A nvel mundial so vrios os episdios conhecidos de potenciais ataques a

diversos organismos e empresas por parte de hackers. Vejamos o exemplo da

gigante empresa norte americana Google que, em 2010, estaria sobre fogo de

ativistas chineses. Tambm o Brasil ingressa nesta lista como vtima, alegando ter

sido vtima de espionagem informtica por parte dos E.U.A e Canad. A nvel dos

pases pertencentes OTAN encontramos um exemplo ainda mais critico da

vulnerabilidade que um pas poder apresentar relativamente a um ataque deste

gnero, em 2007, quando a Estnia viu quase todos os sistemas informticos

ligados ao sistema pblico a ficarem offline devido a um ataque informtico do

qual ainda hoje se desconhece a origem (Goetz et al, 2009).

Por mais que esta realidade nos parea distante, ainda este ano, a 25 de

Abril, vrios meios de comunicao social noticiavam que assinalando o

aniversrio da Revoluo, um grupo de hackers ligado ao grupo Anonymous

divulgava, on-line, uma lista de nomes e contactos telefnicos de vrios

Magistrados, que obtiveram como fruto de um ataque informtico ao site da

Procuradoria Geral Distrital de Lisboa. Por sua vez, no ms de maio, o mesmo

grupo divulgou cerca de 300 matrculas, marcas, modelos e cr de viaturas

usadas pela PSP e GNR em aes de fiscalizao.

Este apenas um exemplo que mostra que esta cyberwar est bem

presente, sendo necessrio implementar uma politica de segurana nesta rea,


bem como o estabelecimento de uma entidade para combater exclusivamente

aes deste gnero que, de um momento para o outro podem pr em causa o

funcionamento de estruturas fundamentais do nosso Estado, pondo em causa a

nossa segurana e soberania. Alis, basta-nos ler o documento Conceito

Estratgico de Defesa Nacional para perceber que os conceitos clssicos que,

num passado recente, eram considerados uma ameaa, como o terrorismo, a

guerra e a criminalidade, adquirem um prefixo de ciber passando assim a haver

preocupaes em matrias como o Ciberterrorrismo, a Ciberguerra e a

Cibercriminalidade. Sendo que h uma plena conscincia do perigo a que a nossa

estrutura tecnolgica, redes de sistemas e servios vitais onde a nossa sociedade

se apoia, bem como a infraestruturas crticas as quais, caso fossem afetadas,

poriam seguramente os nossos valores fundamentais em causa, foi necessrio

introduzir na nossa estratgia de defesa os conceitos de Cibersegurana e

Ciberdefesa, que ao longo deste documento iremos aprofundar.

Enquadramento conceptual

Os constantes avanos econmicos, sociais e tecnolgicos levaram a que

as sociedades congregassem, na sua gnese, as noes de ciberespao e, por

consequncia, as noes de cibersegurana e ciberdefesa como elementos

essenciais para o desenvolvimento estratgico futuro. Portugal no foi exceo.

As orientaes da Res. do CM n 19/2013 congregam em si o Conceito

Estratgico de Defesa Nacional, partindo do princpio de que, para a realizao

dos objetivos da segurana e da defesa nacional, concorrem todas as instncias

do Estado e da Sociedade e que resultam em compromissos internacionais do

Estado, com a Carta das Naes Unidas, o Tratado do Atlntico Norte e os

Tratados da Unio Europeia. H ainda a considerar a Comunicao conjunta ao

Parlamento Europeu (PE) ao conselho, ao comit econmico-social e ao comit

das regies, apresentada pela Comisso Europeia e pela alta representante da

unio para os negcios estrangeiros e a politica de segurana relativa estratgia

da unio europeia no que respeita cibersegurana (de 7 de fevereiro de 2013) e

que estabelece como prioridade estratgica desenvolver a politica e a capacidade

no domnio da ciberdefesa no quadro da politica comum de segurana e defesa.

Assim, precedido destas normativas de segurana europeia, surgem, atravs do


despacho n 13692/2013, publicado a 28 de outubro de 2013 no DR, as

orientaes politicas para a Ciberdefesa.

As informaes constituem, neste momento, um instrumento estratgico do

Estado essencial para apoiar a deciso poltica, sobretudo em matrias de

segurana e defesa. Atendendo atual conjuntura econmica, diplomtica e

social, fundamental a salvaguarda dos interesses nacionais em diferentes

regies nos prximos anos, como uma das principais e mais exigentes atribuies

do Estado tornando fundamental o reforo dos servios de informao.

Os avanos da tecnologia informtica das ltimas dcadas, nomeadamente

a internet, levaram a que se criasse o conceito de ciberespao, que per se um

espao aberto, livre de fronteiras tangveis, onde todos os cidados interagem de

igual forma. No , por isso, um espao seguro e protegido na totalidade, o que

poder causar alguma debilidade no que concerne aos ataques cibernticos,

cujas ocorrncias a histria do nosso pas se revela j conhecedora. No domnio

dos conceitos de ciberespao, cibersegurana e ciberdefesa, impe-se, assim,

uma avaliao das vulnerabilidades dos sistemas de informao e das mltiplas

infraestruturas e servios.

