Notícias

“A pegada digital é muito mais extrovertida do que parece”

Entrevista com o Contra Almirante António Gameiro Marques, DG do Gabinete Nacional de Segurança e Autoridade Nacional de Segurança

Na sequência do Breakfast Seminar do PADE sobre “Cibersegurança: exposição à Internet e o risco informático”, o Contra Almirante António Gameiro Marques respondeu a uma entrevista da AESE, detalhando algumas questões relacionadas com o tema.

Que pegada digital deixamos ao utilizar a Internet nos vários dispositivos que usamos habitualmente: o telemóvel, tablets, PCs?
AGM: “A pegada digital é uma expressão que nós utilizamos na nossa gíria, para representar o rasto que deixamos quando navegamos na Internet através dos dispositivos que utilizamos para chegar aos sites ou a outros quaisquer serviços que acedamos através da Internet.
Por exemplo, as pessoas que usam – e que têm uma utilização frequente - as redes sociais, seja o Instagram, o Facebook, ou o LinkedIn, a forma como interagem, como comentam, como publicam, as procuras que fazem através dos motores de busca, permite àquelas empresas, através de poderosos algoritmos, de análise e de correlação de informação, descobrir coisas sobre as pessoas ou sobre as organizações, que muitas vezes elas próprias não sabem sobre si.
Portanto, a pegada digital é muito mais extrovertida do que parece. Nas empresas em particular e nas organizações, a pegada digital pode normalmente dar nota da saúde digital da entidade, uma vez que, por exemplo, se uma empresa ou uma organização tem sistemas que estão comprometidos do ponto de vista da cibersegurança, estarão permanentemente a tentar aceder a sites perigosos de forma espontânea, o que representa que essa entidade está com um baixo nível de resiliência digital. Esta situação pode ter impactos significativos na reputação dessa empresa e assim no seu negócio, sobretudo se ele for efetuado predominantemente por via digital.
O que é interessante é a constatação que existe uma forte correlação entre a pegada digital e a saúde financeira da empresa.”


Como delimitar a liberdade e o direito à privacidade?
AGM: “Muitas vezes dito ouvimos dizer que, hoje em dia, devemos estar prontos para abdicar um pouco da nossa privacidade para aumentar a nossa segurança coletiva. Julgo que esta é uma linha que não deve ser perseguida, sob risco de lesarmos algo que é fundamental, e que é o direito a essa mesma privacidade. O que temos é que promover e fomentar que, através de I&D, sejam encontradas soluções que incrementem a segurança, sem descurar aquele direito fundamental.
Neste fim de semana, viu-se na sequência dos ataques de Londres, daquele senhor que matou 5 pessoas e feriu uma série delas, que na sequência das investigações, as autoridades inglesas chegaram à conclusão de que ele usou o WhatsApp para planear determinadas coisas.
Como sabe, o WhatsApp encripta a comunicação e uma senhora do governo inglês dizia que não concordava com o facto desses mecanismos de comunicação servirem o mal. Servem o bem, mas também servem o mal. Defendia que, em determinadas situações, os governos dos estados, as autoridades nacionais, deveriam ter acesso a essa informação trocada quando houvesse indícios de que esse canal, esse meio, havia sido usado para fins maliciosos ou perigosos para a segurança do Estado.
Isto é um exemplo da necessidade de balancear. Parece-me que se pode fazer a analogia com as escutas telefónicas. Como sabe, por mandato de um juiz, pode ser definida uma escuta telefónica a alguém. Portanto, deveria haver doutrina sobre este assunto, através da qual, uma comunicação feita através de um destes produtos (WhatsApp, Telegram, Signal, Viber), fosse possível às autoridades, sob mandato, aceder-lhes.”


E como é que isso funciona? É por palavras chave, é por monitorização das mensagens? Como é que se deteta, por exemplo, numa mensagem ou numa conversa, que ela pode pôr em causa a segurança?
AGM: “Neste último caso (Londres), o que se conseguiu detetar é que houve várias comunicações através do WhatsApp. E acedendo ao telefone da pessoa, percebeu-se que havia ali muita conversa com outra. Mas para se aceder mais profundamente a tudo aquilo, designadamente quem era a outra pessoa. Normalmente, as pessoas quando estão com fins pouco legítimos, usam palavras-chave, códigos, não dizem quem são, usam telefones descartáveis… há todo um conjunto de subterfúgios para escamotear.
Deveria, assim, haver é a possibilidade internacional para aceder aos servidores. E hoje isso não é possível.”


Estamos a caminhar nesse sentido?
AGM: “Não me parece que a esse nível se esteja a ir nesse sentido. Era preciso que houvesse entendimentos internacionais. O que normalmente se estabelecem são acordos bilaterais. Sem esse mecanismo, pode ser difícil. Acresce que, determinadas aplicações cifram as conversas, sendo muito complexo aceder-lhes sem a colaboração das próprias entidades que as desenvolveram.”


Como proteger a identidade de uma pessoa ou de uma empresa numa rede? Quais as medidas preventivas e as corretivas?
AGM: “Uma empresa, numa lógica da economia digital, que se queira moderna, não pode deixar de estar presente na rede. Os Conselhos de Administração têm que contribuir para que a empresa seja confiável e que tenha uma reputação digital saudável, através da implementação de um conjunto de medidas que, não se sendo exclusivamente da área tecnológica, visam capacitar essa empresa para os desafios que são colocados pela economia digital.
Se a reputação da empresa não for boa, os clientes não escolhem aquela empresa. Se ela for cotada em bolsa, o valor das ações baixa e os acionistas não ficam contentes. A empresa perde valor. É essa deve ser uma das motivações para investirem na preparação porque essa é a melhor maneira de incrementar o nível de proteção. Em suma, os assuntos relativos à resiliência digital das organizações deve ser um assunto de negócio, porque uma má saúde na área digital da empresa, tem um impacto substantivo na reputação da mesma e assim na respetiva credibilidade.”


