cibersegurança nas infraestruturas críticas angolanas do ...§a nas infraestruturas críticas...
TRANSCRIPT
Cibersegurança nas Infraestruturas Críticas Angolanas do Sector
das Tecnologias de Informação e Comunicação
Sundi Henrieth Zalana
Dissertação para a obtenção do grau de Mestre em
Segurança de Informação e Direito no Ciberespaço
Orientadores: Prof. Doutor Fernado Correia
Prof. Doutor Carlos Caleiro
Júri
Presidente: Prof. Doutor Paulo Mateus
Orientador: Prof. Doutor Fernando Correia
Vogal: Contra-almirante António José Gameiro Marques
21 de Dezembro 2016
I
Em memória do meu querido pai
Nsiona Miguel Zalana e
do meu irmão amado Kenedy Miguel Zalana
II
Agradecimentos
Agradeço primeiramente à Deus por tudo que fez desde o príncipio deste percurso até ao fim.
Agradeço ao meu orientador Professor Dr. º Fernando Ribeiro Correia por partilhar o seu saber,
pelas sugestões, pela sua pronta disponibilidade, dedicação e atenção que teve no processo de
orientação deste trabalho.
A todos os professores que com o seu saber e rigor ministraram as aulas do curso de Segurança
de Informação e Direito no Ciberespaço.
Ao Dr. º Gonçalo de Sousa e ao Eng.º Lino Alves dos Santos pela contribuição feita por me
conceder uma entrevista fundamental para a realização deste trabalho.
Agradeço a todos quanto apoiaram-me em Angola na pesquisa de campo através dos dados,
informações que me cederam que foram pertinentes para a conclusão da tese.
Aos meus familiares, em especial a minha mãe e aos meus irmãos pelo apoio incondicional que
deram e por estarem sempre presentes nestes dois anos de formação.
Por último aos meus colegas, aos meus amigos que deram sempre uma palavra de motivação
nos momentos mais difíceis dessa caminhada.
III
Resumo
O ciberespaço é uma rede global sem fronteiras que interconecta utilizadores e dispositivos em
todo o mundo, tornou-se o novo espaço de interação humana, e tem sido um suporte tecnológico
para muitos serviços e infraestruturas críticas.
O sector das Tecnologias de Informação e Comunicações (TIC) tem estado a desenvolver-se
cada vez mais, é uma parte vital da economia e da sociedade, sendo o elemento de agregação
de diversos sectores da sociedade.
A atual dependência que se assiste das TIC, principalmente da Internet para a prestação de
serviços críticos para a manutenção da sociedade, introduz vulnerabilidades que podem ser
exploradas por uma vasta gama de indivíduos com diferentes características e motivações.
As infraestruturas críticas são essenciais para a economia e segurança dos países. Dada a
importância não devem apresentar problemas com a continuidade das suas operações, pois a
interrupção prolongada pode causar sérias consequências à sociedade no que tange ao
fornecimento de serviços fundamentais.
A ubiquidade do ciberespaço trouxe um desafio adicional aos mecanismos, às políticas e aos
procedimentos usados na proteção das infraestruturas críticas. Deste modo, há necessidade de
abordar o tema da cibersegurança para a proteção das infraestruturas críticas no ciberespaço,
pois é um tema atual e em constante evolução.
Em Angola tem-se observado um crescimento do sector das TIC, e a dependência dos outros
sectores da atividade da economia nacional com as TIC. Este trabalho de investigação pretende
ser uma reflexão sobre a situação das TIC em Angola, bem como, um documento orientador
sobre a cibersegurança em Angola.
Palavras Chaves: Cibersegurança, Ciberespaço, Infraestrutura Crítica, Sector das TIC.
IV
Abstract
The cyberspace is a worldwide borderless system that interconnects users and devices all over
the world, became the new space of human interaction, and have been a technological support
for several services and critical infrastructures.
The Information Technology and Communications (ITC) sector has been developing more and
more, lately, it is a vital part of the economy and society, and the element of aggregation of various
sectors of society.
The present dependence of the ITC sector is mostly from the Internet for the society maintenance,
it brings vulnerabilities that can be explored by a wide range of individuals with different
characteristics and motivation.
The critical infrastructures are crucial for the economy and country security. Due of its importance,
it should not present problems with continuity of operations, as the long downtime can cause
serious consequences to the society concerning to the fundamental services supply.
The ubiquity of cyberspace has brought an additional challenge to the mechanisms, procedures
and policies used in the protection of critical infrastructures. There comes a need on approaching
about cybersecurity issue for the protection of critical infrastructures in cyberspace since it is a
current issue and in constant evolution.
In Angola has been observed a growing movement on the ITC activity, and the direct relationship
with other economy national sectors. This research work presents the ITC current situation in
Angola, and to be a guide document about cybersecurity in Angola.
Keywords: Cybersecurity, Cyberspace, Critical Infrastructure, ICT Sector.
V
Índice
Agradecimentos ............................................................................................... II
Resumo ............................................................................................................ III
Abstract ............................................................................................................ IV
Lista de Tabelas ............................................................................................. VII
Lista de Figuras ............................................................................................. VIII
Lista de Abreviaturas ...................................................................................... IX
1 Introdução ................................................................................................... 1
1.1 Justificação do tema ...................................................................................................... 2
1.2 Descrição do Problema ................................................................................................. 2
1.3 Objetivos ........................................................................................................................ 3
1.4 Hipóteses ....................................................................................................................... 3
1.5 Metodologia de Investigação ......................................................................................... 3
1.6 Síntese dos Capítulos ................................................................................................... 4
1.7 Resultados Esperados .................................................................................................. 5
2 Revisão da Literatura ................................................................................. 6
2.1 Mapa de Conceitos........................................................................................................ 6
2.1.1 Tecnologia de Informação e Comunicações ............................................................. 6
2.1.2 Ciberespaço .............................................................................................................. 6
2.1.3 Cibersegurança ......................................................................................................... 8
2.1.4 Ciberdefesa ............................................................................................................... 8
2.1.5 Infraestruturas Críticas .............................................................................................. 9
2.1.6 Ameaças .................................................................................................................. 10
2.2 Panorama sobre a cibersegurança nas infraestruturas .............................................. 13
2.2.1 Estados Unidos ....................................................................................................... 14
2.2.2 Canadá .................................................................................................................... 18
2.2.3 Portugal ................................................................................................................... 20
2.2.4 África do Sul ............................................................................................................ 24
2.2.5 Nigéria ..................................................................................................................... 26
2.2.6 Análise Comparativa ............................................................................................... 29
VI
3 Avaliação do Índice Global de Cibersegurança ..................................... 31
3.1 Gráficos do GCI ........................................................................................................... 31
3.2 Resumo da Avaliação do GCI ........................................................................................... 34
4 Ponto de Situação em Angola ................................................................. 36
4.1 Visão Sobre o Sector das TIC ..................................................................................... 36
4.2 Cibersegurança e Infraestruturas Críticas .................................................................. 38
4.2.1 Prioridades de Implementação para a Cibersegurança em Angola ....................... 39
5 Análise e Discussão dos Resultados ..................................................... 50
5.1 Análise I ....................................................................................................................... 50
5.2 Análise II ...................................................................................................................... 60
Conclusão ....................................................................................................... 70
Verificação das Hipóteses ....................................................................................................... 70
Confirmação dos objetivos gerais e específicos ..................................................................... 71
Recomendações e sugestões ................................................................................................. 72
Limitações ou problemas ......................................................................................................... 73
Trabalho Futuro ....................................................................................................................... 73
Bibliografia ...................................................................................................... 74
Anexos ............................................................................................................ 80
VII
Lista de Tabelas
Tabela 1 – Ativos das organizações ............................................................................................. 8
Tabela 2 - Sectores de infraestruturas críticas e agências sectoriais específicas EUA ............. 16
Tabela 3 - Sectores de infraestruturas críticas e agências sectoriais específicas de Canadá ... 19
Tabela 4 - Sectores de infraestruturas críticas definidos pela União Europeia .......................... 22
Tabela 5 - Sectores de infraestruturas críticas na África do Sul ................................................. 25
Tabela 6 - Sectores de infraestruturas críticas Nigéria ............................................................... 28
Tabela 7 – Análise comparativa dos países ............................................................................... 29
Tabela 8 - Medidas de cibersegurança da ITU em relação aos países...................................... 35
VIII
Lista de Figuras
Figura 1 - Características do ciberespaço .................................................................................... 7
Figura 2 – Cibersegurança (um edifício – vários pilares) ............................................................. 9
Figura 3 - Modelo de interdependência de infraestruturas críticas ............................................. 10
Figura 4 – Espectro de ameaças cibernéticas ............................................................................ 11
Figura 5 - Tendências de ameaças 2014/2015 ........................................................................... 12
Figura 6 - Comparação das motivações por detrás dos ataques ............................................... 13
Figura 7 - Componentes para o programa de cibersegurança EUA ........................................... 15
Figura 8 - Interdependência das infraestruturas críticas nos EUA ............................................. 17
Figura 9 - Plataforma de trabalho para gestão de riscos das infraestruturas críticas dos EUA . 18
Figura 10 - Pilares da estratégia de cibersegurança Canadá ..................................................... 19
Figura 11 - Eixos de intervenção da Estratégia - Portugal ......................................................... 21
Figura 12 - Âmbito de actuação do CNCS .................................................................................. 21
Figura 13 - Rede de CERTs de Portugal .................................................................................... 22
Figura 14 - Soluções de segurança para as infraestruturas críticas (Decreto n.º 62/11) .......... 23
Figura 15 - Medidas para garantir a cibersegurança na África do Sul ....................................... 24
Figura 16 - Medidas definidas para proteção das infraestruturas críticas na África do Sul........ 26
Figura 17 - Objetivos da estratégia de cibersegurança da Nigéria ............................................. 27
Figura 18 - Medidas de proteção das infraestruturas críticas Nigéria ........................................ 28
Figura 19 - Índice de Cibersegurança dos Países ...................................................................... 31
Figura 20 - Comparação da média global de cibersegurança entre África e Angola ................. 33
Figura 21 - Mapa de estratégias nacionais de cibersegurança no mundo ................................. 34
Figura 22 – Quadro mundial da cibersegurança 2014 ................................................................ 35
Figura 23 - Estágio de desenvolvimento das TIC em Angola ..................................................... 36
Figura 24 - Elementos para a lei de proteção de IC .................................................................. 40
Figura 25 - Medidas legais ......................................................................................................... 41
Figura 26 - Países com CERT nacionais .................................................................................... 43
Figura 27 - Equipas de resposta a incidentes ............................................................................ 43
Figura 28 - Funções do CERT Nacional ..................................................................................... 44
Figura 29 - Órgãos para a elaboração da estratégia nacional de cibersegurança ..................... 46
Figura 30 - Dependência de outros sectores de IC do sector das TIC ....................................... 52
Figura 31 - Mapa de ciberataques Kaspersky ............................................................................ 53
IX
Lista de Abreviaturas
ANPC: Autoridade Nacional de Proteção Civil
CERT: Computer Emergency Response Team
CNCS: Centro Nacional de Cibersegurança
CNPCE: Conselho Nacional de Planeamento Civil de Emergência
CNTI: Centro Nacional de Tecnologias de Informação
CSIRT: Computer Security Incident Response Team
DoS: Denial of Service
ECS-CSIRT: Electronic Communications Security - Computer Security Incident Response
Team
ENISA: European Union Agency for Network and Information Security
GCI: Global Cybersecurity Index
HSPD: Homeland Security Presidential Directive
IC: Infraestrutura Crítica
INACOM: Instituto Nacional das Comunicações
INFOSI: Instituto Nacional de Fomento da Sociedade de Informação
ISO: International Organization for Standardization
ITU: International Telecommunication Union
JCPS: Justice, Crime Prevention and Security Cluster
MTTI: Ministério das Telecomunicações e Tecnologias de Informação
NIPP: National Infrastructure Protection Plan
PPD: Presidential Policy Directive
SSP: Sectorial Specific Plan
TI: Tecnologia de Informação
TIC: Tecnologia de Informação e Comunicação
1
1 Introdução
Com o desenvolvimento da Internet, e consequentemente com a sua abrangência com o passar
dos tempos, este cenário propiciou a criação de novas tecnologias, que permitem uma
comunicação universal, fácil e rápida.
O ciberespaço fornece condições para interligar as Infraestruturas Críticas (IC). As IC são
instalações, serviços, bens e sistemas que exercem significativa influência em qualquer país na
operação de sectores importantes para o desenvolvimento e manutenção da sociedade. As IC
são importantes porque fornecem serviços à sociedade, e, principalmente, por subsidiarem na
forma de recurso ou serviço outras infraestruturas.
É, portanto, necessário garantir que não existe interrupção prolongada das IC pois pode causar
graves prejuízos à sociedade afetando serviços, trazendo perdas económicas avultadas, e
podendo mesmo por em causa a capacidade de resposta dos países.
O espaço virtual (ciberespaço) que serve de suporte às IC, é constituído por um conjunto de
redes e sistemas interligados, onde não existe uma representação física geográfica, porém, a
dependência deste ciberespaço expõe os países a vulnerabilidades, aumentando
exponencialmente o risco de ataques.
Os ataques lançados por atores interessados em prejudicar o normal funcionamento das redes
e sistemas de informação têm vindo a aumentar em número e em impacto, tornando as ameaças
mais sérias e persistentes. Estes ciberataques, devido ao seu poder disruptivo e destrutivo
crescente, têm vindo a afirmar-se como uma preocupação prioritária para os Estados [1].
A ausência da operação de uma IC pode comprometer outras, causando sérios impactos a nível
económico, político, social, internacional e na segurança dos Estados, logo a razão de se analisar
a importância da cibersegurança nas infraestruturas críticas.
Apesar da criticidade dos serviços, é facto de que as infraestruturas críticas possuem riscos,
riscos esses inerentes ao estar conectado e neste sentido devem ser considerados fatores de
planeamento para a implementação de medidas de mitigação.
Assim, motivada por estes factos reais e considerando a necessidade de garantir no ciberespaço,
medidas de cibersegurança para prover confidencialidade, disponibilidade e integridade das IC
Angolanas do sector das TIC, decidiu-se abordar sobre esta temática.
Em Angola ainda não existe uma legislação específica referente a cibersegurança e
infraestruturas críticas, nem relacionada a crimes informáticos. Nesse cenário, a falta de punição,
em parte dos casos, e o extraordinário desenvolvimento tecnológico abre portas para ataques
cibernéticos deliberados constituindo uma séria ameaça à segurança das Infraestruturas críticas.
2
1.1 Justificação do tema
Com avanço das tecnologias de informação e comunicação, não só em outros países, mas em
Angola também, tem-se verificado na nação Angolana uma maior aderência de pessoas à
Internet. Diversos sectores de atividade essenciais para a sociedade hoje em dia migraram para
o mundo virtual, tais como o sector bancário, os transportes, os hospitais, entre outros.
Acompanhando o desenvolvimento a nível mundial, pretende-se estabelecer em Angola a
implementação de todos os serviços da sociedade de informação assentes nas TIC, de formas
a facilitar processos e diversificar serviços.
As TIC fazem parte do nosso quotidiano, estão presentes em todos os sectores de atividade da
sociedade, é uma área crucial para os Estados, indivíduos e empresas de formas a prover o
desenvolvimento social e económico.
Nesta perspetiva, os sistemas que controlam as infraestruturas críticas podem ser seriamente
afetados por incidentes de segurança. Os incidentes podem ocorrer devido a falhas técnicas,
vírus, ou outros ataques cibernéticos de maiores proporções. Neste âmbito pode-se citar o caso
da Estónia [2] em que quase todos os serviços estão dependentes da Internet, o que tornou o
país vulnerável aos ataques cibernéticos, os sites do governo ficaram indisponíveis e a
população do país foi atingida diretamente com este tipo de ataque.
Observa-se hoje que há uma crescente e silenciosa onda de ameaças cibernéticas, e, por
conseguinte, os riscos são cada vez maiores e não há como fugir à esta realidade.
De um modo geral, estes ataques cibernéticos estão a tornar-se mais frequentes e cada vez
mais difíceis de enfrentar, podendo os mesmos incidentes causar prejuízos enormes,
comprometer a prestação de serviços e impedir as organizações de funcionar corretamente.
Atendendo ao fato de que a caraterização do ciberespaço baseia-se em aspetos como a não
territorialidade, o anonimato, a transversalidade, aspetos estes que podem facilitar a
consumação dos ataques cibernéticos e considerando que no ciberespaço não existem fronteiras
físicas, importa salientar que Angola não está isento de sofrer ataques cibernéticos às suas
infraestruturas críticas do sector das TIC, por esta razão, considera-se pertinente a abordagem
desta temática da cibersegurança na proteção das infraestruturas críticas em Angola, analisando
as medidas que se poderão adotar quer a nível legislativo bem com a nível técnico-operacional.
1.2 Descrição do Problema
O desenvolvimento das tecnologias de informação e comunicação, principalmente da Internet,
trouxe um progresso elevado no mundo, no tratamento da informação, na dinamização das
empresas no que tange a eficiência dos processos internos, bem como, na prestação de serviços
aos utentes.
Entretanto este progresso trás consigo não apenas fatores positivos, mas também aspetos
negativos. Os aspetos negativos derivam da grande dependência que existe hoje em dia das
tecnologias de informação e comunicação. Esta dependência introduziu vulnerabilidades de
diversas ordens nos sistemas de informação que podem ser exploradas para propiciar ataques.
O número de incidentes e ataques maliciosos a nível mundial tem vindo a aumentar
3
consideravelmente, muitos destes ataques têm como alvo as infraestruturas críticas de
informação dos governos, instituições públicas e privadas, empresas e cidadãos.
As infraestruturas das TIC estão presentes em todos os sectores críticos da sociedade, não se
pretende neste trabalho abordar exaustivamente sobre todos os sectores, porém atendendo a
transversalidade do sector das TIC, pretende-se responder à questão principal, apresentado
soluções para uma abordagem holística e aplicável em outros sectores críticos.
Que solução pode ser adotada por Angola, em particular pelos operadores do sector das
TIC, por forma a proteger as infraestruturas críticas no ciberespaço?
1.3 Objetivos
Geral
Apresentar as medidas a adotar no âmbito da cibersegurança para a elaboração de uma
estratégia de cibersegurança a nível nacional que contemple a proteção das infraestruturas
críticas angolanas do sector das TIC.
Específicos
Apresentar um panorama de cibersegurança e infraestruturas críticas em alguns países.
Identificar as infraestruturas críticas do sector das TIC em Angola.
Descrever as iniciativas que se têm desenvolvido para a prevenção e redução de
ameaças cibernéticas.
Identificar os principais atores intervenientes e responsabilidades para a abordagem
desta temática e elaboração de uma estratégia de cibersegurança em Angola.
1.4 Hipóteses
Angola tem definido um plano nacional de proteção para as infraestruturas críticas que
engloba o conceito, os sectores e o responsável pelas atividades.
As infraestruturas críticas do sector das TIC são seguras.
Os operadores de infraestruturas críticas do sector das TIC estão preparados para dar
resposta aos incidentes informáticos, mantendo assim a operacionalidade dos seus
serviços na ocorrência de um ataque cibernético.
Existe a cooperação entre o sector público e privado na promoção da cultura de
cibersegurança nos operadores de infraestrutura crítica do sector das TIC.
1.5 Metodologia de Investigação
A investigação em geral caracteriza-se por usar os conceitos, procedimentos ou métodos,
técnicas e os instrumentos com o objetivo de dar respostas as questões que se levantam nos
diversos âmbitos do trabalho de pesquisa.
Segundo Reis [3], a metodologia é um conjunto de passos a percorrer e dos meios que conduzem
aos resultados, é assim o modo como se organiza um trabalho em função dos objetivos que se
pretendem atingir.
4
Tendo em conta que a investigação que se pretende realizar será iminentemente teórica,
recorreu-se ao método qualitativo, que facultou a realização do estudo exploratório através da
análise documental com base na leitura e revisão de fontes bibliográficas relevantes.
Tendo em conta que é uma temática não muito abordada em Angola, e pelo facto de não
existirem ainda medidas definidas no âmbito da cibersegurança, inicialmente optou-se por olhar
a nível internacional através de análise documental (legislação, documentos de carácter político
sobre esta matéria em alguns países, livros, artigos, publicações online e dissertações), por
forma a verificar quais têm sido os esforços desempenhados nesta temática.
Com base na realidade que se observou em diversos países considerados como referência em
cibersegurança, incluindo Portugal, efetuou-se primeiramente uma entrevista em Portugal com o
responsável pelo Departamento de Operações e Controlo (DOC), do Centro Nacional de
Cibersegurança (CNCS), a fim de ter uma visão sobre o funcionamento da cibersegurança em
Portugal, e da possibilidade de criar uma linha de orientação passível de ser aplicada em Angola.
Face a insuficiência de fontes escritas, no caso concreto de Angola em que quase nada se
escreve sobre esta temática, este fator contribuiu para a grande dificuldade encontrada para o
desenvolvimento do trabalho, por isso, para ultrapassar estes constrangimentos, foi necessário
basear-se em fontes primárias1 em detrimento das fontes secundárias, o que não significa que
estas foram excluídas.
As entrevistas em Angola, foram feitas a profissionais das áreas: Jurídica, Segurança e Auditoria,
Negócios de TI, Telecomunicações, Redes e outras áreas (referenciadas no capítulo 5). Estas
fontes, por sua vez, foram a base de apoio para a realização da presente pesquisa por
constituírem a principal fonte de informação.
Por outro lado, o uso das doutrinas internacionais para desenvolver o presente trabalho teve
grande relevância, uma vez que, o país ainda não possui uma estratégia definida para a
cibersegurança.
Como mencionado anteriormente o método adotado foi o qualitativo, baseado num estudo
exploratório.
As técnicas foram as seguintes:
Análise Documental: decretos-lei, livros, artigos, publicações, dissertações.
Entrevistas
1.6 Síntese dos Capítulos
A presente dissertação encontra-se dividida em 5 capítulos:
No capítulo 1. Introdução - faz-se um breve introito no âmbito da temática em abordagem,
apresenta-se também a questão de partida para o estudo deste tema, os objetivos que se
pretendem alcançar, as hipóteses que no final serão validadas ou refutadas e é apresentada a
metodologia aplicada para o desenvolvimento deste trabalho.
1 Consideram-se fontes primárias como: inquéritos, entrevistas, observação painéis, grupos de foco.
5
No capítulo 2. Revisão da Literatura – É apresentado um mapa de conceitos, com os termos
pertinentes para o tema em abordagem, é feito ainda um breve estudo do estado da arte sobre
a cibersegurança e infraestruturas críticas em alguns países.
No capítulo 3. Avaliação o Índice Global de Cibersegurança – Como resultado do que foi
apresentado no capítulo 2, é feita uma comparação a nível do comprometimento com a
cibersegurança, ou seja, procura-se aqui compreender o nível de engajamento de alguns países
com a cibersegurança para se ter uma noção de como se tem tratado este assunto a nível
internacional.
No capítulo 4. Prioridades de Implementação – Neste capítulo como consequência do que foi
apresentado nos capítulos 2 e 3, apresentam-se as prioridades que devem ser aplicadas em
Angola para a criação de um quadro de cibersegurança.
No capítulo 5. Análise e Discussão dos Resultados – Neste capítulo serão apresentados os
principais resultados, será feita uma análise e discussão dos resultados obtidos através da
análise de conteúdo das entrevistas.
E finalmente a Conclusão e as Recomendações – fez-se a conclusão do trabalho, respondeu-
se à questão central do trabalho, bem como a verificação das hipóteses e apresentou-se alguns
pontos para uma possível orientação que poderá ser seguido por Angola.
1.7 Resultados Esperados
A dissertação cumprindo os objetivos estabelecidos, deverá apresentar os seguintes resultados:
Compreensão da necessidade de criação de uma estratégia nacional de cibersegurança.
Motivação para implementação de métodos para a proteção das infraestruturas críticas
do sector das TIC.
A mobilização dos operadores das infraestruturas críticas do sector das TIC em prol da
Cibersegurança.