Assim, no que concerne distino entre ciberdefesa e cibersegurana,

percebemos que o conceito de ciberdefesa reveste-se de um carter mais

abrangente, pois designa o conjunto de tecnologias e meios cujo objetivo

primordial proteger de danos causados pela intruso ilcita, todos os meios e

tecnologias informticas, sejam computadores, redes ou dados. De uma forma

geral, os ciberataques pretendem atacar pessoas, empresas e pases de forma a

que as suas vulnerabilidades sejam configuradas em trs reas: Integridade,

Confidencialidade e Disponibilidade.

No que diz respeito ao conceito de Ciberdefesa, podero ser consideradas

todas as polticas de proteo que atendem s necessidades da Defesa Nacional,

visando assegurar a utilizao do espao ciberntico, impedindo ou dificultando o

seu uso contra os interesses da Nao.

Segundo as orientaes do Ministrio da Defesa Nacional, os objetivos

primordiais da politica de ciberdefesa so: a garatia de proteo, a resilincia e a

segurana das redes e dos Sistemas Internos de Comunicao da Defesa

Nacional contra os ciberataques. Contribuir de forma cooperativa para a


cibersegurana nacional e assegurar a liberdade de ao de Portugal no

ciberespao, com o intuito de impedir ou dificultar o seu uso hostil contra os

interesses da Nao.

No que respeita s linhas orientadoras para a execuo, o plano de

ciberdefesa nacional, tal como consta no despacho n 13692/2013, datado de 28

de outubro de 2013, estas sero vocacionadas para, num primeiro momento, criar

uma estrutura de raz de Ciberdefesa Nacional e o Planeamento de Defesa

Militar. A capacidade de resposta para a conduo de operaes militares em

redes de computador tambm um fator fulcral para potencializar o nosso pas a

este nvel. O reforo da capacidade de informao no ciberespao, a partilha de

informao de ciberdefesa, assim como a sensibilizao/ formao para os

recursos humanos dos diferentes estratos do Ministrio da Defesa Nacional, a

aposta na investigao e desenvolvimento de software sero formas de Portugal

se exponenciar a nvel de ciberdefesa e proteger no que concerne

cibersegurana e s suas muitas questes de vulnerabilidade. No entanto, para

que tal acontea com sucesso, dever existir uma articulao com todas as

instituies internacionais que so nossas parceiras.

Enquadramento Legal

Como j foi aqui referido, o aumento do volume e sofisticao dos meios

tecnolgicos pode representar uma ameaa para a segurana nacional. Num

mundo em que o acesso Internet pode ser visto como um direito fundamental do

cidado, a limitao ou controlo do mesmo dever ser efetuada com cautela por

rgos legitimados para o efeito e com respeito pelos direitos de liberdade de

expresso e de informao.

Os eventos passados que se caracterizaram como ciberataques (como por

exemplo os ataques Estnia, Georgia, aos Estados Unidos da Amrica, entre

outros) que podem ter como objetivo afetar o funcionamento de uma instituio, o

roubo de identidade, a burla, ou at mesmo roubo e destruio de documentao

vital de uma instituio/organismo, levantam uma necessidade de no s avaliar e

analisar o risco de ataques cibernticos como tambm contemplar uma resposta a

estes mesmos ataques. A criao de legislao e de medidas para controlar estes


ataques passa a ser relevante no s a nvel nacional mas tambm a nvel

internacional.

Porm, vrios problemas se levantam quanto criao de legislao neste

campo. A proliferao dos meios tecnolgicos e o anonimato dos mesmos; a

multidimensionalidade e natureza global do ciberespao; a ausncia de

fronteiras do ciberespao; a ausncia de definies e padres comuns no que

concerne a este tema; a utilizao do ciberespao como meio de livre

circulao de ideias e liberdade de expresso e a novidade que se pode

associar a estes atos apresentam-se como desafios a uma resposta eficaz para a

deteo e combate destes ataques. Por outro lado, as definies de

cibersegurana e ciberdefesa acabam por se confundirem e ainda no se

encontram claramente definidas.

No obstante as dificuldades acima enumeradas, as ciberameaas e

ciberataques contra organismos governamentais, militares e at mesmo

internacionais so uma realidade crescente e configuram-se como uma

preocupao que os Estados e restantos atores internacionais devero ter em

considerao. Assim sendo, surge a necessidade da criao de uma abordagem

global e coordenada contra estas ameaas que dever abranger no s a criao

de estratgias e iniciativas de preveno e combate, como tambm criar

definies e critrios claros que diferenciem os nveis de ciberataques em funo

da sua motivao e consequncia, bem como a criao de meios de identificao

dos autores dos ataques a fim de os responsabilizar juridicamente.

