DSF | Corrigidas falhas de segurança no website após denúncia

Em resposta ao HM, a Direcção dos Serviços de Finanças confirmou ter elevado o grau de encriptação do seu website. A actualização chega após ter sido detectado que o portal apresentava páginas, com formulários a preencher com dados pessoais, vulneráveis a ataques informáticos

 

A Direcção dos Serviços de Finanças (DSF) corrigiu as falhas de segurança detectadas ao nível da encriptação no seu website e que podiam colocar em risco as informações pessoais submetidas pelos utilizadores através da submissão de formulários.

A confirmação foi enviada ao HM em resposta a um pedido de esclarecimento, onde o organismo começa por reiterar que coloca “desde sempre”, grande relevo na segurança informática.

“Atendendo a que os sectores exigem, actualmente, a elevação do grau de encriptação na transmissão de dados, a DSF concluiu o trabalho de elevação do grau do sistema de segurança da página electrónica, utilizando um acordo de segurança de transmissão mais seguro”, pode ler-se na resposta.

Tal como o HM avançou a 15 de Outubro, o website da DSF apresentava falhas de segurança ao nível da encriptação, que podiam colocar em perigo informações submetidas pelos utilizadores nalgumas páginas do portal. A situação foi confirmada na altura por um especialista em cibersegurança, que explicou que o facto de o website da DSF não apresentar qualquer certificado de encriptação (SSL), permitindo eventualmente que um pirata informático interceptasse informações durante a transmissão de dados entre o navegador (browser) e o local (servidor) onde o portal está alojado.

Exemplo dessa situação é a página dedicada ao “Programa de Devolução do Imposto Profissional”, onde para consultar informações relacionadas com o tema, os utilizadores são obrigados a inserir o número completo do BIR. No entanto, ao aceder à página após a actualização de segurança anunciada pela DSF, o HM confirmou que a encriptação das informações transmitidas é agora segura. A mesma correcção foi aplicada em todas as páginas do website.

Concretamente, na resposta enviada, a DSF revelou ter tomado medidas adicionais de protecção relativamente a dados sensíveis, tais como, a implementação de mecanismos de transmissão encriptada, um sistema de páginas electrónicas equipado com firewall e a instalação de antivírus para os servidores. A DSF acrescenta ainda que “em sede de controlo de acesso e autorizações”, além de ter configurado os direitos dos utentes no sistema de servidores, o mesmo foi feito ao sistema de aplicações.

Sobre as páginas maioritariamente informativas, a DSF revelou ter também reforçado o nível de segurança.
“Para as consultas que não abrangem dados sensíveis, a DSF exige, na mesma, encriptação nas transmissões, tendo os indivíduos que pretendem fazer uma consulta, de introduzir o código de verificação que preserve o ataque cibernético, e o conteúdo da resposta apenas se limita ao tipo de mensagens ‘Há/Não há’, ou ‘Válido/Inválido’, não havendo nenhuma outra relação mais aprofundada”, esclareceu o organismo.

Uma questão de compromisso

Em resposta, a DSF referiu ainda que vai continuar “a observar a Lei da cibersegurança, bem como, as exigências previstas nas regulamentações relacionadas com a protecção de dados pessoais” com o objectivo de proteger as informações dos cidadãos.

Recorde-se que o Gabinete para a Protecção de Dados Pessoais (GPDP) avançou na passada terça-feira que as falhas de segurança detectadas no website da DSF motivaram a abertura de uma investigação administrativa sobre o caso e que mais detalhes sobre uma eventual tomada de posição serão revelados no futuro.

22 Out 2020

Cibersegurança | Ho Iat Seng alerta para “complexidade” da “segurança interna e externa”

O Chefe do Executivo, Ho Iat Seng, referiu à Comissão para a Cibersegurança ser necessária prevenção e actuação para “fazer face às exigências e à complexidade da situação da segurança interna e externa”. Ho Iat Seng referiu também que “a salvaguarda efectiva da cibersegurança é uma parte importante, para o Governo da RAEM, na defesa da segurança nacional, que enfrenta mudanças bruscas na conjuntura da segurança quer interna quer externa”.

O governante, além de exigir a colaboração de todos os membros na elaboração do “Relatório Geral de Cibersegurança de 2020”, que vai servir de base para a Comissão definir as directrizes do próximo ano, traçou ainda quatro objectivos. Um deles passa pela elevação do trabalho de cibersegurança ao “nível da segurança nacional”, além de ser necessário “ter em consideração a coordenação integrada e a criação do sistema e conhecer as necessidades e opiniões dos operadores e do público em geral, fornecendo-lhes assistência sempre que necessário”. Ho Iat Seng entende ser também importante “promover a participação de todos os sectores da sociedade no trabalho de cibersegurança, aumentando a atenção do público”, bem como “prevenir eventuais riscos, actuar realmente e não só por dever”.

20 Out 2020

Cibersegurança | Falhas no portal das finanças podem expor dados pessoais

O website da Direcção dos Serviços de Finanças apresenta páginas com formulários a preencher com dados pessoais, que são vulneráveis a ataques informáticos. O perigo foi confirmado ao HM por um especialista em cibersegurança. A implementação da governação electrónica é uma das prioridades da acção governativa do Governo

 

O website da Direcção dos Serviços de Finanças (DSF) apresenta falhas de segurança ao nível de encriptação que podem colocar em risco as informações submetidas pelos utilizadores.

A confirmação foi feita ontem por um especialista em cibersegurança contactado pelo HM que apontou existir perigo iminente para os dados pessoais dos utilizadores, sobretudo, nas páginas do website que apresentam formulários para preencher.

Segundo o especialista, que pediu para não ser identificado, a questão está relacionada com o facto de o website da DSF não apresentar qualquer certificado de encriptação (SSL), permitindo eventualmente que um pirata informático possa interceptar informações durante a transmissão de dados entre o navegador (browser) e o local (servidor) onde o portal está alojado.

“Se há um formulário no site que pede o número do BIR, o nome ou a morada isso pode representar perigo [para os utilizadores], pois se o site não tem nenhum tipo de certificado de encriptação entre o browser e o servidor, um hacker pode estar ali no meio a captar esses dados”, explicou.

Fazendo a experiência utilizando o browser “Google Chrome”, ao entrar no website da DSF, para além de surgir de imediato a mensagem “Not Secure” no canto superior esquerdo ao longo de toda a utilização do website, existem inúmeras páginas onde são pedidos dados pessoais aos utilizadores para aceder a determinados serviços e que não cumprem o referido requisito de segurança.

Exemplo disso é a página dedicada ao “Programa de Devolução do Imposto Profissional”, onde, para consultar informações relacionadas com o assunto, os utilizadores devem inserir o número completo do BIR.

“A consulta do ‘Programa de Devolução do Imposto Profissional’ é exactamente um desses casos. É exactamente aqui, onde encontramos um formulário e a página não está encriptada, que a transmissão do número do BIR está exposta. Por isso, este site não está seguro. Esta transmissão dos números de BIR quando é submetida ao servidor através do browser pode ser captada”, referiu o especialista ao HM.

Além desta, outras páginas que permitem aceder às áreas de “Gestão de Finanças Públicas”, “Gestão Patrimonial” e “Marcação de Escritura” estão também expostas da mesma forma, pedindo o nome de utilizador e palavra-passe.

