Notícias

“A pegada digital é muito mais extrovertida do que parece”

Entrevista com o contra almirante António Gameiro Marques

Na sequência do Breakfast Seminar do PADE sobre “Cibersegurança: exposição à Internet e o risco informático”, o contra almirante António Gameiro Marques respondeu a uma entrevista da AESE, detalhando algumas questões relacionadas com o tema.

Que pegada digital deixamos ao utilizar a Internet nos vários dispositivos que usamos habitualmente: o telemóvel, tablets, PCs?
AGM: “A pegada digital é uma expressão que nós utilizamos na nossa gíria, para representar o rasto que deixamos nos nossos próprios dispositivos e também em todos aqueles que nós utilizamos para chegar aos sites ou a outra coisa qualquer que acedamos através da Internet.
Por exemplo, as pessoas que usam – e que têm uma utilização frequente - das redes sociais, seja o Instagram, o Facebook, ou o LinkedIn, a forma como interagem, como comentam, como publicam, denota um determinado tipo de comportamento que algoritmos poderosos de análise de informação e de correlação de informação conseguem descobrir coisas sobre as pessoas ou sobre as organizações, que muitas vezes as pessoas não sabem sobre si.
Portanto, a pegada digital é muito mais extrovertida do que parece. Nas empresas em particular e nas organizações, a pegada digital pode normalmente dar nota da boa saúde ou de não tão boa saúde. Porque, por exemplo, se uma empresa ou uma organização em sistemas que estão comprometidos do ponto de vista da cibersegurança e estão permanentemente a tentar aceder a sites maliciosos, sem qualquer intervenção interna, isso significa que a empresa não está de boa saúde do ponto de vista da sua cibersegurança.
O que nós verificamos é que existe uma certa correlação entre a má pegada digital e a má saúde financeira da empresa.”


Como delimitar a liberdade e o direito à privacidade?

AGM: “Sobretudo os governos, dizem que nós devemos abdicar um pouco da nossa privacidade para aumentar a segurança. Acho que nós, como cidadãos, não devemos abdicar da nossa privacidade em prol da segurança. Se calhar, temos é que abdicar nalgumas situações de um pouco da nossa liberdade. Um pouco.
Neste fim de semana, viu-se na sequência dos ataques de Londres, daquele senhor que matou 5 pessoas e feriu uma série delas, que na sequência das investigações, as autoridades inglesas chegaram à conclusão de que ele usou o WhatsApp para planear determinadas coisas.
Como sabe, o WhatsApp encripta a comunicação e uma senhora do governo inglês dizia que não concordava com o facto desses mecanismos de comunicação servirem o mal. Servem o bem, mas também servem o mal. Defendia que, em determinadas situações, os governos dos estados, as autoridades nacionais, deveriam ter acesso a essa informação trocada quando houvesse indícios de que esse canal, esse meio, havia sido usado para fins maliciosos ou perigosos para a segurança do Estado.
Isto é um exemplo da necessidade de balancear. Parece-me que se pode fazer a analogia com as escutas telefónicas. Como sabe, por mandato de um juiz, pode ser definida uma escuta telefónica a alguém. Portanto, devia haver uma regra, através da qual, uma comunicação feita através de um desses softwares (WhatsApp, Telegram, Signal, Viber), fosse possível às autoridades, sob mandato, aceder-lhes.”


E como é que isso funciona? É por palavras chave, é por monitorização das mensagens? Como é que se deteta, por exemplo, numa mensagem ou numa conversa, que ela pode pôr em causa a segurança?
AGM: “Neste último caso (Londres), o que se conseguiu detetar é que houve várias comunicações através do WhatsApp. E acedendo ao telefone da pessoa, percebeu-se que havia ali muita conversa com outra. Mas para se aceder mais profundamente a tudo aquilo, designadamente quem era a outra pessoa. Normalmente, as pessoas quando estão com fins pouco legítimos, usam palavras chave, códigos, não dizem quem são, usam telefones descartáveis… há todo um conjunto de subterfúgios para escamotear.
Ora, essas conversas estão todas gravadas num servidor, neste caso, do WhatsApp. E portanto, o que deveria haver é a possibilidade internacional para aceder aos servidores. E hoje não é possível.”


Estamos a caminhar nesse sentido?
AGM: “Não me parece que a esse nível se esteja a ir nesse sentido. Era preciso que houvesse entendimentos. Ao nível da Europa já existem. As pessoas que tratam desses assuntos já têm entendimentos. Agora entre continentes, entre, por exemplo, os EUA e a Europa, ou há relações bilaterais ou acordos bilaterais, ou é um bocadinho difícil.”


Como proteger a identidade de uma pessoa ou de uma empresa numa rede? Quais as medidas preventivas e as corretivas?

