1_ler_03A_ciber_segur_crime_rb
1_ler_03A_ciber_segur_crime_rb
1_ler_03A_ciber_segur_crime_rb
1. Enquadramento
Nos tempos que correm ou nos quais corremos, a consciência de que a vida no
ciberespaço está cada vez mais sujeita a perigos, sejam relativos ao abuso, ou à
afetação da imagem dos utilizadores (como a injúria, a calúnia ou equiparados) sejam
ataques contra o património (transferências monetárias ilícitas e diferentes formas de
burla) sejam sobre dados informáticos e ou sobre informação (dano sobre os dados
informáticos, desinformação, comprometimento de dados pessoais) tende a
aumentar, mas lentamente.
As notícias mais comuns nos órgãos de comunicação social, são, geralmente, as que
fazem referência, ou a tempo de indisponibilidade dos dados por disrupção dos
sistemas, ou ao das redes, ou ao comprometimento da integridade dos dados (este,
muito associado a perdas financeiras por extorsão) e também por transferências
bancárias ilícitas1, que, pelo teor da própria notícia, acarreta inevitavelmente outro tipo
de perdas de ordem financeira, designadamente decorrentes da afetação da marca
empresarial, ou da imagem corporativa, ou de ambas (perdas secundárias).
1
O tempo de indisponibilidade dos dados e ou da informação, e o comprometimento da integridade de
volumes de dados, costuma estar na base do cálculo para os chamados produtos no ‘ramo dos ciber-
seguros’;
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________
2
a Segurança da Informação diz respeito ao mundo da informação digital e da analógica; por isso tem
em consideração todos os tipos de ameaça, analógicos ou digitais; análise e gestão risco, continuidade
do negócio, proteção de dados, controlo de acessos, resposta a incidentes, conformidade das
entidades, são algumas das iniciativas que dela fazem parte. Já a CiberSegurança, centra-se na
proteção dos dados informáticos, dos sistemas e das redes, procurando a defesa de acessos não
autorizados e de danos; as formas de atuação em CiberSegurança são designadas por Cloud Security,
Network Security, Application Security, Endpoint Security (entre outros) assente na defesa de base
tecnológica, de que são exemplos sistemas IDS (intrusion detection system), IPS (intrusion protection
system) e ‘firewalls’;
2
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________
3
CiberConvenção, ou Convenção de Budapeste, ou ETS 185;
4
Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013;
5
Estados de Direito Democrático;
6
KISSINGER, Henry A. – A Era da Inteligência Artificial, 1.ª ed. D. Quixote, Novembro 2021; defende
que a EU detém reduzida importância em muitos setores, mas que no papel de produção legislativa
consegue um papel influenciador;
7
visão apresentada pelo Coordenador do Centro Nacional de CiberSegurança, Eng. Lino Santos, na
8.ª edição do ‘C-Days’, ocorrido no Palácio de Congressos do Estoril em 2022;
3
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________
a) existem cada vez mais notícias nos órgãos de comunicação social e nas redes
sociais (OCSR) sobre ciberataques, geralmente realçando consequências negativas
no plano financeiro;
b) essas notícias parecem deixar, em regra, uma noção de que a generalidade dos
ciberataques, se concretiza devido à existência de falhas técnicas;
2. Base Doutrinária
Desde 2022, a teoria geral da seguração da informação assenta sobre quatro pilares
de igual importância entre eles: o das tecnologias, o das pessoas, o dos processos e
seus procedimentos e finalmente, o da segurança física.
Em relação ao das pessoas, apontamos três princípios que estão na origem da ação
criminosa em geral, tida sempre como ação racional: a vontade, a capacidade e a
oportunidade.
8
de entre outras, sublinho o Regulamento Geral de Proteção de Dados, a Lei de Execução desse
Regulamento, e a Carta Portuguesa dos Direitos Humanos para a Era Digital;
4
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________
- A vontade (ou intenção) é composta por expetativa e desejo de agirem ‘contra nós’,
em que o desejo é fundado numa ou mais de seis motivações de base: dinheiro,
ideologia, poder, ego e ressentimento;
- A oportunidade para a ação criminosa é dada por falhas de segurança (ou de índole
técnica ou pessoal9) tempo para as explorar e por último, ausência de receio de serem
detetados, se o forem, de serem identificados, ou sendo-o, de baixa possibilidade de
serem presentes à Justiça (eficácia do sistema jurídico e judicial).
9
tal como um cidadão se expõe ao perigo, aumentando o grau do risco ao teimar passar a altas horas
por zonas problemáticas, conhecidas como mal frequentadas e mal iluminadas, também o utilizador do
ciberespaço que partilha imagens dos seus filhos menores, cede demasiados pormenores a seu
respeito, ou abdica da privacidade eletrónica através da disponibilização de metadados pessoais e dos
dados informáticos que disponibiliza, contribui ativamente para a exposição ao perigo de se tornar
vítima;
5
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________
e pouco ou nenhum temor pela eficácia da Justiça, percebemos então, que, em defesa
(ou em reação) temos de agir combatendo no âmbito daqueles eixos.
se é aceite que existem, então as falhas de segurança técnicas são combatidas, por
exemplo, por via de criação de mais e de melhores cópias de segurança10, da
manutenção atempada de atualizações dos sistemas operativos, de programas
críticos para a continuidade do trabalho, e de ‘firmware’ de equipamentos
genericamente conhecidos como ativos de rede.
