Nelson Escravana – Diretor de Cibersegurança e Administrador Executivo do INOV
A notícia que hoje nos chega pelos órgãos de comunicação social sobre um conjunto de ciberataques que aparentemente afetaram o EMGFA, as secretas militares e a DGRDN, e dos quais resultaram a exfiltração de documentos classificados, por alegada violação de regras de segurança ao lidar com documentos classificados, são uma clara demonstração da deficiência de cultura de cibersegurança na nossa sociedade.
Podemos ser tentados e culpar estas instituições de Defesa Nacional, cuja missão é a de proteger os interesses do nosso Estado face a interesses estrangeiros, não apenas pelos danos que possam ter sido causados pela incapacidade de proteger a informação em causa, mas também pela forma como este incidente afeta a credibilidade nacional no seio da Aliança Atlântica e até da União Europeia. E obviamente se regras de segurança foram violadas, as responsabilidades disciplinares, criminais e políticas devem ser apuradas com as devidas consequências.
Mas essa não é, no meu entender, a principal lição que devemos retirar deste incidente. Pois, se assumirmos que a fuga de informação não é deliberada, torna-se difícil de acreditar que algum dos indivíduos envolvidos no incidente estava devidamente consciente dos riscos em que ocorria transmitindo informação classificada através dos sistemas que não eram os adequados para o efeito e que foram afetados pelo ciberataque. E este problema, a incapacidade da maior parte das pessoas de compreender realmente os riscos de cibersegurança a que estão expostos enquanto utilizam as Tecnologias de Informação e Comunicação, é a principal causa dos incidentes e fator amplificador do seu impacto.
Muitos dos ciberataques ocorrem pela conjugação de dois fatores: da existência de vulnerabilidades nos Sistemas de Informação e da existência de deficiências na forma como os utilizadores lidam com o sistema e com uma tentativa de ataque. Uma grande parte até ocorre exclusivamente devido ao comportamento do utilizador, sem que seja explorada qualquer vulnerabilidade nos Sistemas de Informação. Poucos ciberataques seriam possíveis de realizar, sem a “colaboração” inconsciente do utilizador/vítima.
Muito tem sido feito na última década pela indústria para reduzir as vulnerabilidades, detetar os ataques, aumentar a robustez e resiliência dos sistemas de informação. No entanto, este importante esforço não garante a segurança do Sistema como um todo, porque esse Sistema, inclui o Computador e o Utilizador.
Vejamos o caso em questão: existe um sistema apropriado para a transmissão de informação classificada, no entanto, vários indivíduos optaram por utilizar sistemas alternativos para realizar essa transmissão, os quais aparentemente não fornecem os níveis adequados de garantia de segurança.
Importa ainda refletir sobre o facto deste incidente ter afetado organizações do Estado ligadas à segurança e defesa, as quais certamente estão mais preparadas para lidar com este fenómeno do que a grande maioria das organizações, nomeadamente a maior parte do tecido económico nacional, as pequenas e médias empresas.
Num mundo em que a transição para o digital se encontra em aceleração (atualmente com fortes investimentos públicos), enquanto o problema não for enfrentado de forma estruturada na nossa sociedade, com investimento sustentado e a longo prazo no aumento da capacidade de prevenção (incluindo serviços de informação/intelligence), deteção e resposta nacional a ciberincidentes, na literacia digital e no aumento da cultura de cibersegurança para todas as faixas etárias, com o objetivo de que os utilizadores da tecnologia entendam os riscos enquanto utilizam a tecnologia, iremos continuar assistir a um fortíssimo crescimento no número de incidentes e um inevitável aumento do seu impacto na nossa sociedade.