1_ler_03A_ciber_segur_crime_rb

Fazer download em pdf ou txt
Fazer download em pdf ou txt
Você está na página 1de 9

Revista ‘Terra de Lei’, Ano 12, n.º 5, 2024.

Associação de Juristas de Pampilhosa da Serra.


Rogério Bravo.

SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo


‘Ciber’ na segurança e no crime

1. Enquadramento

Nos tempos que correm ou nos quais corremos, a consciência de que a vida no
ciberespaço está cada vez mais sujeita a perigos, sejam relativos ao abuso, ou à
afetação da imagem dos utilizadores (como a injúria, a calúnia ou equiparados) sejam
ataques contra o património (transferências monetárias ilícitas e diferentes formas de
burla) sejam sobre dados informáticos e ou sobre informação (dano sobre os dados
informáticos, desinformação, comprometimento de dados pessoais) tende a
aumentar, mas lentamente.

Na verdade, ao ritmo das mudanças tecnológicas, não corresponde o da


sensibilização e consciência para esses perigos.

As notícias mais comuns nos órgãos de comunicação social, são, geralmente, as que
fazem referência, ou a tempo de indisponibilidade dos dados por disrupção dos
sistemas, ou ao das redes, ou ao comprometimento da integridade dos dados (este,
muito associado a perdas financeiras por extorsão) e também por transferências
bancárias ilícitas1, que, pelo teor da própria notícia, acarreta inevitavelmente outro tipo
de perdas de ordem financeira, designadamente decorrentes da afetação da marca
empresarial, ou da imagem corporativa, ou de ambas (perdas secundárias).

Se bem que este tipo de ‘ataques cibernéticos’ digam respeito à segurança no


ciberespaço, o facto é que constituem simultaneamente, CiberCrime.

1
O tempo de indisponibilidade dos dados e ou da informação, e o comprometimento da integridade de
volumes de dados, costuma estar na base do cálculo para os chamados produtos no ‘ramo dos ciber-
seguros’;
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________

Enquanto todos os crimes ocorridos no ciberEspaço constituem uma forma de


CiberCrime (pedofilia, calúnia, burla, instigação ao crime, apologia do suicídio,
xenofobia, entre outros) só alguns são considerados ‘crime informático’: aqueles em
que o valor afetado são a confidencialidade (como a interceção de dados, o acesso
ilegítimo, o acesso indevido, vulgo, ‘intrusão’) a integridade (dano informático, na
eliminação e na alteração de dados e dos seus meta-dados) a disponibilidade
(sabotagem por paragem do sistema, ou por diminuição da capacidade de
processamento) e o não repúdio de dados (impossibilidade de negação de
informação) e ou da autenticidade da informação (atos que visam o comprometimento
da autenticidade da informação, hoje designado por ‘desinformação’ ou, também, por
‘ataques à verdade’).

Daqui podemos extrair algumas conclusões ‘a priori’.

A primeira, é a de que os incidentes de CiberSegurança e os CiberCrimes, são ‘faces


da mesma moeda’ (chamada segurança da informação2) que contribui, a par de outras
vertentes, para a segurança nacional.

A segunda, é de que não obstante as iniciativas de prevenção criminal da Polícia


Judiciária e as de sensibilização pública conduzidas pelo Centro Nacional de
CiberSegurança terem aumentado substancial e qualitativamente, as notícias sobre
estas matérias nos OCSR (órgãos de comunicação social e redes sociais) tendem a
deixar a impressão na opinião pública de que o CiberCrime (ou os incidentes de
CiberSegurança) acontecem sobretudo por razões de ordem técnica, como as falhas
de segurança nas tecnologias postas à disposição dos utilizadores.