6
2 Revisão da Literatura
2.1 Mapa de Conceitos
As referências desenvolvidas, combinando as palavras-chave associadas ao tema deste
trabalho, consistem basicamente em publicações, artigos disponibilizados na Internet.
Inicialmente para dar início à uma investigação completa e envolvente à temática escolhida,
procedeu-se à definição de conceitos considerados essenciais para compreensão do tema em
abordagem.
2.1.1 Tecnologia de Informação e Comunicações
TIC é a aplicação de computadores e equipamentos de telecomunicações para armazenar,
recuperar, transmitir e manipular dados. O termo está habitualmente associado ao uso de
computadores e redes de computadores, mas abrange também outras tecnologias de
distribuição de informação, como a televisão, telefones e outros aparelhos eletrónicos. Existe
uma forte vertente industrial associada à tecnologia da informação, tais como hardware,
software, eletrónica, semicondutores, Internet, equipamentos de telecomunicações, comércio
eletrónico e outros serviços de informática. Ralston, A.2000, citado por Fernandes [4].
O termo Tecnologia de Informação e Comunicação (TIC) foi nomeada por Stevenson no seu
relatório de 1997 para o governo do Reino Unido e promovido pelos novos documentos
Curriculares Nacionais para o Reino Unido em 2000, Foldoc [5]
O advento destas novas tecnologias proporcionou muitas vantagens para a sociedade no geral,
na criação de serviços que hoje são disponibilizados através do ciberespaço, este grande
universo que tem servido de interação entre os homens.
2.1.2 Ciberespaço
De acordo a Casa Branca, o ciberespaço toca praticamente tudo e todos. Proporciona uma
plataforma para a inovação, prosperidade, e os meios para melhorar o bem-estar geral de todo
o mundo [6].
Este espaço virtual, estruturado com base numa rede de redes serve também de suporte
tecnológico a muitos dos serviços críticos e infraestruturas, de que milhões de pessoas
dependem diariamente [7].
De acordo com os conceitos aferidos, pode-se dizer que o ciberespaço auxilia no crescimento
dos países, ajudando a desenvolver os vários sectores da sociedade e a facilitar o
aprovisionamento de serviços de uma forma mais rápida. O ciberespaço tornou-se um novo
espaço para o desenvolvimento de várias tarefas que noutrora só podiam ser efetuadas em
outros domínios.
Atendendo ao seu aspeto mais técnico, o ciberespaço pode ser definido como um conjunto de
redes e sistemas de comunicação que estão interligados entre si de forma direta ou indireta”. O
ciberespaço é assim um ambiente em si mesmo, onde se deve ter em linha de conta tanto a sua
componente tecnológica, isto é, as vulnerabilidades inerentes ao seu emprego e ameaças que
7
possam afetá-lo, como os fatores humanos, uma vez que são estes que caraterizam os
utilizadores deste ambiente [7].
De acordo a figura 1 são apresentadas algumas características do ciberespaço:
Figura 1 - Características do ciberespaço
(Adaptado do IDN, 2013)
O ciberespaço está em desenvolvimento devido a inúmeras tecnologias e sistemas que o
compõem. O carácter dinâmico refere-se à capacidade de mudança constante dessas mesmas
tecnologias, sistemas e das informações que trafegam neste espaço. É também de ressaltar que,
quer mesmo os atacantes, as vulnerabilidades e os ataques cibernéticos existentes estão
suscetíveis a persistentes alterações.
Não existem fronteiras no ciberespaço e hoje o custo para conectar-se a este espaço é irrisório.
Nesta linha de raciocínio, não são necessários hoje em dia recursos sofisticados para efetuar
ataques. Os ataques vão desde os mais simples aos de maiores proporções, podendo os seus
efeitos serem refletidos no ambiente físico e acabando por afetar as mais diversas áreas da
sociedade.
O ciberespaço também proporciona o anonimato o que favorece os atacantes e dificulta as
entidades competentes pela aplicação da lei na obtenção de provas dos crimes cometidos e a
punição destes atores.
O ciberespaço não está limitado pela esfera pública ou privada, interna ou externa, desta forma,
as ameaças podem surgir de qualquer local e ter efeitos assimétricos e fortemente disruptivos.
Métodos de ataques semelhantes podem ser utilizadas para atingir indivíduos, empresas ou
Estados [1].
Ciberespaço
Carácter dinámico
Custo irrelevante de acesso
Enorme potencial de crescimento
Alta capacidade de
processamento
Carácter assimétrico
Anonimato
Alta capacidade para produzir efeitos físicos
Transversalidade
8
Nesta ordem de ideias cada país deve avalizar a segurança dos utentes no ciberespaço e a
salvaguarda da soberania através de implementação de políticas, tecnologias, processos para a
mitigação das ameaças cibernéticas.
2.1.3 Cibersegurança
A União Internacional das Telecomunicações (ITU), com base a recomendação ITU-T X.1205,
define a cibersegurança como o conjunto de ferramentas, políticas, conceitos de segurança,
medidas de segurança, orientações, abordagens de gestão de riscos, ações, formações, boas
práticas e tecnologias que podem ser usadas para proteger o ciberespaço e os ativos das
organizações (ver tabela1) e dos utilizadores [8].
Tabela 1 – Ativos das organizações
(Adaptado de ITU, 2008)
Ativos da Organização
Computadores conectados Infraestrutura
Recursos humanos Aplicações
Sistemas de telecomunicação Serviços
Informação transmitida Informação guardada
Ghernaouti-Hélie, afirma que o conceito de cibersegurança é aplicado para a proteção de
quaisquer recursos de TIC material ou imaterial contra uma ameaça (…) [9].
Assim, as tecnologias, os sistemas e os processos devem ser concebidos com a segurança
sempre presente. A segurança deve ser um processo ininterrupto dentro das organizações e
deve fazer parte das atividades de negócio, devendo servir de base para o fornecimento de
outros serviços.
A abordagem para a cibersegurança deve ser abrangente devendo lidar com questões
imponentes como a soberania, a segurança nacional, a herança cultural das nações, e a proteção
das infraestruturas críticas, sistemas, redes, bens, valores e a segurança das pessoas [9].
A cibersegurança tem-se tornado uma preocupação global, assumindo assim uma acuidade
crescente na agenda da segurança internacional. Muitos governos estão a investir na
investigação e desenvolvimento de novas tecnologias de segurança, devido o aumento dos
riscos associados ao ciberespaço.
2.1.4 Ciberdefesa
Enquanto espaço de interação social, o ciberespaço materializa assim uma área de
responsabilidade coletiva onde a atribuição de responsabilidades e competências na sua
segurança deverá obedecer à mesma lógica e fundamentos que caracterizam a Segurança e a
Defesa do Estado [1]
Por ciberdefesa entendem-se as atividades de monitorização, prevenção e resposta às ameaças
que ponham em risco a soberania e a segurança nacional (ciberguerra) e cuja responsabilidade
de resposta recai nas Forças Armadas [10].
9
A cibersegurança sendo um edifício de vários pilares (ver figura 2), para garantir a soberania
nacional, deve-se desenvolver a componente de ciberdefesa.
Figura 2 – Cibersegurança (um edifício – vários pilares)
(Nunes, 2012)
A estratégia nacional de cibersegurança deve contemplar um conjunto de iniciativas para a
proteção do ciberespaço, deve garantir medidas de segurança e defesa nos sistemas e redes
das infraestruturas críticas para fazer face ao espectro de ameaças no ciberespaço.
2.1.5 Infraestruturas Críticas
Segundo Santos et al., as Infraestruturas críticas são redes de estruturas críticas para regular o
funcionamento da sociedade, “devem constituir uma preocupação central de um país perante as
diversas ameaças que surgem do ciberespaço, pois o número de pontos sensíveis cresce com
a proliferação tecnológica [11].
Podem ser consideradas como IC as instalações básicas, ou seja, serviços necessários para o
funcionamento de uma comunidade ou sociedade, tais como transporte e sistemas de
comunicação, linhas de água e de energia, e as instituições públicas, incluindo escolas, correios
e prisões [12].
Os países, os indivíduos e as organizações passaram a depender do uso das tecnologias de
informação e comunicação (TIC), especialmente da internet, para realizar as suas atividades.
Quanto maior for essa dependência maiores serão os riscos para a segurança. As infraestruturas
críticas hoje podem ser operadas e controladas remotamente através da Internet, este fator
introduz uma série de riscos para a segurança das IC.
As IC enfrentam uma variedade de riscos para a sua segurança desde atos de vandalismos
provocados pelo homem, desastres naturais e ataques cibernéticos. A proteção das diversas
infraestruturas críticas é de suma importância para a sobrevivência dos países.
É neste sentido que os países têm envidado esforços no que toca a definição das suas
infraestruturas críticas, e adoção de medidas para a salvaguardar as suas infraestruturas críticas.
Nunes [13] apresentou um modelo de interdependência funcional das infraestruturas críticas (ver
figura 3).
10
Figura 3 - Modelo de interdependência de infraestruturas críticas
(Adaptado de Nunes, 2015)
As infraestruturas críticas podem ser afetadas diretamente ou indiretamente. Quando afetadas
diretamente, as funções destas infraestruturas são paralisadas (quando o ataque é direcionado
a uma parte crítica da IC: ativos, serviços, sistemas críticos). Quando é afetada indiretamente, o
ataque direcionado a uma infraestrutura crítica tem os seus efeitos repercutidos noutras
infraestruturas [13].
A figura 2 mostra essencialmente a relação de interdependência entre as IC, onde todas as IC
consideradas dependem da infraestrutura elétrica para a execução das suas atividades, e
dependem também da infraestrutura crítica de telecomunicações. Uma falha numa destas
infraestruturas prejudica o funcionamento das demais. Por isso importa refletir sobre o
desenvolvimento de um plano de proteção de infraestrutura crítica e numa estratégia de
cibersegurança que contempla a questão de proteção de infraestruturas críticas no ciberespaço
para fazer face às ameaças.
2.1.6 Ameaças
A ameaça à segurança das TIC pode ser definida como “qualquer circunstância ou
evento passível de explorar, intencionalmente ou não, uma vulnerabilidade específica
num sistema de TIC, resultando numa perda de confidencialidade, integridade e disponibilidade
da informação manipulada ou do sistema [7].
Existem diferentes tipos de ameaças (…), ainda que as ameaças associadas às catástrofes
naturais, origem industrial e a erros ou falhas não intencionais, estejam sempre presentes, é
necessário analisar com maior profundidade os ataques deliberados, já que a sua sofisticação,
precisão e potencial impacto estão em constante evolução, elevando o nível de risco a que os
sistemas estão submetidos [7].
Rede Elétrica Nacional
Rede de Telecomunicações
Transportes (ex: correio, tráfego
aéreo, ferroviário, metro)
Sistema Financeiro (ex: bancos, bolsas,
multibanco)
Defesa (ex: sistemas, radares,
mísseis, etc)
Proteção Civil (ex: bombeiros, forças de segurança, etc)
Outras IC (governo, saúde, sist.de dist.
de água, etc)
11
Os ataques podem ser perpetrados de qualquer parte do mundo, a qualquer hora, sem a
necessidade de grandes recursos para a realização dos mesmos.
Falando das ameaças cibernéticas que também fazem parte dos ataques deliberados, vale
realçar que podem ser agrupados de acordo a motivação associada a eles [14] (ver figura 4).
Figura 4 – Espectro de ameaças cibernéticas
(Adaptado de Santos, 2011)
• Cibercrime: centradas essencialmente na obtenção de benefícios económicos através de
ações ilegais. As ações realizadas como: a fraude bancária, com cartões de crédito ou a
realização de transações em diferentes páginas web, constituem exemplos de ações comuns
relacionadas com este tipo de ameaças [7].
• Ciberespionagem: com o foco na obtenção de informações, seja para benefício próprio
ou para deter um benefício monetário posterior com a sua venda. A informação mais suscetível
a identificar-se neste campo pode pertencer, nomeadamente, a um governo ou até a
organizações privadas, e ser classificada, sendo esta uma mais valia para os atacantes [7].
• Ciberterrorismo: onde se procura um impacto social e político significativo pela destruição
física. Neste contexto as infraestruturas críticas constituem os alvos mais prováveis.
O ciberterrorismo tem motivações políticas, sociais ou religiosas, é também considerado com a
convergência entre o terrorismo convencional e o ciberespaço [7].
• Ciberguerra: pode ser definida como uma luta ou conflito entre duas nações ou entre
diferentes facções dentro de uma nação onde o ciberespaço é o campo de batalha [7].
• Hacktivismo: o ciberativismo possui os mesmos princípios que o ativismo convencional,
na verdade a Internet e as redes sociais servem como ferramentas para divulgação e
consciencialização, contundo existem atos considerados ativistas que não poderiam ser feitos
no mundo real como ataques a servidores [7].
O que varia neste conjunto de ameaças deliberadas são as motivações e os atores que cometem
os ataques cibernéticos. Portanto é muito importante ter em atenção estes aspetos de formas a
se analisar as ameaças que podem afectar as infraestruturas críticas.
A figura 5 apresenta quinze tendências de ameaças referentes aos anos de 2014 e 2015
publicados pela Agência da União Europeia para a Segurança das Redes e Informação (ENISA)
12
[15], em diversas áreas tecnológicas e de aplicações, são mencionadas as principais ameaças
cibernéticas que podem ser realizadas pelos atacantes contra os sistemas.
Figura 5 - Tendências de ameaças 2014/2015
(Adaptado ENISA, 2015)
Pode-se constatar que não teve muita alteração na classificação entre os dois anos. Os
atacantes hoje em dia usam inúmeras técnicas para efetuarem essas ameaças. Entre as 5
primeiras ameaças pode-se destacar os Botnets e o Denial of Service (Negação de serviço –
DoS em Inglês) como um dos ataques com maior impacto às infraestruturas críticas podendo
causar: paralisação no fornecimento de serviços essenciais, perda temporária ao acesso de
informações críticas, prejuízos financeiros.
Os botnets são usados em muitos ataques de negação de serviços, eles são uma rede de
computadores infectados que são usados para inundar o servidor “vítima” com muitas
solicitações e tornando assim os recursos dos sistemas indisponíveis para os seus utilizadores.
Essas ameaças podem afectar serviços, processos ou mesmo paralisar os sistemas das
infraestruturas críticas.
O site Hackmagedom [16], publica as estatísticas de ataques cibernéticos a nível global, é
apresentado na figura 6 uma comparação entre os anos 2014 e 2015, as principais motivações
por detrás dos ciberataques.
13
Figura 6 - Comparação das motivações por detrás dos ataques
(Adaptado do Hackmagedon,2015/6)
Como se pode observar na figura 6, os cibercrimes têm ocupado a posição de destaque dentre
os ataques, pelo que se pode esperar é que haja um crescimento exponencial nos próximos
anos. Todos os dias acontecem casos relacionados com cibercrime. Os atacantes exploram
vulnerabilidades mais rapidamente do que os utilizadores podem defender-se deles.
De uma forma geral os ataques cibernéticos vêm crescendo cada vez mais, e deve ser uma
preocupação cimeira dos países a busca de medidas para fazer face a estas ameaças, que
colocam em risco a segurança nacional.
2.2 Panorama sobre a cibersegurança nas infraestruturas
O grande aumento da interligação dos sistemas informáticos, particularmente o desenvolvimento
da Internet, revolucionou a forma de como os governos, as empresas e os indivíduos comunicam
e fazem negócios. No entanto, este advento de um mundo hiperligado trouxe também enormes
riscos para os sistemas, para os computadores e, mais importante ainda, para o normal
funcionamento das infraestruturas críticas (IC) que eles suportam [17] .
O fator criticidade das infraestruturas pode variar de país para país, mas há algo em comum
neste contexto que é a relevância para o funcionamento normal de um país.
As infraestruturas críticas podem ser danificadas, destruídas ou perturbadas por atos deliberados
de terrorismo, catástrofes naturais, negligência, acidentes, crimes cibernéticos, ou
comportamentos mal-intencionados. No início do século XXI, os acontecimentos do 11 de
Setembro nos EUA2 e os seus impactos, a nível mundial, fizeram com que o estudo sobre a
proteção de infraestruturas críticas começasse a ser visto com maior atenção por toda a
comunidade internacional [18].
Os governos precisam de um plano abrangente para lidar com a questão da cibersegurança e
identificar mecanismos que visam proteger as suas infraestruturas críticas. A nível mundial
2De acordo o documento de proteção física das infraestruturas críticas dos Estados Unidos de América, há uma referência citada pela casa branca que afirma, que os ataques demonstraram a extensão da vulnerabilidade dos EUA à ameaça terrorista. Na sequência destes acontecimentos trágicos, tem-se demonstrado firme determinação em proteger as Infraestruturas críticas e principais ativos de maior exploração terrorista. (http://www.whitehouse.gov/sites/default/files/rss_viewer/national_security_strategy.pdf)
Motivações dos ataques
14
diversos países têm adotado estratégias em matéria de cibersegurança, pode-se citar como
exemplo: os EUA [6] [12] [19] [20], Alemanha [21], Estónia [22], Canadá [23]. Em Portugal, a
resolução do Conselho de Ministros nº42/2012 orientou a implementação de uma Estratégia
Nacional de Segurança da Informação que compreende, designadamente, a criação, instalação
e operacionalização de um Centro Nacional de Cibersegurança. Em Junho de 2015 foi aprovada
a Estratégia Nacional de Segurança no Ciberespaço, conforme a resolução do Conselho de
Ministros nº36/2015 [24].
A seguir apresentar-se-á o ponto de situação de alguns países em matéria de cibersegurança e
proteção das infraestruturas críticas.
2.2.1 Estados Unidos
2.2.1.1 Cibersegurança
O ciberespaço e a sua infraestrutura subjacente são vulneráveis a uma ampla gama de riscos
decorrentes de ambas as ameaças físicas e virtuais [25].
Atendendo as vulnerabilidades do ciberespaço, os cibercriminosos cometem atos deliberados
com a finalidade de destruir os sistemas informáticos, interromper serviços críticos e até mesmo
destruir as infraestruturas críticas.
Segundo o Departamento de Segurança Interna [25], “uma série de crimes tradicionais estão
agora a ser perpetrados através do ciberespaço (…), os quais têm consequências económicas
e humanas substanciais”.
Em função desta realidade o Presidente dos EUA emitiu a Ordem Executiva 13636, "Melhorando
a Cibersegurança das Infraestruturas Críticas". A Ordem Executiva apela ao desenvolvimento de
uma plataforma de trabalho voluntária de cibersegurança baseada em riscos - um conjunto de
padrões e melhores práticas para ajudar as organizações a gerenciar riscos de cibersegurança
[20].
A plataforma de trabalho, criada através da colaboração entre o governo e o sector privado,
utiliza uma linguagem comum para resolver e gerenciar riscos de cibersegurança de uma forma
eficaz.
A plataforma de trabalho é uma abordagem baseada na gestão de riscos à cibersegurança, e
está composta em três partes: plataforma de trabalho de núcleo, plataforma de trabalho de
implementação de camadas, plataforma de trabalho de perfis. Cada componente da plataforma
de trabalho reforça a conexão entre os administradores de negócio e atividades de
cibersegurança [20].
O esforço para garantir um programa de cibersegurança coerente com as infraestruturas críticas
tem quatro componentes que são apresentados na figura 7:
15
Figura 7 - Componentes para o programa de cibersegurança EUA
(Adaptado de NIST, 2014)
2.2.1.2 Infraestruturas Críticas
As infraestruturas críticas fornecem os serviços essenciais que sustentam a sociedade
americana [26].
Esforços pró-ativos e coordenados são necessários para fortalecer e manter seguras,
operacionais, e resilientes as infraestruturas críticas
As Infraestruturas críticas dos EUA são diversas e complexas. Incluem redes distribuídas,
estruturas organizacionais, modelos variados de funcionamento, funções e sistemas
interdependentes, tanto no espaço físico e no virtual, construções de governança que envolvem
autoridades de vários níveis, responsabilidades e regulamentações [27].
As Infraestruturas críticas devem ser seguras, capazes de suportar e rapidamente recuperar de
todos os perigos, para o efeito deve haver um preparo em termos de prevenção, proteção,
mitigação, resposta e recuperação.
A Diretiva Presidencial Política 21 (PPD-21): Segurança e Resiliência nas Infraestruturas Críticas
- revoga a Diretiva Presidencial de Segurança Interna / HSPD-7, avança uma política nacional
para fortalecer e manter seguro, o funcionamento das infraestruturas críticas. A Diretiva
Presidencial Política e o Plano Nacional de Proteção de Infraestruturas Críticas (NIPP),
organizam as infraestruturas críticas em 16 sectores, e agências federais, conhecidas como
Agências Sectoriais Específicas (Specific Sector Agency), para liderar um processo colaborativo
para a segurança das infraestruturas críticas dentro de cada um dos 16 sectores de infraestrutura
crítica. Cada Agência Sectorial Específica é responsável pelo desenvolvimento e implementação
de um Plano Sectorial Específico (SSP), que detalha a aplicação dos conceitos do Plano
Nacional de Proteção das Infraestruturas Críticas (NIPP) às caraterísticas únicas e condições do
seu sector, (ver tabela 2).
16
Tabela 2 - Sectores de infraestruturas críticas e agências sectoriais específicas EUA
(Adaptado da Casa Branca, 2013)
Sector de Infraestruturas Críticas Agências Sectoriais Específicas
Químico
Departamento de Segurança Interna Instalações Comerciais
Comunicações
Produção
Barragens
Serviços de Emergência
Reatores Nucleares, Materiais e Resíduos
Tecnologia de Informação
Base Industrial de Defesa Departamento de Defesa
Energia Departamento de Energia
Serviços Financeiros Departamento de Tesouro
Instalações Governamentais Departamento de Segurança Interna
Serviços Gerais de Administração
Sistemas de Transporte Departamento de Segurança Interna
Departamento de Transportes
Assistência Médica e Saúde Pública Departamento de Saúde e Serviços Humanos
Sistema de Água e Esgoto Agência de Proteção Ambiental
Agricultura e Alimentação Departamento de Agricultura
Departamento de Saúde e Serviços Humanos
Os planos para a proteção das infraestruturas críticas são criados através de um esforço
coordenado envolvendo os seus parceiros dos sectores público e privado.
Dentre os sectores referenciados na tabela 2, a Diretiva Presidencial identifica o sector
energético como exclusivamente crítico, pois sem o fornecimento estável da energia, a saúde e
o bem-estar estão ameaçados, o sector tem uma função muito importante para todos os outros
sectores de infraestrutura crítica. Mais de 80% da infraestrutura energética do país é de
propriedade do sector privado, fornecendo combustíveis para o sector de transportes, a
eletricidade para as famílias e empresas [28].
Pode-se aqui verificar uma interdependência entre as infraestruturas críticas, ou seja, para que
uma infraestrutura execute as suas funções dependerá, no entanto das funções de outra
infraestrutura, (ver figura 8).
17
Figura 8 - Interdependência das infraestruturas críticas nos EUA
(Adaptado do Departamento de Energia, 2010)
Uma interrupção numa única infraestrutura pode gerar distúrbios dentro de outra infraestrutura.
Pode-se observar na figura 8 que o sector energético é o ponto central das demais infraestruturas
críticas, sendo que uma falha neste sector poderia causar uma falha geral no funcionamento de
outras IC.
O sector das comunicações é um componente integrante da economia dos EUA, subjacente às
operações de todas as empresas, organizações de segurança pública e governo. A Diretiva
Presidencial Política identifica o sector das comunicações como crítico, porque fornece uma
função importante que permite o funcionamento de outros sectores críticos de infraestrutura
pode-se citar o sector da energia, transporte, tecnologia de informação, financeiro e outros [29].
Outo sector crítico é o da tecnologia de informação identificado como central para a segurança,
economia e saúde pública. Empresas, governos, e cidadãos estão cada vez mais dependentes
das funções do sector das tecnologias de informação [30].
2.2.1.3 Plano de Proteção das Infraestruturas Críticas
O Plano Nacional de Proteção das Infraestruturas Críticas (NIPP 2013), criado em resposta da
Diretiva Política Presidencial 21 (PPD-21), foi desenvolvido através de um processo colaborativo
envolvendo as partes interessadas de todos os 16 sectores de infraestrutura crítica, de todos os
estados, e de todos os níveis do governo e da indústria.