AGM: “Acho que a proteção da identidade de uma pessoa ou de uma empresa deve ser a nível da sua reputação. A empresa numa lógica de economia digital, que se queira moderna, não pode deixar de estar presente na rede. Há que garantir que essa reputação não caia no descrédito por ter uma pegada digital que não seja saudável.
Se a reputação da empresa for má, os clientes não escolhem aquela empresa. Se ela for cotada em bolsa, o valor das ações baixa e os acionistas não ficam contentes. A empresa perde valor. É por aí que se devem proteger. E para se protegerem em termos reputacionais, têm que olhar para a questão da cibersegurança, como um assunto de Conselho de Administração, e não ser apenas um assunto meramente tecnológico. Tem de ser um assunto de negócio, porque uma má saúde na área digital da empresa, tem um impacto muito grande na reputação da mesma.”


Quais as principais ameaças a ter em consideração?
AGM: “A maior ameaça disto tudo, quer seja em Portugal ou em qualquer outro sítio, são as pessoas. Os seus comportamentos, a sua aparente falta de conhecimento e aquela atitude de que isso não me vai acontecer a mim. Vai acontecer aos outros mas não me vai acontecer a mim.
Onde acho que se deve investir, quer em relação à segurança, quer em relação ao Centro Nacional de Cibersegurança que está na minha dependência, é na criação de uma cultura de segurança.
Começou um dos três cursos que vamos fazer este ano de introdução à cibersegurança e o sinal de que nós temos que as pessoas estão de facto a ficar alertadas para isto, é nós termos tido 140 inscritos para 60 vagas. Foi um curso bastante preenchido, bastante rico em termos das pessoas que estavam, havia público, e havia privado, havia dirigentes, havia técnicos.
Também vamos fazer todos os meses, uma manhã dedicada a um tema relacionado com a cibersegurança. Tudo isto que fazemos não tem custos. As pessoas não precisam de pagar propina, o que é premeditado. É fazer com que as pessoas venham e não ponham as questões financeiras como justificativo de não virem.
No mês de abril, o tema será “Girls on ICT”, no dia 27 de abril, uma data que a ITU comemora em todo o mundo. Nós vamos associar-nos a este evento. A sessão vai ser aberta pela Sra. Ministra da Presidência e da Modernização Administrativa, Maria Manuel Leitão Marques, e vai ter um painel com três dirigentes femininas de três grandes empresas tecnológicas (Microsoft, Cisco e SIBS). O debate vai ser moderado por uma Alumna do PADE da AESE, Catarina de Carvalho.”


Para além de ser contemplada no orçamento das empresas, que outras formas existem para que uma empresa esteja segura. Ou seja, qual é o papel dos dirigentes nesta matéria?

AGM: “É uma questão pragmática. No Breakfast Seminar da AESE propus seis questões que o Presidente do Conselho de Administração deve colocar ao seu Board, de maneira a que, com as respostas, se consiga aferir o nível de maturidade da empresa relativamente à cibersegurança. O que é importante e crucial para a empresa e o que é acessório?
Parece-me que é por aí que temos de ir, sublinho mais uma vez, investindo nas pessoas, formando-as e criando-lhes conhecimento sobre comportamentos que são mais seguros, que promovem a segurança.


Quais as preocupações prioritárias do Gabinete Nacional de Segurança?
AGM: “As prioridades do GNS estão consubstanciadas em 4 grandes projetos que são públicos. Quadro de avaliação e responsabilização, que está previsto para todos os órgãos de administração pública. 2 projetos no lado do Centro Nacional de Cibersegurança, 2 projetos do lado do Gabinete Nacional de Segurança. Na área do GNS, a nossa maior preocupação é garantir que a diretiva sobre Information Security da União Europeia que vai entrar em vigor em maio de 2018, é transcrita para a legislação nacional de forma robusta e correta. Nós somos o coordenador dessa transcrição, dessa transposição.
A 2.ª preocupação é a edificação de uma capacidade de conhecimento situacional sobre o ciberespaço português. Um projeto que está em curso. Ainda hoje de manhã tivemos aqui reuniões sobre esse projeto que vai entregando ao longo do tempo e nos vai permitir ter esse conhecimento, essa awareness sobre o que se passa no ciberespaço de interesse, que não é necessariamente o ciberespaço nacional. Pode ser outro, pode ser melhorado e do lado do GNS há 2 iniciativas. Uma relacionada com o sistema Galileu da União Europeia, sistema de posicionamento geográfico, o equivalente do GPS para a Europa, porque nós vamos ser a entidade que vai distribuir em Portugal o sinal Galileu que é resistente ao emparcelamento e resistente à introdução premeditada de erros. Vai ser consumido pelas Forças de Segurança, pelas Forças Armadas, INEM, Proteção Civil, Bombeiros. Depois, há outro projeto, um bocadinho mais reservado, relacionado com a NATO.
Tudo isso transversal a uma maior preocupação e talvez o maior desafio meu e nosso do grupo de dirigentes daqui, que é a escassez de recursos humanos com competências nesta área.
Nós não somos muito competitivos em termos de salários, formamos gente boa nas nossas universidades e com alguma rapidez essas pessoas são aliciadas por empresas estrangeiras. Esse é o grande desafio.
No final do ano passado, vimos uma coisa ainda mais agressiva, que é empresas estrangeiras sedearem-se cá em Portugal, não pagando tanto como pagariam lá fora, pagando mais do que a média nacional.”


Artigos relacionados
"A ameaça maior está dentro da organização" | Breakfast Seminar do PADE, 22.3.2017