2
a Segurança da Informação diz respeito ao mundo da informação digital e da analógica; por isso tem
em consideração todos os tipos de ameaça, analógicos ou digitais; análise e gestão risco, continuidade
do negócio, proteção de dados, controlo de acessos, resposta a incidentes, conformidade das
entidades, são algumas das iniciativas que dela fazem parte. Já a CiberSegurança, centra-se na
proteção dos dados informáticos, dos sistemas e das redes, procurando a defesa de acessos não
autorizados e de danos; as formas de atuação em CiberSegurança são designadas por Cloud Security,
Network Security, Application Security, Endpoint Security (entre outros) assente na defesa de base
tecnológica, de que são exemplos sistemas IDS (intrusion detection system), IPS (intrusion protection
system) e ‘firewalls’;

2
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________

Historicamente, após um primeiro nível de resultado da política criminal europeia, que


consistiu na adoção da chamada CiberConvenção3 e na transposição da chamada
Diretiva sobre ataques a sistemas de informação4, a atual doutrina dominante no
mundo ocidentalizado5, parece assentar hoje na emissão de atos legislativos de
harmonização no espaço da União Europeia (cuja influência transcende o próprio
espaço Europeu6) assentes numa via paralela à da tradicional caracterização criminal,
que não espera pela adesão das pessoas singulares e coletivas à defesa do e no
ciberespaço e vai criando agências e autoridades de carácter administrativo.

A responsabilidade social das empresas para a área da segurança da informação e a


demora na perceção geral do dever de proteção de dados pessoais e dos seus perfis,
não é compatível com a rápida necessidade de afirmação da CiberSegurança pelas
pessoas (coletivas e singulares) existindo de facto um atraso considerável entre a
disponibilização e a adoção de novas tecnologias para o uso do CiberEspaço, e a
aceitação e a adoção de mecanismos de prevenção e de defesa dos dados e dos
sistemas pelos utilizadores desse CiberEspaço7.

Existe um fosso e um contraciclo na proteção das pessoas, dos dados informáticos e


dos sistemas.

O fosso traduz-se principalmente, na referida demora generalizada pelos utilizadores


na compreensão e na aceitação de que o CiberEspaço é efetivamente mais um
espaço de conflito e de que é necessário valorizá-lo como tal e extrair consequências
desse facto.

O contraciclo verifica-se entre a emissão de atos legislativos europeus destinados a


acelerar a adoção de medidas respeitantes a um grau de proteção de dados pessoais
e de segurança no CiberEspaço (que se quer alto e efetivo) com o facto de várias

3
CiberConvenção, ou Convenção de Budapeste, ou ETS 185;
4
Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013;
5
Estados de Direito Democrático;
6
KISSINGER, Henry A. – A Era da Inteligência Artificial, 1.ª ed. D. Quixote, Novembro 2021; defende
que a EU detém reduzida importância em muitos setores, mas que no papel de produção legislativa
consegue um papel influenciador;
7
visão apresentada pelo Coordenador do Centro Nacional de CiberSegurança, Eng. Lino Santos, na
8.ª edição do ‘C-Days’, ocorrido no Palácio de Congressos do Estoril em 2022;

3
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________

gerações de utilizadores, pouco ou nenhum cuidado demonstram para com a


salvaguarda de informação que lhe diga respeito.

Em suma, do que aqui se disse até agora, foi:

a) existem cada vez mais notícias nos órgãos de comunicação social e nas redes
sociais (OCSR) sobre ciberataques, geralmente realçando consequências negativas
no plano financeiro;

b) essas notícias parecem deixar, em regra, uma noção de que a generalidade dos
ciberataques, se concretiza devido à existência de falhas técnicas;

c) os utilizadores europeus do CiberEspaço nunca beneficiaram de tanta legislação8


para proteção dos seus direitos, mas, tal como a generalidade dos utilizadores a nível
global, nunca estiveram tão abertos a uma utilização pouco cuidada em termos de
CiberSegurança, não fazendo por proteger o ‘perfil digital’ que transporta aspetos
particulares da vivência e da personalidade de cada um.