Neste sentido, foram tomadas vrias medidas, tanto a nvel internacional

como a nvel local/regional; poltico vs legislativo. De salientar que algumas

destas medidas no so medidas legislativas e sim medidas polticas, outras um

hbrido entre medidas polticas e legislativas, e que a sua aplicao depende de

vrios fatores, como, por exemplo, do tipo de autor, ou da sua motivao.

De seguida enunciaremos alguns dos exemplos mais relevantes dessas

mesmas medidas nos diferentes nveis de atuao/elaborao.

A nvel internacional encontramos o relatrio Strategic Concept 2010 -

Ative Engagement, Modern Defence. Strategic Concept for the Defense and

Security of the Members of the North Atlantic Treaty Organisation adotado na

Cimeira de Lisboa em 2010. Este relatrio insta os aliados a investir e criar


ferramentas/capacidades essenciais para lidar com as ameaas emergentes e

desenvolver, no mbito da organizao, as capacidades necessrias para

defender contra ciberataques. Encontramos tambm o National Cyber Security

Framework Manual elaborado pela OTAN em novembro de 2012, que inclui um

conjunto de princpios orientadores de atuao dos Estados que decorrem da

necessidade de articulao entre vrios eixos de interveno; e o Manual Tallinn

sobre a aplicabilidade do direito internacional ciberguerra emanado pelo

CCDOE em 2009.

Outro instrumento relevante a nvel internacional a Conveno sobre o

Cibercrime, tambm conhecida como Conv. de Budapeste, que tem, entre outros,

por objetivos principais: (1) a harmonizao dos elementos relativos a infraes

no contexto do direito penal substantivo de mbito nacional e das disposies

conexas na rea da cibercriminalidade; (2) a definio, ao abrigo do cdigo de

processo penal interno, dos poderes necessrios para investigar e intentar aes

penais relativamente a tais infraes, assim como relativamente a outras

infraes cometidas por meio de um sistema informtico ou s provas com elas

relacionadas e existentes sob a forma eletrnica.

No mbito da UE, existem vrios instrumentos relevantes nesta matria. Na

sua grande maioria, elaborados no mbito de funcionamento da ENISA mas no

s. No mbito de funcionamento da ENISA podemos referir documentos como:

Roadmap for European Cyber Security Month relatrio emanado em novembro

de 2013; A Good Practice Collection for CERTs on the Directive on attacks

against information systems - publicado em outubro de 2013, que sistematiza

boas prticas da ENISA em matria de funcionamento de Equipas de Resposta

Informtica de Emergncia (CERT) e de Equipas de Resposta a Incidentes de

Segurana Informtica (CSIRT); Good Practice Guide for securely deploying

Governmental Clouds relatrio emanado em novembro de 2013 que sustenta um

guia de referncia para implementao de computao em nuvem em organismos

pblicos; Security certification practice in the EU - Information Security

Management Systems - A case study relatrio elaborado em outubro de 2013,

sobre certificao de segurana na UE visando os objetivos da ciberestratgia

europeia e sustentado num estudo de caso e finalmente Cybersecurity

cooperation - Defending the digital frontline estudo da ENISA, datado de


outubro de 2013, que apresenta o contexto operacional atual em matria de

segurana das redes e da informao, assim como os recentes desenvolvimentos

polticos na UE e o enquadramento regulamentar nesse mbito e, em especial, no

da cibersegurana. Ainda no mbito da UE podemos encontrar a Res. do PE, de

22 de novembro de 2012 sobre cibersegurana e ciberdefesa (2012/2096 (INI));

Resoluo do PE, de 10 de maro de 2010, sobre a execuo da Estratgia

Europeia de Segurana e a Poltica Comum de Segurana e Defesa

(2009/2198(INI)); a Res. do PE, de 22 de maio de 2012, sobre a Estratgia de

Segurana Interna da UE ((2010/2308(INI)); a Res. do PE, de 12 de junho de

2012, sobre a proteo das infraestruturas crticas da informao realizaes e

prximas etapas; para uma cibersegurana mundial (2011/2284(INI)); a

Comunicao Conjunta ao PE, ao Conselho, ao Comit Econmico e Social

Europeu e ao Comit das Regies Estratgia da Unio Europeia para a

cibersegurana: Um ciberespao aberto, seguro e protegido, JOIN(2013) 1 final;

o Parecer do Comit das Regies Estratgia para a Cibersegurana, (2013/C

280/05); a Comunicao da Comisso ao PE, ao Conselho, ao Comit Econmico

e Social Europeu e ao Comit das Regies - Proteo das infraestruturas crticas

da informao Realizaes e prximas etapas: para uma cibersegurana

mundial COM(2011) 163 final.