Também as páginas “Consulta da Notificação da Fixação de Rendimento” (número de contribuinte), “Consulta do imposto pago dos veículos motorizados que foram danificados na passagem do Tufão Hato” (número de matrícula) e “Opinião/Denúncia” não se encontram encriptadas, com o formulário da última a incluir campos como “Nome”, “Telefone” e “E-Mail”.

O HM tentou obter esclarecimentos sobre as falhas de segurança junto da DSF e do Gabinete para a Protecção de Dados Pessoais (GPDP) mas não obteve resposta.

Dúvidas na Cinemateca

Segundo foi reportado ontem pelo All About Macau, também o portal da Cinemateca Paixão levantou dúvidas ao nível da segurança, sobretudo porque permite adquirir bilhetes online. No entanto, segundo o especialista em cibersegurança, aqui o caso é outro já que se trata de um website maioritariamente informativo e, no momento de comprar os bilhetes, a operação é encaminhada para o sistema do serviço de pagamentos MPay.

“Simplesmente falta um certificado do site que podia ser instalado em cinco minutos. Não significa que o site seja completamente inseguro, apenas que a comunicação entre o browser e o servidor não está (…) encriptado. Na parte de comprar os bilhetes, o site já é seguro porque o MPay não usa uma página não segura no momento do checkout”, vincou.

Além da Cinemateca, o HM verificou também que outros websites maioritariamente informativos afectos ao Governo como o do Instituto de Acção Social (IAS), Direcção de Inspecção e Coordenação de Jogos (DICJ), Direcção dos Serviços de Identificação (DSI) e Direcção dos Serviços de Educação e Juventude (DSEJ) também apresentam falhas ao nível da encriptação.

Recorde-se ainda que em Agosto, o secretário para a Administração e Justiça, André Cheong, salientou que a implementação da governação electrónica é uma das prioridades da acção governativa do Governo e que o Chefe do Executivo, tem vindo a lembrar ao longo do tempo a necessidade de reforçar a partilha de dados entre os serviços públicos.

14 Out 2020

A questão da cibersegurança (II)

“The Internet is the first thing that humanity has built that humanity doesn`t understand, the largest experiment in anarchy that we have ever had”.
Eric Schmidt

 

A dissuasão por punição, por outro lado, depende da capacidade de contra-atacar. É de argumentar que se o atacante sabe que a retaliação seria “certa, severa e imediata”, isso o dissuadirá. A questão é se a dissuasão cibernética pode funcionar da mesma forma que a dissuasão nuclear. A dissuasão nuclear funciona porque ambos os lados conhecem com bastante precisão a natureza, o tamanho e o escopo do arsenal nuclear um do outro e os meios de provimento. Durante décadas, as negociações sobre controlo de armas foram focadas em questões como transparência e verificabilidade dos arsenais uns dos outros.

Foram desenvolvidas “Medidas Detalhadas de Fortalecimento da Confiança Nuclear (MGCs na sigla inglesa)”, com base na verificação. Foram feitas tentativas para compreender as doutrinas nucleares uns dos outros e no caso nuclear, os actores eram poucos (actores não estatais não possuíam armas nucleares).

Assim, no ciberespaço, a situação é muito diferente pois, não há transparência sequer sobre o que significa um ataque cibernético. Não existe uma definição acordada de arma cibernética, bem como não há meios de verificação. Vários actores operam no ciberespaço com total anonimato. Os cépticos salientam que a dissuasão cibernética falhará devido à falta de imputabilidade no ciberespaço. No ciberespaço, onde o anonimato é a chave, é difícil identificar com precisão quem é o atacante. A não atribuição é a fraqueza fundamental do argumento da dissuasão cibernética. Existe, no entanto, alguma literatura que sugere que o problema da atribuição pode ser ultrapassado mais cedo ou mais tarde. Tais afirmações são, no entanto, não verificáveis actualmente. Para que a dissuasão cibernética seja significativa, um país teria de definir os seus limiares através de sinalização adequada.

Teria de indicar os seus limiares cibernéticos e alguma ambiguidade será, sem dúvida, deliberada. No entanto, um potencial atacante deve saber que a retaliação seria grave e inaceitável se uma determinada linha vermelha fosse ultrapassada. A indicação de linhas vermelhas dependerá das capacidades, intenções e interesses de um país. Hoje, porém, as linhas vermelhas estão ausentes e por exemplo, a ciberespionagem, dirigida contra alvos militares e não militares, deveria ser tratada como um acto de guerra cibernética? Será um ataque às redes bancárias, bolsas de valores e de energia um acto de guerra? A ciberespionagem merece um contra-ataque? A retaliação deve ser feita no ciberespaço ou por outros meios? Com perguntas-chave sem resposta ter uma dissuasão cibernética na linha da dissuasão nuclear parece difícil.

O “Manual de Tallinn 1.0”, originalmente chamado “Manual de Tallinn sobre o Direito Internacional Aplicável à Guerra Cibernética”, trata de cenários de conflito no ciberespaço onde o direito internacional se aplicaria. Embora o “Manual de Tallinn” não seja um documento oficial, o seu trabalho é patrocinado pela “Organização do Tratado do Atlântico Norte (OTAN)” e outros países. Actualmente, está a ser elaborada uma segunda versão com o nome de “Manual de Tallinn 2.0”. Trata da aplicação do direito internacional ao ciberespaço em tempo de paz. Uma reunião realizada em Haia, de 2 a 3 de Fevereiro de 2016, tratou destas questões.

Durante as discussões, foram feitas tentativas de criar uma lei diplomática para o ciberespaço. Foi sugerido que o ataque aos sistemas informáticos de uma embaixada estrangeira deveria ser proibido por lei. Foi também afirmado que a intervenção no ciberespaço pode ser permitida em determinadas circunstâncias.

Assim, por exemplo, do ponto de vista da Índia, o “Manual de Tallinn”, embora seja um exercício útil, não reflecte a legislação existente sobre o assunto devido à ausência de práticas estatais que são críticas ao desenvolvimento do direito internacional consuetudinário. Apesar destas dificuldades, os países estão a avançar com a incorporação da cibersegurança nas suas doutrinas militares. Tais doutrinas postulam que um país, ao exercer o direito defesa, poderia retaliar a um ataque cibernético por ciberataques ou qualquer outro meio. A “Estratégia Nacional dos Estados Unidos” diz que poderiam usar ferramentas cibernéticas ou outros meios para retaliar ataques cibernéticos. O problema dos ciberataques não pode ser visto isoladamente.

Actualmente, o ciberespaço está interligado com outros domínios da guerra, nomeadamente a terra, água, ar e o espaço. Este entrelaçamento implica que os ciberataques não serão vistos apenas como tal.

A retaliação sob forma não cibernética, ou seja, a retaliação através de meios não cibernéticos, incluindo possivelmente meios militares, não pode ser excluída. Os ciberataques, como meio de guerra, apenas alargariam o domínio da batalha. A ciberguerra pode induzir os países a optar por uma dissuasão total do espectro. A ciberguerra é um conceito contestado. A ciberespionagem, ataque a infra-estruturas críticas, etc., são acontecimentos rotineiros no ciberespaço. Até agora, não foram utilizados meios militares para deter os ataques. Também não foram utilizadas sanções económicas porque a atribuição de um ataque cibernético tem sido muito difícil. Além disso, muitas vítimas sentem receio de denunciar ciberataques. Tais incidentes não têm sido considerados como actos de guerra até agora, porque não existe uma definição de guerra cibernética. Se um ataque cibernético é visto como um componente da guerra cibernética dependerá do contexto do ataque.