Se temos por objetivo as falhas de segurança pessoais, então faz todo o sentido
desenhar formação que contrarie os atos negligentes e programas diferenciados de
sensibilização que mitigue a exploração de informação pessoal, que se pode traduzir
na robustez de senhas de acesso, da proteção de imagem e de dados pessoais.
10
as cópias de segurança devem incidir sobre dados informáticos críticos, sobre programas críticos,
sobre ‘firmware’ de ativos de rede, e de configurações de rede; o esquema de execução deve ter a
mnemónica “3, 2, 1”: três cópias, para dois destinos de escrita diferentes e um local geograficamente
distante;
11
a troca de informação técnica de ciberincidentes corresponde àquilo que na gíria profissional se
designa por ‘IOC’ (indicadores de cibercrime, ou, indicadores de comprometimento); exemplos de IOC
são: endereços electrónicos, endereços IP, expressões e segmentos de texto, ‘hash’ de ficheiros
informáticos, carteiras de cripto-ativos, de entre outros; nota adicional: um ‘hash’ é uma função
matemática capaz de extrair dum ficheiro informático, um código composto por letras e números. Esse
código equivale uma espécie de “impressão digital” do documento digital, na prática, um identificador
único e exclusivo, assegurando, desta forma, a integridade. Difere da ‘assinatura digital’ no sentido em
que esta assegura a integridade do ficheiro, mas também, a autoria da assinatura; tanto um ‘hash’ como
uma assinatura digital, têm de ser sempre iguais, para garantia da integridade da informação contida
no ficheiro; já nas assinaturas autógrafas, existindo duas iguais, uma delas será falsa (não existem
duas assinaturas manuais perfeitamente iguais);
12
“crítico”, em termos de cibersegurança, é algo que se revela como fulcral para manter a possibilidade
ou continuidade de trabalho, ou um ativo (alguma coisa de valor) demasiado trabalhosa, ou demasiado
custosa de substituir, em caso de danos ou de perda de disponibilidade e nalguns casos, de
confidencialidade;
6
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________
Não há razão nenhuma para que o setor privado não adote aquelas medidas por
analogia, e até, que publicitem nos seus ‘sites’ um alinhamento com as boas práticas
existentes para o setor público.
Assumindo que as pessoas constituem o elo mais fraco dos quatro pilares da
segurança da informação, deixam-se referências para atuação prática, que
constituem apenas exemplos:
7
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________
- o endereço de correio eletrónico profissional não deve ser usado como ‘username’
nas redes sociais ou plataformas de âmbito semelhante;
- ative um ‘duplo fator de autenticação’13 nas plataformas do ciberespaço que usa
(tanto nas redes sociais, como no correio eletrónico);
- instale um antí-vírus em todos os sistemas informáticos e garanta a sua atualização;
- frequente os cursos (sem custos!) proporcionados pelo Centro Nacional de
CiberSegurança14; e bem assim, os avisos e notícias especiais;
- frequente o Curso 8sem custos) de Introdução à Segurança da Informação
Classificada em ‘nau.edu.pt’15;
- instrua-se e procure informação em fontes validadas sobre CiberSegurança e sobre
CiberCrime, consultando relatórios, como o da EUROPOL, como o designado
IOCTA16, datando o último publicado deste ano de 2024; consulte os boletins e os
relatórios do Observatório de CiberSegurança do CNCS17, como o denominado
‘Riscos e Conflitos’;
Por último, uma palavra final para o tecido empresarial e para a Academia.
Para o primeiro, a nível dos decisores e gestores, é necessária uma mudança de
postura intelectual, para que os gastos financeiros e de tempo, em formação, em
sensibilização, em prevenção e em tecnologias de CiberSegurança, não sejam
entendidos como custos, mas como investimento em segurança.
Para os segundos, a urgente necessidade de se criarem formas de transmissão de
conhecimento abrangente e multidisciplinar que inclua os princípios fundamentais da
CiberSegurança, nas licenciaturas, estudos Pós-Graduados e Mestrados, pelo
menos, nas áreas científicas do Direito, das Engenharias e da Gestão.
13
as redes sociais permitem a ativação de um meio adicional de confirmação de identidade quando
procede à autenticação para entrar ma plataforma; o mais popular é o da indicação do seu número de
telefone móvel;
14
estão disponibilizados diferentes Cursos para o cidadão em geral, para profissionais de tecnologias
de informação, para empresas e para a administração pública; cf. https://www.cncs.gov.pt/pt/cursos-e-
learning/;
15
https://www.nau.edu.pt/pt/curso/introducao-a-seguranca-da-informacao-classificada/;
16
INTERNET Organized Crime Threat Assessment; consultado em 2024/07/22; acesso em linha em:
https://www.europol.europa.eu/cms/sites/default/files/documents/IOCTA%202024%20-%20EN_0.pdf;
17
cf. https://www.cncs.gov.pt/pt/observatorio/#relatorios; visto em 2024/08/18;
8
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________
Montemor-o-Novo, 2024/08/27
Bibliografia recomendada
- BRAZ, José – Ciência, Tecnologia e Investigação Criminal - 2ª Ed. Almedina, 2021;
- KISSINGER, Henry A. – A Era da Inteligência Artificial, 1.ª ed. D. Quixote, Novembro
2021;
- ZAKARIA, Fareed – Dez Lições para Um Mundo Pós-Pandemia, Gradiva, 2020;