No que concerne ao direito interno portugus, de relevar a Res. do CM n

12/2012 que atribui ao GNS, no mbito da medida 4 do plano global estratgico

de racionalizao e reduo de custos com as Tecnologias da Informao e

Comunicao, a misso de coordenao com as entidades relevantes da

definio e implementao de uma Estratgia Nacional de Segurana da

Informao e que compreende, entre outras medidas, a criao, instalao e

operacionalizao de um Centro Nacional de Cibersegurana; Res. do CM n

42/2012, que aprova a criao instaladora de um Centro Nacional de

Cibersegurana que ter como misso contribuir para que Portugal use o

ciberespao de uma forma mais livre, confivel e segura, atravs da promoo da

melhoria contnua da Cibersegurana nacional e da cooperao internacional;

Res. do CM n 19/2013, j aqui referido, que aprova o Conceito Estratgico de

Defesa Nacional; a Res. do CM n 26/2013 que fixa as orientaes especficas


da Reforma Defesa 2020 e o Despacho n 13692/2013, com as orientaes

polticas para a ciberdefesa.

tambm de salientar a j aqui referida L. n 109/2009 (Lei do Cibercrime),

de 15 de setembro; a L. n. 52/2003, de 22 de agosto, (Lei de Combate ao

Terrorismo em cumprimento da Deciso Quadro n. 2002/475/JAI, do Conselho,

de 13 de junho) e o nosso Cdigo Penal Portugus.

Como j aqui referimos, bastante difcil enquadrar juridicamente um

ataque deste gnero, sendo necessrio, para tal, no s identificar o autor do

crime (sendo que este poder ser individual, institucional ou at mesmo estadual),

como tambm as suas intenes. Por outro lado, ainda existem bastantes

incertezas e divergncias doutrinrias nesta matria. Ser, desta forma,

necessrio um esforo contnuo dos atores internacionais de no s combaterem

ativamente estas agresses, mas tambm trabalharem para a preverem e, dessa

forma, as evitarem.

A realidade portuguesa sobre o Ciberespao

Desde o fim da Guerra Fria o Ciberespao comeou por ser considerado

um espao comum a juntar-se aos espaos tradicionais existentes como: o

espao terrestre, o espao areo e o espao martimo.

A Internet veio tornar-se numa arma adequada a ser utilizada por qualquer

pessoa ou qualquer grupo organizado equipado com os conhecimentos

necessrios e acessvel a todos. No entanto, a longo prazo, os seus efeitos

demonstraram ser to destruidores como os efeitos provocados pelas guerras

tradicionais. Depressa se converteu numa arma de eleio nos conflitos

assimtricos. Passou a favorecer a entidade mais fraca contra a entidade mais

forte a nvel militar, provocando desequilbrios em termos de poder.

Em virtude da reestruturao transversal que o Estado teve que

operacionalizar no que concerne s Tecnologias de Comunicao e Informao e

ao tipo de funcionamento operativo da Administrao Pblica Portuguesa, o

Estado Portugus nunca teve a necessidade de se ir adaptando s novas

circunstncias e exigncias provenientes do novo ciberespao.


A vinculao de Portugal a estruturas internacionais, nomeadamente a

OTAN e da UE, como j referimos anteriormente, trouxe tambm a necessidade

estratgica de iniciar o desenvolvimento de polticas neste campo, tendo em vista

garantir a segurana e a proteo da sua infraestrutura de informao presente

no ciberespao, o que culminou com a criao do Centro Nacional da

Cibersegurana (CNCSeg).

Assim o aprimorar das circunstncias leva a que a proposta da Estratgia

Nacional de Cibersegurana (ENC) destaque que uma das maiores ameaas que

Portugal ter de enfrentar nos prximos anos ser, sem dvida, a dos

ciberataques em larga escala s Infraestruturas Crticas Nacionais. Porm o

Estado, ciente destas necessidades, que versam nos documentos estartgicos do

estado, como, por exemplo, a resoluo vinte/vinte, continua a carecer de

algumas infraestruturas necessrias para proceder com a misso do CNCSeg.

Esta situao o espelhar da situao econmica e financeira do Estado

Portugus.

Apesar de estarem a ser dados passos importantes no que diz respeito

cibersegurana em Portugal e aos mecanismos de defesa apropriados aos

ataques cibernticos contra os seus sistemas de informao, criam-se algumas

brechas na estrutura nacional de segurana e defesa que vo expondo as

vulnerabilidades portuguesas no ciberespao a qualquer entidade a presente.

Sob a alada Nacional, os exemplos mais recentes deste tipo de aes

foram a invaso aos sistemas e servidores do Ministrio dos Negcios

Estrangeiros e dos Procuradores do Ministrio Pblico, no plano governamental.

No plano corporativo, os servidores do Novo Banco sofreram uma invaso. Este

gnero de invases, teve a sua autoria atribuda a uma organizao de pirataria

informtica conhecida por Anonymous e a alguns outros grupos isolados.

Contudo, face ausncia da identidade do grupo e s o conhecimento da

localizao da origem do ataque informtico, Portugal no pde atuar de maneira

apropriada devido falta de informaes. Esta ao demonstrou algumas das

fragilidades, da ciberdefesa nacional, ou seja, exps a vulnerabiliade dum setor

estratgico na viso presente e futura da defesa nacional, pois colocou em risco a

segurana de documentos confidenciais.