Acredito que há todo o interesse em abordar (ainda que sumariamente) o segundo


ponto, integrando-o na teoria da segurança da informação e fornecendo exemplos
práticos para utilização na Prevenção Criminal do cibercrime, que o mesmo é dizer,
dos Incidentes de CiberSegurança.

2. Base Doutrinária

Desde 2022, a teoria geral da seguração da informação assenta sobre quatro pilares
de igual importância entre eles: o das tecnologias, o das pessoas, o dos processos e
seus procedimentos e finalmente, o da segurança física.

Em relação ao das pessoas, apontamos três princípios que estão na origem da ação
criminosa em geral, tida sempre como ação racional: a vontade, a capacidade e a
oportunidade.

8
de entre outras, sublinho o Regulamento Geral de Proteção de Dados, a Lei de Execução desse
Regulamento, e a Carta Portuguesa dos Direitos Humanos para a Era Digital;

4
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________

Por seu turno, cada um destes três princípios volta a subdividir-se:

- A vontade (ou intenção) é composta por expetativa e desejo de agirem ‘contra nós’,
em que o desejo é fundado numa ou mais de seis motivações de base: dinheiro,
ideologia, poder, ego e ressentimento;

- A capacidade é dada ao agressor, por deter conhecimento (de técnicas, de táticas e


de procedimentos) a par de ferramentas;

- A oportunidade para a ação criminosa é dada por falhas de segurança (ou de índole
técnica ou pessoal9) tempo para as explorar e por último, ausência de receio de serem
detetados, se o forem, de serem identificados, ou sendo-o, de baixa possibilidade de
serem presentes à Justiça (eficácia do sistema jurídico e judicial).

A existência de uma base doutrinária é importante para a Segurança Nacional, quer


para ser incorporada na definição de estratégias nacionais, quer para apoiar a criação
de modelos explicativos da realidade, quer para facilitar a geração de programas de
reação específicos a ameaças à segurança.

A leitura ‘a contrario senso’ de qualquer um destes princípios e dos diferentes


elementos que os compõem, permite aos profissionais desenhar programas de
prevenção criminal (uma das competências dos órgãos de polícia criminal) e
programas de formação e de sensibilização pública (na prática e no contexto atual da
política criminal, uma competência partilhada entre Polícias e entidades
administrativas com poderes de supervisão, como o próprio Centro Nacional de
CiberSegurança).

A título de exemplo e no que concerne à CiberSegurança, ao existir a perceção de


que a oportunidade de ação criminosa tem como principais eixos constituintes as
falhas de segurança técnicas, as de ordem pessoal, tempo para explorar essas falhas

9
tal como um cidadão se expõe ao perigo, aumentando o grau do risco ao teimar passar a altas horas
por zonas problemáticas, conhecidas como mal frequentadas e mal iluminadas, também o utilizador do
ciberespaço que partilha imagens dos seus filhos menores, cede demasiados pormenores a seu
respeito, ou abdica da privacidade eletrónica através da disponibilização de metadados pessoais e dos
dados informáticos que disponibiliza, contribui ativamente para a exposição ao perigo de se tornar
vítima;

5
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________

e pouco ou nenhum temor pela eficácia da Justiça, percebemos então, que, em defesa
(ou em reação) temos de agir combatendo no âmbito daqueles eixos.

Construindo um planeamento de prevenção:

se é aceite que existem, então as falhas de segurança técnicas são combatidas, por
exemplo, por via de criação de mais e de melhores cópias de segurança10, da
manutenção atempada de atualizações dos sistemas operativos, de programas
críticos para a continuidade do trabalho, e de ‘firmware’ de equipamentos
genericamente conhecidos como ativos de rede.

Se temos por objetivo as falhas de segurança pessoais, então faz todo o sentido
desenhar formação que contrarie os atos negligentes e programas diferenciados de
sensibilização que mitigue a exploração de informação pessoal, que se pode traduzir
na robustez de senhas de acesso, da proteção de imagem e de dados pessoais.