O NIPP possui uma plataforma de trabalho ou modelo de gestão de riscos (ver figura 9), que
está estruturado para promover o aperfeiçoamento na proteção contínua dos recursos chaves
das infraestruturas críticas, e este modelo deve ser aplicado em cada sector de infraestrutura
crítica de acordo as suas características.
18
Figura 9 - Plataforma de trabalho para gestão de riscos das infraestruturas críticas dos EUA
(Adaptado do Departamento de Segurança Interna, 2013)
Os elementos da IC (físico, virtual e humano) devem ser integrados em todas as fases do modelo
de gestão de risco dependendo das caraterísticas do sector e focando em atividades como:
estabelecer objetivos; identificar a infraestrutura (incluindo os ativos críticos); avaliar os riscos
baseando-se nas vulnerabilidades, ameaças e consequências; estabelecer prioridades
baseando-se na avaliação dos riscos e aumento ou retorno do investimento para mitigação dos
riscos; implementar programas de proteção, estratégias resilientes; e medidas de efetividade.
Finalmente, retrata a importância da partilha de informação em todo o processo de gestão de
riscos. A informação é compartilhada através de cada passo do quadro, para incluir a etapa de
"medir a eficácia", facilitando o feedback e permitindo melhoria contínua dos esforços críticos de
segurança de infraestrutura e resiliência [31].
2.2.2 Canadá
2.2.2.1 Cibersegurança
A Estratégia de Cibersegurança do Canadá é o plano do Governo para proteger o Canadá contra
ameaças.
O Ministério de Segurança Pública de Canadá é responsável por coordenar a implementação da
Estratégia do Canadá e reconhece que a cibersegurança afeta a todos, atendendo os riscos e
os ataques que podem interromper as redes de energia, tratamento de água, e
telecomunicações. [23]
A cibersegurança deve pautar-se numa abordagem abrangente e multidisciplinar requerendo
assim partilha e coordenação de informação.
Lidar com ameaças cibernéticas isoladamente não é suficiente, razão pela qual implementou-se
a Estratégia Nacional de Cibersegurança, pois através dela o Governo vai trabalhar com as
províncias, territórios e o sector privado em um esforço concertado para enfrentar as ameaças
que o país poderá sofrer [23].
A estratégia é apenas um elemento de uma série de iniciativas destinadas a proteger os
canadianos. O governo estabeleceu o Centro Canadiano de Respostas a Incidentes para
monitorar e prestar assessoria sobre mitigação ameaças cibernéticas, e coordenar a resposta
nacional a qualquer incidente no âmbito da cibersegurança [23].
A Estratégia de Cibersegurança do Canadá assenta sobre três pilares, conforme a figura 10.
19
Figura 10 - Pilares da estratégia de cibersegurança Canadá
(Adaptado do Ministério da Segurança Pública, 2009)
2.2.2.2 Infraestruturas Críticas
O Ministério de Segurança Pública descreve que as Infraestruturas Críticas referem-se aos
processos, sistemas, instalações, tecnologias, redes, ativos e serviços essenciais para saúde,
segurança ou o bem-estar económico para os canadianos e o funcionamento efetivo do governo
[32].
A interrupção das infraestruturas críticas pode resultar numa catástrofe como: perdas de vidas,
efeitos económicos adversos e danos significativos a segurança pública. Para o efeito foram
criadas a Estratégia Nacional e o Plano de Ação para as IC que estabelecem uma abordagem
baseada em risco para fortalecer a resiliência dos ativos vitais e sistemas em Canadá como por
exemplo: redes elétricas, transportes, comunicações, sistema de segurança pública.
No Canadá existem 10 sectores de IC e redes sectoriais. Estes sectores são constituídos por
departamentos federais de áreas específicas definidas na Estratégia Nacional para as IC (tabela
3).
Tabela 3 - Sectores de infraestruturas críticas e agências sectoriais específicas de Canadá
(Adaptado do Ministério da Segurança Pública, 2009)
Sector de Infraestruturas Críticas Redes Sectoriais
Energia e Instalações Recursos Naturais
Tecnologia de Informação e Comunicações Indústria
Finanças Finanças
Saúde Agência de Saúde
Alimentação Agricultura
Água Ambiente
Transporte Transporte
Segurança Segurança Pública
Governo Segurança Pública
Produção Indústria
Departamento de Defesa Nacional
Proteger os sistemas
governamentais
Parceria para garantir
sisgtemas cibernéticos
Ajudar os canadianos para uma segurança
online
20
2.2.2.3 Plano de Proteção das Infraestruturas Críticas
O plano de ação e a estratégia nacional para a proteção de infraestruturas críticas em Canadá
descrevem apenas os sectores de infraestrutura crítica sem mencionar quais são os sectores
mais críticos. Porém, atendendo à importância e analisando o fator de interdependência,
pode-se citar os sectores de energia, transportes e tecnologia de informação e comunicações
como sendo os sectores mais críticos devido as funções que desempenham e considerando que
um ataque a estas infraestruturas críticas poderia seriamente afetar o funcionamento de outras
infraestruturas críticas.
A finalidade da Estratégia Nacional de Infraestrutura Crítica [32] é reforçar a resiliência das
infraestruturas críticas contra os riscos actuais e emergentes. Os objetivos estratégicos com vista
a reforçar a resiliência das infraestruturas críticas no Canadá são:
• Construir parcerias;
• Implementar uma abordagem de gestão de riscos;
• Promover a partilha atempada e proteção de informações entre os parceiros.
A Estratégia Nacional para Infraestruturas Críticas [32] “descreve que deve haver uma partilha
de responsabilidades para a proteção das infraestruturas críticas (…). A responsabilidade para
proteção das infraestruturas críticas no Canadá é compartilhada pelos governos federais,
provinciais, territoriais, autoridades locais, proprietários de infraestruturas críticas e operadores
que carregam a responsabilidade principal de proteger seus bens e serviços”.
De acordo o Ministério de Segurança Pública “O Plano de Ação de Infraestruturas Críticas
consiste em tomar passos adicionais para cada um dos três objetivos estratégicos definidos na
Estratégia Nacional, (…) e vai também reforçar a resiliência da infraestrutura crítica, ajudando a
prevenir, mitigar, preparar, responder e se recuperar de rupturas” [33].
2.2.3 Portugal
2.2.3.1 Cibersegurança
A atual dependência das TIC tem criado diversas vantagens, tais como a melhor prestação de
serviços, a inclusão digital, crescimento económico, mas por outro lado a adoção dessas novas
tecnologias trás consigo muitos riscos.
De acordo a Resolução do Conselho de Ministros nº36/2015 “O ciberespaço transpõe a vida real
para um mundo virtual, com características únicas que impõem novas formas de interação e de
relacionamento (…), este mundo em rede desenvolve novos modos de atuação com
caraterísticas únicas, de onde se destaca o cibercrime” [24].
A Estratégia Nacional de Segurança do Ciberespaço, publicada pela Resolução do Conselho de
Ministros nº. 36/2015 assenta no compromisso de aprofundar a segurança das redes e da
informação como forma de garantir a proteção e defesa das infraestruturas críticas e dos serviços
vitais de informação, e potenciar uma utilização livre, segura e eficiente, do ciberespaço por parte
de todos os cidadãos, das empresas e das entidades públicas e privadas
A estratégia define seis eixos de intervenção conforme a figura 11, destinadas a reforçar o
21
potencial estratégico nacional no ciberespaço [24].
Figura 11 - Eixos de intervenção da Estratégia - Portugal
(Adaptado do Diário da República, 2015)
Devido ao crescente número de incidentes e ataques maliciosos que têm como alvo as
infraestruturas de informação do governo, instituições públicas e privadas, empresas e cidadãos,
surgiu a necessidade do país levantar uma estrutura nacional de cibersegurança. Esta estrutura
é composta por uma capacidade de nível essencialmente operacional, capaz de garantir uma
eficaz gestão de crises, coordenar a resposta operacional a ciberataques, desenvolver sinergias
nacionais e potenciar a cooperação internacional neste domínio [7].
A Estratégia Nacional de Cibersegurança define o Centro Nacional Cibersegurança (CNCS),
como coordenador operacional.
Para a proteção das infraestruturas críticas o CNCS possui o seguinte âmbito de atuação
assentos nos pilares conforme indicado na figura 12 e conta com uma rede de CERTs para rápida
resposta aos ataques.
Figura 12 - Âmbito de actuação do CNCS
(Adaptado do Centro Nacional de Cibersegurança, 2015)
O CNCS assegura a planeamento das atividades entre as várias partes responsáveis (ver figura
13), O CNCS acolheu o serviço do CERT.PT, com as atribuições de coordenação de resposta a
incidentes de cibersegurança, envolvendo as entidades do Estado, os operadores de
infraestruturas críticas e outros CSIRTs nacionais.
22
Figura 13 - Rede de CERTs de Portugal
(Centro Nacional de Cibersegurança, 2015)
2.2.3.2 Infraestruturas Críticas
De acordo o decreto nº 62/2011, no seu 2º artigo entende-se por “Infraestrutura Crítica a
componente, sistema ou parte deste situado em território nacional que é essencial para a
manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico
ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade
de continuar a assegurar essas funções” [34].
A Diretiva de 2008/114/CE [35] do Conselho da União Europeia, constitui a primeira etapa de
uma abordagem faseada para identificar e designar as Infraestruturas Críticas Europeias (ICE)
e avaliar a necessidade de melhorar a sua proteção. Concentra-se, enquanto tal, nos sectores
da energia e dos transportes (ver tabela 4).
Tabela 4 - Sectores de infraestruturas críticas definidos pela União Europeia
(União Europeia, 2008)
Sector Subsector
I. Energia 1.Eletricidade Infraestruturas e instalações de produção de transporte de
eletricidade, em termos de abastecimento.
2.Petróleo Produção, refinação, tratamento, armazenamento e
transporte de petróleo por oleodutos.
3.Gás Produção, refinação, tratamento, armazenamento e
transporte de gás, por gasodutos Terminais para GNL.
II. Transporte 4. Transportes rodoviários
5. Transportes ferroviários
6. Transportes aéreos
7. Transporte por vias navegáveis interiores
8. Transporte marítimo, transporte marítimo de curta distância e portos
23
2.2.3.3 Plano de Proteção das Infraestruturas Críticas
No âmbito da proteção de infraestruturas críticas em Portugal, é de referenciar o papel do
Conselho Nacional do Planeamento Civil de Emergência (CNPCE) que nos últimos anos (2003-
2011), foi responsável por [36]:
• Identificar e classificar as infraestruturas fundamentais;
• Criar o programa nacional para a proteção de infraestruturas críticas;
• Elaborar uma definição de infraestrutura crítica.
As funções exercidas pelo CNPCE foram passadas para o ANPC (Autoridade Nacional de
Proteção Civil).
A proteção de infraestruturas críticas ganhou sustento legal em Portugal quando, em 9 de maio
de 2011, foi publicado o Decreto-Lei 62/2011, o qual transpôs para o quadro jurídico nacional a
Diretiva 2008/114/CE.
O Decreto-Lei n.º 62/2011 faz referência que o plano de proteção das infraestruturas críticas
deve ser elaborado pelos operadores das infraestruturas críticas [34] (artigo 10º), e também
identifica as soluções de segurança que devem ser aplicadas nas infraestruturas críticas
conforme a figura 14.
Figura 14 - Soluções de segurança para as infraestruturas críticas (Decreto n.º 62/11)
(Adaptado do Diário da República, 2011)
Portugal tem as medidas criadas a nível de legislação o que é um fator extremamente importante,
porém a proteção de infraestruturas críticas no ciberespaço exige também a coordenação
operacional de vários atores para se chegar a este fim. O responsável por esta coordenação é o
CNCS.
A fim de, de uma forma otimizada e eficiente, coordenar as de respostas a incidentes é
necessário que haja uma responsabilização de todos os intervenientes e principalmente a
colaboração dos proprietários das infraestruturas críticas tanto públicas, como privadas,
conforme pode-se constatar no anexo 2 (entrevista do responsável operacional do CNCS Eng.º
Lino Santos).
Prevenção
Identificação de Elementos
Críticos
Gestão de Riscos
Identificação de vulnerabilidades
Identificação de ameaças
Análise de Impacto
Resposta e Recuperação
Gestão de Incidentes
Soluções de Recuperação
Comunicação
Sensibilização
Uso de boas práticas
Formação
24
2.2.4 África do Sul
2.2.4.1 Cibersegurança
A Política Nacional de Cibersegurança tem o objetivo de criar um ambiente ciber seguro, fiável e
de confiança que facilita a proteção das infraestruturas críticas de informação, visa assegurar
que o governo, as empresas e a sociedade civil são capazes de desfrutar dos benefícios de um
ciberespaço seguro. [37].
De modo a reduzir as vulnerabilidades e ameaças a política nacional de cibersegurança prevê:
(ver figura 15):
Figura 15 - Medidas para garantir a cibersegurança na África do Sul
(Adaptado da Agência de Segurança de Estado, 2012)
Foi criada um grupo denominado JCPS (Cluster de Segurança, Prevenção de Crimes e Justiça)
que trabalhará com outros órgãos do governo para supervisionar a implementação da política
nacional de cibersegurança com o objetivo de garantir a coordenação centralizada das questões
inerentes à cibersegurança.
Dentro deste Cluster será criado um comité de resposta de cibersegurança que será o órgão que
terá a função de coordenar as atividades de cibersegurança, guiar a implementação da política
nacional de cibersegurança, vai também supervisionar e guiar o processo de funcionamento do
centro de cibersegurança, ECS-CSIRT e de outros CSIRT existentes na África do Sul [37].
E dentre outras funções deverá ainda promover e orientar o processo de desenvolvimento e
implementação do [37]:
Enquadramento legal para reger o ciberespaço.
Plano de proteção das infraestruturas críticas de informação.
Análise situacional da África do Sul e campanhas de sensibilização sobre os riscos no
ciberespaço.
O cumprimento das normas técnicas e operacionais de cibersegurança.
Formação em cibersegurança, investigação e desenvolvimento, programas de
desenvolvimento de competências.
Cooperação internacional;
Medidas para lidar com a segurança nacional em termos de ciberespaço.
Medidas para combater a guerra cibernética, a
cibercriminalidade e outros males cibernéticos.
Desenvolvimento, revisão e actualização das leis.
Medidas para assegurar a confiança na utilização das
TIC.
25
Facilitação da interação, tanto a nível nacional e internacional, nomeadamente através
de associações internacionais e organizações.
Para este fim o sector público, o sector privado e a sociedade civil terão de trabalhar em conjunto
para compreender e lidar com os riscos, reduzir os benefícios para os criminosos e aproveitar as
oportunidades no ciberespaço para melhorar a África do Sul em geral em termos de segurança
e protecção, incluindo o seu bem-estar económico [37].
2.2.4.2 Infraestruturas Críticas e Plano de Proteção das Infraestruturas
Críticas
As infraestruturas críticas são estruturas fundamentais, instalações de redes, sejam fixas ou em
locais especiais, onde as empresas ou a sociedade em geral recebem os serviços básicos como
transporte, infraestrutura elétrica, fornecimento de água, ou telecomunicações [38].
O projeto-lei de proteção das infraestruturas críticas tem os seguintes objetivos [39]:
• A proteção adequada das infraestruturas críticas dentro da República.
• A criação de procedimentos para a determinação e proteção das infraestruturas.
• Administração responsável das infraestruturas críticas enquanto se garante que a
segurança da República é mantida.
É definida de igual modo pelo mesmo projeto a criação de um conselho de infraestruturas críticas
que será responsável em determinar e declarar áreas como infraestruturas críticas, avaliar as
vulnerabilidades das infraestruturas críticas, determinar medidas de segurança para a proteção
de infraestruturas críticas [39].
De acordo o projeto-lei de proteção das infraestruturas críticas, considera-se infraestruturas
críticas todos os sistemas e ativos que devem constar dentro de uma das categorias conforme a
tabela 5:
Tabela 5 - Sectores de infraestruturas críticas na África do Sul
(Adaptado da Assembleia Nacional, 2015)
Sectores de
Infraestruturas
Críticas
Energia
Comunicações
Finanças
Indústria
Transportes
Proteção Civil
Serviços Públicos
Saúde
Água
26
As medidas de proteção definidas para as infraestruturas críticas estão representadas na figura
16.
Figura 16 - Medidas definidas para proteção das infraestruturas críticas na África do Sul
(Adaptado da Assembleia Nacional África do Sul, 2015)
2.2.5 Nigéria
2.2.5.1 Cibersegurança
O Governo da Nigéria desenvolveu uma estratégia nacional de cibersegurança por forma a
enfrentar os desafios que se apresentam relacionados com a atual dependência do ciberespaço.
A estratégia nacional de cibersegurança descreve o plano de preparação do país para fornecer
medidas coesas e ações estratégicas no sentido de garantir a segurança e proteção do país no
ciberespaço, salvaguardando a infraestrutura de informação crítica (…), com o compromisso de
garantir a continuidade do governo no advento de ameaças cibernéticas e salvaguardar a
infraestrutura de informação crítica (…) [40].
O foco primordial da estratégia de cibersegurança é abordar sobre a exposição ao risco
cibernético, a proteção da infraestrutura de informação crítica, explorando as oportunidades do
ciberespaço para a segurança nacional e os objetivos económicos, e a entronização de uma
comunidade virtual de confiança continuam a ser um foco fundamental da Estratégia Nacional
de Cibersegurança [40].
Portanto, a estratégia é necessária para alcançar os objetivos específicos de acordo a figura 17.
27
Figura 17 - Objetivos da estratégia de cibersegurança da Nigéria
(Adaptado do Conselho Nacional de Segurança, 2014a)
2.2.5.2 Infraestruturas Críticas e Plano de Proteção das Infraestruturas
Críticas
A Nigéria ainda não possui nenhuma lei que aborde especificamente sobre as infraestruturas
críticas, mas existe a lei do Cibercrime HB. 14.01.669, aprovada pela Assembleia Nacional, que
cita no seu 3º artigo que: deve ser feita pelo Conselho Nacional de Segurança sob ordem
presidencial, a designação de sistemas de computadores, redes e infraestruturas de informação
vitais para a segurança da Nigéria e o bem-estar económico e social dos cidadãos [41].
No documento elaborado pelo Conselho Nacional de Segurança, intitulado Política Nacional de
Cibersegurança foram descritos os sectores de infraestruturas críticas (ver Tabela 6) e aspetos
sobre a proteção das mesmas. O Plano de Proteção das Infraestruturas Crítica de Informação
(CIIP) apresenta a política do Governo para desenvolver diretrizes nacionais e critérios para a
criação de perfil de infraestrutura de informação com uma intenção estratégica de determinação,
identificação e classificação de infraestrutura de informação crítica [42].
Assim, as medidas de proteção das infraestruturas críticas definidas devem adaptar-se às
normas de cibersegurança e diretrizes previstas na Estratégia Nacional de Cibersegurança.
Criar uma abrangente legislação sobre o cibercrime.
Criar medidas para a proteção das ICs, bem como a redução das vulnerabilidades.
Articular mecanismos eficazes de resposta à emergências informáticas.
Criar mecanismos nacionais de capacitação, sensibilização do público.
Promover o engajamento de múltiplas partes nacionais interessadas e parceiros internacionais no sentido de abordar em conjunto sobre as ameaças cibernéticas.
Impedir e proteger o governo de todas as formas de ataques cibernéticos.
Coordenar as iniciativas de cibersegurança em todos os níveis do governo no país.
Construir capacidades nacionais contra ameaças cibernéticas com coerente cooperação através da parceria público-privada.
Promover a coordenação, cooperação e a colaboração dos participantes sobre a cibersegurança.
Promover uma visão nacional sobre a cibersegurança através da consciência, parceria através de uma partilha de responsabilidades e uma comunidade de confiança.
28
Tabela 6 - Sectores de infraestruturas críticas Nigéria
(Adaptado do Conselho Nacional de Segurança, 2014b)
Sectores de
Infraestruturas
Críticas
Comunicações
Governo
Industrial
Barragens
Defesa
Química (Petróleo e Gás)
Energia
Comercial
Finanças
Alimentação e Agricultura
Serviços de Emergência
Sistemas de Transporte
Saúde
Água
Tecnologia de Informação
Na Política Nacional de Cibersegurança, são mencionados apenas os sectores de infraestrutura
crítica sem apresentar os mais críticos. Porém o Governo reconhece no mesmo documento a
importância das infraestruturas críticas e define-as como partes que fornecem serviços
essenciais para a vida cotidiana (sector de energia, alimentação, água, transportes,
comunicações, saúde, bancário e financeiro), sendo que uma interrupção nas infraestruturas
críticas poderia ter uma gama de implicações graves para as empresas, os governos e para o
bem-estar social [42].
Para a proteção das infraestruturas críticas foram definidas algumas medidas conforme a figura
18:
Figura 18 - Medidas de proteção das infraestruturas críticas Nigéria
(Adaptado de Conselho Nacional de Segurança, 2014 b)
29
2.2.6 Análise Comparativa
Uma das maiores preocupações analisando a situação dos cinco países (EUA, Canadá,
Portugal, África do Sul e Nigéria) é a proteção das infraestruturas críticas no ciberespaço, devido
as funções vitais para o funcionamento dos países. Para o efeito estas nações têm criado
condições para garantir a cibersegurança nas infraestruturas críticas de formas garantir a
soberania e sobrevivência nacional.
Na tabela 7 é apresentada uma análise comparativa entre os países estudados nos pontos
anteriores.
Tabela 7 – Análise comparativa dos países
EUA Canadá Portugal África
do
Sul
Nigéria Angola
Conceito de IC Existe Existe Existe Existe Existe Existe
Definição dos
Sectores de IC
Existe Existe Existe Existe Existe
Legislação
específica3
sobre IC
Existe Existe Existe Não
existe
Não
existe
Organismo
responsável
pelo controlo
das IC
Existe Existe Existe Não
existe
Não
existe
Documento
oficial4 para a
Proteção das IC
Existe Existe Existe Não
existe
Não
existe
Estratégia
Nacional de
Cibersegurança
Existe Existe Existe Existe Existe
Equipas de
Respostas a
Incidentes
Existe Existe Existe Existe Existe
3 No caso da África do Sul e a Nigéria ainda não foram aprovadas as leis, existem apenas projetos-lei. 4 Na África do Sul e Nigéria não existe oficialmente um plano nacional de proteção das IC, porém existem medidas definidas em outros documentos
30
Devido o crescimento da atividade criminosa no ciberespaço, a cibersegurança tem sido nestes
países uma prioridade nacional.
Além da estratégia de cibersegurança os países têm definido as infraestruturas que consideram
críticas e para a proteção das mesmas no ciberespaço têm adotado medidas e também definido
os diversos responsáveis para atingir este objetivo.
Como se viu anteriormente os principais sectores de infraestruturas críticas nos países citados
são: Energia, Transportes, Água, e Tecnologia de Informação e Comunicações.
Dentre os diversos sectores de infraestruturas críticas citados, o sector das tecnologias de
informação e comunicações é um dos sectores mais destacados pela função que exerce e pela
dependência de outros sectores.
Hodiernamente pode-se dizer que as áreas fundamentais ou essenciais (energia, transportes,
água) para a execução das suas atividades dependem deste sector, pois não existem
infraestruturas críticas que não dependam de softwares, computadores e redes informáticas.
Deste modo, a nível de cibersegurança, Angola deve ter como linha de orientação o seguinte
principio: definir uma estratégia de cibersegurança tendo em consideração as infraestruturas
críticas.
Tal como nos outros países pode-se considerar os seguintes sectores como mais críticos para
Angola: energia, transportes, água, tecnologia de informação e comunicação.
Atualmente, a implementação de medidas de segurança das infraestruturas críticas do sector
das TIC em Angola é feita de forma independente.
Existe a necessidade de se ter uma abordagem abrangente no âmbito da proteção das
infraestruturas críticas do sector das TIC, e também tendo em conta que as infraestruturas
críticas das TIC em Angola compreendem ambos sectores público e privado na prestação de
serviços, é necessária a criação de grupos de trabalho com representantes de ambos os sectores
para a discussão e aprovação de medidas de proteção das mesmas infraestruturas críticas.