No caso das invases aos servidores pertencentes aos Procuradores do

Ministrio Pblico, o grupo Anonymous atuou tendo em vista a exposio do

funcionamento operacional e a atuao da Justia portuguesa opinio pblica

portuguesa, muito provavelmente com o intuito de criar vulnerabilidades

exercendo, desta forma, presso sobre o Estado atravs das crticas. Este tipo de

aes quase que podemos inferir que colocaram em questo a integridade e a

idoneidade do sistema jurdico portugus e dos seus agentes.

No plano corporativo, a invaso do Novo Banco foi da autoria da

Anonymous Portugal, uma subsidiria do grupo anteriormente mencionado. Neste

ataque o grupo em questo foi considerado responsvel por invadir as

correspondncias internas e outros documentos do banco e publicar na internet

as mesmas.

Este tipo de acontecimentos, quer ocorram nos sistemas pertencentes ao

Estado Portugus, quer ocorram nos sistemas pertencentes a uma entidade

particular, expem a real necessidade de ser feito um investimento no estudo,

investigao e desenvolvimento de equipamentos/software e recursos humanos,

mais especializados. Neste sentido o CNCSeg necessita de possuir as

capacidades necessrias para o Estado ser capaz de impr medidas

rapidamente, de ripostar contra estes movimentos, e de se proteger de agncias

estrangeiras inimigas ou de grupos como o Anonymous.

Dentro desta linha orientadora, Portugal deve trabalhar de forma prxima

com as empresas de telecomunicaes e empresas tecnolgicas como a Portugal

Telecom e a Microsoft Corporation e com as instituies europeias como a

Agncia Europeia de Defesa e a Europol para o desenvolvimento de sinergias em

matria de segurana e defesa dentro do espao europeu e do territrio nacional.

So tambm fundamentais a continuao do desenvolvimento de parcerias dentro

da esfera da OTAN para partilhar informaes, tcnicas e experincias com

outras agncias como a Agncia de Segurana Nacional norte americana (NSA)

e o Centro de Comunicaes Governamentais britnica (GCHQ), tendo em vista a

crescente ameaa de ciberguerra por parte de pases como a Federao Russa

ou a Sria, e a ameaa de ciberterrorismo por parte de grupos extremistas como a

Al - Qaeda.


A nvel de estrutura interna, Portugal deve melhorar a interoperacionalidade

do CNCSeg no que diz respeito passagem de informaes a entidades como a

Polcia Judiciria, o Servio de Informaes de Segurana, ao Servio de

Informaes Estratgicas da Defesa, em matria de cibercrime ou ciberterrorismo.

Todas estas diretrizes tornam vital a promoo de uma maior proximidade dos

problemas reais com a criao de um Centro Nacional de Resposta a Incidentes

para lidar com possveis invases aos sistemas de informao.

imperativo que os partidos com assento parlamentar na Assembleia da

Repblica (AR) continuem a efetivar um entendimento para o desenvolvimento de

estratgias no mbito da cibersegurana e ciberdefesa a longo prazo.

O Estado Portugus deve investir na promoo da discusso e

consciencializao da sociedade civil para estas questes, de modo a manter-se

como Nao informada e fornecer as ferramentas necessrias para esta colaborar

na execuo das estratgias e, ao mesmo tempo, adotar comportamentos de

defesa perante estas ameaas.

Caso de Estudo

A guerra entre a Rssia e a Gergia, em agosto de 2008, representou uma

longa histria de conflitos geoestratgicos entre as duas naes e foi baseada em

vrios fatores complexos: geopolticos, legais, culturais e econmicos.

As tenses tinham vindo a crescer na regio h alguns anos, antes do

incio do conflito em agosto de 2008. A guerra comeou, oficialmente, a 7 de

agosto de 2008, aps vrias semanas de crescentes discusses sobre o futuro do

territrio da Osstia do Sul.

O conflito forou cerca de 25.000 moradores da Gergia a fugir do

combate terrestre como refugiados, em deslocamento interno. Os dois pases

assinaram um acordo de cessar-fogo uma semana depois, mas as tenses

permanecem altas at hoje. A Rssia no conseguiu implementar alguns dos

termos do acordo de cessar-fogo, resultando na perda de territrio georgiano para

ocupao russa.

Na superfcie, ela representa uma das muitas guerras frias (com

renovaes peridicas de conflito oficial militar de nvel nacional) travadas todos


os dias no "exterior prximo" da periferia da Rssia. Um conflito que pode no

terminar por muito, muito tempo.

Mas, enquanto grande parte disso verdade, uma anlise mais profunda

das operaes de domnio do ciberespao realizadas por ambas as partes neste

conflito indicam que essa imagem ilusria e incompleta.

A guerra russo-georgiana foi bastante histrica e definiu precedentes por

vrias razes.

Este parecia ser o primeiro caso na histria de um ataque coordenado ao

domnio do ciberespao sincronizado com as principais aes de combate em

outros domnios de combate. Trs semanas antes da guerra entre a Gergia e a

Rssia comear invasores online comearam a agredir sites da Gergia. Desde

ento, os investigadores tm tentado descobrir quem planeou os ataques rede -

sem encontrar nada definitivo.