Quais as principais ameaças a ter em consideração?
AGM: “O ciberespaço foi inventado pelos seres humanos. A maior fragilidade do ciberespaço advém das pessoas. Os seus comportamentos, a sua aparente falta de conhecimento e aquela atitude de que “isso não me vai acontecer a mim”. Por essa razão, o maior investimento, e também o mais difícil, deve ser no fator humano. E esse tem sido um dos nossos grandes objetivos no Centro Nacional de Cibersegurança, através de cursos, de workshops, de ações de sensibilização dirigidas, como aliás foi o caso no pequeno-almoço de trabalho que em boa hora a AESE organizou subordinado a este tema.
Este ano já realizamos um dos três cursos que vamos realizar este ano subordinado ao tema da introdução à cibersegurança. Um dos sinais que temos representativo da preocupação que as pessoas em geral estão a ter para estes temas é o facto de nós termos tido 140 inscritos para 60 vagas. Foi um curso bastante preenchido, bastante rico em termos das pessoas que estiveram presentes, quer do setor público quer do setor privados, incluindo dirigentes, e quadros técnicos.
Com uma regularidade quase mensal realizamos sessões que duram cerca de uma manhã dedicadas a um tema relacionado com a cibersegurança. Tudo isto que fazemos não tem custos para quem as frequenta pois o nosso objetivo é, numa lógica de serviço público, chegar ao um maior número de pessoas que no for possível. Neste contexto, não haverá razões de natureza financeira como justificativo de não estarem presentes.
No mês de abril, o tema será “Girls on ICT”, no dia 27 de abril, uma data que a ITU comemora em todo o mundo. Nós vamos associar-nos a este evento. A sessão vai ser aberta pela Sra. Ministra da Presidência e da Modernização Administrativa, Maria Manuel Leitão Marques, e vai ter um painel com três dirigentes femininas de três grandes empresas tecnológicas (Microsoft, Cisco e ALTRAN). O debate vai ser moderado por uma alumni do 39º PADE da AESE, Catarina de Carvalho.”


Para além de ser contemplada no orçamento das empresas, que outras formas existem para que uma empresa esteja segura. Ou seja, qual é o papel dos dirigentes nesta matéria?
AGM: “É uma questão pragmática. No Breakfast Seminar da AESE propus seis questões que o Presidente do Conselho de Administração deve colocar ao seu Board, de maneira a que, com as respostas, se consiga aferir o nível de maturidade da empresa relativamente à cibersegurança. O que é importante e crucial para a empresa e o que é acessório?
Parece-me que esta é uma das possíveis abordagens, que é complementar à que acima me referi do investimento nas pessoas, designadamente a sua formação regular, o proporcionar oportunidades de treino e a criação de conhecimento sobre comportamentos que são mais seguros e que promovem a segurança.


Quais as preocupações prioritárias do Gabinete Nacional de Segurança?

AGM: “As prioridades do GNS estão consubstanciadas em 4 grandes projetos que são públicos através do Quadro de Avaliação e Responsabilização (QUAR), que está previsto para todos os órgãos de administração pública. 2 projetos para o Centro Nacional de Cibersegurança, e 2 projetos para o Gabinete Nacional de Segurança. Na área do CNCS, a nossa maior preocupação é garantir que a Diretiva sobre a Segurança das Redes e dos Sistemas de Informação da União Europeia, que tem que ser transposta para a legislação nacional até maio de 2018, é transcrita de forma robusta e correta. O CNCS é o coordenador desse processo.
A 2.ª preocupação é a edificação de uma capacidade de conhecimento situacional sobre o ciberespaço de interesse nacional. Um projeto que está em curso. Ainda hoje se realizaram reuniões sobre esse projeto que vai entregando os seus produtos ao longo do tempo e nos vai permitir ter esse conhecimento, sobre o que se passa no ciberespaço de interesse, que não é necessariamente o ciberespaço nacional. Da parte do GNS existem 2 iniciativas. Uma relacionada com o sistema Galileu da União Europeia, sistema de posicionamento geográfico, o equivalente do GPS para a Europa, uma vez que o GNS será a entidade que vai distribuir em Portugal um serviço do Galileu que é resistente ao empastelamento e à introdução premeditada de erros de posicionamento. Vai ser consumido pelas Forças de Segurança, pelas Forças Armadas, INEM, Proteção Civil, Bombeiros, etc.. Depois, há outro projeto, classificado, relacionado com a NATO.
Os maiores desafios que temos, sobretudo no CNCS é a grande procura que existe na sociedade para profissionais com valências semelhantes às que precisamos, associado ao facto da oferta ser muito menor do que o necessário. Acresce que o CNCS não será muito competitivos em termos de salários, quando comparado com o setor privado, sobretudo o internacional, cujas empresas, sabendo da qualidade dos nossos engenheiros formados nas nossas universidades, rapidamente aliciam colaboradores. Esse é o grande desafio.
Desde o final do ano passado que temos vindo a observar uma coisa ainda mais “agressiva”, que é a de haver um ainda maior número de empresas estrangeiras (sobretudo oriundas do Reino Unido) sedearem-se cá em Portugal, não pagando tanto como pagariam lá fora, ainda que conseguindo remunerar mais do que a média nacional.”


Artigos relacionados
"A ameaça maior está dentro da organização" | Breakfast Seminar do PADE, 22.3.2017