|
Artigo publicado na revista Segurança e Defesa, nº16, Janeiro - Março 2011*
Com a crescente importância das Tecnologias da Informação e Comunicação (TIC) em todas as esferas da sociedade, e naturalmente na Segurança e Defesa nacional, a questão da "Cibersegurança" assumiu uma dimensão estratégica. Torna-se assim imperativa a definição de uma Estratégia Nacional de Cibersegurança.
Para o e-Government, ou Governação Electrónica, esta é já hoje uma dimensão prioritária. Importa no entanto caracterizar de forma mais clara o que se entende por "Cibersegurança" no domínio de uma Estratégia Nacional de Segurança da Informação, bem como ainda esta integrada numa Estratégia Nacional de Segurança e Defesa. E naturalmente integrar estas estratégias na esfera Internacional de Segurança e Defesa.
Só assim se poderá perceber os diversos contornos ou facetas da ENC, e naturalmente medir os impactos, riscos e ameaças das diversas estratégias e cenários possíveis.
Para isso, é importante ab initio definir-se o que se entende por Cibersegurança, e por outro lado quais os 10 eixos ou dimensões propostos para uma "Estratégia Nacional de Cibersegurança". E por fim, definir o âmbito dos eixos estratégicos da ENC.
Sendo a Segurança e Defesa funções essenciais do Estado, entende o autor que a Estratégia Nacional de Cibersegurança deverá ser liderada e promovida pelo Estado, enquanto agente primordial da garantia de segurança nacional.
Ao Governo, compete integrar a estratégia nacional de Cibersegurança no âmbito da sua estratégia de Governação electrónica. Competirá a este, sempre, a condução da política de Cibersegurança como uma das suas acções executivas.
Do Conceito Estratégico à Acção Estratégica
O conceito de cibersegurança numa visão alargada cobre todas as dimensões de segurança que afectam o designado "ciberespaço" ou espaço cibernético. Se entendermos o ciberespaço como todo o espaço ou "território" que integra as redes electrónicas ou de comunicação que constituem a infra-estrutura sobre a qual são criados, tratados, armazenados e distribuídos fluxos de informação, então a "cibersegurança" deve de igual modo ser entendida como a "segurança" deste mesmo espaço cibernético.
À medida que o espaço cibernético foi envolvendo maior diversidade de actores (passando do círculo restrito dos cientistas e militares, na década de 60 e 70 do século XX) para empresas (década de 1980's) e sociedade em geral (década de 1990's e passagem para este novo milénio), a protecção das infra-estruturas críticas de informação, tornou-se não só uma necessidade como um imperativo.
Por sua vez, a própria natureza da informação e a dimensão "territorial" cuja garantia de segurança e defesa deve ser assegurada foi-se transformando ao longo da curva de evolução tecnológica.
Em relação ao primeiro aspecto, o da natureza da informação, primeiro de natureza restrita e "fechada", passando pela informação comercial e agora pública (e muitas vezes privada), a estratégia tem sido a de transformar a acção de um foco de "segurança da informação" para um de "garantia de informação", mais abrangente, mais flexível e adaptado à dinâmica dos processos que se exigem. Em relação à dimensão territorial do espaço cibernético, por definição, pervasiva, com fronteiras difíceis ou impossíveis de delimitar, esta característica coloca desafios e inovações radicais na noção de protecção dos territórios, da sua segurança e defesa.
As recentes acções de ataques e defesas nacionais no espaço cibernético (inovações já deste milénio) nos casos da Estónia e da Geórgia, colocam desafios e reformulações das estratégias de segurança e defesa.
Neste aspecto, é importante considerar que as acções de cooperação estratégica internacional poderão revelar-se insuficientes, de per si, para assegurar a segurança e defesa dos Estados.
Perante esta nova realidade, mais complexa e multidimensional, não é assim de todo estranho os esforços de organizações como a NATO, na adopção de um novo conceito estratégico de segurança e defesa, porventura a ser ratificado pelos seus membros ainda em Novembro de 2010, na Cimeira de Lisboa.