No entanto, a Rssia invadiu a Georgia em quatro frentes. Trs delas

foram as convencionais - por terra, pelo ar, e por mar. O quarto era novo - os

ataques via ciberespao. , simplesmente, implausvel que os ataques paralelos

por terra e ciberespao tenham sido uma coincidncia - desmentidos oficiais de

Moscovo, no obstante.

O (suposto) ataque russo sobre as redes militares e do governo da

Gergia foi muito bem sucedido.. Cinquenta e quatro sites na Gergia

relacionados com comunicaes, finanas e governo foram atacados por

elementos da Rssia. Ento, enquanto tanques e tropas iam atravessando a

fronteira e bombardeiros voavam, os cidados Georgianos no podiam acessar

sites para obter informaes e instrues.

As autoridades georgianas descobriram que o seu acesso Internet e

redes de comunicao era excecionalmente vulnervel (suposta) interferncia

russa.

Havia um outro aspeto historicamente singular e fundamental para a luta -

o surgimento de aes de domnio do ciberespao sincronizadas como um

indicador de inteligncia para operaes de nvel estratgico, operacional e

operaes militares de nvel ttico. Ao contrrio do (suposto) ciberataque russo

sobre a Estnia em 2007, o (alegado) ciberataque da Rssia sobre a Gergia foi

acompanhado pelo domnio fsico de combate entre as foras militares russas e


georgianas. As operaes do (alegado) ataque no ciberespao ocorreram antes

das hostilidades e foram depois espelhadas nas operaes de combate russo no

domnio terrestre.

Estes ataques incluram vrios ataques DDoS para negar / perturbar as

comunicaes e atividades de informao conduzidas para acumular inteligncia

militar e poltica das redes georgianas.

Um dos primeiros elementos da sociedade georgiana que foram atacadas

foi um popular frum de hackers - ao tentar suprimir hackers georgianos, hackers

russos, apoiados pela milcia, procuraram, preventivamente, prevenir ou mitigar

um contra-ataque de hackers georgianos. O que no amplamente conhecido

que os hackers pr-Gergia fizeram poucos, mas bem-sucedidos, contra-ataques

contra alvos russos.

Guerras de hackers entre (muitas vezes bastante talentosos) hackers

patriticos amadores, milcias cibernticas e grupos criminosos organizados

tornaram-se um meio de conflito nao-estado ao longo dos ltimos 20 anos.

Esses ativos nacionais no governamentais so geralmente usados para os fins

tradicionais de impr a vontade e as condies de uma nao sobre outra.

No nvel estratgico o (alegado) reconhecimento do ciberespao e

sondagem russa comearam semanas antes do incio real de combate virtual e

fsico. Na web russa local salas de chat e redes tambm discutiram os prximos

ataques durante vrias semanas.

Aos nveis ttico e operacional, localidades geogrficas especficas eram

praticamente alvejadas no ciberespao antes de operaes de combate no

domnio fsico. Muitos dos mais graves ataques tiveram incio assim que os

tanques comearam a circular, embora as redes tenham sido criadas de antemo

e a escolha dos alvos especialmente reveladora. Sites oficiais em Gori,

juntamente com as autoridades locais sites de notcias, foram fechados por

ataques de negao de servio antes de os avies russos l chegarem.

Parece que os russos selecionaram o governo da Gergia como o centro

de gravidade para concentrar os seus ataques primrios contra os mesmos.

Operaes realizadas pela milcia ciberntica russa no domnio ciberntico

apoiaram esse esforo, negando a capacidade do governo georgiano para

comunicar tanto internamente como com o mundo exterior. Atravs destas aes


e combinado com outras aes de domnio fsico, os russos foram capazes de

demonstrar que o governo georgiano foi incapaz de defender o seu territrio

soberano em ambos os domnios fsico e do ciberespao.

As aes russas a nvel ttico e operacional (em todos os domnios)

durante esta guerra ajustam-se perfeitamente a uma estratgia geopoltica maior

de dominncia de energia, ameaando diferentes fontes de energia nos

ambientes fsicos e do ciberespao e desestabilizando governos nacionais que

representam essas fontes de energia alternativas e concorrentes.

A lio ilustra a necessidade das naes que pretendem operar com

sucesso o domnio do ciberespao para o desenvolvimento, precisam de fornecer

um treino para os operadores do ciberespao entenderem e praticarem as

nuances de ambas as operaes ofensivas e defensivas (geralmente duas

comunidades separadas) e como sincronizar operaes no ciberespao com o

espectro completo de operaes de Informao (IO) e objetivos poltico-militares

nos outros domnios.