Os autores do “Manual de Tallinn” lutaram durante muitos anos para chegar a algumas definições aceitáveis, mas o progresso tem sido lento. A Índia por exemplo, não pode ignorar estes desenvolvimentos. O uso da Internet está a espalhar-se rapidamente na Índia e embora a penetração da Internet no país ainda seja baixa, quase quatrocentos milhões de pessoas estão a usar a Internet. A Índia digital levará a Internet de banda larga a todas as aldeias. A revolução na conectividade está a varrer a Índia com mil milhões de assinantes de cartões SIM. O futuro progresso e crescimento da Índia estão ligados à expansão da rede digital, superando as disparidades digitais e garantindo que políticas robustas de segurança cibernética sejam adoptadas desde o início.

A Índia tomou várias medidas no passado recente para fortalecer as suas capacidades de defesa cibernética sendo de mencionar algumas como uma política nacional de segurança cibernética que foi anunciada e está a ser implementada; uma elaborada estrutura nacional de garantia da segurança cibernética que está em fase de implementação; a nomeação do “Coordenador Nacional de Segurança Cibernética”; a coordenação entre várias agências melhorou; foi criado um “Centro Nacional de Protecção de Infra-estrutura de Informações Críticas (NCIIPC na sigla inglesa)”; existe um diálogo regular com os principais sectores da economia; está a ser construída uma parceria público-privada; existe um diálogo activo entre o governo e o sector privado; está a ser criado um “Centro Nacional de Cibercoordenação (NCCC na sigla inglesa)”; estão a ser envidados esforços para desenvolver as competências em matéria de cibersegurança no país; novos cursos de cibersegurança estão a ser introduzidos nas faculdades; a política de “Pesquisa e Desenvolvimento (P&D)” em matéria de cibersegurança também tem sido objecto de consideração activa por parte do governo.

A “Equipa Indiana de Resposta a Emergências de Computadores (CERT-In na sigla inglesa)” criada em 2004, realizou um trabalho significativo no tratamento de incidentes cibernéticos, bem como na sensibilização. A Índia está a desenvolver uma ciberdiplomacia activa, estabelecendo diálogos sobre cibersegurança com vários países e participando em vários fóruns internacionais, incluindo a ONU sobre cibersegurança. Todos estes esforços sincronizados e coordenados estão a dar resultados. Mas não podemos ser complacentes face às ameaças crescentes e à evolução das tecnologias. Devido ao crescimento explosivo das TIC, é provável que o cenário da cibersegurança continue a ser um desafio. Os países terão de trabalhar arduamente nos vários aspectos da cibersegurança, incluindo os desafios emergentes. Assim como outros países, a Índia também enfrenta a tarefa assustadora de interromper e prevenir ataques cibernéticos nas suas redes.

A Índia terá que estudar de perto a evolução da ideia de dissuasão cibernética. Construir capacidade de dissuasão cibernética implicaria edificar redes robustas que possam ser defendidas, incentivar a P&D abrangente na área de cibersegurança e fortalecer a fabricação nativa de produtos das TIC. Será também necessária uma forte ciberdiplomacia para garantir que a Índia e outros países não sejam os destinatários finais do regime emergente de controlo das exportações das TIC ao abrigo do “Acordo de Wassenaar”. É necessário também analisar de perto os padrões dos ciberataques contra os países e criar medidas de resposta adequadas, incluindo a capacidade de realizar ciberoperações, se necessário.

Alguns países teriam de tomar em conta as doutrinas de cibersegurança cada vez mais assertivas que estão a ser adoptadas por outros países e ajudarão a elaborar as suas doutrinas de cibersegurança. É de salientar que existe uma falta de consenso na comunidade internacional sobre as normas de comportamento no ciberespaço. Estamos em uma fase em que a tecnologia está muito à frente do nosso pensamento sobre as leis e normas cibernéticas. A UNGGE provou ser uma plataforma útil para discutir essas questões, mas a ausência de uma plataforma representativa mais ampla, onde as questões controversas possam ser discutidas e o consenso possa ser alcançado, é evidente pela sua ausência.

Os grupos “ad hoc” que adoptam procedimentos para deliberar sobre agendas de segurança cibernética não construirão necessariamente um consenso. A comunidade internacional precisa de se reunir para discutir como lidar com ameaças no ciberespaço que estão a crescer a cada minuto. A tarefa pode parecer assustadora, mas os países devem reflectir seriamente se o mundo precisa de uma convenção cibernética sobre segurança cibernética. Ao contrário dos outros bens comuns, nomeadamente a terra, mar e o espaço, em que o direito internacional cresceu imediatamente, o ciberespaço continua a ser, em grande medida, ilegal. É necessária uma discussão sustentada por especialistas internacionais para gerar ideias sobre o caminho a seguir para a construção de um consenso sobre questões de cibersegurança.

21 Nov 2019

Cibersegurança | Discussão sobre Comissão terminada

O Conselho Executivo apresentou ontem parte do regulamento administrativo que vai definir o modo de funcionamento da Comissão para a Cibersegurança e do Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC).
O regulamento administrativo deve entrar em vigor a 22 de Dezembro, no mesmo dia que a Lei de Cibersegurança, devendo ser publicado em Boletim Oficial nos próximos dias. A Comissão para a Cibersegurança vai ser liderada pelo Chefe do Executivo e vai ter como vice-presidente o secretário para a Segurança.

21 Nov 2019

Cibersegurança | Discussão sobre Comissão terminada

O Conselho Executivo apresentou ontem parte do regulamento administrativo que vai definir o modo de funcionamento da Comissão para a Cibersegurança e do Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC).

O regulamento administrativo deve entrar em vigor a 22 de Dezembro, no mesmo dia que a Lei de Cibersegurança, devendo ser publicado em Boletim Oficial nos próximos dias. A Comissão para a Cibersegurança vai ser liderada pelo Chefe do Executivo e vai ter como vice-presidente o secretário para a Segurança.

21 Nov 2019

A questão da cibersegurança (I)

“One of the main cyber-risks is to think they don’t exist. The other is to try to treat all potential risks. Fix the basics, protect first what matters and be ready to react properly to pertinent threats. Think data, but also services integrity, awareness, experience, compliance, and reputation.”
Stephane Nappo

 

O uso do ciberespaço por governos, empresas e indivíduos para facilitar e acelerar todos os tipos de actividades, levou à expansão global de redes cibernéticas em um período de tempo relativamente curto. Ainda que os especialistas em cibernética tenham advertido repetidamente, que as muitas vulnerabilidades inerentes e existentes em dispositivos e redes não foram resolvidas, nem podem ser adequadamente geridas para garantir a segurança das redes, têm sido amplamente ignoradas ou minimizadas. O aumento no número e na magnitude dos ataques, significa que a maioria dos formuladores de políticas está ciente da ampla gama de problemas associados à cibersegurança.

As perspectivas diferentes dos países sobre questões cibernéticas, e a complexidade do tema tornaram a cibersegurança uma preocupação não apenas para a segurança nacional, mas também internacional. As conotações geopolíticas aumentaram os desafios da cibersegurança, e embora os sistemas e redes conectados se tenham tornado mais interligados e complexos, o ciberespaço está a ser usado por actores maliciosos para uma variedade de propósitos nefastos, desde a ciberespionagem, tanto para interesses comerciais quanto de segurança, até ao cibercrime e ciberterrorismo. O ataque distribuído de negação de serviço (Distributed Denial of Service – DDoS), pode interromper as operações comerciais ou causar paralisações graves, tendo um impacto directo nos lucros e na reputação das empresas.