31
3 Avaliação do Índice Global de Cibersegurança
Depois de se ter efetuado uma análise sobre as infraestruturas críticas e a cibersegurança em
alguns países, vai se apresentar um estudo comparativo recorrendo a União Internacional das
Telecomunicações (ITU), baseando-se no Índice Global de Cibersegurança (GCI) conforme pode
ser observado uma amostra no Anexo 1. É de salientar que os dados aqui apresentados são
baseados em estudos feitos pela ITU em 2014.
O GCI é um projeto de duas organizações a ITU e a ABIresearch para medir o compromisso dos
países com a Cibersegurança. Cada país será analisado de acordo o nível de desenvolvimento
dentro de cinco categorias: medidas legais, técnicas, organizacionais, desenvolvimento de
capacidades e cooperação internacional [43].
3.1 Gráficos do GCI
Através de uma ferramenta interativa disponível no site da ITU é possível a comparação dos
índices de cibersegurança dos países. Serão apresentados os níveis de GCI (ver figura 19) em
cada uma das cinco medidas anteriormente citadas.
Figura 19 - Índice de Cibersegurança dos Países
(Adaptado do ITU, 2014)
Os dados apresentados no gráfico acima são referentes a pesquisa feita pelo ITU e foram
publicados em 2014. É evidente que muitas coisas foram melhoradas nos países mencionados,
mas, no entanto, o gráfico acima serve apenas para se ter uma visão dos esforços efetuados
nestes países no âmbito da cibersegurança e para que Angola veja quais são as medidas que
devem ser trabalhadas para se criar um quadro de cibersegurança aceitável.
32
O nível máximo de classificação neste gráfico do índice global de cibersegurança é 5. Os EUA
possuem uma boa classificação de 4,21 e ultrapassa o índice de cibersegurança regional da
Europa, sendo o continente que possui maior índice de cibersegurança.
Os Estados Unidos em termos de proteção das infraestruturas críticas e medidas de
cibersegurança estão bem preparados, pelo que se pode constatar pelas medidas adotadas quer
em medidas legais, desenvolvimento de capacidades, no tocante a programas de pesquisa e
desenvolvimento de projetos de normas de cibersegurança, boas práticas e diretrizes a serem
aplicadas tanto no sector privado ou público.
Vale ressaltar também o esforço que os EUA têm feito no desenvolvimento de recursos humanos.
É de elevada importância dotar as pessoas de competências e também consciencializar o público
em geral, promovendo cursos de cibersegurança no ensino superior e a promoção da certificação
dos profissionais, quer do sector público ou do sector privado. Dentre os aspetos já citados e
outros, fundamenta-se o facto de ser considerado como o país melhor preparado no combate de
ciberataques devido as medidas adotadas.
Analisando a situação do Canadá pode-se aferir que a estratégia de cibersegurança e outras
medidas definidas para a proteção das infraestruturas críticas, faz com que o valor do índice de
cibersegurança ultrapasse, de igual modo aos EUA o índice de cibersegurança regional da
Europa. O Canadá é o segundo país melhor posicionado, está um pouco atrás dos EUA, com o
valor de 4,01.
O valor do índice de cibersegurança em Portugal justifica-se pelo facto do país só agora estar a
começar a criar as medidas para cibersegurança. Está numa posição acima dos índices de
cibersegurança de alguns continentes e da média global de cibersegurança, com um valor de
1,76, porém não chega ao valor do índice de cibersegurança do continente Europeu.
A África do Sul possui um índice de cibersegurança de 1,88 acima da média global, porém,
olhando para os dados em específico pode-se constatar que há uma necessidade de reforçar as
medidas legais, desenvolvimento de capacidades e de cooperação internacional.
A Nigéria possui um índice de cibersegurança de 2,08 acima da média global, tal como a África
do Sul. Deve melhorar o aspeto legal e aumentar a capacidade técnica do país.
Angola possui um índice de cibersegurança de 0,63, um valor considerado baixo, para o efeito
devem ser trabalhadas as medidas técnicas, organizacionais, de desenvolvimento de
capacidades e reforçar as medidas legais e de cooperação.
E esta realidade que se visualiza na Nigéria, na África do Sul e Angola, não foge da visão geral
do continente Africano (Ver figura 20).
33
Figura 20 - Comparação da média global de cibersegurança entre África e Angola
(ITU, 2014)
De acordo a figura 20, pode-se concluir que nenhuma das medidas definidas pela ITU, em África
ultrapassa os valores da média global de cibersegurança, principalmente na área da criação de
medidas legais e técnicas, o mesmo ocorre para o caso particular de Angola como pode ser visto
no pentágono a direita.
Para reforçar o que foi abordado anteriormente, recorreu-se ao mapa de estratégias mundiais da
ENISA (ver figura 21) de 2013, realmente pode-se constatar a diferença entre o continente
africano e os demais continentes, o caso de Angola não foge daquilo que é a realidade geral do
continente africano.
As empresas do sector privado limitam-se a adotar medidas de proteção individual apenas para
as suas redes, seus próprios sistemas e infraestruturas, mas em contrapartida a proteção
individualizada prejudica a visão de um todo, fragilizando a proteção das infraestruturas críticas
vitais para o país.
Deste modo é necessário que seja criado um plano abrangente para o desenvolvimento de
medidas para a proteção a nível do sector público e privado.
Cada vez mais torna-se visível a crescente dependência nas tecnologias de informação e
comunicação, os governos devem efetuar investimentos proporcionais às seguranças das redes,
respostas a incidentes, treinamento técnico e cooperação internacional.
34
Figura 21 - Mapa de estratégias nacionais de cibersegurança no mundo
(Adaptado da ENISA, 2013)
3.2 Resumo da Avaliação do GCI
Depois de feitas as análises com a ajuda das ferramentas disponíveis no site da ITU, pode-se
concluir que nesta abordagem os Estados Unidos têm melhores condições criadas na área de
cibersegurança e proteção das suas infraestruturas críticas, logo está bem capacitado para o
combate aos ciberataques no ciberespaço.
A cibersegurança deve estar em conformidade com a lei, e a lei deve acompanhar a evolução
da tecnologia, porém, o que se observa é que nos países africanos existe uma demora em termos
de criação e aprovação de leis.
O Projeto de Convenção da União Africana sobre a adoção de um quadro jurídico sobre a
cibersegurança em África, também realça que os Estados Africanos têm uma verdadeira
necessidade de estratégias inovadoras de política criminal que combinem as respostas estatais
técnicas e da sociedade a fim de criar um ambiente jurídico de confiança para a cibersegurança.
Contudo, constata-se que a maior parte dos Estados não dispõe de instrumentos de
comunicação que integrem meios suficientes e necessários para a realização ou a garantia de
um nível mínimo de segurança, nem recursos humanos capazes de conceber e criar um quadro
jurídico de confiança [44].
Segue a tabela 8, com o resumo comparativo da análise do GCI dos países mencionados.
35
Tabela 8 - Medidas de cibersegurança da ITU em relação aos países
(Adaptado da ITU, 2014)
Quadro Comparativo da Cibersegurança nas Infraestruturas Críticas
Medidas EUA Canadá Portugal África do Sul Nigéria
Medidas legais ● ● ● ● ●
Medidas Técnicas
CERT ● ● ● ● ●
Norma ● ● ● ● ●
Certificação ● ● ●
Medidas Organizacionais
Política ● ● ● ● ●
Agência Responsável ● ● ● ● ●
Capacidades
Desenvolvimento de Normas ● ●
Desenvolvimento de RH ● ●
Cooperação Internacional ● ● ● ● ●
A cibersegurança envolve vários atores, portanto é necessário que haja uma cooperação entre
os vários responsáveis para que se consiga proteger os ativos e sistemas das infraestruturas
críticas.
A figura 22 demonstra o compromisso dos países a nível mundial com a cibersegurança, este
mapa encontra-se disponível no site da ITU foi criado através de dados fornecidos por
autoridades responsáveis dos países bem como com dados secundários recolhidos por analistas
do projeto índice global de cibersegurança, onde se pode ser visualizar os países com melhores
condições criadas a nível de cibersegurança.
Figura 22 – Quadro mundial da cibersegurança 2014
(ITU 2014)
36
4 Ponto de Situação em Angola
4.1 Visão Sobre o Sector das TIC
As TIC hoje em dia são indispensáveis para o desenvolvimento sustentável de qualquer país,
devido aos benefícios que proporcionam criando assim enorme impacto em todos os
seguimentos (social, político e económico).
De acordo o despacho presidencial nº71/11 de 12 de setembro, “o Executivo Angolano
reconhece de forma inequívoca que o sector das TIC constitui um importante elemento indutor
do desenvolvimento social e da prosperidade económica do país, bem como um catalisador da
modernidade para o povo angolano sobre o qual assenta a edificação da sociedade da
informação” [45].
O progresso das TIC em Angola está suportado num processo de planeamento estratégico onde
se inclui o: livro branco das tecnologias informação e comunicação, o plano de ação da sociedade
de informação e o plano de ação para a governação eletrónica.
De acordo a figura 23 pode-se verificar as etapas traçadas para o desenvolvimento das TIC em
Angola (2001-2020).
Figura 23 - Estágio de desenvolvimento das TIC em Angola
(Diário da República de Angola, 2011)
Analisando a figura 23 e o ano em que estamos, pode-se aferir de facto que muito se tem feito
para cumprir o estágio de desenvolvimento das TIC em Angola, na reabilitação e investimento
de novas infraestruturas quer no sector público como no privado, por forma a criar um mercado
competitivo, e tornar a empresas cada vez mais produtivas e hábeis no que toca a prestação dos
seus serviços para a sociedade no geral.
Alguns dos objetivos traçados foram cumpridos, outros ainda estão por se efetivar, mas vale
realçar aqui alguns deles considerados como de extrema importância [46]:
Criação do Centro de Dados (com o objetivo de criar, manter e integrar uma estrutura
física de tecnologia, comportável com as exigências estratégicas e operacionais do
Estado e com os níveis de organização de sistema de informação já atingidos, onde se
possa manter de forma segura e confidencial, toda a informação crítica do Estado).
37
Criação do Portal do Governo (32 portais governamentais).
Lançamento do Satélite previsto para 2017 (que terá como objetivo fomentar a rapidez
do acesso aos serviços das comunicações eletrónicas no país).
É importante também mensurar a adesão da sociedade no geral as TIC. Hoje todas as IC do
sector das TIC estão ligadas em rede. Os maiores operadores na área das TIC (provedores de
serviços de Internet) estão presentes no ciberespaço proporcionando os seus serviços. Isto faz
parte dos objetivos traçados no livro branco procurando criar uma sociedade digital inclusiva.
Existem outras infraestruturas críticas pertencentes a outros sectores que dependem dos
serviços deste sector. Quanto à presença de utilizadores na Internet, no final de 2007, cerca de
3 milhões de cidadãos estavam já ligados à Internet e à telefonia móvel [47].
Em 2013 segundo o relato da diretora do Gabinete Jurídico do MTTI, “Cerca de 5 milhões de
angolanos tinham o acesso a Internet” [48].
O sector das TIC em Angola tem vindo a desenvolver, tem-se assistido em Angola a uma grande
dependência das TIC por parte das empresas públicas e privadas, no entanto não existe uma
empresa ou sector que desempenhe suas funções sem o uso dos serviços deste sector. É de
salientar, a ausência de uma indústria vocacionada na área das TIC (o país ainda depende de
soluções compradas para se implementar no país).
Dentro dos objetivos e princípios políticos e operacionais enunciados no livro branco, faz-se
menção de alguns assuntos importantes para o tema em questão [45].
Assegurar uma base infraestrutural de excelência que permita suportar a implementação
de todos os serviços da sociedade de informação assentes nas Tecnologias de
Informação e Comunicação.
Potenciar a Governação Eletrónica e a modernização da administração pública,
facilitando-se processos, diversificando-se serviços, ao mesmo tempo que se
desenvolvem áreas chaves como sejam a educação, saúde, economia, cultura, entre
outras, fomentando-se a interação eletrónica entre os cidadãos e os vários níveis da
administração pública;
Criar um quadro legislativo que permita ultrapassar os novos desafios que se colocam
ao sector das tecnologias de informação e comunicação, integrado e abrangente a todos
os sectores da economia nacional.
Diante aos factos mencionados há que se apostar na cibersegurança pois a dependência total
das TIC, inclusive da Internet que hoje se tem vivido, tem exposto as infraestruturas críticas a
vulnerabilidades e ameaças cibernéticas no fornecimento de serviços essenciais à sociedade.
Esta situação pode afetar a economia nacional tratando-se de riscos globais e imprevisíveis.
A adoção de medidas de cibersegurança deve acompanhar esse investimento e
desenvolvimento, pois sem garantir a cibersegurança o país estará exposto a riscos com grandes
impactos.
Deve-se desenvolver a sociedade de informação garantindo a privacidade das informações
fornecendo assim confidencialidade, disponibilidade e integridade das mesmas informações, isso
38
fará com que utilizadores usem cada vez mais a sociedade da informação, e usufruam dos
serviços que são disponibilizados.
É fulcral manter a segurança e a resiliência nas infraestruturas do sector das TIC, a fim de garantir
que são usadas na sua plenitude.
São fatores a serem avaliados, pois a cibersegurança deve ser incorporada em todos os sectores
de atividade. Deve-se criar uma cultura de cibersegurança no país. O investimento na busca de
soluções no âmbito da cibersegurança deve ser igual ou superior aos investimentos e apostas
feitas nas tecnologias, nos recursos para a edificação da sociedade de informação.
Deve existir uma abordagem e cultura em gestão de riscos, capaz de responder e prevenir as
ameaças cibernéticas.
Sendo assim propôs-se na seção seguinte abordar sobre um conjunto de medidas essenciais
para a proteção das infraestruturas críticas no ciberespaço e também a identificação de um grupo
de trabalho com responsabilidade nesta matéria de cibersegurança.
4.2 Cibersegurança e Infraestruturas Críticas
Em Angola ainda não existe uma estratégia que aborda a questão da cibersegurança, nem um
diploma legal que trata especificamente sobre a questão das infraestruturas críticas.
Existe a Lei de Proteção dos Dados Pessoais (Lei nº 22/11 de 17 de Junho), que estabelece as
regras jurídicas aplicáveis ao tratamento dos dados pessoais com o objetivo de garantir o
respeito pelas liberdades públicas e os direitos e garantias fundamentais das pessoas singulares.
Existe também a Lei das Comunicações Eletrónicas e Dos Serviços da Sociedade da Informação
(Lei nº 23/11 de 20 de Junho), que estabelece as bases da disciplina e regulamentação jurídica
das comunicações eletrónicas da sociedade da informação, bem como o regime jurídico relativo
ao tratamento de dados pessoais e a proteção da privacidade nas comunicações eletrónicas. É
nesta lei onde está referido o conceito de Infraestrutura Crítica, como sendo aquela cuja
destruição total ou parcial, perturbação ou utilização indevida é suscetível de afetar, direta ou
indiretamente, de forma permanente ou prolongada, a manutenção de funções vitais para a
sociedade, a saúde, a segurança ou o bem-estar económico e social [49].
O livro branco faz referência à cibersegurança como a garantia da segurança da informação da
administração pública e a proteção de dados que constitui um fator fundamental para adesão à
governança eletrónica, por parte dos cidadãos e das empresas.
A salvaguarda da cibersegurança da administração pública pretende assegurar [49]:
Utilização de sistemas seguros e transparentes.
Desenvolvimento de uma cultura de utilização segura e fiável das TIC na administração
pública.
Adoção de sistemas de identificação e encriptação digital seguros e fiáveis.
Proteção de dados e de direitos humanos.
A cibersegurança deve ser encarada como um problema nacional, pois afeta todos os aspetos
das atividades das pessoas.
39
As medidas definidas acima são consideradas insuficientes razão pela qual diante dos estudos
efetuados sobre alguns países nos capítulos 2 e 3, apresenta-se aqui as prioridades na
implementação da cibersegurança em Angola.
4.2.1 Prioridades de Implementação para a Cibersegurança em
Angola
De acordo o que foi analisado nos outros países e atendendo ao resultado que se viu sobre
Angola na figura 20, em comparação com o GCI global, estabeleceu-se aqui algumas prioridades
de implementação, naquilo que se considera essencial como ponto de partida para se
estabelecer a cibersegurança nas infraestruturas críticas do sector das TIC.
A cibersegurança envolve muitos domínios, desde a proteção simples à ciberdefesa (Anexo 2),
porém o enfoque principal da dissertação assenta na proteção simples.
4.2.1.1 Medidas Legais
O primeiro ponto aqui apresentado considera-se como ponto de partida para o país, consiste na
adoção de medidas legais (leis e regulamentos).
A legislação é uma medida fundamental para se criar uma harmonização nas diversas entidades,
as medidas legais vão ainda permitir que o país defina respostas aos mecanismos de violação:
por meio de investigação e repressão de crimes e da imposição de sanções facilitando o combate
contra as ameaças cibernéticas.
Legislação sobre Infraestruturas
Apesar do facto de já existir um conceito sobre infraestrutura crítica definido na lei n.º 23/11 sobre
Comunicações Eletrónicas e dos Serviços da Sociedade da Informação, considera-se ser útil a
adoção de uma lei específica que, além do conceito, deverá tratar sobre a questão de
identificação, proteção das infraestruturas críticas e atribuição de responsabilidades de
coordenação das atividades à um órgão específico. Esta lei deverá impulsionar assim a criação
de um plano nacional de proteção das infraestruturas críticas, que deverá ser um guia para os
operadores de infraestruturas críticas quer públicas, quer privadas.
Este mesmo órgão específico deverá trabalhar com os diferentes sectores definidos como
críticos através de um responsável sectorial.
Pode-se observar na figura 24, um modelo para a proteção das infraestruturas críticas que
consiste na adoção de uma lei de infraestruturas críticas.
40
Para o sector das TIC, o Ministério das Telecomunicações e Tecnologias de Informação pode
delegar uma instituição que será o responsável sectorial e deverá, no entanto, fiscalizar os planos
de segurança dos operadores de infraestruturas críticas do sector das TICs que deverá obedecer
os princípios definidos no plano nacional de proteção das infraestruturas críticas.
Os operadores das IC deverão identificar as funções e os recursos críticos para os seus
negócios, a fim de criarem os planos de segurança que incluam medidas de prevenção, gestão
de riscos, resposta, recuperação e comunicação.
Como forma de fiscalização das medidas que serão definidas na lei de infraestruturas críticas,
os responsáveis sectoriais deverão fiscalizar as medidas implementadas pelos operadores de
infraestrutura crítica e o coordenador das atividades deverá fiscalizar as ações dos responsáveis
sectoriais.
Estratégia Nacional de Cibersegurança
As infraestruturas quer públicas, quer privadas, assentam em sistemas de informação
dependendo totalmente do sector das TIC para a execução de suas atividades. Neste ambiente
em rede todas as infraestruturas críticas estão interligadas, portanto a ocorrência da disrupção
de telecomunicações pode causar sérias consequências.
Deve-se entender que o ciberespaço não está delimitado a fronteiras. De qualquer ponto do
ciberespaço podem surgir ameaças contra às infraestruturas críticas para atentar à segurança
nacional e ao bem-estar social, no entanto, a intervenção do Estado é primordial, porque a
cibersegurança é um meio para assegurar a continuidade da sociedade da informação
protegendo os ativos críticos e as infraestruturas críticas que suportam os interesses nacionais.
O tratamento da cibersegurança requer uma vontade política para definir uma estratégia que
inclui medidas para a proteção das infraestruturas críticas no ciberespaço.
O Ministério das Telecomunicações e Tecnologia de Informação deve ser um dos principais
órgãos a impulsionar a criação de uma estratégia nacional de cibersegurança.
Para a elaboração da estratégia deve ser necessário a constituição de um grupo especial de
trabalho composto por órgãos públicos e privados, isto porque o ciberespaço toca praticamente
todas as formas de atividades de segurança social e económico.
A estratégia deve dar resposta ao que proteger, identificar as partes interessadas e os objetivos
a serem cumpridos.
Figura 24 - Elementos para a lei de proteção de IC
41
Sem uma estratégia nacional, os esforços em diferentes sectores tornam-se dissemelhantes e
desconectados, frustrando os esforços para alcançar a harmonização nacional em termos de
cibersegurança.
A proteção individualizada e sem coordenação das diversas infraestruturas críticas prejudicará a
visão de um todo, fragilizando a proteção das infraestruturas críticas no ciberespaço.
De acordo com os desafios da cibersegurança em África, a União Africana estabeleceu na
convenção sobre a cibersegurança alguns objetivos e também algumas linhas orientadoras para
os países constituintes.
A convenção reforça no entanto a ação de se “implementar uma política nacional de
cibersegurança, especificamente na área da reforma legislativa e do desenvolvimento, na
sensibilização e desenvolvimento de capacidades, na parceria público-privada e na cooperação
internacional, pelo que para o efeito deve-se mobilizar todos os atores públicos e privados
(Estados, comunidades locais, empresas do sector privado, organizações da sociedade civil,
instituições de formação e de investigação) em prol da cibersegurança” [44].
Legislação contra cibercrimes
É necessário que haja uma legislação adequada e abrangente contra a má utilização das TIC
para fins maliciosos ou criminosos.
É necessário que se aprove uma lei de combate à criminalidade informática para que se possa
reprimir todas as atividades que atentam contra os principais atributos da cibersegurança
(confidencialidade, integridade, disponibilidade) e de se penalizar os infratores que atentam
contra a cibersegurança das infraestruturas críticas.
A cibersegurança possui uma dimensão global, a ubiquidade e a transnacionalidade dos
cibercrimes, faz com que seja difícil lutar contra as infrações contra a cibersegurança.
Deve-se ainda pautar pela cooperação internacional em matéria de legislação no que tange ao
cibercrime.
A figura 25 retrata as medidas legais que devem ser adotadas pelo país.
Figura 25 - Medidas legais
A cibersegurança é o ponto mais abrangente, neste sentido a estratégia e outras medidas para
cibersegurança devem contemplar a questão de proteção das infraestruturas críticas e a questão
das ameaças cibernéticas.
42
A criação de medidas legais é o ponto de partida, mas, no entanto, não é suficiente, há que se
criar também outras medidas que serão apresentadas a seguir.
4.2.1.2 Medidas Organizacionais
As empresas devem pôr em prática as recomendações que serão definidas na estratégia
nacional de cibersegurança através de um regulamento ou uma plataforma de trabalho com
normas de segurança e boas práticas de cibersegurança.
As medidas organizacionais podem ser dimensionadas com base na existência e no número de
instituições que adotarão as medidas definidas na estratégia o que vai promover deste modo o
desenvolvimento da cibersegurança a nível nacional.
É necessário que se faça junto das organizações a promoção da cibersegurança, através de
medidas para alertas e resposta a incidentes, para tal deve-se definir uma entidade responsável
pela coordenação da implementação da estratégia de cibersegurança.
4.2.1.3 Medidas Técnicas
A tecnologia é considerada como uma linha de defesa contra ameaças cibernéticas, sem
medidas técnicas adequadas e as capacidades para detetar e responder a ataques cibernéticos,
o país e as respetivas organizações estarão vulneráveis a ameaças cibernéticas.
As medidas técnicas incluem:
Criação de um CERT ou CSIRT Nacional
CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response
Team) é uma equipa de resposta ou reação às urgências ou incidentes informáticos, responsável
por funções que incluem a gestão de incidentes de segurança informática, análise de
vulnerabilidades ou a redução de probabilidade de ataques bem-sucedidos através da
publicação de alertas de segurança e outras medidas.
Segundo a informação disponível no site da ITU5, existem 102 CERTs em todo mundo [50].
Através da figura 26, pode-se ver no ponto marcado a vermelho, que em Angola ainda não existe
um CERT Nacional.
5 http://www.itu.int/en/ITU-D/Cybersecurity/Pages/Organizational-Structures.aspx, acedido aos 15/01/2016
43
Figura 26 - Países com CERT nacionais
(ITU, 2016)
Numa primeira fase é importante a criação de um CERT Nacional que deverá ter a capacidade
para identificar, defender, responder e gerir as ameaças cibernéticas de formas a aumentar a
segurança das infraestruturas críticas, dos utentes da sociedade de informação ou do
ciberespaço de interesse para o Estado Angolano.