Se o tempo para explorarem as nossas vulnerabilidades constitui um fator adverso à


nossa segurança, então temos de ser mais rápidos a trocar informação técnica sobre
os ciberataques11, no fornecimento de formação e de sensibilização, mais velozes nas
atualizações de ‘software’ e de ‘firmware’, e realizar mais cópias de segurança –
diárias, semanais e mensais, conforme a “criticidade do negócio”12.

10
as cópias de segurança devem incidir sobre dados informáticos críticos, sobre programas críticos,
sobre ‘firmware’ de ativos de rede, e de configurações de rede; o esquema de execução deve ter a
mnemónica “3, 2, 1”: três cópias, para dois destinos de escrita diferentes e um local geograficamente
distante;
11
a troca de informação técnica de ciberincidentes corresponde àquilo que na gíria profissional se
designa por ‘IOC’ (indicadores de cibercrime, ou, indicadores de comprometimento); exemplos de IOC
são: endereços electrónicos, endereços IP, expressões e segmentos de texto, ‘hash’ de ficheiros
informáticos, carteiras de cripto-ativos, de entre outros; nota adicional: um ‘hash’ é uma função
matemática capaz de extrair dum ficheiro informático, um código composto por letras e números. Esse
código equivale uma espécie de “impressão digital” do documento digital, na prática, um identificador
único e exclusivo, assegurando, desta forma, a integridade. Difere da ‘assinatura digital’ no sentido em
que esta assegura a integridade do ficheiro, mas também, a autoria da assinatura; tanto um ‘hash’ como
uma assinatura digital, têm de ser sempre iguais, para garantia da integridade da informação contida
no ficheiro; já nas assinaturas autógrafas, existindo duas iguais, uma delas será falsa (não existem
duas assinaturas manuais perfeitamente iguais);
12
“crítico”, em termos de cibersegurança, é algo que se revela como fulcral para manter a possibilidade
ou continuidade de trabalho, ou um ativo (alguma coisa de valor) demasiado trabalhosa, ou demasiado
custosa de substituir, em caso de danos ou de perda de disponibilidade e nalguns casos, de
confidencialidade;

6
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________

Já em relação ao princípio “capacidade” anteriormente referido, se os vetores são o


conhecimento de técnicas, o de aspetos particulares da vítima e o acesso a
ferramentas, então centramos a prevenção motivando o estudo académico e
profissional dessas técnicas e desses programas, assinalando-os em sistemas de
proteção e de deteção de intrusão, e em ‘firewalls’, para que possam ser detetados e
impedidos de utilização.

3. Exemplos práticos de medidas

Na prática o que podemos fazer para ter uma ideia de planeamento e de


implementação mínima de esquemas de prevenção, é conjugar a prevenção de ordem
tecnológica, com a prevenção de ordem pessoal (seja pessoa singular ou coletiva).

Em relação à de ordem tecnológica, podemos recomendar que o setor privado siga


as recomendações constantes na RCM 41/2018 de 28MAR, que aqui se dá por
reproduzido e que define orientações técnicas para a Administração Pública em
matéria de arquitetura de segurança das redes e sistemas de informação.

Não há razão nenhuma para que o setor privado não adote aquelas medidas por
analogia, e até, que publicitem nos seus ‘sites’ um alinhamento com as boas práticas
existentes para o setor público.