Numa perspectiva orientada aos objectivos de enquadramento da estratégia nacional de cibersegurança, e sua integração internacional, a acção estratégica deveria orientar-se do modo descrito no diagrama seguinte.
A título de benchmarking internacional, torna-se nesta fase relevante salientar de que quatro das maiores potências militares mundiais, os Estados Unidos da América, a China, a Rússia e o Reino Unido, adoptaram já estratégias nacionais de Cibersegurança de acordo com modelos de acção estratégica semelhantes ao indicado.
Reconhecendo que o sistema de cibersegurança é necessariamente um sistema complexo e global, as abordagens tradicionais de tratamento deste sistema pelos cenários mais lineares, têm-se revelado infrutíferas. Exigem-se modelos de solução mais multidimensionais, e por consequência mais flexíveis, adaptáveis à mudança e dinâmicos.
No diagrama seguinte propõem-se 10 eixos estruturantes de uma Estratégia Nacional de Cibersegurança.
Cada um dos eixos estratégicos apresentados constitui de per si uma área de intervenção que justificaria um artigo autónomo para discussão. Contudo, importa resumir de forma sucinta os eixos propostos.
Liderança Longo-prazo (Visão). Importa definir uma política de médio e longo-prazo que de forma integrada permita planear, conceber, implementar e avaliar a estratégia de cibersegurança, num prazo a 10 anos. Só uma liderança forte, de agentes já identificados nos domínios da segurança e defesa, e ao mais alto nível da Governação garantirá a sustentabilidade que é exigida.
Capital Humano (Competências). A Cibersegurança exige múltiplas competências, desde os aspectos militares, tecnológicos e de engenharia, passando pela economia e segurança até a sociologia e psicologia. Só o reforço da profissionalização, aprendizagem e treino de competências ao longo da vida, permitirá tornar sustentável a estratégia global.
Investimento privado (Sustentabilidade). Importa salientar que embora seja competência do Estado e Governo definir as Políticas e liderar as mudanças necessárias, criando inclusivamente o enquadramento favorável regulamentar e legislativo, uma parcela maioritária das infra-estruturas críticas de segurança da informação é da esfera da propriedade privada. A adopção de modelos de financiamento que tomem em consideração o sector privado é assim essencial. Pelo que, necessariamente, o investimento privado e a sua participação activa na estratégia nacional de cibersegurança constituem elementos indispensáveis para a sua sustentabilidade e sucesso.
Redes e Parcerias (Cooperação). A infra-estrutura de suporte à Cibersegurança é baseada num modelo em Rede. Quer as redes tecnológicas, quer as redes sociais que são o suporte dos fluxos de informação e de acção dos actores sociais exigem que também do ponto de vista da ENC se adopte um modelo de cooperação e acção estratégica em rede. Naturalmente que a ENC não pode ser confinada à rede de acção nacional, mas sim deve ser alargada à rede internacional e global.
Especialização selectiva (Estratégia). Num pais pequeno, de economia aberta e de recursos escassos, como é o caso em Portugal, somente uma estratégia selectiva e de especialização em vectores estratégicos, poderá surtir o impacto desejado. Nesta área, a extensa experiência de inovação e pioneirismo (que vem desde o D. Henrique e a época das Descobertas), quer as competências históricas no domínio da diplomacia económica e os recursos do Mar, podem constituir vectores de uma estratégia selectiva.
Monitorização e Indicadores (Avaliação). Qualquer estratégia no domínio da segurança e defesa e em particular na Cibersegurança, deverá estar alicerçada num modelo de avaliação dinâmico, que permita em permanência a monitorização de ameaças e a exploração de oportunidades. Nos domínios das redes electrónicas de comunicações este sistema constitui ainda a base de avaliação da estratégia implementada, bem como o suporte para a adopção de medidas correctivas. No quadro da cooperação estratégia internacional, o sistema de avaliação constitui ainda o mecanismo mais eficaz de reforço da cooperação.
Excelência Internacional (Competitividade). A Estratégia Nacional de Cibersegurança desenvolve-se naturalmente num quadro de competitividade e cooperação também, internacional. Quer do ponto de vista tecnológico, de organização e de pessoas, a excelência internacional deve ser considerada como prioridade estratégica e mecanismo condutor das acções e actividades no terreno. Neste quadro, a actuação de Portugal no domínio da NATO e outras organizações internacionais continua a ser um eixo estratégico ao qual deve ser dada a maior primazia.