As empresas também enfrentam o risco de perder segredos comerciais ou direitos de propriedade intelectual. Além disso, uma violação maciça de dados para empresas ou portais de governo que armazenam dados de clientes ou cidadãos, compromete as informações pessoais e um ataque cibernético a entidades que fazem parte de infra-estruturas críticas pode ter um impacto debilitante na segurança nacional. O risco aumenta muito nas redes eléctricas, nas instalações nucleares e na rede de telemetria/comando e controlo dos bens espaciais. As redes sociais, surpreendentemente, como vector de ameaças, tornaram-se um canal de menor resistência para realizar reconhecimentos, roubar identidades e reunir informações sobre funcionários, projectos, sistemas e infra-estrutura, além de disseminar propaganda odiosa e seduzir jovens impressionáveis a seguir ideologias extremistas. Ao longo dos anos, o ciberespaço também se tornou um intrincado constituinte do poder nacional.

As estratégias para o desenvolvimento do ciberespaço não se limitam apenas a fins civis; pelo contrário, este domínio inscreve-se agora perfeitamente no âmbito das forças armadas e com o advento da centricidade em rede nas operações militares e da revolução nos assuntos militares, as forças armadas correm um risco elevado de ciberincidentes. A utilização integrada de meios terrestres, aéreos, marítimos e espaciais para uma maior consciência do domínio ou acesso à informação em tempo real, justifica que as forças armadas adquiram conhecimentos especializados em operações cibernéticas defensivas e ofensivas. Os países documentaram as suas estratégias cibernéticas e executaram na forma de comandos cibernéticos.

A dimensão militar viu o ciberespaço testemunhar o início de uma corrida pelo desenvolvimento e implantação de armas cibernéticas. É de ressaltar que um regime de controlo de armas, o “Acordo de Wassenaar sobre os Controlos das Exportações de Armas Convencionais, Bens e Tecnologias de Dupla Utilização” (é um regime multilateral de controlo de exportação com quarenta e dois países participantes, incluindo muitos países do antigo Pacto de Varsóvia), ampliou a sua lista de controlos em consonância com a forma como o ciberespaço alterou o actual cenário de segurança. O desenvolvimento de armas cibernéticas e o seu uso potencial contra alvos de alto valor, tem sido uma das principais preocupações de segurança dos países.

As ameaças no ciberespaço são de natureza e intensidade variáveis. As empresas líderes nos sectores de energia, telecomunicações, finanças e transporte são alvos de “Ameaças Persistentes Avançadas (APTs na sigla inglesa)”. Os actores não estatais, como organizações terroristas e sindicatos criminosos, tornaram-se especialistas em tecnologia, empregando recursos humanos para desenvolver programas nocivos. Tais ferramentas são amplamente utilizadas na prática do cibercrime.

As organizações terroristas aproveitam os benefícios do ciberespaço para a propagação de ideologias, recrutamento e comunicação. O Estado Islâmico do Iraque e da Síria (ISIS; também conhecido como ISIL/IS/Daesh), por exemplo, é um dos principais utilizadores, alavancando a sua tremenda presença nas médias sociais para espalhar propaganda e recrutar simpatizantes, de todo o mundo, como combatentes.

A Al-Qaeda também tem desenvolvido programas de criptografia para proteger a sua comunicação no ciberespaço. À medida que a extensão do comércio transaccionado no ciberespaço cresce, junto com a dependência da tecnologia da informação para ganhar eficiência de custos, o risco para as empresas aumenta e como a Ásia continua a crescer a sua participação no comércio global, espera-se que as ameaças de ataques cibernéticos aumentem proporcionalmente. Os ciberataques, como muitos dos novos desafios de segurança, são transnacionais em termos de origem e natureza, e nenhum país pode combatê-los só. Apesar das variações nos sistemas étnicos, económicos e de governação, os países asiáticos necessitam de uma sólida arquitectura de segurança para resolver as questões específicas da região geográfica onde estão inseridos, bem como as situações internacionais prejudiciais ao crescimento económico e social da Ásia.

É de acreditar com a transferência do poder para a Ásia, a sua representação nos mecanismos de governação internacional e os seus contributos para a criação de um ciberespaço seguro são fundamentais para a política internacional, economia mundial e credibilidade das instituições internacionais e dos regimes de cibersegurança. As ciberameaças, na Ásia, alteraram as percepções de segurança das instituições e dos sistemas governamentais. Assim, e nesse contexto, os trabalhos apresentados por especialistas estratégicos, académicos, especialistas em domínios e formuladores de políticas, tentam examinar uma série de questões como o ambiente de segurança cibernética global, os actores não estatais e ciberespaço, a segurança da infra-estrutura crítica e o papel dos militares na segurança cibernética. O mundo está a tornar-se cada vez mais turbulento. A imparável marcha da globalização, facilitada pelas “Tecnologias de Informação e Comunicação (TICs)”, levantou muitas questões preocupantes no que respeita à manutenção da paz e da estabilidade.

A cibersegurança é uma preocupação de segurança internacional. É também uma das principais inquietações para a maioria dos países, e constitui um elemento importante nas suas prioridades nacionais em matéria de segurança. A tónica é colocada na gestão das ameaças no ciberespaço que afectam todos. A principal questão que se coloca a um país, é o de saber como se defender das ocorrências cada vez maiores em caso de ciberataques. O ano de 2015 assistiu a uma série de desenvolvimentos importantes no domínio da cibersegurança. A visita do presidente chinês aos Estados Unidos de 22 a 28 de Setembro de 2015, será lembrada por alguns comentários públicos sinceros do então presidente Obama, sobre as preocupações do seu país com o roubo “on-line” de propriedade intelectual. Os dois países estão consciente de que preocupações cibernéticas, se não resolvidas, podem criar mal-entendidos e desestabilizar laços, acordando em diálogos bilaterais sobre cibersegurança.

O então presidente Obama, afirmaria que os dois governos concordaram que nem os Estados Unidos nem a China iriam conduzir ou apoiar conscientemente o roubo cibernético de propriedade intelectual, incluindo segredos comerciais ou outras informações confidenciais para retirarem vantagem comercial. O então presidente Obama, abordou ainda com o presidente chinês a questão das ameaças cibernéticas, tendo este declarado que a China se opõe fortemente e combate o roubo de segredos comerciais e ataques de pirataria informática. A reunião ocorreu no contexto de um ataque cibernético bem divulgado em Dezembro de 2014 no “Escritório dos Estados Unidos de Gestão de Pessoal (OPM na sigla inglesa)”, que resultou em uma grande violação de dados, comprometendo as impressões digitais de cinco milhões e seiscentas mil pessoas e os registos de segurança de cerca de vinte e dois milhões de pessoas.

Os dois países reconheceram a segurança cibernética como um problema o que constituiu um desenvolvimento notável. Durante o mesmo ano, a China e a Rússia também assinaram um acordo abrangente sobre cibersegurança, tendo os “Grupos de Peritos Governamentais das Nações Unidas no domínio da informação e das telecomunicações no contexto da segurança internacional (UNGGE na sigla inglesa)”, apresentado o seu terceiro relatório que continha um avanço em relação ao relatório anterior e como resultado desses esforços, existe um reconhecimento crescente de que o direito internacional, particularmente a Carta das Nações Unidas, se aplica tanto ao ciberespaço como a outros domínios.