O CERT nacional deverá ser capaz de detetar incidentes, correlacionar eventos e determinar
tendências de ataques, deverá ainda ser capaz de analisar as vulnerabilidades que podem ser
exploradas de formas a efetuar-se ataques cibernéticos e publicar informações para a
comunidade servida.
Além do CERT Nacional, propõe-se numa outra fase a criação de uma equipa de resposta a
incidentes exclusivamente para o governo e também equipas de respostas a incidentes
sectoriais, conforme a figura 27.
Figura 27 - Equipas de resposta a incidentes
O CSIRT (Computer Security Incident Response Team) do Governo deverá responder a
incidentes que afetam as instituições exclusivamente governamentais. Além de serviços reativos,
CERT Nacional
CSIRT Sectoriais
CSIRT Gov
44
pode também envolver-se em serviços pró-ativos tais como a análise de vulnerabilidade e
auditorias de segurança.
Um CSIRT sectorial deverá responder a incidentes que podem afetar um sector específico. Os
CSIRTs sectoriais podem ser estabelecidos para os sectores críticos como por exemplo: TIC,
energia, sector financeiro.
Tendo em conta as características do ciberespaço, é necessário conhecer os riscos, as ameaças
que ele apresenta, portanto, as equipas de respostas a incidentes identificadas na figura 27
deverão trabalhar em rede para responder às ameaças organizadas no ciberespaço, para tal é
essencial que haja partilha de informação relevante para coordenação e mitigação das ameaças
cibernéticas.
Deve-se criar um ambiente de colaboração no tratamento de incidentes e na partilha de boas
práticas de cibersegurança.
O CERT Nacional deverá promover um ambiente de colaboração sobre as medidas de
cibersegurança, deverá trocar informações com as outras equipas de respostas a incidentes
internacionais sobre as vulnerabilidades, incidentes que podem colocar em risco o ciberespaço
angolano e perigar acima de tudo as infraestruturas críticas.
Figura 28 - Funções do CERT Nacional
Na figura 28, são apresentadas algumas funções que o CERT Nacional poderá exercer.
O CERT Nacional deverá ser o ponto de contacto nacional para notificação de incidentes, auxiliar
outros CSIRTs na execução de suas atividades.
Normas
O governo deve aprovar a aplicação de normas de cibersegurança reconhecidas
internacionalmente no sector público e nas infraestruturas críticas (mesmo se operadas pelo
sector privado) para que haja uma uniformização e para que a comunicação entre as várias
entidades seja facilitada.
45
Estes padrões podem ser os desenvolvidos pelos organismos como: ISO6, ITU7, e outras, no
âmbito da cibersegurança.
Deve-se impor ações de carácter preventivo que envolvem a criação e a aplicação de
metodologias de gestão de riscos e o desenvolvimento de planos de continuidade de negócios,
para as infraestruturas críticas do sector das TIC e principais sistemas essenciais ao bom
funcionamento do Estado e da sociedade angolana.
Por outro lado, também pode-se elaborar boas práticas através de uma Task-force para o uso
interno.
4.2.1.4 Capacitação de Recursos Humanos
A capacitação humana é necessária para melhorar o conhecimento sobre cibersegurança em
todos os sectores, para aplicar as soluções mais adequadas, e promover o desenvolvimento dos
profissionais.
A capacitação dos recursos humanos é extremamente importante para responder pronta e
eficiente aos incidentes nas redes das infraestruturas críticas, garantir a privacidade das pessoas
e organizações.
Deve-se apostar na formação de recursos humanos nesta área da cibersegurança, e para tal
deve-se apostar na cooperação com outros países mais desenvolvidos nesta matéria de
cibersegurança, para a formação de quadros Angolanos com as competências exigidas nesta
área.
4.2.1.5 Cooperação Internacional
É de extrema importância que haja cooperação internacional, Angola deve contactar os outros
países que estão a desenvolver as estratégias de cibersegurança e também os que já estão
avançados na matéria.
A nível regional o país pode analisar a Convenção Africana sobre a cibersegurança para servir
como um guia de uma forma geral.
Através da pesquisa feita sobre alguns países, nos capítulos 2 e 3 sugere-se o exemplo de
Portugal devido ao nível de cooperação entre os dois países. Seria um grande ponto de partida
para a implementação de mecanismos, de procedimentos e politicas de cibersegurança, pois
Portugal já tem definidas medidas importantes para questão da cibersegurança e infraestruturas
críticas. De entre algumas é de salientar: a Estratégia Nacional de Segurança do Ciberespaço,
6 A ISO/IEC 27002 SO / IEC 27002: 2013 dá orientações para as normas de segurança da informação organizacionais e práticas de gestão de segurança da informação, incluindo a seleção, implementação e gestão de controle levando em consideração ambiente de risco de segurança da informação da organização. http://www.iso.org/iso/catalogue_detail?csnumber=54533 7 O ITU é uma agência das Nações Unidas centrada na regulação internacional das TIC, porém tem agora dedicado mais atenção a esta temática da cibersegurança, tendo criado um portal que reúne muita informação sobre a cibersegurança. http://www.itu.int/cybersecurity/gateway/
46
o Decreto Lei n.º 62/11 para as infraestruturas críticas, o CERT.PT vinculado ao Centro Nacional
de Cibersegurança, a Lei do Cibercrime.
O Governo Angolano deve assumir o papel de liderar a nível nacional os programas de
cibersegurança, mas proteger o ciberespaço é uma responsabilidade coletiva, logo o
desenvolvimento de políticas e a elaboração da estratégia nacional deverá ter em conta o ponto
de vista de outras partes interessadas. Com isso pretende-se aclarar que deve haver também
uma cooperação ou parceria local que se pode denominar como: parceria público-privada para
facilitar a troca de informações sobre o desenvolvimento de nova legislação, regulação entre as
partes interessadas e permitir a troca de informações em tempo real sobre as ameaças
cibernéticas e vulnerabilidades.
4.2.1.6 Principais Atores para a Elaboração da Estratégia de
Cibersegurança em Angola
A cibersegurança tem sido um dos temas mais desafiadores para os países. A decisão deve
partir dos mais altos decisores políticos.
A cibersegurança deve ser encarada como um assunto de abrangência multidisciplinar, para tal
é necessário que vários esforços sejam coordenados para a busca de melhores soluções que se
podem aplicar nesta área no país.
Para a elaboração da política pública que é a estratégia nacional de cibersegurança é necessária
a constituição de um grupo especial de trabalho como já anteriormente referido, composto por
órgãos públicos e privados.
De acordo a realidade angolana apresenta-se aqui (ver figura 29) um grupo de entidades
relevantes para a discussão desta temática que, no entanto, para além de debates, busca de
soluções, deverá culminar com a elaboração de uma Estratégia Nacional de Cibersegurança.
A cibersegurança deve ser é uma responsabilidade partilhada por todos. O Governo deve
encorajar o sector privado, solicitando a sua participação nas iniciativas do mesmo para a
promover a cibersegurança.
Figura 29 - Órgãos para a elaboração da estratégia nacional de cibersegurança
47
Ministério das Telecomunicações e Tecnologias de Informação (MTTI)
É o órgão da administração central do Estado que tutela o sector das TIC, é regido pelo Decreto
Presidencial n.º 179/14 de 25 de Julho, tem como missão propor a formulação, a condução, a
execução e o controlo da política nos domínios das telecomunicações, das tecnologias de
informação (…) [51].
Dentre as atribuições do MTTI no contexto deste trabalho destacam-se:
Habilitar o Governo a definir a política e a estratégia das Telecomunicações e das
Tecnologias de Informação,
Representar o Estado nas instâncias internacionais no âmbito das Telecomunicações e
das Tecnologias de Informação.
Coordenar e promover as ações que conduzam à edificação da sociedade de
informação.
Criar um quadro jurídico-legal que habilite o órgão regulador a elaboração de
regulamentos, normas, padrões, instruções e manuais referentes aos serviços de
telecomunicações, no âmbito da sua competência, tanto para as redes públicas como
privadas.
Incentivar a política de segurança e encriptação de dados, bem como a
interoperabilidade e padronização de soluções no domínio das tecnologias de
informação.
O MTTI deve ser o principal órgão a impulsionar a abordagem sobre a cibersegurança,
envolvendo todas as partes interessadas, deve criar um grupo de trabalho para a pesquisa,
discussão, busca de melhores soluções para a elaboração de uma estratégia de cibersegurança
a nível nacional.
A implementação de uma cultura de cibersegurança quer nos operadores de IC públicas e
privadas para ser bem-sucedida deve partir do mais alto nível, a partilha de informação e a
cooperação são as chaves essenciais.
Instituto Nacional das Comunicações (INACOM)
O Instituto Angolano das Comunicações, é tutelado pelo MTTI cujas funções e competências
estão enunciadas no Decreto n.º 243/14, é o órgão regulador dos serviços de comunicações
tendo como finalidade a sua regulação, disciplina, controlo e monitorização.
Para o contexto da cibersegurança são importantes as suas atribuições [52] no âmbito do
estabelecimento de estratégias e políticas para o desenvolvimento dos serviços de
comunicações que consiste em apoiar o Ministro da tutela designadamente no seguinte:
Definição do quadro legal do sector, sobretudo na monitorização do cumprimento das
leis e regulamentos e da exploração ordenada dos serviços de comunicações.
No estudo e investigação do desenvolvimento legal, institucional, científico e tecnológico
das comunicações.
Na concertação de ações com outros órgãos oficiais, organismos e entidades públicas e
privadas, necessárias à execução das medidas de política no domínio das
comunicações.
48
Centro Nacional das Tecnologias de Informação (CNTI) atual INFOSI
CNTI é um instituto público tutelado pelo MTTI. Rege-se pelo Decreto Presidencial n.º 212/14 de
20 de agosto. Tem como missão desenvolver, coordenar, monitorar e avaliar os programas e
projetos de tecnologias de informação, de governação eletrónica e de distribuição de serviços
públicos eletrónicos transversais no quadro das políticas de tecnologias de informação e
comunicação definidas pelo Executivo.
Algumas das atribuições [53] do CNTI que consideram-se pertinentes para o tema em
abordagem são:
Pronunciar-se tecnicamente sobre a realização de projetos no âmbito das tecnologias de
informação nos organismos públicos, bem como acompanhar a implementação, gestão
e operação de sistemas informáticos, registrar as empresas que atuam no sector as
tecnologias de informação,
Emitir as certificações sobre a aptidão e capacidade técnica das empresas angolanas
no domínio das TIC,
Promover a cibersegurança, a privacidade no uso da internet e também recomendar e
fomentar as boas práticas de governança das tecnologias de informação.
Ministério das Ciências e Tecnologias (MINCT)
O MINCT é o departamento ministerial que tem por missão: propor a formulação, conduzir,
executar e controlar a política do Executivo nos domínios da Ciência, Tecnologia e Inovação.
Uma das suas atribuições consiste em estimular e apoiar a formação e a qualificação de recursos
humanos em áreas do ensino superior, da investigação científica e do desenvolvimento
tecnológico, promover, em articulação com outros ministérios, o desenvolvimento da capacidade
tecnológica do país, da sociedade de informação e do conhecimento [54].
De acordo as suas atribuições o MINCT, deve contar com uma equipa de académicos e
investigadores para a sua contribuição na elaboração da estratégia nacional de cibersegurança.
Ministério da Justiça
É o órgão responsável em tomar medidas com vista a realizar uma justiça que vise harmonizar
todas as tendências sociais do País, e promover medidas com vista à realização de uma boa
administração da justiça no país.
Tem a competência de assegurar o funcionamento adequado do sistema de administração da
justiça no plano judiciário e nos domínios da segurança do tráfego jurídico, da prevenção de
litígios, garantir o intercâmbio entre o Ministério e demais organismos que intervêm na proteção
dos direitos políticos, económicos e sociais dos cidadãos [55].
Ministério da Defesa
É o departamento governativo da administração central ao qual incumbe participar na definição
da política de defesa nacional, elaborar e executar a política relativa à componente militar de
defesa nacional. Cabe ainda promover e estimular o estudo e investigação das questões
atinentes à Defesa Nacional [56].
Sendo que a cibersegurança abrange a segurança nacional, num ambiente em rede, como o
ciberespaço a insegurança dos sistemas de informação das infraestruturas críticas, as
49
vulnerabilidades podem ser exploradas para se perpetrar ataques e, por conseguinte, ameaçar
o crescimento económico e a segurança nacional.
Polícia Nacional
A Polícia Nacional depende organicamente do Ministério do Interior. De acordo a sua natureza
compete-lhe: a defesa e proteção da propriedade estatal coletiva, privada e pessoal, a prevenção
à delinquência e o combate à criminalidade [57].
A Polícia Nacional possui duas direções que de acordo o âmbito deste trabalho julga-se de
elevada importância para a abordagem da cibersegurança: a Direção Nacional de Investigação
Criminal como o órgão operativo central ao qual compete, genericamente a investigação dos
crimes ou delitos e a descoberta dos seus autores e a Direção Nacional da Polícia Económica
que é o órgão operativo central ao qual, genericamente, compete prevenir e contribuir para a
repressão da prática de crimes contra a economia [57].
Operadores de Infraestruturas Críticas
São figuras consideradas necessárias para a abordagem desta temática. Tanto os operadores
responsáveis pelas empresas públicas, como as privadas consideradas como infraestruturas
críticas que desempenham funções vitais para o país ligadas aos sectores de: energia,
comunicações, transportes, financeiro e outros sectores não menos importantes devem estar
também englobados neste grupo.
Uma das perspetivas da cibersegurança reside na proteção das infraestruturas críticas no
ciberespaço, os operadores de IC são considerados como peça fundamental a contribuir com a
identificação de medidas e procedimentos de segurança a serem tomadas no ciberespaço para
a proteção das IC.
A parceria público-privada é um ponto forte para estratégia de cibersegurança, deve ser liderada
pelo governo, e basear-se na confiança de modo que haja partilha de informação.
Identificados os atores, precisam todos estar conscientes sobre as ameaças no ciberespaço,
partilhando a mesma preocupação, deve haver também uma eficiente definição dos papéis e das
responsabilidades de cada um dos órgãos na questão da cibersegurança.
Volta-se a realçar o fator cooperação, pois é crucial que o governo crie programas de cooperação
com a comunidade internacional porque o maior perigo dos ciberataques é que eles podem ser
perpetrados a distância. Considerando que o ciberespaço é um espaço sem fronteiras, identificar
a origem das ameaças, acaba por ser uma tarefa difícil, e uma vez que estão em constante
evolução tecnológica. Deve-se ter em conta que essas evoluções exigem um alto nível de
formação, lei eficiente e cooperação internacional quer a nível técnico-operacional como também
sob o ponto de vista de harmonização internacional da legislação do cibercrime.
Sendo assim, a estratégia nacional de cibersegurança deve fomentar a cooperação com
organizações internacionais.
50
5 Análise e Discussão dos Resultados
Neste capítulo é apresentado a análise de conteúdo e a discussão dos resultados com base a
pesquisa em campo. Criou-se tabelas com o parecer dos vários entrevistados e depois foi feita
uma análise de acordo as respostas fornecidas, para isso procurou-se observar a frequência de
ocorrência de determinados termos, conceitos ou palavras equitativas. De formas a facilitar o
trabalho neste capítulo foi feito um resumo dos aspetos mais importantes das entrevistas
efetuadas para então permitir a comprovação das hipóteses inicialmente apresentadas e
construção da reposta da questão principal desta dissertação.
Caracterização dos Entrevistados
Os entrevistados estão constituídos por dois grupos de profissionais ligados as áreas: Jurídica,
Segurança e Auditoria, Negócios de TI, Telecomunicações, Redes, Operações e Controlo e
Engenharia.
5.1 Análise I
Questões
1. Quais são as infraestruturas críticas do Sector das TIC, existe alguma entidade
responsável pela identificação ou definição das IC do Sector das TIC?
2. Tem conhecimento da ocorrência de algum ciberataque nas infraestruturas críticas do
sector das TIC e qual foi o impacto?
3. Quais são as medidas que os operadores devem tomar para a prevenção e redução de
ataques cibernéticos?
4. Qual é a sua opinião sobre as empresas do sector das TIC, encontram-se preparadas
para realizar a nível tecnológico, processual e humano investigações forenses
complexas decorrentes de ciberataques?
5. Considera urgente a aprovação de uma Estratégia Nacional de Cibersegurança? E
Quais devem ser os elementos que a Estratégia deve englobar?
6. A abordagem da cibersegurança deve ser multidisciplinar, deve envolver vários
stakeholders (partes interessadas), em Angola se fosse para montar ou idealizar um
grupo de trabalho para abordagem desta questão no sentido de elaborar uma estratégia
nacional de cibersegurança, quais instituições citaria, e qual deve ser o principal órgão
responsável pela questão da cibersegurança?
7. No âmbito da cibersegurança, é necessário que se crie uma rede de partilha de
informação entre entidades privadas e públicas, qual deve ser a informação a ser
partilhada entre os operadores de infraestrutura crítica?
8. Além de um CSIRT Nacional, acredita que no país deve existir outras equipas de
respostas a incidentes? E quais devem ser os serviços que O CSIRT Nacional deverá
prestar a comunidade servida (Estado e operadores de IC)?
Questão n.º 1
51
Quais são as infraestruturas críticas do Sector das TIC, existe alguma entidade responsável
pela identificação ou definição das IC do Sector das TIC?
Entrevistado Ideias Chaves
#1 De acordo a Lei nº 23/2011 das comunicações eletrónicas infraestrutura crítica é
definida como sendo aquela cuja destruição total ou parcial, perturbação ou
utilização indevida é suscetível de afetar, direta ou indiretamente, de forma
permanente ou prolongada, a manutenção de funções vitais para a sociedade,
a saúde, a segurança ou o bem-estar económico e social. Pode-se citar comunicações
fixas, móveis e Internet.
No que tange a administração pública, a Lei nº 23/2011 declara que compete ao Titular
do Poder Executivo em cada momento definir as infraestruturas críticas, submetendo-
as à regulação mais exigente em termos de segurança, integridade, disponibilidade e
fiabilidade, particularmente em situações de catástrofes, calamidades ou guerras.
#2 Não sei se em Angola existe algum documento a indicar se esta ou aquela é
considerada IC, mas na minha opinião diria que as redes de telecomunicações, a
rede privativa do Estado são IC, redes de fibra óptica, redes dos operadores.
O Estado é que determina o grau de apetência ao risco, o grau de dependência em
relação a determinadas infraestruturas críticas, e depois com base ao nível de
perceção da importância da infraestrutura crítica consegue-se dizer que esta ou
aquela é crítica para o país.
#3 As Infraestruturas Críticas no sector das TIC podem ser consideradas como as
redes de comunicações eletrónicas, sistemas de informação e comunicação que
são vitais para a sociedade.
Lei nº 23/2011.
#4 De uma forma geral as Infraestruturas críticas são todas aquelas que contribuem
para a continuidade de um país, falando de sectores pode-se citar o sector de
energia, água, TIC, Defesa e Segurança.
Análise da Questão 1
Os conceitos de infraestrutura crítica declarados pelos entrevistados de uma forma geral não
fogem da visão universal que se tem sobre esta temática, as infraestruturas críticas são decisivas
pelas funções e serviços que desempenham para um país, logo o não funcionamento de uma
infraestrutura crítica pode afectar em grande parte várias funções vitais para a sociedade.
No sector das TIC são consideradas como infraestrutura crítica as redes de telecomunicações,
Internet, rede de fibra óptica, sistemas de informação (…), serviços que sendo paralisados
afetariam o funcionamento da sociedade nos vários sectores em que estão presentes devido a
interdependência que existe entre elas. A partir do momento em que nos vários sectores vai se
incorporando meios tecnológicos, ou seja, quando há automatização, quando o controlo é feito
52
através das TIC faz com que o grau de vulnerabilidades aumente nessas infraestruturas e se
tornem suscetíveis de serem atacadas.
Se há pouco automatismo não se considera como uma infraestrutura crítica em termos de TIC,
o que não quer dizer que não seja crítica em outros pontos. (ver figura 30).
Figura 30 - Dependência de outros sectores de IC do sector das TIC
Questão n.º 2
Tem conhecimento da ocorrência de algum ciberataque a nível das infraestruturas críticas do
Estado e qual foi o impacto?
Entrevistado Ideias Chaves
#1 Sim, e o impacto foi a baixa qualidade no acesso aos serviços.
#2 Sim, o ataque contra alguns sites, tornando os sites indisponíveis por um curto tempo,
mas muitos ataques não são publicados por questão de segurança e prestigio das
próprias instituições, e para não criar oportunidades a outros atacantes.
#3 Não.
#4 Tem ocorrido ciberataques, mas não são noticiados.
Análise da Questão 2
Atendendo a ubiquidade do ciberespaço, não existem fronteiras neste ambiente virtual. Os
crimes cometidos no mundo real, hoje são perpetrados de forma homóloga no ciberespaço, os
ciberataques podem ser originados de qualquer parte do mundo para atingir as infraestruturas
críticas angolanas. Podemos entender pelas respostas dos entrevistados que têm ocorrido
ataques cibernéticos, mas as instituições vítimas destes ataques não divulgam esta informação.
Infraestruturas críticas do sector
das TIC
(sistema de informação)
Banca
(sistema de informação)
Hospitais
(sistema de informação)
Água
(sistema de informação)
Transportes
53
De acordo o mapa em tempo real de ciberataques da Kaspersky [58], Angola encontra-se na
posição 818 dos países mais atacados (ver figura 31). Apesar da posição não ser uma posição
que chama muita atenção, deve-se, no entanto, trabalhar de forma proactiva, as instituições
precisam ter a noção de risco e procurar aplicar medidas de segurança eficazes.
Figura 31 - Mapa de ciberataques Kaspersky
Disponível em: https://cybermap.kaspersky.com/
8 É de realçar que esta posição não é uma posição estática, atendendo a dinâmica dos ciberataques no
ciberespaço, a consulta no site (https://cybermap.kaspersky.com/), ajudará a verificar em tempo real a
posição que poderá estar o país.
54
Questão n.º 3
Quais são as medidas que devem-se tomar para a prevenção e redução de ataques
cibernéticos?
Entrevistado Ideias Chaves
#1 A organização usa a norma de segurança ISO 27002:2013.
#2 As empresas devem apostar no máximo no desenvolvimento das suas
competências internas, preparando muito bem os quadros que têm na organização,
como também participar nos esforços internacionais, ou mesmo de outros âmbitos
que sejam feitos para aumentar a cibersegurança.
As empresas devem ter cooperação com as universidades, de formas a saber o que
os jovens inovadores estejam a desenvolver.
Participar no desenvolvimento e melhoria de projectos de softwares de formas a
conhecer mais sobre a tecnologia, vulnerabilidades que sejam descobertas.
#3 Investimento na matéria de segurança, capacitar os recursos humanos.
#4 Implementação de medidas de segurança, desenvolvimento de recursos
humanos.
Análise da Questão 3
Segundo as respostas dos entrevistados compreendemos que ainda há muito por se fazer neste
sentido. O facto de não ocorrerem ataques de grande impacto no país faz com que a busca de
medidas para prevenção e redução de ataques cibernéticos não seja acelerado. Deve-se investir
em segurança no país, e deve haver um investimento em pessoas, processos e tecnologias nas
organizações para melhorar a capacidade de mitigar os ciberataques.
55
Questão n.º 4
Qual é a sua opinião sobre as empresas do sector das TIC, encontram-se preparadas para
realizar a nível tecnológico, processual e humano investigações forenses complexas decorrentes
de ciberataques?
Entrevistado Ideias Chaves
#1 Não. Sem uma instituição como um CERT não tem como, do nosso ponto de vista
deve existir apenas um CERT que deverá ser o ponto focal de todas as instituições,
deverá ainda estar em contacto com outros parceiros internacionais para partilha de
informações.
#2 Não.
#3 Não.
#4 Não.