Internet e Novos Media (Infra-estrutura). Um dos factores que mais contribui para tornar verdadeiramente complexo o problema de garantia da cibersegurança consiste na dinâmica e mudança tecnológica permanentes da infra-estrutura de base. A integração progressiva dos mercados e tecnologias dos sectores das TIC (Tecnologias da Informação e Comunicação incluindo o Móvel), do Multimédia e Novos Media e do Entretenimento, vão colocar novas ameaças, mas também novas oportunidades a todas as dimensões de cibersegurança. Assim sendo, o Eixo estratégico da Infra-estrutura continuará a ser um dos drivers da estratégia global de cibersegurança.
Inovação Territorial (Proximidade). Por mais alargado e abrangente que seja o domínio territorial do espaço cibernético, continuará a ser essencial uma acção local e o factor proximidade constituirá sempre uma vantagem competitiva em cenário de segurança e defesa. A actuação nas regiões e uma estratégia verdadeiramente nacional e internacional exigirá uma actuação distribuída pelo território ainda que a voz de comando seja nacional e centralizada. Esta distribuição pelo território da garantia de cibersegurança pode beneficiar da extensa experiência em Portugal de distribuição das forças de segurança e a colaboração activa com os centros distribuídos de defesa nacional.
Media e Sociedade (Divulgação). Finalmente, não menos importante e talvez muito relevante e absolutamente crucial, é o factor de divulgação da Estratégia Nacional de Cibersegurança. Uma estratégia selectiva de divulgação junto dos meios de comunicação social, necessariamente especializados e com formação e competências em matérias de segurança e defesa, pode e deve constituir uma prioridade. Nesta matéria, a "forma" pode e deve complementar o "conteúdo", e por demais sendo uma matéria de tradicional afastamento dos Media e sociedade em geral. Uma ENC alicerçada numa correcta e eficaz divulgação junto da sociedade constitui factor de sustentabilidade acrescida.
O modelo de 10 eixos estratégicos que é acima proposto constitui ainda um modelo de avaliação permanente da prossecução da Estratégia Nacional de Cibersegurança.
A análise comparativa dos 10 eixos permite ainda redireccionar recursos para afectação a eixos mais prementes ou de forma flexível a reafectação de recursos entre os vários eixos. O próprio diagrama apresentado poderá ser utilizado como instrumento de avaliação e de comparação internacional, numa análise evolutiva dos 10 eixos, consistindo assim um instrumento de política nos domínios da Cibersegurança e da Segurança e Defesa Nacional.
O Papel Estratégico do Governo e Governação Electrónica
Estando acima descrita de forma breve a possível configuração de uma Estratégia Nacional de Cibersegurança importa salientar o papel de liderança e visão estratégica que a Governação deverá desempenhar.
Poderão ser identificadas 3 Áreas Prioritárias de intervenção, consistentes com a actuação recente da Governação nestes domínios.
- A adopção de Visão e Liderança de Longo Prazo na Governação Electrónica
- A Infra-estrutura Integrada de Comunicações.
- A abordagem integrada da Segurança Electrónica do Estado
A Cibersegurança e a Visão de Longo Prazo da Governação Electrónica
A OCDE define "Governo Electrónico" como sendo o conjunto das estratégias que têm como objectivo garantir a utilização das Tecnologias da Informação e Comunicação, e em particular da Internet para a criação de melhores condições para melhor Governo ou Governação (OECD, 2004). Esta parece naturalmente ser uma definição vasta ou alargada de Governação Electrónica que abrange entre outros:
- A noção mais tradicional da Informatização dos serviços públicos (do Governo e da Administração Pública);
- A disseminação alargada de TIC, sistemas de informação e redes electrónicas para a interoperabilidade e colaboração electrónica entre serviços públicos;
- A Utilização de redes electrónicas e sistemas de informação interactivos para partilha de informação a diversos níveis: do local ao regional, nacional e internacional ou global;
- A utilização de sistemas de informação e TIC para prestação de serviços públicos aos cidadãos e empresas.