O UNGGE salienta o respeito pelos princípios da igualdade soberana; a resolução de litígios internacionais por meios pacíficos; a não ameaça ou uso da força contra a integridade territorial ou a independência política de qualquer país; o respeito pelos direitos humanos e liberdades fundamentais, incluindo a liberdade de expressão; e a não intervenção nos assuntos internos de outros países são alguns dos princípios que também se aplicam à segurança das TICs, ou seja, por outras palavras, o direito internacional é tecnologicamente neutro.

É de considerar que uma das principais observações do relatório é que os países têm jurisdição sobre a infra-estrutura das TICs localizada no seu território. O direito internacional tem muitos aspectos, incluindo a intervenção em autodefesa, sanções económicas contra medidas e assim por diante. Foi aberto um debate sobre se, em determinadas circunstâncias, se justifica ou não uma intervenção através de meios cibernéticos nas redes de outros países. O debate tem sido agudo, mas inconclusivo. As questões da cibersegurança são controversas, e revelam-se difíceis mesmo quando os incidentes de ciberataques, cibercriminalidade e ciberterrorismo aumentam exponencialmente. Todos os anos novos tipos de ataques são inventados e realizados.

O conjunto de ferramentas dos atacantes está a expandir-se. É bem possível que os países estejam a desenvolver clandestinamente um arsenal de ferramentas de ataques cibernéticos, mesmo quando discutem a necessidade de normas aceites no ciberespaço. O desafio para os países é como defender a sua infra-estrutura crítica, militar e civil contra os ataques cibernéticos desestabilizadores.

O cibercrime está a aumentar e o roubo de informações pessoais e de propriedade intelectual é desenfreado. A distinção entre intervenientes estatais e não estatais no ciberespaço está a esbater-se. Mesmo com o desenvolvimento de tecnologias de defesa activa, os atacantes estão vários passos à frente.

A maioria dos países está empenhada em implementar estratégias para defender as suas redes contra ataques cibernéticos; ao mesmo tempo, também estão a jogar com a ideia de desenvolver capacidades que desencorajariam possíveis atacantes. Foram feitos esforços para desenvolver uma teoria e uma prática de “ciberdissuasão” na linha da dissuasão nuclear. Fazendo analogias com o vocabulário de controlo de armas nucleares, é de argumentar que tanto as negações quanto a punição são essenciais para dissuadir a agressão cibernética. A ideia é deixar claro ao potencial atacante que o custo da agressão cibernética superará os benefícios. Uma estratégia eficaz de dissuasão cibernética incluirá tanto a dissuasão por negação quanto a punição. A dissuasão pela negação dependerá de defesas fortes. Os esforços do atacante serão inúteis se as defesas e a resiliência, ou seja, as capacidades de recuperação, forem fortes.

15 Nov 2019

Cibersegurança | Governo promete seguir regras internacionais

A Rádio Macau noticiou ontem que a tutela da Segurança, liderada pelo secretário Wong Sio Chak, promete seguir as regras da cooperação internacional no que diz respeito aos dados informáticos armazenados fora de Macau a ser usados como prova em processos-crime. A informação consta na nota justificativa da proposta de “lei de combate à criminalidade informática”, que deu entrada na Assembleia Legislativa.

No que diz respeito ao acesso a estes dados, a proposta do Governo traz uma alteração de três palavras, pois é eliminada a expressão “situado em Macau” que, actualmente, limita as buscas a sistemas informáticos localizados no território.

Desta forma, passa a ser possível o acesso a qualquer servidor, de forma unilateral e sem depender da autorização da jurisdição onde estão armazenados os dados, bastando a autorização de um juiz.

O Governo apenas refere, de acordo com a Rádio Macau, que os dados “têm de ser “publicamente acessíveis”, e que a ideia é seguir o que se aplica em Portugal e Espanha, em conformidade com a Convenção Europeia sobre o cibercrime.

30 Jul 2019

Cibersegurança | Volte-face nas negociações entre Governo e deputados

Governo e deputados tinham um acordo para que as competências da Comissão para a Cibersegurança e do Centro de Alerta e Respostas a Incidentes de Cibergurança ficassem definidas na lei, mas o Executivo voltou atrás

 

O Governo deu ontem o dito por não dito aos deputados da 1.ª Comissão Permanente da Assembleia Legislativa e vai definir as competências da Comissão para a Cibersegurança e do Centro de Alerta e Respostas a Incidentes de Cibergurança (CARIC), no âmbito da lei sobre esta área, através de regulamentos administrativos.

A revelação foi feita por Ho Ion Sang, deputado e presidente da comissão, que justificou o recuo governativo com o cumprimento da lei de enquadramento das fontes normativas internas, ou seja o documento que define os conteúdos que ficam nas leis ou em regulamentos administrativos.

“Esta alteração foi feita tendo em conta a Lei 12/2009, de enquadramento das fontes normativas internas, e que regula o que é de reserva das leis e o que não é. Outras matérias que não são de reserva da lei podem ser reguladas por regulamentos administrativos complementares”, afirmou

Ho Ion Sang, em conferência de imprensa, após o encontro com representantes do Governo.
Com esta alteração, os deputados vão votar que o Chefe do Executivo vai liderar a Comissão de Cibersegurança e que o CARIC vai ter como principal entidade a Polícia Judiciária, mas a composição das comissões fica de fora do diploma. Ou seja, vão ser definidas através de regulamento administrativo, um documento aprovado pelo Chefe do Executivo, sem necessidade de ser votado pela AL.

Ontem, Ho Ion Sang não explicou qual foi o organismo responsável pela marcha-atrás depois dos deputados terem alcançado um “consenso” com o secretário para a Segurança, Wong Sio Chak.

Ho limitou-se a explicar que as alterações às leis propostas pelo Governo têm de passar por vários passos: “Após a discussão [com a comissão da AL], há todo um procedimento no Governo. As alterações passam pela Direcção dos Serviços dos Assuntos de Justiça, vão ao Conselho do Executivo e se tudo for aceite sem mais alterações, então seguem para a AL. Se houver outras alterações há uma reunião entre representantes do Executivo e deputados”, explicou.

Privacidade garantida

Apesar do recuo, Ho Ion Sang frisou que os membros da Assembleia Legislativa consideram que a privacidade dos cidadãos está garantida e que apenas com autorização de um juiz se pode aceder ao conteúdo das comunicações. “O Governo aceitou a maioria das nossas opiniões sobre a privacidade. O Executivo só vai fiscalizar a linguagem das máquinas. Por isso já resolvemos todas as questões que preocupam a sociedade”, considerou.

Ainda de acordo com o presidente da comissão, o parecer sobre a proposta de lei deve ficar pronto em meados deste mês. Depois disso vai competir ao presidente da Assembleia Legislativa, Ho Iat Seng, decidir quando a mesma é votada no Plenário.

8 Mai 2019

Cibersegurança | 1,4 milhões SIM vão ter de ser registados em quatro meses

Quando a Lei da Cibersegurança entrar em vigor os cidadãos vão ter 120 dias para registar cartões SIM pré-pagos. Caso não o façam, os cartões serão cancelados pelas operadoras

 

Com a implementação da nova Lei da Cibersegurança cerca de 1,4 milhões de cartões SIM vão ter de ser registados com a informação dos respectivos utilizadores. O número de cartões SIM cedidos no território foi divulgado pelo presidente da 1.ª Comissão Permanente da Assembleia Legislativa, Ho Ion Sang, que ontem se voltou a encontrar com o secretário Wong Sio Chak, para discutir uma nova versão do diploma.