Concluso

Se num campo de batalha o facto de estarmos em inferioridade numrica

ou termos um armamento no to moderno como o adversrio no impede que

possamos fazer frente ao nosso adversrio (podendo porm comprometer a

vitria nessa mesma batalha), em questes de cibersegurana o mesmo j no

acontece, pois se no estivermos constantemente na vanguarda da tecnologia ao

nvel de sistemas de segurana podemos, de imediato, comprometer toda uma

estratgia de defesa, com repercusses irreversveis.

portanto fundamental que as entidades polticas se esforcem para que

sejam disponibilizados meios e recursos de modo a que os organismos que tm

como funo a proteo do nosso pas ao nvel de ciberdefesa, possam

assegurar uma efetiva e real eficcia no que toca a esta matria. Para tal, urge

que os agentes polticos e governamentais ultrapassem uma viso tantas vezes

limitada a uma conjuntura de interesses econmicos, imediatos e particulares, e

tenham antes uma viso alargada em termos estruturais e futuros para que o

interesse nacional a nvel de segurana no fique submerso sobre outros

interesses.


importante que a sociedade civil tenha conscincia da premncia de

investir nesta rea, funo essa que cabe, em primeira linha, s instituies

governamentais, por forma a conseguirem, atravs da comunicao social,

chegar populao em geral para que a mesma comece a consciencializar-se

sobre aspetos relacionados com a cibersegurana, pois neste momento termos

como cibersegurana e ciberespao no so do conhecimento geral.

necessria vontade poltica para continuar a investir nestas matrias e

criar um grupo de trabalho focado inteiramente nesta matria, grupo esse que ter

como misso no s a seleo dos dados, informaes e sistemas que tm de

ser protegidos como a interligao que se impe fazer entre as diferentes

entidades, pois a matria que vai ser trabalhada encontra-se no s em sistemas

do Estado mas tambm em empresas privadas que venham a ser consideradas

de relevante interesse nacional por razes econmicas e sociais. Neste campo, a

OTAN tem sido um dos grandes impulsionadores a nvel mundial para que sejam

feitos avanos nestas matrias e com a maior brevidade possvel, ajudando os

pases membros em diferentes aspetos como, por exemplo, na proteo de

infraestruturas que sejam consideradas crticas para cada pas. Tudo isto atravs

de uma politica orientadora que tem como plano de ao o aumento da robustez

dos pases membros na ciberdefesa, plano esse que foi implementado numa

cimeira realizada em setembro deste mesmo ano (2014) no Pas de Gales e que

tem como prioridade a proteo dos sistemas de comunicao de todos os seus

aliados.

Seria deveras interessante aproveitar a massa criativa do nosso Pas, em

especial da juventude que na rea das tecnologias tem demonstrado um grande

know-how e que j conta com provas dadas na criao (por exemplo de

aplicaes para diferentes sistemas operativos como a apple e android) e que

inclusiv marcam presena no mercado internacional e so vistas como

inovadoras e de um elevado grau de complexidade.

Isto porque o facto de os sistemas de segurana serem inteiramente

criados de raiz pelo prprio Estado e no adquiridos a outras empresas

especializadas no ramo, muitas vezes localizadas noutros paises com interesses

diferentes dos nossos, d-nos logo partida um fator importantssimo de

segurana pois diminuem-se drasticamente as hipteses de acesso por terceiros,


devido autenticidade do sistema e pelo facto de, assim, diminuir o nmero de

intermedirios pelo qual os programas tm de passar at chegarem ao

destinatrio final.

Finalmente, destaca-se a importncia de continuar um estreita articulao

com as instituies europeias e mundiais de modo a atingir uma robustez slida

ao nvel da cibersegurana, robustez essa que s ser alcanada atravs de um

rduo trabalho por parte de todas as entidades envolvidas nesta matria; esse

trabalho ter de ser contnuo e duradouro, uma vez que no mundo global do

sculo XXI o conhecimento evolui rapidamente e os acontecimentos precipitam-se

a uma velocidade que, por vezes, ultrapassa as melhores previses tecnolgicas.


Bibliografia

Almeida, Jos Maria Fernandes, Breve Historia da Internet,

Universidade do Minho. Departamento de Sistemas de Informao,

Outubro 2005.

Caldas, Alexandre e Freire, Vincente, Cibersegurana: das

Preocupaes Ao Instituto da Defesa Nacional - Working Paper

2 (2013)

Carrio, Alexandre, Estratgia da Informao e Segurana no

Ciberespao, IDN Cadernos, Instituto da Defesa Nacional, 2013;

Despacho n 13692/2013 do Ministro da Defesa Nacional, Dirio da

repblica 2 srie n 208, 28 de outubro de 2013

Proposta de Estratgia Nacional de Cibersegurana, Gabinete

Nacional de Segurana, 2014;

Resoluo do conselho de ministros n 19/2013 Dirio da Repblica

1 srie n 67, 5 de abril de 2013

Minuta do Relatrio Explicativo da Conveno do Cibercrime

disponvel em:

http://www.coe.int/t/dg1/legalcooperation/economiccrime/cybercrime/

ConventionOtherLg_en.asp

John Goetz, Marcel Rosenbach and Alexander Szandar. War of the

Future National Defense in Cyberspace, DER SPIEGEL

International Online (2 de novembro de 2009)

La Rue, Frank, Report of the Special Rapporteur on the promotion

and protection of the right to freedom of opinion and expression,

Organizao das Naes Unidas. Disponvel em:

http://www2.ohchr.org/english/bodies/hrcouncil/docs/17session/A.HR

C.17.27_en.pdf

Martins, Alexandre (2013), Portugal e Espanha entre os pases em

que a NSA mais confia para partilhar dados,Pblico, 31 de Outubro

de 2013.