Análise da Questão 4
Por unanimidade essa questão tem a mesma resposta da parte dos entrevistados. As
organizações, os operadores de infraestrutura críticas devem estar preparados quer a nível de
pessoas, recursos tecnológicos para efetuar investigações forenses complexas decorrentes de
ciberataques como já se ressaltou na questão anterior deve haver um investimento, deve-se
apostar na formação dos seus técnicos e consecutivamente criar equipas dedicadas para tratar
de questões inerentes a resposta de incidentes a ciberataques.
56
Questão n.º 5
Considera urgente a aprovação de uma Estratégia Nacional de Cibersegurança? E Quais devem
ser os eixos de actuação da Estratégia?
Entrevistado Ideias Chaves
#1 Sim. Deve incluir elementos principais, nomeadamente os respeitantes à segurança
e a resiliência das infraestruturas críticas das TIC.
Segurança do ciberespaço
Combate ao cibercrime
Proteção das infraestruturas críticas
Educação, sensibilização e prevenção
Investigação e desenvolvimento
Cooperação internacional
#2 Sim. Dentre alguns pontos pode-se ressaltar a cooperação internacional,
desenvolvimento de recursos humanos, proteção das infraestruturas críticas.
#3 Sim. Porém antes da criação da estratégia deve-se pensar primeiro em formar as
pessoas, pois com pessoas formadas facilmente será elaborada e implementada a
estratégia.
#4 Sim. Pode-se citar alguns pontos: desenvolvimento de competências internas,
cooperação internacional e sensibilização.
Análise da Questão 5
A cibersegurança deve ser encarada como um problema político, social, económico, legal,
policial, técnico, gestão, ou seja, uma questão que envolve várias áreas.
É de comum aceitação da parte de todos os entrevistados que em Angola deve ser aprovada
uma estratégia nacional de cibersegurança que abarca vários eixos de atuação incluído a
proteção de infraestruturas críticas, cooperação internacional, educação, sensibilização (…). A
adoção de uma estratégia nacional de cibersegurança semelhantemente ao que se tem feito em
muitos países poderá uniformizar as medidas de proteção das infraestruturas críticas.
Portanto deve-se definir os atores nacionais, em matéria de criação de legislação e de
mecanismos técnicos e operacionais de resposta a incidentes. Conforme mencionado pela maior
parte dos entrevistados, a estratégia deverá englobar aspetos de cooperação com vista a agregar
esforços para o combate às ameaças cibernéticas a nível local e internacional.
57
Questão n.º 6
A abordagem da cibersegurança deve ser multidisciplinar, portanto deve envolver vários
stakeholders (partes interessadas), em Angola se fosse para montar ou idealizar um grupo de
trabalho para abordagem desta questão no sentido de se elaborar uma estratégia nacional de
cibersegurança, quais instituições citaria, e qual deve ser o principal órgão responsável pela
questão da cibersegurança?
Entrevistado Ideias Chaves
#1 A nível civil são essas instituições sugeridas Gabinete da Presidência, Ministério
das Telecomunicações e Tecnologias de Informação (MTTI), Ministério das
Ciências e Tecnologias.
#2 Ministério das Telecomunicações e Tecnologias de Informação (
MTTI), Centro Nacional de Tecnologias de Informação (CNTI - atual INFOSI),
Ministério da Defesa Nacional, Polícia.
Deve ainda existir um Conselho Nacional de cibersegurança.
#3 Ministério da Defesa, Ministério das Telecomunicações e Tecnologias de
Informação (MTTI), Ministério do Interior, Serviços de Segurança Interna.
Olhando para outras realidades quando se está a falar sobre cibersegurança, fala-se
de uma componente que do ponto de vista administrativo é coordenado pelo Ministério
da Defesa Nacional, ou se pode dizer órgãos ligados aos sectores de Segurança e a
Defesa Nacional.
#4 Ministério das Telecomunicações e Tecnologias de Informação (MTTI), Ministério
das Ciências e Tecnologias, Ministério da Educação, Empresas do Sector, Sociedade
Civil (Investigadores Independentes), Juristas.
Deve existir um Conselho Nacional de Cibersegurança para servir de elo de
ligação com o Gabinete da presidência para se levar essas preocupações ao
mais alto nível.
Análise da Questão 6
A cibersegurança é um problema nacional e transversal a todas as áreas: económica, militar,
policial e outras.
No capítulo 4 foram referenciados os atores para a elaboração da estratégia de cibersegurança,
onde se enquadram alguns dos atores mencionados pelos entrevistados.
A criação de um conselho nacional de cibersegurança (constituído por responsáveis pela Defesa
Nacional, Telecomunicações e representantes de outros ministérios) é um dos passos
importantes a tomar numa primeira fase para se levar as preocupações ao mais alto nível, o
conselho nacional de cibersegurança deverá ter a missão de coordenar, acompanhar e
58
monitorizar, de forma transversal, o processo de implementação da Estratégia Nacional para a
Cibersegurança nacional.
Questão n.º 7
No âmbito da cibersegurança, é necessário que se crie uma rede de partilha de informação entre
entidades privadas e públicas, como acha que será possível manter a partilha de informação e
cooperação entre os vários operadores de infraestruturas críticas públicos e privados do sector
das TIC? E qual deve ser a informação a ser partilhada entre os operadores de infraestrutura
crítica?
Entrevistado Ideias Chaves
#1 A troca de informações deve ser acordada via algum instrumento formal (convénio,
acordo, etc.) entre os diversos atores de forma coordenada. As informações que
devem ser partilhadas são: os incidentes, as principais tendências de ataques e
ações de mitigação.
#2 Boas práticas, casos de sucessos, que farão com que todos estejam preparados e
também uma partilha não divulgada daquilo que falhou e deverá ser feita pelos
intervenientes pelos elementos desta rede.
Quanto maior for a informação em termos de ataques, medidas de combates, as
vulnerabilidades (como é que ela foi aproveitada por uma entidade externa de formas
a perpetrar o ataque) será melhor.
#3 A partilha da informação deve-se basear nas experiências de cada um dos
operadores, a informação deve ter uma vertente preventiva.
#4 A partilha de informação é essencial para se ultrapassar várias situações, é
fundamental para se abordar vários temas como por exemplo como responder a um
eventual ataque, boas práticas.
Análise da Questão 7
A partilha de informações deve ser uma ferramenta útil para criar-se o conhecimento situacional
e de resposta a incidentes de forma eficaz, portanto, a informação deve ser oportuna, relevante,
e rotulada para que os destinatários possam recolher detalhes salientes para de forma rápida e
eficiente proteger-se de ou responder aos incidentes.
É necessário que a partilha de informação tal como referido pelo Entrevistado #1, seja efetuada
mediante a um instrumento formal para que os operadores de infraestrutura crítica partilhem as
informações como por exemplo: alertas, ações de mitigação, boas práticas.
Essa partilha pode ser efetuada sob a designação de um órgão da parte do Ministério das
Telecomunicações e Tecnologia de Informação.
59
Questão n.º 8
Além de um CERT Nacional, acredita que no país deve existir outras equipas de respostas a
incidentes? E quais devem ser os serviços que o CERT Nacional deverá prestar a comunidade
servida (Estado e operadores de IC)?
Entrevistado Ideias Chaves
#1 Do nosso ponto de vista deve existir apenas um CERT que deverá ser o ponto
focal de todas as instituições, deverá ainda estar em contacto com outros parceiros
internacionais para partilha de informações.
O CERT deverá também criar diplomas que abordam assuntos sobre:
Segurança na Internet
Golpes na Internet
Códigos maliciosos
Spam
Outros riscos
Mecanismos de Segurança
Contas e senhas
Criptografia
Uso seguro da Internet
Privacidade
Segurança de computadores
Segurança de Redes
Segurança em dispositivos
#2 Devido a falta de muitos quadros nesta área não se aconselha a termos vários CERT,
pois não temos o número de pessoal suficiente para responder em todos os sectores,
é primordial que haja um CERT Nacional forte e este é que deverá ser o
fomentador dos vários outros CERT que irão nascer.
Começa-se com um CERT central que vai amadurecer-se e à medida que for
amadurecendo, passa a disseminar a cultura de cibersegurança em todos os
sectores.
Deve-se divulgar a informação que qualquer que seja autoridade que tenha uma
infraestrutura crítica de TI, deverá ter uma área não necessariamente um CERT, mas
uma área que olhe pelos aspetos de segurança na organização.
Os serviços que o CERT poderá desenvolver são:
Cooperação Internacional
Fomentar a cultura de cibersegurança a nível dos organismos
internos
Resposta a Incidentes / Gestão de Incidentes
60
Serviços de Alertas
#3 Deve-se numa primeira abordagem criar CERT Sectoriais, para facilitar a criação de
capacidades internas e depois permitir a coordenação nacional, vai ser a nível da
coordenação nacional que se vai fazer a coordenação internacional.
O CERT deve ter serviços de sensibilização dos usuários.
Fornecer as medidas de segurança necessárias para a comunidade
servida.
#4 Deve-se criar um CERT nacional e depois com o passar do tempo, devem surgir
outras equipas de respostas a incidentes a nível nacional.
Análise da Questão 8
Em Angola ainda não existe um CERT Nacional e esta lacuna na resposta de incidentes, gestão
e coordenação, significa que o país está exposto a riscos cibernéticos.
A maior parte dos entrevistados é de opinião que numa primeira fase deve existir apenas um
CERT nacional, como mencionado pelo Entrevistado nº 2, “é primordial que haja um CERT
Nacional forte e este é que deverá ser o fomentador dos vários outros CERT que irão nascer.”
No capítulo 4 é apresentado também um conjunto de serviços que o CERT Nacional poderá
fornecer à comunidade servida, que enquadram-se nos serviços mencionados pelos
entrevistados.
5.2 Análise II
Questões Abertas
1. O que é considerado como IC na sua Organização?
2. Existem várias ameaças que podem atingir as IC (Desde naturais, sísmicas, guerra),
mas também existem ameaças cibernéticas quando essas I.C são monitoradas ou
geridas por sistemas de I.C, quando podem ser remotamente gerenciadas, introduz
vulnerabilidades que podem ser exploradas e criar um novo âmbito de ameaças
cibernéticas, considera que as IC da sua Organização são seguras? Numa escala de 0
a 5?
3. No caso específico da sua organização, o que se tem feito para garantir a cibersegurança
nas infraestruturas críticas face ao crescimento de ciberataques?
4. De uma forma geral qual é o impacto que os ciberataques podem ter nas atividades da
sua organização?
5. A abordagem da cibersegurança deve ser multidisciplinar, portanto deve envolver vários
stakeholders (partes interessadas), em Angola se fosse para montar ou idealizar um
grupo de trabalho para elaborar a estratégia nacional de cibersegurança, além dos
operadores das infraestruturas críticas, quais instituições citaria e qual delas seria a
responsável para coordenar o grupo de trabalho?
61
6. A Cibersegurança envolve essencialmente a cooperação e a partilha de informação, o
que poderá ser um grande desafio a ser ultrapassado (devido a concorrência que existe
entre as empresas, nenhuma organização quer admitir que possui falhas de segurança,
vulnerabilidades), mesmo dentro dessa comunidade do ramo das TIC, poderá ser difícil.
Como acha que será possível manter a partilha de informação e cooperação entre os
vários operadores de ICs públicos e privados do sector das TIC?
7. E no âmbito da partilha de informação e cooperação, quais são as informações que julga
necessárias a serem partilhadas (vulnerabilidades, mecanismos de mitigação, boas
práticas), e a partilha deverá ser voluntária ou obrigatória?
8. Como empresa que actua no ramo das TIC, de que forma garante a proteção dos seus
clientes (outros operadores de ICs e não críticas), atendendo a interdependência que
existe entre os sectores?
9. Resiliência - A sua organização manteria o nível de operacionalidade se as suas ICs
fossem alvos de um ciberataque de grande impacto, continuaria a prestar serviços
essenciais e preservar os ativos essenciais durante os ataques?
Questão n.º 1
O que é considerado como IC na sua Organização?
Entrevistado Ideias Chaves
#5 Temos uma infraestrutura com ativos muito críticos, como provedor de internet e
outros serviços web.
Pode-se citar alguns serviços como serviços aplicacionais: BD, Emails, Firewalls e
ainda outros serviços mais críticos.
#6 Routers responsáveis pela comunicação com os clientes, equipamentos que
controlam serviços que se falharem podem colocar em causa a comunicação.
#7 Routers, servidores, switches.
#8 Datacenters, rede corporativa, sistemas de telecomunicações.
Análise da Questão 1
As organizações têm definido as suas infraestruturas críticas devido a importância que elas
representam para os seus negócios e o país. Uma vez identificados os elementos críticos, é
necessário que seja feita uma análise de impacto de negócio e a seguir incluir estes elementos
em um plano de continuidade de negócio. Este plano deve garantir o fornecimento dos serviços
essenciais na ocorrência de qualquer incidente que poderá, no entanto, comprometer a
organização a nível financeiro, operacional e de imagem.
É necessário que exista também nestas organizações, planos de recuperação de desastres que
deverá incluir cenários e medidas a se tomar na ocorrência de uma falha causada por ameaças
62
como sabotagem, falhas tecnológicas, incêndios, causas naturais. É necessário que se faça a
replicação de modo a garantir uma recuperação rápida e confiável.
A implementação destes planos deve englobar pessoas, processos, políticas e tecnologias e
serem periodicamente revisados.
Questão n.º 2
Existem várias ameaças que podem atingir as IC (Desde naturais, sísmicas, guerra), mas
também existem ameaças cibernéticas quando essas IC são monitoradas ou geridas por
sistemas de IC, quando podem ser remotamente gerenciadas, introduz vulnerabilidades que
podem ser exploradas e criar um novo âmbito de ameaças cibernéticas, considera que as IC da
sua Organização são seguras? Numa escala de 0 a 5?
Entrevistado Ideias Chaves
#5 Pode-se dizer que a organização em termos de classificação ocupa a posição 3 devido
as medidas já implementadas, soluções de segurança e políticas.
#6 Neste momento consideraria que está por aí no 1 há muita coisa para ser feita, o que
envolve investimentos.
#7 Sob o ponto vista geral considera-se 2.
#8 Tendo em conta as boas práticas adotadas o valor é 4.
Análise da Questão 2
De acordo a opinião dos entrevistados, podemos verificar que as respostas estão equilibradas,
porém de uma forma geral ainda há muito por se fazer. O facto de não ocorrer ataques de larga
escala faz com que as organizações não invistam tanto em segurança, mas sim priorizem o
investimento em soluções que tenham o retorno imediato e não em soluções de segurança para
salvaguardar os investimentos já feitos.
Deve-se analisar os recursos críticos para a execução das atividades das organizações e
implementar as medidas de proteção baseando-se em gestão de riscos.
63
Questão n.º 3
No caso específico da sua organização, o que se tem feito para garantir a cibersegurança nas
infraestruturas críticas face ao crescimento de ciberataques?
Entrevistado Ideias Chaves
#5 O trabalho que a organização tem feito a nível interno é com a Engenharia Social.
A cibersegurança não depende apenas de boas políticas, boas implementações, mas
depende muito do fator humano.
A confidencialidade, integridade, disponibilidade e outros pilares da segurança
assentam muito em quem está a operar os processos.
A organização tem muitos ativos e serviços críticos, apesar de não existirem
infraestruturas 100% seguras, tem-se implementado soluções de segurança para
minimizar a exposição dos ativos da rede.
Possui uma solução de firewall de perímetro para controlo do tráfego que sai
da rede interna para a rede pública.
IPS (Intrusion Prevetion System): tem uma série de regras que alerta sobre o
comportamento de determinados pacotes.
Monitorização Constante
#6 A organização para aquilo que é interno tem as áreas de negócio, as ferramentas de
negócio, ou seja, a própria rede corporativa onde estão os vários funcionários ligados
e depois tem a parte toda da infraestrutura do Operador onde ligam os clientes e onde
são servidos os serviços aos clientes, portanto ambas têm que ter cuidados de
segurança.
Um exemplo muito simples a nível da rede corporativa existem firewalls que bloqueiam
alguns tipos de tráfego.
#7 A organização tem implementado algumas medidas como por exemplo: a criação de
políticas de segurança, implementação de mecanismos de segurança desde os mais
sobejamente conhecidos como os: firewalls, sistemas de deteção de intrusos,
antivírus entre outros.
#8 Mecanismos de segurança (firewall, antivírus, anti-spam), políticas de segurança,
ferramentas de monitorização da rede.
Análise da Questão 3
De acordo os entrevistados, as empresas possuem medidas para proteger as suas
infraestruturas críticas, é necessário que estas medidas estejam em atualização constante.
Atendendo as ameaças globais é importante considerar a questão da criação de equipas de
respostas a incidentes nestas empresas e também a execução de investigações forenses.
64
Questão n.º 4
De uma forma geral qual é o impacto que os ciberataques podem ter na sua organização?
Entrevistado Ideias Chaves
#5 Downtime elevado, perda de dinheiro, impossibilidade de trabalhar com os parceiros.
#6 Prejuízos a vários níveis: financeiro, paralisação de serviços e funções críticas.
#7 Incapacidade de produzir, prejuízos de diversas ordens.
#8 Paralisação na prestação de serviços, perda da reputação, danos financeiros.
Análise da Questão 4
Os ciberataques podem causar sérios impactos nas organizações. Conforme já mencionado na
primeira questão é necessário optar pela análise de impacto de negócio, planos de continuidade
de negócio e planos de recuperação em caso de desastres, pois é necessário que as
infraestruturas criticas forneçam os seus serviços de forma ininterrupta.
Questão n.º 5
A abordagem da cibersegurança deve ser multidisciplinar, portanto deve envolver vários
stakeholders (partes interessadas), em Angola se fosse para montar ou idealizar um grupo de
trabalho para elaborar a estratégia nacional de cibersegurança, além dos operadores das
infraestruturas críticas, quais instituições citaria, e qual delas seria a responsável para coordenar
o grupo de trabalho?
Entrevistado Ideias Chaves
#5 A segurança apesar de ser um problema do Estado, também é um problema individual
e cada um deve salvaguardar o que tem.
Cada um sabe o que tem de mais valor e sendo assim cada um deve-se velar pela
segurança independentemente de esperar as medidas definidas pelo Estado.
Em termos de órgãos pode-se citar: Ministério das Telecomunicações e Tecnologias
de Informação, Polícia, Ministério das Ciências e Tecnologias.
#6 Forças de Segurança, INACOM, Operadores de IC.
#7 Ministério das Telecomunicações e Tecnologias de Informação, Ministério da
Defesa, Ministério do Interior, Serviços de Inteligência.
#8 Ministério das Telecomunicações, INACOM, forças de segurança.
65
Análise da Questão 5
A cibersegurança é uma questão de segurança nacional. O Estado tem a função principal de
criar medidas para garantir a cibersegurança no país, e isso passa pela criação de uma estratégia
(política pública que aponte o caminho a ser seguido por toda a sociedade). Sem uma estratégia
as empresas do sector público e privado limitam-se a adotar medidas de proteção individual.
Nesta perspetiva é necessário que haja a partilha de informação entre os diversos órgãos e a
coordenação das atividades deve ser de um órgão especializado na matéria como por exemplo:
o Ministério das Telecomunicações e Tecnologias de Informação.
Questão n.º 6
A Cibersegurança envolve essencialmente cooperação e partilha de informação o que poderá
ser um grande desafio a ser ultrapassado (devido a concorrência que existe entre as empresas,
nenhuma organização quer admitir que possui falhas de segurança, vulnerabilidades), mesmo
dentro dessa comunidade de operadores do ramo das TIC, poderá ser difícil. Como acha que
será possível manter a partilha de informação e cooperação entre os vários operadores de ICs
públicos e privados do sector das TIC?
Entrevistado Ideias Chaves
#5 É um paradigma que deve ser quebrado, as pessoas aprendem partilhando a
informação, não existem infraestruturas 100% seguras, pois foram desenvolvidas por
homens e os homens falham.
#6 Por ser um assunto de segurança nacional todo o mundo tem que estar a olhar para
isso. Não é fácil porque temos entidades que são concorrentes em termos
comerciais, e a partilha de informação poderá não ser fácil, daí ter que haver uma
entidade que regula essa passagem de informação.
#7 Através de uma regulamentação que obrigue as empresas a partilhar essas
informações.
#8 Sob o ponto de vista de desenvolvimento tecnológico é essencial que haja essa partilha,
mas considerando o facto da concorrência existente entre as organizações é difícil
que essa partilha aconteça devido os interesses individuais, deve haver uma
regulamentação que permita que a troca dessas informações seja feita de uma
forma fácil.
Análise da Questão 6
De acordo o parecer unanime dos entrevistados é imprescindível a partilha de informação e
atendendo o grande obstáculo que é a concorrência existente deve ser feita mediante um
regulamento.
A partilha de informação tem o carácter imperativo pois é extremamente importante no que tange
a criação de um quadro situacional, poderá efetuar-se uma avaliação sobre incidentes, analisar
a forma em que o mesmo poderá afetar uma infraestrutura crítica e o impacto consequente em
outras infraestruturas.
66
Este quadro situacional pode ser criado através de alertas de informação, relatórios para advertir
os operadores de infraestrutura crítica de certas ameaças.
Questão n.º 7
E no âmbito da partilha de informação e cooperação, quais são as informações que julga
necessárias serem partilhas (Vulnerabilidades, mecanismos de mitigação, boas práticas), e a
partilha deverá ser voluntária ou obrigatória?
Entrevistado Ideias Chaves
#5 Deve-se partilhar os ataques ocorridos, os métodos de mitigação, para se garantir
uma atividade melhor no controlo da informação.
#6 A informação sobre os ataques, a forma de mitigação, para que se possa proteger
de uma forma melhor.
#7 Boas Práticas, mecanismos de mitigação.
#8 Ações de mitigação (práticas operacionais que as organizações usam para garantir a
segurança nas organizações).
Análise da Questão 7
As informações a serem partilhadas apresentadas pelos entrevistados são relevantes para se
criar um quadro situacional conforme mencionado na questão anterior. Deve haver a cooperação
entre as organizações envolvidas na rede de partilha de informação.
Questão n.º 8
Como empresa que atua no ramo das TIC, de que forma garante a proteção dos seus clientes
(outros operadores de ICs e não críticas), atendendo a interdependência que existe entre os
sectores?
Entrevistado Ideias Chaves
#5 A organização só fornece serviço de segurança se o cliente solicitar, o cliente é
responsável pela segurança dos seus ativos, o cliente deve estar munido, preparado
para a segurança da sua infraestrutura.
#6 O cliente é responsável pela segurança da sua infraestrutura, deve estar preparado
para manter a segurança dos seus ativos.
#7 O cliente deve ser responsável pela segurança da sua organização, porém caso solicite
alguma intervenção, é efetuado com base a petição do cliente final.
#8 A responsabilidade principal é do cliente, mas a nossa organização pode garantir a
segurança caso o cliente solicitar.
67
Análise da Questão 8
Nesta questão é percebido que o cliente final tem a responsabilidade de salvaguardar a sua
infraestrutura, portanto deve optar pela implementação não apenas de mecanismos. No entanto,
também deve criar as políticas de segurança dentro da sua empresa, uma vez que o provedor
poderá apenas proporcionar segurança naquele serviço que fornece, mas o ambiente corporativo
(ativos críticos, pessoas, ambiente físico) do cliente é de sua inteira responsabilidade.
Questão n.º 9
A sua organização manteria o nível de operacionalidade se as suas ICs fossem alvos de um
ciberataque de grande impacto, continuaria a prestar serviços essenciais e preservar os ativos
essenciais durante os ataques?
Entrevistado Ideias Chaves
#5 A organização sim possui várias medidas de segurança e ainda possui implementações
redundantes, na eventualidade de um ataque consegue recuperar os serviços dentro
de pouco tempo, fazendo com que o downtime seja bem menor.
Fruto dos ataques ocorridos, a organização ganhou experiência neste sentido.
#6 De uma forma geral pode-se dizer que a maior parte das organizações não são
resilientes, pois para garantir a resiliência é necessário que na organização exista não
apenas a segurança da informação, mas ações de continuidade e recuperação em caso
de desastres.
#7 De uma forma geral pode-se dizer as organizações não são resilientes.
#8 Ainda não se pode afirmar que as organizações neste ramo são resilientes.