“No futuro, em relação aos cartões SIM pré-pagos, estava previsto que houvesse um prazo de 60 dias para fazer o registo. Mas foi alterado para os 120 dias. Segundo o Governo, há 1,4 milhão de cartões vendidos em Macau”, começou por contar Ho Ion Sang, presidente da comissão. “O registo vai ser feito junto dos Correios e também nas lojas, através da rede informática. Mas considerámos que era necessário mais tempo [do que os 60 dias] porque os Serviços de Correios e Telecomunicações (CTT) não têm uma estrutura como, por exemplo, os Serviços de Migração. O Governo aceitou a sugestão”, acrescentou.

Desta forma, quando a lei entrar em vigor, quem tiver cartões pré-pagos vai ter de fazer o registo dos mesmos. Quem não o fizer terá o cartão cancelado. O mesmo acontece na compra de um novo cartão SIM, que vai passar a exigir a disponibilização de alguns dados pessoais, como a identificação.

Em relação aos trabalhos com o Governo na discussão deste diploma, Ho elogiou a postura de “abertura” encontrada e afirmou que os deputados da comissão ficaram “satisfeitos” com os resultados obtidos. Neste aspecto, o presidente considerou que há garantias que a liberdade de expressão fica protegida e que as competências das entidades envolvidas na monitorização do tráfego de dados nas redes de comunicações ficaram definidas.

Acesso ao conteúdo

Ainda no que diz respeito à monitorização das actividades nas redes de comunicação, o presidente da comissão da AL voltou a insistir que não haverá acesso ao conteúdo por parte do Centro de Alerta e Resposta a Incidentes de Cibersegurança, que vai ser coordenado pela Polícia Judiciária. “É a PJ que vai fazer a monitorização dos dados, mas estes vão ser puramente linguagem mecânica”, apontou.

Caso haja uma investigação em curso os dados guardados podem ser acedidos. No entanto, esta situação apenas poderá ocorrer com autorização de um juiz, à semelhança do regime actual adoptado para as escutas telefónicas, uma realidade que não tem relação directa com o diploma da cibersegurança. “A consulta dos conteúdos tem de seguir o que está previsto nas outras leis. É um regime que se encontra em vigor e esta lei [da Cibersegurança] não alarga a competência da PJ nesta área”, garantiu Ho Ion Sang.

Por outro lado, ficou definido no novo documento que a Comissão Permanente de Cibersegurança – organismo que aplica medida excepcionais em causa de ataques ou situações anómalas – vai ser liderada pelo Chefe do Executivo e que integra igualmente todos os secretários.

9 Abr 2019

Cibersegurança | Polícia Judiciária registou sete ataques no ano passado

Os dados indicam uma tendência de aumento da criminalidade face a 2017. ANIMA foi uma da instituições atacadas em 2018, mas acabou por abdicar da queixa “por falta de tempo”

 

A Polícia Judiciária (PJ) registou sete casos de ataques de cibersegurança no ano passado, de acordo com a informação disponibilizada pelas autoridades ao HM. Ataques de cibersegurança são infiltrações por parte de piratas informáticos em sistema de empresas ou individuais com o objectivo de roubar ou alterar informação.

Segundo os dados da PJ, entre 2017 e 2018 o número de ataques mais do que triplicou. No ano de 2017 as autoridades apenas tinham registado duas ocorrências na RAEM.

Este problema está actualmente em discussão na Assembleia Legislativa (AL), onde os deputados deverão votar dentro de semanas a aprovação final do documento sugerido pelo Governo. Quando o secretário para a Segurança apresentou o diploma perante os deputados – antes da aprovação na generalidade – definiu como objectivos “institucionalizar, na área jurídica, os aludidos mecanismos de protecção”, de forma a definir “claramente deveres e responsabilidades” nesta questão.

Segundo o relatório da consulta pública sobre a futura lei, os residentes consideraram o diploma necessário, mas mostraram-se reticentes. Na visão de algumas pessoas que partilharam as suas opiniões, a lei poderia ser utilizada pelo Governo para “legalizar a vigilância” na Internet, o que faria com que houvesse prejuízos para direitos individuais, como a liberdade de expressão e o sigilo das comunicações.

Face a estas preocupações o Governo defende-se apontando que só vai analisar o fluxo dos dados nas diferentes redes informáticos e não o conteúdo de eventuais trocas de emails, conversas em aplicações, entre outras.

ANIMA desistiu de queixas

Foi em Janeiro e Abril do ano passado que a ANIMA, associação de protecção dos animais, foi alvo de vários ataques informáticos, que colocaram offline o portal da associação.

Os ataques aconteceram numa altura em que havia muita incerteza sobre o destino dos galgos Canídromo e em que a associação pressionava o Governo para que os animais não fossem vendidos para o Interior da China ou para outros destinos sem uma lei de protecção.

Apesar de ter apresentado queixa, a ANIMA acabou por deixar cair as mesmas. “Fizemos as queixas, mas acabámos por não acompanhar o caso”, reconheceu, ao HM, Albano Martins. “Estamos em muitas frentes e não temos tempo para tudo. Não tivemos tempo para acompanhar o caso e também porque sabíamos que apesar da queixa os ataques iam continuar”, justificou.

Contudo, o presidente da ANIMA reconhece que os ataques acabaram por prejudicar a associação. “Aquilo causou um grande transtorno e perdemos muita informação que ainda hoje não conseguimos recuperar”, admitiu.

25 Jan 2019

Cibersegurança | Pedida mais autonomia das operadoras para contratação de especialistas

A contratação de um especialista de cibersegurança pelas operadoras de infra-estruturas críticas vai ser obrigatória e a idoneidade dos candidatos é garantida por um parecer dado pela Polícia Judiciária. No entanto, os deputados da 1ª Comissão Permanente consideram que este parecer não deve ser vinculativo, a não ser quando os candidatos tenham sido acusados de prática de delitos informáticos ou de crimes graves

Os deputados da 1ª Comissão Permanente não querem que o parecer da Polícia Judiciária, um documento obrigatório para garantir a idoneidade dos interessados em ser especialistas de cibersegurança das operadores das infraestruturas críticas, tenha poder vinculativo na sua contratação. A ideia foi deixada ontem pelo presidente da 1ª Comissão Permanente após a reunião de discussão na especialidade da proposta de lei acerca desta matéria

Recorde-se que de acordo com a proposta de lei da cibersegurança, as operadores das infraestruturas críticas são obrigadas a contratar um especialista sendo que os requisitos exigidos são a sua idoneidade e a experiência.

O diploma prevê que a idoneidade seja reconhecida através de um parecer dado pela PJ, mas os deputados defendem que este parecer não deve ser vinculativo à excepção dos casos em que o candidato tenha no seu passado crimes informáticos ou outros considerados graves, sendo que a definição de grave integra os delitos que tenham dado origem a penas superiores a cinco anos.

Para os membros da comissão, quem não seja contemplado com este tipo de crimes pode ser contratado pelas operadoras ficando a decisão a cargo das mesmas e não vinculada ao documento emitindo pela PJ. “Não somos contra o parecer da PJ, mas este parecer não deve ser vinculativo e esperamos que isto seja clarificado na lei”, até porque “se [o candidato] não estiver dentro destes crimes, por exemplo se tiver cometido um roubo simples, a PJ também vai emitir um parecer e a contratadora privada decide depois. Estes crimes simples é que não são vinculativos”, esclareceu. Os deputados esperam que “as operadoras privadas tenham o direito de contratar pessoas sem dependerem deste parecer”, acrescentou.