Por mais restrito ou alargado que seja o âmbito do "Governo Electrónico" é hoje consensual que este constitui um processo dinâmico e evolutivo, cujas etapas de evolução possuem requisitos diferentes e obstáculos próprios, entre os quais o da "Cibersegurança".
O diagrama seguinte ilustra as principais etapas de evolução e complexidade dos serviços de Governação Electrónica e necessariamente de Cibersegurança que está associada a cada uma destas etapas de evolução no relacionamento electrónico entre o Estado, Empresas e Cidadãos.
À medida que se avança da prestação de serviços básicos de "disponibilização de informação" para a prestação de serviços on-line quer numa só via, ou interactivos, até finalmente a prestação de serviços de valor acrescentado, as necessidades ou requisitos de tornar os conteúdos ou serviços "seguros" altera-se de forma muito significativa. A complexidade para garantir a "segurança e defesa" dos mesmos também sobe exponencialmente.
A Cibersegurança e a Infra-Estrutura Integrada de Comunicações
A Estratégia Nacional de Cibersegurança exige necessariamente uma abordagem integrada e optimizada das redes de comunicação electrónicas. Quer no Governo e restantes Orgãos de Soberania, quer em toda a Administração electrónica.
A gestão integrada das redes de comunicações na Administração electrónica constitui também uma prioridade e eixo estratégico da segurança e defesa nacionais.
Assume um carácter estratégico e de óbvia racionalização de recursos a gestão integrada da infra-estrutura de comunicações do Governo bem como a integração com as redes de comunicações sectoriais da Administração Pública.
A gestão integrada de redes de telecomunicações, de dados, voz e multimédia potencia a prestação de serviços na Administração Electrónica e a geração de mais e melhor Serviço Público.
Os projectos de Governação electrónica, a desmaterialização de procedimentos, a preservação e o Arquivo digital são serviços electrónicos da Administração Pública que têm vindo a ser suportados numa infra-estrutura integrada de comunicações no Governo e Administração Pública.
A Cibersegurança e a Abordagem Integrada de Segurança Electrónica do Estado
A Segurança da Informação (Information Security) e a Garantia de Informação (Information Assurance) devem constituir uma das principais áreas estratégicas de Actuação da Governação no sentido da implementação da Estratégia Nacional de Cibersegurança.
Nestes domínios, a implementação de uma estratégia e medidas e acções concretas de reconhecimento da identidade electrónica e segurança internacional são passos fundamentais no sentido da garantia da cibersegurança. O Governo tem vindo a implementar uma estratégia evolutiva nos domínios da Segurança da Informação, e que abrange o seguinte "edifício" em permanente construção e evolução, integrando as diversas componentes ou dimensões estratégicas da Segurança e Defesa.
São exemplos concretos de acções realizadas em Portugal a implementação do Sistema de Certificação Electrónica do Estado (SCEE), o Cartão de Cidadão (elD) , o Passaporte Electrónico Português (PeP), a Contratação Pública Electrónica, a publicação electrónica do Diário da República Electrónico (DRE) ou a desmaterialização de procedimentos (SIMPLEX).
...Tempos de Acção para uma Estratégia Nacional de Cibersegurança
À medida que os sistemas de segurança e defesa se vão tornando mais dependentes das redes de comunicação electrónicas, mais exigente se torna a adopção de uma política nacional no domínio da Cibersegurança.
O esforço nacional que se exige, a todos os actores que têm responsabilidades em matéria de segurança e defesa nacional, implica uma actuação concertada destes diversos actores, bem como uma Política integrada ajustada a um Portugal de recursos escassos.
Procurou-se apresentar um modelo a potenciar para uma Política e Estratégia Nacional de Cibersegurança. A sua implementação potenciará a protecção em Portugal das nossas Infra-estruturas Críticas, bem como o esforço mais alargado de Segurança e Defesa, aos níveis nacional e internacional.
*Alexandre Caldas
Director do Centro de Gestão da Rede Informática do Governo |
News
[D]