Análise da questão 9
Os entrevistados na sua maioria consideram que as organizações ainda não são resilientes. Esta
questão esclarece que existe muito trabalho a realizar. Conforme afirmou o segundo
entrevistado, há que se focar na continuidade e recuperação em caso de calamidades.
68
Análise das questões fechadas
10. A organização já foi alvo de ciberataques?
11. A organização encontra-se preparada para realizar a nível tecnológico, processual e
humano, investigações forenses complexas decorrentes de ciberataques?
12. Existe uma área específica para o tratamento de incidentes de cibersegurança? A
organização possui um CSIRT?
13. De uma forma geral está preparada para reagir a um ciberataque de larga escala?
14. Considera urgente a aprovação de uma Estratégia Nacional para a Cibersegurança?
15. Considera de extrema importância a aprovação de uma lei em matéria de Criminalidade
Informática de modos a auxiliar na implementação da cibersegurança?
16. A organização usa alguma norma no âmbito da Cibersegurança / Segurança da
Informação?
17. Existe algum plano na capacitação de recursos humanos para a área da Cibersegurança
(Há uma cultura de cibersegurança na organização)?
18. A organização tem consciência dos riscos no ciberespaço?
19. A organização possui um plano de Continuidade de Negócio?
Item Opções Entrevistados Contagem (%)
5 6 7 8
Questão nº 10
Alvo de ciberataques Sim X X 2 50%
Não X X 2 50%
Questão nº 11
Realização de
Investigações
Forenses
Sim
Não X X X X 4 100%
Questão nº 12
CERT/CSIRT Sim
Não X X X X 4 100%
Questão nº 13
Preparada para reagir
a ciberataques
Sim X X 2 50%
Não X X 2 50%
Questão nº 14
Sim X X X X 4 100%
69
A crescente dependência do ciberespaço contribui para o desenvolvimento e crescimento
económico no país, porém existem várias ameaças neste ambiente virtual que podem colocar
em risco as infraestruturas críticas, os entrevistados afirmam que realmente são conhecidos os
riscos provenientes do ciberespaço, e com isso consideram urgente a aprovação de uma lei que
criminalize os actos cometidos no ciberespaço, e também a aprovação uma estratégia nacional
de cibersegurança, considera-se também fundamental a criação de uma equipa de respostas a
incidentes a nível nacional que deverá ser o ponto central para coordenação de resposta à
incidentes.
É necessário de igual modo apostar no desenvolvimento de competências internas (investir em
pessoas, tecnologias, adotar normas de segurança ou boas práticas a nível de cibersegurança)
de formas a tornar as organizações preparadas para responder aos ciberataques.
Aprovação de uma
estratégia de
cibersegurança
Não
Questão 15
Aprovação de uma lei
em matéria de
Criminalidade
Informática
Sim X X X X 4 100%
Não
Questão 16
Normas de
cibersegurança /
segurança de
informação
Sim
Não X X X X 4 100%
Questão 17
Desenvolvimento de
RH no âmbito da
cibersegurança
Sim
Não X X X X 4 100%
Questão 18
Consciência dos riscos
do ciberespaço
Sim X X X X 4 100%
Não
Questão 19
Plano de Continuidade
de Negócio
X 1 25%
Não X X X 3 75%
70
Conclusão
As ameaças oriundas do ciberespaço são de carácter global, Angola não está imune a estes ataques.
Todos os dias ocorrem ciberataques independentemente do impacto, não se pode negar o efeito
disruptivo dos mesmos.
Hoje para efetuar um ciberataque não são necessários recursos sofisticados, e por serem executados
num espaço virtual sem fronteiras, os países a nível mundial têm envidado esforços na busca de
soluções para fazer face a este grande desafio que é manter a cibersegurança.
As infraestruturas críticas são elementos vitais para os países, dada a importância que elas
representam tem sido um grande alvo de ciberataques procurando interromper o seu funcionamento
temporariamente ou de forma prolongada. Pelas funções que elas exercem não devem conviver com
problemas de continuidade razão pela qual devem ser implementadas medidas de segurança de formas
a salvaguardá-las em caso de ataques.
Deve-se criar um plano nacional de proteção de infraestruturas, com medidas definidas para que sirva
de guia para os operadores de infraestruturas críticas.
A cibersegurança deve envolver a proteção das infraestruturas críticas, pois infraestruturas críticas
vulneráveis, expõem o país de igual modo a riscos.
Já existe muita informação disponível sobre essa temática, e muitos países e organizações têm
publicado as medidas adoptadas neste âmbito.
O exemplo observado em alguns países foi o da cooperação internacional, por ser uma área a ser
desenvolvida no país deve-se contar com a parceria de países que estejam avançados no tema da
cibersegurança para procurar medidas que se podem adaptar á realidade angolana.
Face a este quadro, passará a se verificar a veracidade das hipóteses enunciadas no princípio deste
trabalho com base a pesquisa de campo e análise de conteúdo.
Verificação das Hipóteses
Hipótese 1 – “Angola tem definido um plano nacional de proteção para as infraestruturas críticas
que engloba o conceito, os sectores e o responsável pelas atividades.”
Esta hipótese encontra-se refutada pelo facto de não se ter verificado ou encontrado um plano nacional
para a proteção das infraestruturas críticas.
Existe a Lei das Comunicações Eletrónicas e Dos Serviços da Sociedade da Informação (Lei nº 23/11
de 20 de Junho), que estabelece as bases da disciplina e regulamentação jurídica das comunicações
eletrónicas da sociedade da informação, bem como o regime jurídico relativo ao tratamento de dados
pessoais e a proteção da privacidade nas comunicações eletrónicas.
A lei faz menção ao conceito de Infraestrutura Crítica, não fazendo alusão de quais são os sectores
críticos, quais são as medidas para identificação das IC, os responsáveis pela adoção de medidas de
proteção e a articulação entre os responsáveis.
No que tange a administração pública, a mesma lei declara que compete ao Titular do Poder Executivo
em cada momento definir as infraestruturas críticas, submetendo-as à regulação mais exigente em
71
termos de segurança, integridade, disponibilidade e fiabilidade, particularmente em situações de
catástrofes, calamidades ou guerras.
Para que haja uma proteção das ICs é necessário que haja comunicação, coordenação e cooperação
com o sector privado, pois a maior parte das infraestruturas críticas pertencem ao sector privado.
Hipótese 2 - “As infraestruturas críticas do sector das TIC são seguras.”
Esta hipótese encontra-se parcialmente verificada. Partindo do principio que não existem
infraestruturas 100% seguras. Os operadores de infraestruturas críticas do sector das TIC têm criado
medidas de segurança, mas a maior parte é de opinião que se deve fazer mais na questão da
segurança das infraestruturas críticas das TIC.
O facto de existirem um número de ataques considerado baixo apresenta um quadro de segurança
considerado bom, o que influência para que o investimento na área, tanto em recursos materiais e
recursos humanos seja reduzido.
Hipótese 3 – “Os operadores de infraestruturas críticas do sector das TIC estão preparados para
dar resposta aos incidentes informáticos, mantendo assim a operacionalidade dos seus
serviços na ocorrência de um ataque cibernético.”
Esta hipótese encontra-se parcialmente refutada, pois segundo o parecer dos entrevistados, existem
organizações que possuem medidas criadas a nível de segurança, e no caso de outras ainda há muito
por se fazer o que leva a conclusão que não são resilientes.
Outro fator centra-se também pelo facto de não existirem equipas de resposta a incidentes (CSIRT)
onde estão incluídos serviços pró-ativos e reativos para fazer face aos ciberataques, e manter os
serviços operacionais na ocorrência de um ciberataque.
Hipótese 4 – “Existe a cooperação entre o sector público e privado na promoção da cultura de
cibersegurança nos operadores de infraestrutura crítica do sector das TIC.”
Esta hipótese encontra-se refutada, pelo facto de os entrevistados mencionarem que é necessário
haver uma cooperação local para endereçar este assunto.
Pouco se tem feito neste sentido. Tomou-se conhecimento que existem algumas iniciativas, tais como
conferências de segurança de informação, em que já se abordou de uma forma pedagógica sobre a
questão da cibersegurança.
A cibersegurança deve ser uma responsabilidade partilhada em que o Estado deve ser o principal
responsável na busca de soluções, e a participação do sector privado é de extrema importância pelo
facto da maior parte das infraestruturas críticas serem operadas por empresas privadas.
Confirmação dos objetivos gerais e específicos
Esta dissertação teve como objetivo geral apresentar as medidas a adotar no âmbito da cibersegurança
para a elaboração de uma estratégia de cibersegurança a nível nacional que contemple a proteção das
infraestruturas críticas angolanas do sector das TIC.
Através da pesquisa realizada tendo como base a realidade de outros países, entendemos que a
cibersegurança é transversal a todos os sectores, isso fez com que as medidas apresentadas partissem
de uma visão holística.
De acordo com o que se tem feito a nível de outros países, consideramos que as medidas apresentadas
neste trabalho são de grande pertinência no âmbito da cibersegurança.
72
No que tange aos objetivos específicos, de acordo o parecer dos entrevistados, podemos ter a noção
de quais são as infraestruturas críticas no sector das TIC e a sua importância em outros sectores de
atividades em Angola.
Quanto aos critérios de identificação das infraestruturas críticas no que toca a administração pública
mencionamos a Lei nº 23/11 das Comunicações Eletrónicas e dos Serviços da Sociedade da
Informação (artigo 44º), enquanto que para o sector privado pode-se depreender das entrevistas que
foram feitas aos responsáveis das organizações que um dos critérios de identificação das suas
infraestruturas é a importância que representa para os negócios da organização.
Sobre as iniciativas desenvolvidas para a prevenção e redução de ameaças cibernéticas, existem
algumas medidas já tomadas mencionadas pelos operadores de infraestruturas críticas, deve-se, no
entanto, investir cada vez mais em recursos tecnológicos e humanos para fazer face a esta nova onda
de ataques disruptivos contra as infraestruturas críticas.
A cibersegurança deve ser uma preocupação de todos, sendo assim, foi também abordado de igual
modo, não de uma forma exaustiva, os principais atores intervenientes para a abordagem desta
temática e elaboração de uma estratégia de cibersegurança em Angola.
Recomendações e sugestões
Através dos resultados obtidos na pesquisa foi possível constatar de uma forma geral que a
cibersegurança ainda não é a palavra de ordem em muitas organizações. As infraestruturas críticas
não podem conviver com problemas de continuidade, falta de resiliência. Algumas das organizações
que atuam no ramo não se encontram certificadas com uma norma de segurança, ainda não possuem
planos de continuidade de negócio no âmbito da segurança, planos de recuperação em caso de
desastres, e a maior parte dos entrevistados concorda que deve-se apostar mais na formação de
quadros para responder a demanda nesta área.
Face ao apresentado anteriormente apresentamos as recomendações e alguns documentos de
referência:
Elaboração de um plano nacional de proteção de infraestruturas críticas.
Elaboração de uma estratégia de cibersegurança. (ITU National Cybersecurity Guide;
Estratégia nacional de segurança no ciberespaço – Portugal, Diretiva Europeia de Segurança
das Redes e da Informação [59]).
Criação de um centro nacional de cibersegurança para coordenar as atividades de
cibersegurança a nível público e privado. (Centro Nacional de Cibersegurança - Portugal).
Aprovação de uma lei que criminaliza todos os crimes cometidos no ciberespaço. (Lei do
cibercrime 109/2009).
Cooperação internacional a nível legal. (Convenção de Budapeste 2001).
Criação de um CERT/CSIRT nacional. (ENISA – Abordagem gradual de criação de uma
CSIRT).
Investigação e desenvolvimento na matéria de cibersegurança.
Criar uma cultura de cibersegurança a nível nacional através de formação e sensibilização.
Levantar uma Estrutura de Ciberdefesa.
73
Outras sugestões que apresentamos que podem ser adotadas pelos operadores de infraestruturas
críticas do sector das TIC são:
Normas de segurança de informação, adopção de boas práticas no âmbito da
cibersegurança. (ISO 27001:2013; ISO 27032:2012; ITU-T X.1205)
Planos de continuidade de negócio. (ISO 22301:2012; ISO 27001:2013 – A.17)
Plano de recuperação em caso de desastres. (ISO 22301:2012)
Cooperação e partilha de informações através de uma rede de confiança.
Criação de equipas de resposta a incidentes.
Auditoria e monitorização contínua.
Limitações ou problemas
No decorrer da elaboração deste trabalho foram encontradas muitas dificuldades pelo facto de não ser
ainda um assunto muito abordado em Angola, e por não haver quase nada escrito sobre esta temática
no que toca a realidade Angolana, o que se procurou superar através das entrevistas aplicadas.
Outra dificuldade encontrada foi no contacto das organizações para as entrevistas, algumas instituições
declinaram a solicitação feita, acreditamos que foi pela sensibilidade do tema.
Trabalho Futuro
Terminando o trabalho a que nos propusemos, consideramos relevante a abordagem de alguns temas
para investigações futuras no país.
A ciberdefesa por ter a função de garantir ações de segurança e defesa nacional, ou seja, garantir a
soberania do estado no ciberespaço global, é uma área que contribui para cibersegurança, é de
extrema importância compreender os passos que devem ser seguidos para o estabelecimento de uma
estrutura de ciberdefesa de modo a defender o país contra ciberataques.
Deve também ser considerado realizar estudos e aprofundar os conhecimentos no que tange a
aplicação de análises forenses na recolha de prova digital para os cibercrimes.
74
Bibliografia
[1] IDN, Paulo Fernandes Viegas Nunes (b), A Definição de uma Estratégia Nacional de
Cibersegurança, 2012.
[2] International Affairs Review, “Ataque de Negação de Serviço: A Ciberguerra na Estónia e as
suas implicações na Segurança dos Estados Unidos,” [Online]. Available: http://www.iar-
gwu.org/node/65. [Acedido em 04 02 2016].
[3] F. L. d. Reis, Como Elaborar uma Dissertação de Mestrado, Lisboa: PACTOR, 2010.
[4] F. Fernandes, “A Cibersegurança e as Estruturas Críticas: A GNR,” 2013. [Online]. Available:
http://comum.rcaap.pt/bitstream/10400.26/7657/1/Vers%C3%A3o%20Final%20189%20Fernan
des.pdf. [Acedido em 15 05 2015].
[5] FOLDOC, Free On-line Dictonary of Computing, “Tecnologia de Informação e Comunicação,”
2008. [Online]. Available:
http://foldoc.org/Information%20and%20Communication%20Technology. [Acedido em 14 11
2015].
[6] Casa Branca (a), “Política do Ciberespaço,” [Online]. Available:
https://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf. [Acedido
em 07 09 2015].
[7] IDN, Instituto da Defesa Nacional (a) , “Estratégia da Informação e Segurança no Ciberespaço,
nº 12,” 2013. [Online]. Available:
http://www.idn.gov.pt/publicacoes/cadernos/idncaderno_12.pdf. [Acedido em 04 10 2015].
[8] ITU, União Internacional das Telecomunicações, “Visão Geral sobre a Cibersegurança,
Recomendação ITU-T X.1205,” 2008. [Online]. Available:
https://ccdcoe.org/sites/default/files/documents/ITU-080418-RecomOverviewOfCS.pdf .
[Acedido em 10 09 2015].
[9] “Ghernaouti-Hélie, Solange,” 2009. [Online]. Available: http://www.itu.int/ITU-
D/cyb/publications/2009/cgdc-2009-e.pdf. [Acedido em 10 10 2015].
[10] Jorge Ralo, “Direção Geral de Política de Defesa Nacional,” [Online]. Available:
http://dgpdn.blogspot.fr/2013/03/artigo-de-opiniao-ciberseguranca-e.html. [Acedido em 24 12
2016].
[11] P. Santos, R. Bessa e C. Pimentel, Cyberwar, O Fenómeno, as Tecnologias e os Atores, Lisboa:
FCA, 2008.
[12] Casa Branca (c), “Estratégia Nacional para a Segurança do Ciberespaço,” 2003. [Online].
Available: https://www.us-cert.gov/sites/default/files/publications/cyberspace_strategy.pdf.
[Acedido em 20 10 2015].
75
[13] Paulo Viegas Nunes, Sociedade em Rede, Ciberespaço e Guerra Informação - Contributos para
o Enquadratamento e Construção de uma Estratégia Nacional da Informação., Lisboa: IDN,
2015.
[14] J. l. d. Santos, “Contributos para uma melhor governação da cibersegurança em Portugal,”
[Online]. Available: http://run.unl.pt/bitstream/10362/7341/1/Santos_2011.PDF. [Acedido em 03
Outubro 2015].
[15] ENISA, “Enisa Threat Landscape,” 2015. [Online]. Available:
https://www.enisa.europa.eu/news/enisa-news/enisa2019s-cyber-threat-overview-2015.
[Acedido em 2016 03 10].
[16] Hackmagedom, [Online]. Available: http://news.softpedia.com/news/the-number-of-reported-
cyber-attacks-grew-in-2015-500303.shtml. [Acedido em 23 02 2016].
[17] R. M. P. Natário e P. F. V. Nunes, Risco Social no Ciberespaço. A Vulnerabilidade das
Infraestruturas Críticas, 2014.
[18] Casa Branca (b), “Estratégia Nacional de Segurança,” 2010. [Online]. Available:
https://www.whitehouse.gov/sites/default/files/rss_viewer/national_security_strategy.pdf.
[Acedido em 10 09 2015].
[19] Casa Branca (d), “Estratégia Internacional para o Ciberespaço,” 2011. [Online]. Available:
https://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspac
e.pdf. [Acedido em 20 11 2015].
[20] NIST, “Plataforma de Trabalho para Melhorar a Cibersegurança nas Infraestruturas Críticas,”
2014. [Online]. Available:
https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-
021214.pdf. [Acedido em 17 11 2015].
[21] Ministério Federal do Interior, “Estratégia de Cibersegurança da Alemanha,” 2014. [Online].
[Acedido em 17 11 2015].
[22] Ministério da Economia e das Comunicações, “Estratégia de Cibersegurança,” 2014. [Online].
[Acedido em 17 11 2015].
[23] Ministério de Segurança Pública (a), “Estratégia Nacional de Cibersegurança,” 2010. [Online].
Available: http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/cbr-scrt-strtgy/cbr-scrt-strtgy-eng.pdf.
[Acedido em 15 11 2015].
[24] Diário da República , “Estratégia Nacional de Segurança do Ciberespaço, 1.ª série — N.º 113,”
12 06 2015. [Online]. Available: https://dre.pt/application/conteudo/67468089. [Acedido em 11
11 2015].
[25] Departamento de Segurança Interna, “Panorama da Cibersegurança,” 2015. [Online]. Available:
http://www.dhs.gov/cybersecurity-overview. [Acedido em 17 11 2015].
[26] Departamento de Segurança de Interna, “O que é infraestrutura crítica?,” 2013. [Online].
Available: https://www.dhs.gov/what-critical-infrastructure. [Acedido em 24 10 2015].
76
[27] Casa da Branca (e), “Diretiva Presidencial de Segurança e Resiliência nas Infraestruturas
Críticas,” 2013. [Online]. Available: https://www.whitehouse.gov/the-press-
office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil. [Acedido
em 25 10 2015].
[28] Departamento de Segurança Interna (b), “Setor de Energia,” 2015. [Online]. Available:
http://www.dhs.gov/energy-sector. [Acedido em 15 11 2015].
[29] Departamento de Segurança Interna (c), “Setor das Comunicações,” 2015. [Online]. Available:
http://www.dhs.gov/communications-sector. [Acedido em 28 10 2015].
[30] Departamento de Segurança Interna (d), “Setor de Tecnologia de Informação,” 2015. [Online].
Available: http://www.dhs.gov/information-technology-sector. [Acedido em 30 10 2015].
[31] Departamento de Segurança Interna (e), “Plano Nacional de Proteção das Infraestruturas,”
2013. [Online]. Available: http://www.dhs.gov/sites/default/files/publications/National-
Infrastructure-Protection-Plan-2013-508.pdf. [Acedido em 11 11 2015].
[32] Ministério da Segurança Pública(b), “Estratégia Nacional para as Infraestruturas Críticas,” 2009.
[Online]. Available: http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/srtg-crtcl-nfrstrctr/srtg-crtcl-
nfrstrctr-eng.pdf. [Acedido em 17 10 2015].
[33] Ministério da Segurança Pública (c), “Plano de Ação para as Infraestruturas Críticas,” 2014.
[Online]. Available: http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/pln-crtcl-nfrstrctr-2014-
17/pln-crtcl-nfrstrctr-2014-17-eng.pdf. [Acedido em 16 11 2015].
[34] Diário da República, “Decreto-Lei n.º 62/2011 1.ª série — N.º 89,” 9 5 2011. [Online].
[35] União Europeia, “Diretiva 2008/114/CE do Conselho - relativa à identificação e designação das
infra-estruturas críticas europeias e à avaliação da necessidade de melhorar a sua protecção,”
08 12 2008. [Online]. Available: http://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32008L0114&from=PT. [Acedido em 16 09 2015].
[36] Segurança Online, “Proteção e gestão de infraestruturas críticas,” [Online]. Available:
http://www.segurancaonline.com/gca/?id=966. [Acedido em 17 10 2016].
[37] Agência de Segurança do Estado, “Política Nacional de Cibersegurança da África do Sul,” 04
12 2015. [Online]. Available: http://www.gov.za/sites/www.gov.za/files/39475_gon609.pdf.
[Acedido em 01 04 2016].
[38] Departamento de Comércio e Indústria, “Programa de Infraestruturas Críticas,” 2015. [Online].
Available:
https://www.thedti.gov.za/DownloadFileAction?id=1033&filename=CIP_Guidelines.pdf.
[Acedido em 15 10 2015].
[39] Assembleia Nacional da África do Sul(b), “Projeto-Lei de Proteção das Infraestruturas Críticas,”
28 08 2015. [Online]. Available: http://pmg-assets.s3-website-eu-west-
1.amazonaws.com/150829pmb4-2015.pdf. [Acedido em 29 11 2015].
77
[40] Conselho Nacional de Segurança (a), “Estratégia Nacional de Cibersegurança,” 2014. [Online].
Available: https://cert.gov.ng/images/uploads/NATIONAL_CYBESECURITY_STRATEGY.pdf.
[Acedido em 25 11 2015].
[41] Assembleia Nacional da Nigéria, “Lei do Cibercrime [HB. 14.01.669],” 2014. [Online]. Available:
http://www.nassnig.org/document/download/1365. [Acedido em 26 11 2015].
[42] Conselho Nacional de Segurança (b), “Política Nacional de Cibersegurança,” 2014. [Online].
Available: https://cert.gov.ng/images/uploads/NATIONAL_CYBESECURITY_POLICY.pdf.
[Acedido em 25 11 2015].
[43] [Online]. Available: https://ccdcoe.org/sites/default/files/documents/ITU-080418-
RecomOverviewOfCS.pdf. [Acedido em 10 Setembro 2015].
[44] Comissão da União Africana, “Projeto de Convenção da União Africana sobre a adopção de
uma quadro jur~idico sobre a cibersegurança em África,” 01 09 2012. [Online]. Available:
http://au.int/en/sites/default/files/AU%20Convention%20(Portuguese)%20(13-11-
2012%20CSD).pdf. [Acedido em 1 10 2015].
[45] Diário da República de Angola, Iª série, nº 175, “Despacho Presidencial nº 71/11 - Livro Branco
das Tecnologias de Informação e Comunicação,” 12 09 2011.
[46] Gabinete do Vice-Ministro das Tecnologias de Informação, “O Desempenho de Angola no Sector
das Tecnologia de Informação e Comunicação no Âmbito das Recomendações da Cimeira
Mundial da Sociedade de Informação,” 2012. [Online]. Available: http://mediatecas.ao/wp-
content/uploads/2012/05/MTTI-Angola-e-WISIS_20120521.pdf. [Acedido em 20 05 2016].
[47] Gabinete do Vice-Ministro das Tecnologia de Informação, A Indústria das TIC em Angola,
Luanda, 2010.