Questionado se um registo criminal não seria o suficiente para garantir a idoneidade do candidato ao cargo de especialista de cibersegurança, Ho Ion Sang respondeu que “o parecer pode conter informações acerca de casos em andamento ou que aconteceram no estrangeiro”, situações que não figuram nos registos criminais.

No entanto, garantiu, todas as informações concedidas pela PJ estarão dadas ao abrigo do sigilo e de acordo com a lei de protecção de dados pessoais.

Já no que respeita ao requisito da experiência profissional os deputados também consideram que a avaliação deste item deve ficar a cargo da empresa contratante. “Sobre a experiência profissional as operadoras devem decidir por si sobre quem contratar sendo que a PJ apenas terá em conta a idoneidade da pessoa a ser contratada”, disse.

Para que fique claro, a comissão quer este esclarecimento na proposta de lei da cibersegurança.

Cartões identificados

Na reunião de ontem foi ainda discutida a ausência de sanções para quem não registe o seu cartão telefónico na medida em que o diploma prevê a obrigatoriedade desta acção, mas não define as punições para quem não o fizer.

Os membros da comissão questionaram o Governo sobre a forma como este registo obrigatório de cartões telefónicos iria facilitar o combate ao crime, sendo que segundo o Executivo, “os cartões SIM por registar são fonte para praticar muitos crimes e o Governo não tem dados estatísticos”. Acresce ainda o facto de “muitos criminosos virem a Macau adquirir estes cartões SIM pré-pagos para depois os utilizarem no exterior para burlar os chineses que lá vivem”, explicou o presidente da 1ª comissão.

10 Jan 2019

Cibersegurança | Conteúdo de comunicações não vai ser monitorizado

O Governo vai saber em tempo real o volume dos dados dos utilizadores das redes de comunicação, mas não vai aceder aos conteúdos. Segundo o Executivo, é como ver quanto água passa num cano, sem se poder ver a cor da mesma

 

O Governo prometeu aos deputados que a Lei da Cibersegurança apenas vai permitir monitorizar a quantidade dos dados dos utilizadores, mas nunca o conteúdo, de forma a respeitar a privacidade da população. A explicação foi dada à Primeira Comissão Permanente da Assembleia Legislativa pelo secretário para a Segurança e foi revelada por Ho Ion Sang, deputado que preside a este grupo de trabalho do hemiciclo, encarregue de analisar na especialidade a Lei da Cibersegurança.

“O Executivo disse preto-no-branco que só vai monitorizar em tempo real o fluxo de dados e não vai armazená-los. Houve um compromisso verbal e esperamos que possa ser transposto para o articulado da lei, com vista a dissipar as preocupações dos residentes”, disse Ho Ion Sang, após a reunião de ontem de manhã.

O deputado citou depois a analogia utilizada pelo Governo em relação à forma como vai ser feita a monitorização dos dados. “Por exemplo, é como um cano de água, vai ser monitorizado o volume da água, mas não se vai saber qual é a cor da água que passa”, clarificou.

Mas caso o Governo não cumpra com a promessa e volte atrás na palavra, Ho apontou que os deputados vão alertar para essa situação no parecer da comissão, ou seja o relatório que é elaborado no final da análise das leis na especialidade. “Se no futuro houver uma decisão diferente, vamos colocá-la no parecer da comissão”, frisou.

Ao controlar o fluxo dos dados o Centro de Alerta e Reposta Incidentes de Cibersegurança, organismo criado com a nova lei, vai procurar valores suspeitos, ou seja se há uma quantidade de dados anormal a circular e tentar perceber se esses valores são motivados por um ataque.

Pedido de lista

Ontem foi feita a primeira reunião entre os deputados e o Governo sobre a futura Lei da Cibersegurança. Neste encontro, os deputados pediram ao Executivo que apresente uma lista com o nome das entidades que ficam abrangidas pelo novo diploma e as entidades que ficam de fora.

Apesar de haver orientações gerais sobre as entidades abrangidas, os deputados querem ter uma lista para não haver dúvidas.

Ainda em relação ao Centro de Alerta e Reposta a Incidentes, o funcionamento vai ser definido posteriormente através de um regulamento administrativo, mas os deputados deixaram o desejo que as orientações principais fiquem definidas nesta lei. Sobre este aspecto Ho Ion Sang afirmou que o secretário mostrou estar disponível para aceitar a sugestão dos deputados.

8 Jan 2019

Responsável pela cibersegurança do Japão admite que não utiliza computador

O ministro japonês responsável pela cibersegurança do país admitiu não utilizar o computador na sua actividade profissional, uma afirmação que provocou risos entre os parlamentares da oposição.

“Desde os 25 anos, sempre pedi aos meus secretários e assessores, por isso nunca utilizei um computador”, admitiu Yoshitaka Sakurada, na quarta-feira durante uma sessão parlamentar.

Yoshitaka Sakurada, de 68 anos, é vice-chefe da unidade de estratégia de segurança de computadores do governo e também ministro dos Jogos Olímpicos e Paralímpicos, que Tóquio está organizará em 2020.

O ministro nipónico não foi capaz de responder a várias perguntas feitas pelos deputados sobre o uso de materiais tecnológicos na cibersegurança do país.

“É incrível que alguém que nunca tenha tocado num computador seja responsável pela política de segurança de informação”, afirmou o deputado da oposição Masato Imai.

15 Nov 2018

Cibersegurança | Multas podem chegar aos cinco milhões de patacas

Terminou a discussão da proposta de lei da cibersegurança no Conselho Executivo. O diploma prevê multas até aos cinco milhões de patacas e cria um novo cargo que será assumido pelos operadores das infra-estruturas críticas e que irá funcionar como o “principal responsável da cibersegurança”

As multas a aplicar aos operadores de infra-estruturas críticas que violarem a lei da cibersegurança podem chegar aos cinco milhões de patacas, de acordo com o diploma que foi apresentado ontem pelo Conselho Executivo (CE). “A proposta de lei prevê que as infracções dos deveres da cibersegurança são punidas com multa de 50 mil a cinco milhões de patacas, sendo ainda aplicáveis sanções acessórias”, revelou ontem o porta-voz, Leong Heng Teng.

No que respeita às sanções acessórias, o porta-voz do CE não foi claro, no entanto avançou a perda de subsídios do Governo a título de exemplo de possíveis penalizações.
Os operadores de infra-estruturas críticas incluem serviços e órgãos públicos bem como entidades privadas de transporte, telecomunicações, bancos, seguros, cuidados de saúde entre outros.

No que respeita às sanções aplicadas a entidades que abusem das competências que lhes vão ser atribuídas neste âmbito, o diploma não faz qualquer referência.
Na proposta de lei está ainda definida a constituição das entidades que vão ter a seu cargo a implementação do sistema de cibersegurança. O sistema vai ser composto por uma Comissão Permanente para a Cibersegurança (CPC), pelo Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC) e por entidades supervisoras de cibersegurança.

A CPC é um órgão decisório do Governo, ao qual compete “definir orientações, objectivos de ordem geral e de estratégias”, apontou Leong. Já o CARIC será constituído “por entidades públicas com funções técnicas especiais em termos de segurança de rede e coordenado pela Polícia Judiciária”. Cabe ainda ao CARIC assumir funções de gestão e execução das medidas de resposta em caso de emergência.