Strategic Concept 2010 - Active Engagement, Modern Defence.

Strategic Concept for the Defense and Security of the Members of

the North Atlantic Treaty Organisation. Disponvel em:

http://www.nato.int/nato_static_fl2014/assets/pdf/pdf_publications/20

120214_strategic-concept-2010-eng.pdf

Viegas Nunes, Paulo Fernando, A Definio de uma Estratgia

Nacional de Cibersegurana; Nao e Defesa - Cibersegurana,

Instituto da Defesa Nacional, N 133 (2012).

National Cyber Security Framework Manual. Disponvel em:

http://www.ccdcoe.org/publications/books/NationalCyberSecurityFra

meworkManual.pdf

Roadmap for European Cyber Security

Month.: http://www.enisa.europa.eu/activities/stakeholder-

relations/nis-brokerage-1/european-cyber-security-month-advocacy-

campaign/2013/ecsm-roadmap.

A Good Practice Collection for CERTs on the Directive on attacks

against information systems. Disponvel em:

http://www.enisa.europa.eu/activities/cert/support/fight-against-

cybercrime/the-directive-on-attacks-against-information-systems.

Securing personal data in the context of data retention - Analysis

and recommendations Disponvel em:

http://www.enisa.europa.eu/activities/identity-and-

trust/library/deliverables/securing-personal-data-in-the-context-of-

data-retention

Alerts-Warnings-Announcements - Disponvel em:

http://www.enisa.europa.eu/activities/cert/support/awa

Good Practice Guide for securely deploying Governmental Clouds

Disponvel em: http://www.enisa.europa.eu/activities/Resilience-and-

CIIP/cloud-computing/good-practice-guide-for-securely-deploying-

governmental-clouds

Security certification practice in the EU - Information Security

Management Systems - A case study Disponvel em:

http://www.enisa.europa.eu/activities/identity-and-


trust/library/deliverables/security-certification-practice-in-the-eu-

information-security-management-systems-a-case-study

Cybersecurity cooperation - Defending the digital frontline -

Disponvel em: http://www.enisa.europa.eu/media/key-

documents/cybersecurity-cooperation-defending-the-digital-frontline

"HACKER", in Dicionrio Priberam da Lngua Portuguesa [em linha],

2008-2013, [consultado em 17-09-2014].

Georgia DDoS Attacks A Quick Summary of Observations.

Disponivel em: http://www.arbornetworks.com/asert/2008/08/georgia-

ddos-attacks-a-quick-summary-of-observations/

The Russian Snake. Disponivel em:

http://www.israeldefense.com/?CategoryID=512&ArticleID=2880

Rssia e Ucrnia travam duelo ciberntico. Disponivel em:

http://www.planobrazil.com/russia-e-ucrania-travam-duelo-

cibernetico/

Livros

CALDAS, Alexandre; FREIRE, Vicente, Cibersegurana: das

preocupaes aco, Instituto da Defesa Nacional, Working Paper

2, 2013;

CARRIO, Alexandre (coord), Estratgia da Informao e

Segurana no Ciberespao, IDN Cadernos, Instituto da Defesa

Nacional, 2013;

Artigos Online

Artigos do Jornal Pblico


http://www.publico.pt/politica/noticia/hackers-chineses-atacaram-ministerio-

dos-negocios-estrangeiros-de-portugal-1615718

http://www.publico.pt/sociedade/noticia/hackers-divulgam-emails-internos-

do-novo-banco-e-banco-de-portugal-para-que-cidadaos-reclamem-1667325

http://www.publico.pt/mundo/noticia/portugal-e-espanha-entre-os-paises-

em-quem-a-nsa-mais-confia-para-partilhar-dados-1610851

http://www.publico.pt/portugal/jornal/ataque-pirata-expoe-emails-de-

gestores-bancarios-28500507

Artigos Direo-Geral de Poltica de Defesa Nacional

http://dgpdn.blogspot.pt/2013/03/artigo-de-opiniao-ciberseguranca-e.html

Websites

http://anonymouspt.blogspot.pt/

ENISA European Network & Information Security Agency, site

oficial: http://www.enisa.europa.eu/

OTAN Organizao do Tratado do Atlntico Norte Defending

agaisnt cyber attacks - http://www.nato.int/cps/en/natolive/75747.htm

Cibersegurança e Ciberdefesa Em Portugal

Documents

Transcript of Cibersegurança e Ciberdefesa Em Portugal