Ciber segurança

Recentemente, as questões de ciber segurança estiverem em foco em Hong Kong. Há pouco tempo, a empresa Cyberport foi atacada e os seus dados foram roubados, para os recuperar a Cyberport teria de pagar 300.000 US dólares. ´Também o sistema informático do Hong Kong Consumer Council foi vítima de um ataque. Desta vez, os piratas informáticos exigiram um pagamento de 500.000 US dólares para repor os ficheiros. Ambas as organizações declararam que não vão pagar as quantias exigidas.

Em ambos os casos, os piratas informáticos usaram a Internet para atacar os sistemas informáticos, roubar os dados e exigir os pagamentos. A opção de não lhes pagar é correcta, porque se e pagar uma vez abre-se as portas a uma chantagem que não vai ter fim. Alguns peritos informáticos salientaram que, certa vez, uma empresa pagou para recuperar os seus ficheiros. No mês seguinte, sofreu 28 ataques. Por aqui se pode ver que pagar aos chantagistas só dá azo a que a chantagem não pare.

A questão-chave é apostar na segurança de forma a impedir os ataques. Nos dois casos acima mencionados, nos ficheiros roubados existiam dados de antigos clientes e de antigos empregados. Quando é que estes dados vão ser necessários? Por exemplo, um antigo cliente pode ter de apresentar documentos a repartições governamentais com o seu historial para provar a sua situação financeira. Quando um antigo empregado é contratado por outra organização, pode ter de fazer prova das suas actividades anteriores. Ou seja, as organizações têm de armazenar todos os dados porque podem ser necessários no futuro. Será que se pode considerar armazenar este tipo de dados num sistema de intranet a que não se possa aceder através da Internet? A intranet não está ligada ao mundo exterior, e os piratas informáticos não têm forma de penetrar neste sistema, pelo que os dados ficam em segurança. Além disso, será que certos dados podem ser apagados após um determinado período de tempo? Por exemplo, após sete anos. Se não houver dados, o interesse no roubo desaparece.

O caso dos Bancos é diferente, porque a sua actividade depende da transacção de dados. Após a conclusão da transação, os dados têm imediatamente de ser actualizados, caso contrário, as consequências da perda de informação serão muito sérias. Os actuais sistemas informáticos guardam automaticamente uma cópia no computador? Se o sistema for atacado, haverá assim uma cópia de segurança e nem todos os dados serão perdidos. Simultaneamente, as empresas ainda podem criar um terceiro sistema informático para ser usado apenas em situações de emergência. Com este sistema em triplicado, mesmo que haja intromissão, os prejuízos serão minimizados.

A Lei de Protecção de Dados Pessoais de Singapura estipula que as empresas devem apostar em fortes sistemas de segurança, caso contrário, terão de pagar uma multa equivalente a um ano de rendimentos. A lei é simples, mas o que é complicado é atingir os níveis de segurança pretendidos. Quanto mais complexo for o sistema informático, maior terá de ser o investimento em segurança. Esta lei, também fornece indicações sobre a implementação das medidas de segurança conforme o sistema informático em vigor em cada empresa. Depois de terem ocorridos os dois incidentes anteriormente referidos, haverá necessidade de alterar a Lei da Privacidade de Dados Pessoais de Hong Kong e de optar por uma abordagem semelhante à de Singapura para garantir mais protecção às empresas e organizações?

Algumas pessoas podem perguntar, por que não aumentar as penas para os crimes informáticos? Existe apenas uma razão. O facto de os piratas informáticos e de as vítimas estarem na maior parte das vezes em países, ou regiões, diferentes torna muito difícil levar os infractores a comparecerem perante a justiça. Por conseguinte, endurecer as penas terá muito pouco efeito no combate ao crime informático internacional.

A nível individual também é necessário prestar muita atenção à segurança informática. Além de instalar software antivírus, também precisamos de actualizar os nossos computadores pessoais de tempos a tempos. O alvo dos piratas informáticos são os dados e os dados são armazenados no disco rígido do computador. Se o disco rígido não armazenar dados, mesmo que seja atacado, só precisamos de voltar a formatá-lo e o problema está resolvido. Por conseguinte, armazenar os dados num disco externo, que só ligamos ao computador em caso de necessidade, reduz largamente a possibilidades de ataques via Internet.

Em Macau, não tem havido notícias de ataques informáticos. Para estarmos preparados para o pior, devemos primeiro instalar o software antivírus no computador, actualizar o sistema informático, apagar dados antigos, fazer cópias de segurança, estar sempre atentos e encarar a hipótese de aumentar as medidas de segurança para prevenir ataques internacionais ilimitados.

Consultor Jurídico da Associação para a Promoção do Jazz em Macau
Professor Associado da Escola de Ciências de Gestão do Instituto Politéncico de Macau
Blog: http://blog.xuite.net/legalpublications/hkblog
Email: legalpublicationsreaders@yahoo.com.hk