Por último, as entidades supervisoras ficam responsáveis pela fiscalização do cumprimento das regras por parte dos diferentes operadores.

Cargos novos

De acordo com a proposta que vai ser apresentado à Assembleia Legislativa, vai ainda ser criado um novo posto que será o “principal responsável da cibersegurança”.

Esta é uma obrigação das operadoras e o profissional que ocupar o cargo tem de ter residência habitual no território. Segundo o assessor do gabinete do secretário para a Segurança, Chan Hin Chi, tem de ser alguém “com competência de mobilizar recursos humanos e financeiros e demais apoios logísticos para poder melhor monitorizar a segurança cibernética”, além de idóneo e com experiencia profissional na área da cibersegurança. Cabe ainda ao principal responsável da cibersegurança “avisar o CARIC sempre que ocorrerem “incidentes”, acrescentou Leong Heng Teng, bem como “proceder regularmente à auto-avaliação, submetendo o respectivo relatório à entidade supervisora”.

Telefones controlados

As operadores de telecomunicações têm, a partir da entrada em vigor da lei da cibersegurança, 60 dias para pedir aos utilizadores de cartões SIM pré-pagos os seus dados de identificação. Já os utilizadores têm, após este prazo, mais 60 dias para fornecer as informações solicitadas sem que ocorram em ilegalidade. “Se o cliente não quiser fornecer os seus dados à operadora, esta tem que desactivar aquele número”, apontou Chan Hin Chi.

O objectivo é garantir que todos os utilizadores das redes telefónicas locais se encontrem devidamente identificados, acrescentou.

12 Set 2018

Lei da Cibersegurança | Maioria a favor apesar de receios sobre privacidade

A maioria defende ser necessário e urgente criar um sistema para proteger a cibersegurança. No entanto, persistem receios de que tanto a privacidade como as liberdades de expressão e de imprensa saiam beliscadas com a nova lei. As preocupações foram demonstradas na consulta pública ao regime da cibersegurança

Éo que revela o relatório da consulta pública sobre a Lei da Cibersegurança: a maioria defende não só ser necessário como urgente criar um sistema para proteger a cibersegurança da RAEM. Contudo, e apesar das garantias dadas pelo Governo, sobretudo pelo secretário da tutela, Wong Sio Chak, continuam a existir preocupações quanto à possibilidade de serem violados direitos como à privacidade, bem como as liberdades de expressão e de imprensa.

Durante a consulta pública, realizada entre 11 de Dezembro e 24 de Janeiro, foram recolhidas 716 opiniões (529 do sector público e 187 do privado), das quais 255 a respeito da intenção legislativa, um dos temas que mais preocupação suscitou, de acordo com o relatório publicado ontem. Apenas uma minoria de 14 opiniões, todas expressas pelo público, discorda, por entender que a Lei de Combate à Criminalidade Informática já permite lidar com ataques de ‘hackers’. Outro dos receios desta minoria é que o Governo utilize a Lei da Cibersegurança para “legalizar a vigilância” na Internet, prejudicando direitos, como a liberdade de expressão e o sigilo das comunicações.

Na réplica, o gabinete do secretário para a Segurança sustenta que a Lei da Criminalidade Informática não basta, na medida em que as diligências de investigação definidas têm lugar somente após a prática de crimes, enquanto a da Cibersegurança tem como objectivo evitar que ocorram. Em paralelo, garante que as medidas previstas na futura lei “visam a gestão preventiva da cibersegurança das infra-estruturas críticas” e “que as mesmas não intervirão nem prejudicarão os direitos fundamentais dos residentes, nomeadamente a liberdade de expressão, a privacidade pessoal e a liberdade de imprensa”.

A futura lei – que tem como destinatários os operadores das infra-estruturas definidas como críticas, independentemente da natureza pública ou privada – prevê três níveis de supervisão. A saber: a Comissão Permanente para a Cibersegurança (órgão no topo da hierarquia), o Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC, órgão operacional e coordenador) e as Entidades de Supervisão do Governo definidas por domínios de actividade.

À luz do relatório, o CARIC, cuja coordenação vai ser assegurada pela Polícia Judiciária (PJ), suscitou o maior número de opiniões, dado que caber-lhe-á monitorizar o tráfego de dados informáticos entre as redes dos operadores das infra-estruturas críticas e a Internet. Embora a maioria concorde com a criação e composição do CARIC (as atribuições vão ser definidas através de regulamento administrativo), foram sinalizadas 18 opiniões contra. Em particular, devido à possibilidade de o CARIC supervisionar em tempo real a dimensão do fluxo dos dados e as características dos datagramas. Algo que, alegam, pode prejudicar a privacidade, a liberdade de expressão e de edição e até o segredo comercial.

Sem dados pessoais

Na resposta, constante do relatório, o Governo assegura que o CARIC vai apenas proceder “a uma averiguação da dimensão do fluxo de dados examinada, sem registar qualquer dado, muito menos decifrar qualquer conteúdo ou discurso que se encontre em rede”. Tal significa que “o pessoal das entidades de supervisão não pode obter quaisquer dados pessoais directamente ou mediante recurso à técnica de recuperação dos datagramas, informações relativas aos sectores das comunicações”.

As entidades supervisoras também geraram receios, com opiniões a alertarem para a hipótese de virem a exigir às entidades supervisionadas dados confidenciais ou informações. Uma situação que pode colocar em causa a liberdade de expressão ou de imprensa, invocando o cumprimento dos deveres, como o de colaboração, atinentes aos operadores das infra-estruturas críticas.

O Executivo coloca de lado estes receios. “O pessoal da entidade supervisora apenas poderá entrar nas instalações dos operadores de infra-estruturas críticas para conhecer a realidade quando as suas redes sofrerem ataques ou invasões” e “mesmo que exija o acesso dos dados durante a inspecção, não lhe é permitido obter os dados operacionais da actividade dos operadores das infra-estruturas críticas nem os dados pessoais dos clientes, entre outras informações confidenciais”. Além disso, “os dados pessoais e conteúdos de comunicação não poderão ser consultados ou obtidos pelo pessoal de supervisão, salvo o consentimento das entidades supervisionadas ou autorização pelo juiz devido à necessidade de investigação criminal”, acrescenta.

Supervisores e supervisionados

As entidades supervisoras dividem-se em dois tipos: os órgãos públicos serão supervisionados pelos Serviços de Administração e Função Pública (SAFP), enquanto os operadores das infra-estruturas críticas do sector privado ficarão sob o controlo de 11 serviços públicos relacionados com a actividade ou natureza dos mesmos.

As infra-estruturas definidas como críticas dizem respeito a patrimónios, sistemas e redes relevantes para o funcionamento normal da sociedade, cujo dano ou revelação de dados é passível de causar prejuízos graves para a segurança, interesse e ordem pública. Uma esfera que abrange, entre outros, fornecedores de bens essenciais, incluindo de água e electricidade, hospitais, transportes, bancos ou casinos, mas também estações de rádio e televisão.

O único ponto em que a maioria das opiniões recolhidas discordaram do proposto foi quanto à entrada em vigor da lei. O documento de consulta prevê 30 dias após publicação em Boletim Oficial, um período considerado demasiado curto e que o Governo aceitou alargar para 180 dias.

Esta será uma das mexidas a introduzir no diploma na sequência das opiniões compiladas durante a consulta pública, a par de outras alterações pontuais para “tornar mais claro o teor textual” de forma a reduzir mal-entendidos.

7 Set 2018