Assumindo que as pessoas constituem o elo mais fraco dos quatro pilares da
segurança da informação, deixam-se referências para atuação prática, que
constituem apenas exemplos:

- não “empreste” a senha de acesso;


- a ‘password’ não deve ser um nome ou uma designação conhecida;
- não deve ser utilizada mais que uma vez;
- não deve ser curta, nem simples;
- não deve ser anotada nos terminais e nos teclados;
- a senha de acesso profissional não deve ser usada nas redes sociais (vice-versa);

7
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________

- o endereço de correio eletrónico profissional não deve ser usado como ‘username’
nas redes sociais ou plataformas de âmbito semelhante;
- ative um ‘duplo fator de autenticação’13 nas plataformas do ciberespaço que usa
(tanto nas redes sociais, como no correio eletrónico);
- instale um antí-vírus em todos os sistemas informáticos e garanta a sua atualização;
- frequente os cursos (sem custos!) proporcionados pelo Centro Nacional de
CiberSegurança14; e bem assim, os avisos e notícias especiais;
- frequente o Curso 8sem custos) de Introdução à Segurança da Informação
Classificada em ‘nau.edu.pt’15;
- instrua-se e procure informação em fontes validadas sobre CiberSegurança e sobre
CiberCrime, consultando relatórios, como o da EUROPOL, como o designado
IOCTA16, datando o último publicado deste ano de 2024; consulte os boletins e os
relatórios do Observatório de CiberSegurança do CNCS17, como o denominado
‘Riscos e Conflitos’;

Por último, uma palavra final para o tecido empresarial e para a Academia.
Para o primeiro, a nível dos decisores e gestores, é necessária uma mudança de
postura intelectual, para que os gastos financeiros e de tempo, em formação, em
sensibilização, em prevenção e em tecnologias de CiberSegurança, não sejam
entendidos como custos, mas como investimento em segurança.
Para os segundos, a urgente necessidade de se criarem formas de transmissão de
conhecimento abrangente e multidisciplinar que inclua os princípios fundamentais da
CiberSegurança, nas licenciaturas, estudos Pós-Graduados e Mestrados, pelo
menos, nas áreas científicas do Direito, das Engenharias e da Gestão.

13
as redes sociais permitem a ativação de um meio adicional de confirmação de identidade quando
procede à autenticação para entrar ma plataforma; o mais popular é o da indicação do seu número de
telefone móvel;
14
estão disponibilizados diferentes Cursos para o cidadão em geral, para profissionais de tecnologias
de informação, para empresas e para a administração pública; cf. https://www.cncs.gov.pt/pt/cursos-e-
learning/;
15
https://www.nau.edu.pt/pt/curso/introducao-a-seguranca-da-informacao-classificada/;
16
INTERNET Organized Crime Threat Assessment; consultado em 2024/07/22; acesso em linha em:
https://www.europol.europa.eu/cms/sites/default/files/documents/IOCTA%202024%20-%20EN_0.pdf;
17
cf. https://www.cncs.gov.pt/pt/observatorio/#relatorios; visto em 2024/08/18;

8
SEGURANÇA DA INFORMAÇÃO E PREVENÇÃO CRIMINAL: o prefixo
‘Ciber’ na segurança e no crime
__________________________

Montemor-o-Novo, 2024/08/27

Bibliografia recomendada
- BRAZ, José – Ciência, Tecnologia e Investigação Criminal - 2ª Ed. Almedina, 2021;
- KISSINGER, Henry A. – A Era da Inteligência Artificial, 1.ª ed. D. Quixote, Novembro
2021;
- ZAKARIA, Fareed – Dez Lições para Um Mundo Pós-Pandemia, Gradiva, 2020;

Sites e documentos de interesse


- Relatórios CNCS; https://www.cncs.gov.pt/pt/observatorio/#relatorios;
- INTERNET Organized Crime Threat Assessment;
https://www.europol.europa.eu/cms/sites/default/files/documents/IOCTA%202024%20-%20EN_0.pdf;

- Relatórios da Agência Europeia para a CiberSegurança - ENISA;


https://www.enisa.europa.eu/publications#c3=2014&c3=2024&c3=false&c5=publi
cationDate&reversed=on&b_start=0;

Outros documentos do autor:


https://ipbeja.academia.edu/RogerioBravo

Você também pode gostar