[48] PORTAL DE ANGOLA, “Usuários de Internet em Angola,” 21 05 2013. [Online]. Available:
http://www.portaldeangola.com/2013/05/angola-tem-actualmente-cinco-milhoes-de-usuarios-
de-internet/. [Acedido em 20 05 2016].
[49] Diário da República de Angola, IªSérie, nº 115, “Lei nº23/11 Das Comunicações Electrónicas e
dos Serviços da Sociedade da Informação,” 20 06 2011. [Online].
[50] ITU, “Programa CIRT - CIRT Nacionais,” 2016. [Online]. Available: http://www.itu.int/en/ITU-
D/Cybersecurity/Pages/Organizational-Structures.aspx. [Acedido em 05 03 2016].
[51] Diário da República, “Decreto Presidencial n.º 179/14,” 25 07 2014. [Online]. Available:
http://www.mtti.gov.ao/Institucionais/Organigrama.aspx. [Acedido em 27 08 2016].
[52] Diário da República de Angola Iª Série - N.º 167, “Estatuto Orgânico do INACOM,” 09 09 2014.
[53] Diário da República, Iª Série - Nº 153, “Estatuto Orgânico do CNTI,” 20 08 2014.
[54] “Estatuto Orgânico do Ministério das Ciências e Tecnologias,” [Online]. Available:
http://www.minct.gov.ao/Institucionais/Organigrama.aspx.
78
[55] Ministério da Justiça e dos Direitos Humanos , “Atribuições do Ministério da Justiça e dos
Direitos Humanos,” [Online]. Available:
http://www.minjusdh.gov.ao/Institucionais/Atribuicoes.aspx. [Acedido em 20 03 2016].
[56] Ministério da Defesa Nacional , “Atribuições do Ministério da Defesa Nacional,” [Online].
Available: http://www.minden.gov.ao/Institucionais/Atribuicoes.aspx. [Acedido em 21 03 2016].
[57] Polícia Nacional de Angola, “Legislação - Estatuto Orgânico da Polícia Nacional,” [Online].
Available: http://cgpn.gov.ao/Legislacao. [Acedido em 22 03 2016].
[58] Kaspersky, “Mapa em tempo real de ciberataques,” [Online]. Available:
https://cybermap.kaspersky.com/. [Acedido em 30 05 2016].
[59] União Europeia, “Diretiva Europeia de Segurança das Redes e da Informação,” [Online].
Available: http://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016L1148&from=EN. [Acedido em 23 12 2016].
[60] PORTAL DE ANGOLA, “Usuários de Internet em Angola,” 21 05 2013. [Online]. Available:
http://www.portaldeangola.com/2013/05/angola-tem-actualmente-cinco-milhoes-de-usuarios-
de-internet/. [Acedido em 20, z 05 2016].
79
80
Anexos
Anexo 1 – Perfil dos países
Estados Unidos da América
Disponível em: http://www.itu.int/en/ITU-
D/Cybersecurity/Documents/Country_Profiles/United_States.pdf
81
Canadá
Disponível em: http://www.itu.int/en/ITU-
D/Cybersecurity/Documents/Country_Profiles/Canada.pdf
Portugal
Disponível: http://www.itu.int/en/ITU-
D/Cybersecurity/Documents/Country_Profiles/Portugal.pdf~
África do Sul
Disponível em: http://www.itu.int/en/ITU-
D/Cybersecurity/Documents/Country_Profiles/South_Africa.pdf
Nigéria
Disponível em: http://www.itu.int/en/ITU-
D/Cybersecurity/Documents/Country_Profiles/Nigeria.pdf
82
Anexo 2
Entrevista: Eng.º Lino Alves dos Santos
Questionário sobre a Cibersegurança nas Infraestruturas Críticas Nacionais
No âmbito da realização do mestrado em Segurança de Informação e Direito no Ciberespaço,
como parte do trabalho de investigação que se deseja desenvolver, solicitamos a sua maior
contribuição na investigação que se leva a cabo sobre “Cibersegurança nas Infraestruturas
Críticas do sector das TIC em Angola”, com intuito de percebermos a visão que a empresa tem
sobre essa temática e compreender as iniciativas que tem sido levadas a cabo por este sector
no que tange a cibersegurança, agradecemos desde já, a sua colaboração na presente
investigação.
Dados do Entrevistado
Nome Lino Alves dos Santos
Função Responsável pelo Departamento de Operações e Controlo
Área Departamento de Operações e Controlo
Organização Centro Nacional de Cibersegurança (CNCS)
Questões
1. O que são Infraestruturas Críticas (IC)? E quais são os sectores que considera como
mais críticos em Portugal?
A definição de Infraestrutura Crítica está prevista na lei, no Decreto-Lei n.º 62/2011, e que
reproduz a transposição da Diretiva Europeia para a proteção das I.C Europeias, portanto o
legislador aqui em Portugal, aproveitou o momento da transposição e aplicou as mesmas
disposições para ICs nacionais.
Entende-se por ICs, aquelas Infraestruturas cuja a disrupção prolongada afecta o bom
funcionamento de um conjunto de elementos, desde o bom funcionamento do Estado de Direito,
o bem-estar social, os valores democráticos, portanto um conjunto de elementos que se forem
afetados devido a uma disrupção forte ou prolongada levem a que se considere aquilo como uma
I.C
Com base nesta definição o primeiro passo foi definir um conjunto de critérios e parâmetros e
com isso foi possível efectuar a:
A identificação das ICs junto de cada um dos sectores.
Aproveitou-se uma estrutura que existia na altura em que isto foi feito, chamado de Sistema
Nacional de Gestão de Crises, que possuía o que se chamava Comissão de Planeamento Civil
de Emergência sectorial que englobava o sector da Saúde, Energia, Transporte,
Telecomunicações, Banca, portanto cobria quase todos os sectores de atividades.
83
Depois de feita a identificação, foi feita uma espécie de matriz de propagação de efeito,
devido a interdependência que existe entre as ICs, e foi pesada o valor de cada uma
das infraestruturas independentemente do sector relativamente aos outros e foi feita
uma hierarquia de infraestruturas.
Não se pode dizer qual é o sector mais crítico, porque é uma questão que hoje academicamente
não faz sentido responder, devido a interdependência que existe entre eles, se formos a olhar
por exemplo na questão do sector das comunicações e da energia, a falha de um sector afecta
o outro, portanto não se pode dizer qual deles é o mais importante em relação ao outro.
A União Europeia dentro do programa de proteção de I.C priorizou dois sectores: Energia e
Transportes.
De acordo as medidas de proteção que são necessárias e obrigatórias para as IC, os próprios
operadores são responsáveis pela criação dos seus próprios planos de segurança para o
cumprimento dessas medidas são aprovados pelo SGSSI (Secretário Geral do Sistema de
Segurança Interna), são auditadas depois da sua implementação para avaliar a sua eficácia.
Essas medidas de segurança são espécies de guidelines face a determinados tipos de ameaças,
em Portugal estão a ser tratadas três tipos de ameaças contra as I.C: Terrorismo, Atividade
Sísmica e Ciberconflitos.
2. Como conceitua a cibersegurança, qual é a importância e o impacto que a mesma tem
para as IC nacionais?
A relação entre a Cibersegurança e a Proteção de IC é grande, por duas razões principais, uma
delas é que cada vez mais as ICs incorporam elementos do ciberespaço, elementos de
tecnologia: por razões de custo, facilidades, e porque auxiliam as operações das IC.
Exemplo típico: hoje em dia as barragens já não são operadas localmente, mas sim a partir de
um ponto central, quando antigamente sem telecomunicações de baixo custo ou capacidade
para o fazer eram operadas localmente, por técnicos locais, e isto obviamente introduz
vulnerabilidades que não existiam no passado relativamente a esta operação.
A segunda razão que está diretamente ligada a primeira, é que a maior parte dos dispositivos
SCADA ou sistemas SCADA, são sistemas muito antigos, que foram preparados exatamente
para uma operação local e não remota, portanto foram sistemas que não tiveram do ponto de
vista da sua concepção, da arquitetura não tiveram qualquer tipo de preocupação com ameaças
externas, ameaças de fora do perímetro de segurança, pois não era suposto estarem ligados a
Internet e esse é o problema que está ligado ao primeiro, mas é um problema extremamente
grande, porque está a se a falar de sistemas de legacy que do ponto de vista de arquitetura não
foram pensados para este ambiente de hiperconectividade, esta é de facto a relação existente
entre a cibersegurança e IC, portanto é tentar resolver este problema, isto do ponto de vista de
tecnologia.
Por outro lado do ponto de vista humano, penso que todos os países sofrem do mesmo problema
que é a falta de recursos humanos com as capacidades ou a perceção desta realidade que é o
ciberespaço ou de ter os sistemas ligados ao ciberespaço e o perigo que acarreta esta ligação.
84
Para mim a Proteção das IC é uma das componentes mais importante dentro daquilo que se
pode chamar o conjunto de políticas públicas para uma melhor cibersegurança, além dela temos
o cibercrime que é um outro contributo para as políticas para melhorar a cibersegurança.
3. O Centro Nacional Cibersegurança (CNCS) existe já um ano, portanto neste primeiro
ano em atividade qual é o balanço que faz?
O CNCS tem um ano e três meses de atividade, e pretende endereçar as questões de Proteção
de IC e Cibercrime, mas começou a trabalhar em respostas a incidentes conceito equivalente a
CERTs, pode ser comparado ao serviço nacional de bombeiros para o ciberespaço, ou seja, é
uma entidade cuja a missão principal é reagir, mitigar, recuperar a confiança aos sistemas
informáticos que de alguma foram comprometidos ou alvos de ataques.
Existe também a componente de formação e treino, onde também o CNCS tem trabalhado, a
outra componente que ainda não se tem trabalhado muito é a componente dos referenciais
normativos, neste momento existem apenas alguns documentos produzidos e que estão
disponíveis no site, esta componente inclui a criação de normas, standards, referenciais e de
boas párticas que ajudem os utilizadores finais, administradores de sistemas.
Algumas entidades trabalham muito pouco a área da cibersegurança, para além do que são as
boas práticas, não têm referenciais, não sabem exatamente qual é o objetivo a atingir.
O CNCS produziu um referencial concernente a definição do que se chama Baseline Capability
para reação de incidentes, um conjunto de capacidades mínimas que devem ser cumpridas por
todas as entidades do Estado e operadores de IC no que se refere a nível de preparação para
reagirem a incidentes.
Está a se trabalhar num outro referencial normativo para a componente de deteção de incidentes
e pretende-se para este ano ainda elaborar um outro documento para Gestão de Segurança de
Informação dentro das organizações.
O CNCS tem o objetivo de produzir um conjunto de referenciais que orientem no fundo, do ponto
de vista de políticas públicas o que é que as entidades do Estado e os operadores de I.C devem
ter implementados.
A componente de resposta a incidentes foi a prioridade do CNCS em ter um ponto focal para a
coordenação nacional de resposta a incidentes, um local onde é suposto parar todas as
informações relativas a incidentes que acontecem na comunidade servida (entidades do Estado
e operadores de IC), para de alguma forma se ter o panorama do que se passa do ponto de vista
de cibersegurança em Portugal.
A Investigação também é uma componente importante que obviamente se tiver desenvolvida
para ajudar a cibersegurança nacional e a componente de ciberdefesa, numa perspetiva de
garantir a soberania, e garantir a informação.
Em suma o balanço que se faz é positivo, de facto ainda há muita coisa por se fazer, o ritmo
deve ser sempre crescente.
Se formos a pensar no que o Estado usou como ferramenta para combater a conflitualidade do
ciberespaço, temos 4 domínios.
85
Diplomacia
Tratando-se de um problema transnacional, os países têm que se relacionar para resolver
problemas.
A maior parte dos ataques que um país sofre de certeza absoluta são originados de fora, de
alguma forma deve haver relações transnacionais, e estas relações podem estar numa camada
institucional por exemplo organismos de investigação criminal (nomeadamente a Interpol) que
podem ajudar a trabalhar na questão, mas também podem estar numa camada acima de
relações diplomáticas com acordos bilaterais para endereçar o assunto, é o que acontece com
ciberterrorismo que também é um fenómeno transnacional.
Defesa
Tem uma lógica externa, garante a questão da soberania nacional e que hoje em dia tem uma
lógica de corrida ao armamento para utilização do ciberespaço como meio de ataque, existem
países que lideram essa área e que já estão a trabalhar nesta componente de Defesa.
Plano de Prossecução Criminal
Os países Europeus e muitos outros têm já definidos nas suas leis o conceito de cibercrime, e
tipificados quais são os cibercrimes.
Portanto temos os crimes que pressupõem a salvaguarda do valor de património (sabotagem,
interferência nos dados) - os atos perpetrados contra sistemas informáticos, mas cibercrimes não
se enquadram apenas nesta classificação, são considerados também cibercrimes, os crimes
comuns realizados através de meios informáticos.
Em Portugal, o cibercrime mais comum é o Devassa da vida privada, portanto é um crime comum,
está previsto no código penal, mas é realizado por meio informático.
Portanto temos como entidades responsáveis a trabalhar nesta área: os Órgãos de Polícia
Criminal, a Polícia Judiciária, o Ministério Público.
Proteção Simples
Tem todas as medidas “civis” que contribuem para a cibersegurança nacional, está a se falar de
condutas, regulação de mercado, normas, portanto tudo que não se enquadra nos 3 domínios já
abordados, o CNCS trabalha essencialmente nesta componente e cujo o objetivo é assegurar a
confidencialidade, disponibilidade e a integridade de informação dos sistemas de informação
nacionais, enquanto que na Prossecução Criminal o objetivo é levar a Justiça e condenar os
cibercriminosos, na Ciberdefesa é ganhar uma superioridade sob um outro Estado e na
Diplomacia é manter a paz.
Dip
lom
acia
Def
esa
Pla
no
de
P
ross
ecu
ção
C
rim
inal
Pro
teçã
o
Sim
ple
s
(CN
CS)
86
4. Quais são os principais desafios da cibersegurança em Portugal?
São dois, um deles é: estabelecer o nível de confiança necessário com a comunidade servida,
isto significa que o CNCS dispa a sua camisola de autoridade nacional, e se relacione com as
entidades do Estado e os operadores de IC, como uma mais valia para cibersegurança nacional,
e que haja confiança deles no trabalho do CNCS.
A cibersegurança precisa de partilha de informação, cada um dos participantes vê um pouco
daquilo que é a realidade, e ela é tão mais eficaz quando há partilha da informação, e para isso
é necessário que haja confiança entre as partes envolvidas.
Desafios da cibersegurança em Portugal
Para a realização de cada uma das tarefas a nível dos 4 domínios mencionados , existem várias
autoridades nacionais que trabalham nestas áreas: Forças Armadas, Serviço de Inteligência,
Órgãos de Investigação Criminal, Ministério Público, Reguladores sectoriais, por exemplo, o
Banco de Portugal, a ANACOM (regulador das telecomunicações), e estes é que são os pares
do CNCS, deve-se criar um nível de articulação suficiente para que haja uma visão nacional da
cibersegurança, portanto isto é teoricamente.
Na prática, o CNCS tem um projeto agora em 2016 que visa a criação de um quadro situacional
de cibersegurança baseada na informação de múltiplas fontes, neste momento já existem mais
de 60 fontes de informação e pretende-se que seja um quadro partilhado por estas outras
autoridades, pretende-se por exemplo saber se o Centro de Ciberdefesa tem a mesma visão que
o CNCS, sob o que se está a passar a nível de ataques externos.
a) E quais são essas fontes de informação?
Neste momento a maior parte são fontes abertas.
Fontes assumidamente públicas, de entidades reconhecidas que têm sensores, ou
quaisquer outros mecanismos de monitorização de atividade maliciosa no globo e
que fornecem informação contínua a Portugal.
Comunidades de CERTs internacionais.
Fontes de Fabricantes, -Comunidade de Segurança (Antivírus), Microsoft e outros.
Ainda tem poucas entidades, mas se está a trabalhar no sentido de recolher ou ter
sistemas de deteção dentro da comunidade servida, que vão produzir informação
sob o que estão a detectar.
Confiança Partilha de Informação
87
5. O CNCS é o coordenador operacional e a principal autoridade nacional na matéria de
cibersegurança. Quais são os outros intervenientes na matéria de cibersegurança? E
como tem sido feita a articulação e cooperação entre os vários intervenientes e
responsáveis nacionais na área da cibersegurança?
Ainda se está a desenvolver esse aspeto, um dos objetivos é a criação do quadro situacional que
deve ser partilhado com as restantes autoridades nacionais, é um dos desafios.
Com algumas dessas entidades, o CNCS tem inclusive o Operational Level Agreement sobre a
produção de informação e processos, o ideal é que em 2016, se tenha essa articulação
devidamente procedimentada.
Por exemplo: quando é o que o CNCS deve notificar a polícia judiciária relativamente a um
incidente.
Quais são os critérios para se notificar? O que deve ser notificado?
Pretende-se aproveitar a fase de planeamento do Exercício Nacional de Cibersegurança, para
se produzir uma versão deste documento, na qual se vai definir também como é que se escala
o problema do ponto de vista da perigosidade sob a mais diversas entidades.
Do ponto de vista da reação a incidentes e da coordenação nacional de respostas a incidentes:
a maior parte de dialogo é estabelecida entre as vítimas e o CNCS, (de acordo a solicitação ou
notificação das vítimas, o CNCS deve averiguar ou identificar de onde provém o ataque, tendo
em atenção o tipo de ameaça, depois de feita a análise, deve-se informar a entidade responsável
em Portugal e se por exemplo o ataque vir de fora deve-se articular com a congénere
internacional de onde provem o ataque.
6. Como tem sido a interação ou a comunicação com os operadores das Infraestruturas
Críticas (Público ou Privadas)?
Antes de mais existem duas abordagens que são complementares, uma delas é a notificação
voluntária, baseada nas relações de confiança suficientes que o CNCS deve ter para que as
entidades notifiquem os incidentes que têm, porque sabem que o CNCS vai auxiliar na resolução
dos mesmos.
A outra abordagem que está para breve por força da Diretiva Europeia de Segurança das Redes
de Informação tem o regime obrigatório de notificação.
O CNCS neste momento está a trabalhar com a notificação voluntária, está a trabalhar com um
instrumento que é uma mistura de duas abordagens bem conhecidas: uma delas é a definição
do Baseline Capability (Capacidades Mínimas), uma exigência que uma entidade dentro da
comunidade servida deve ter do ponto de vista: Humano, Técnico, Processual e Organizacional.
E através deste conjunto de capacidades mínimas, criou-se uma espécie de Roadmap que
implementa o modelo de maturidade.
Neste momento como objetivo interno, o CNCS tem definido para este ano, ter 50 entidades, a
trabalhar no modelo de maturidade e a desenvolver as suas capacidades, isso proporciona o
canal para estabelecer as relações de confiança, o CNCS vai trabalhar com entidades, vai ajudar
88
a desenvolver as capacidades, e espera-se com isso que as entidades ganhem confiança no
CNCS.
7. O que acha que ainda deve ser feito na área da cibersegurança em Portugal?
Do ponto de vista legal pode-se dizer que em Portugal não há um mal cenário, devido as medidas
legais adotadas.
Nota: sob o ponto de vista de Angola. Existe um
documento que tem uma ambição universal, apesar de ser do
Conselho da Europa, que é a convenção de Budapeste prevê
uma harmonização universal do direito substantivo e processual
relativamente ao cibercrime, por outras palavras consiste em,
por exemplo que a criminalização de atividades como Phishing
sejam iguais em todos os que países que aderem a esta
convenção.
O carácter universal da convenção já tem alguns frutos, tem alguns países como: África do Sul,
EUA, Japão, que já aderiram, e, portanto, aconselha-se vivamente a olhar para as suas
disposições.
O objetivo no fundo é não haver paraísos de cibercrimes, porque os atacantes podem usar esses
países para perpetrar os ataques.
8. Considera que a Estratégia Nacional de Segurança no Ciberespaço é suficiente ou
teria que se aprovar uma Lei de Cibersegurança?
Como se pretende ter um regime de notificação de incidentes obrigatório, deve-se ter a Lei de
Cibersegurança, e o momento ideal para se adotar a Lei, é o momento da transposição da
Diretiva Europeia da Segurança das Redes de Informação que pressupõe figuras como
Autoridade Nacional de Segurança das Redes de Informação, Centro Nacional que já está a ser
executado pelo CNCS e pressupõe também a figura do ponto de contacto para a coordenação
internacional de incidentes.
O Decreto n.º 69/2014 refere que o CNCS é o coordenador principal para as atividades de
cibersegurança com enfoque principal para as entidades do Estado e operadores de IC, mas, no
entanto, não está definida a parte procedimental ou seja o Decreto não cita como é que se
exercitam essas atividades, quais são os institutos legais, quais são as figuras disponíveis que
dão corpo a essa autoridade, não estão definidas e precisam ser circunscritas numa Lei da
Cibersegurança, porque a estratégia não preenche todas essas questões.
9. Qual é a opinião que tem sobre o sector das comunicações aqui em Portugal?
Em Portugal temos um sector das comunicações onde existe um elevado grau de competição,
apesar do mercado estar a encolher devido o número de operadores que tem vindo a diminuir.
Existe uma guerra em termos de preços, clientes e quando se trabalha essencialmente os
preços, normalmente não dá espaço para que haja investimento de Segurança.
89
Temos operadores de telecomunicações que já têm CSIRTs, a maior parte dos operadores de
telecomunicações fazem parte daquilo que é o maior exemplo que Portugal tem de parceria
público-privada que a rede Nacional de CSIRTs.
Há portanto a muito trabalho por se fazer no desenvolvimento de capacidades dos operadores
na componente de reação a incidentes, acredita-se que nas componentes de prevenção e
deteção até por interesses económicos e por riscos tenham essas capacidades mais
desenvolvidas.
O sector das comunicações é um elemento chave para todos os restantes sectores da sociedade
no que corresponde a cibersegurança, para proteção de IC, para os utilizadores finais ou
residenciais porque eles também de certa forma contribuem para a cibersegurança e
ciberinsegurança, porque se não haver uma algum tipo de higienização do ciberespaço nacional,
pode-se por simplesmente utilizar os sistemas internos para atacar outros países ou o próprio
país, portanto é a mesma coisa que os hackers usam “sistemas intermediários”, infetam os
computadores de terceiros que depois são usados para efetuar os ataques, faz parte da
cibersegurança nacional também assegurar que isso não aconteça.
O Papel dos Operadores de Telecomunicações
São as únicas entidades capaz de relacionar o IP com o número do
subscritor de serviço, portanto há aqui uma responsabilidade que tem
que ser assacada de uma forma mais positiva, os operadores de
telecomunicações têm que ser envolvidos na higienização da Internet.
10. Qual é a sua opinião, acha que as infraestruturas do sector das comunicações em
Portugal estão preparadas para enfrentar ataques cibernéticos e ainda continuar a
garantir a disponibilidade dos seus serviços para os outros sectores dependentes?
Sim, eles têm recursos e o fator humano também não é um problema, porém o que acontece é
que eles não têm as funções estruturadas, dentro da entidade.
Por exemplo: há um operador que tem o serviço de CSIRT, dentro do Departamento de
Tecnologia, isto não é aconselhável, do ponto de vista de organização, para segurança da
informação todas as boas práticas apontam que o CSIRT deve ser uma unidade autónoma das
Tecnologias de Informação para de alguma forma ter uma supervisão do que o Departamento
de Tecnologia faz.
11. Quais são as principais empresas do sector das TICs que trabalham diretamente com
o CNCS?
O CNCS trabalha com todos os operadores de comunicações eletrónicas, há ainda um outro
grupo que tem muita relevância neste contexto que são os prestadores de serviços de alojamento
de sites.
90
12. A cibersegurança pressupõe o conhecimento de ameaças e vulnerabilidades do
ciberespaço nacional? Como é feito o conhecimento dessas vulnerabilidades e
ameaças?
Primeiro o CNCS presta o serviço de alerta á comunidade servida, este serviço compõem uma
avaliação da comunidade internacional de cibersegurança, o CNCS está atento aos principais
blogs, as principais listas de distribuição, fóruns de hackers e depois faz-se uma avaliação, e
com base a avaliação, pode-se verificar por exemplo, que há uma entidade dentro da
comunidade servida que usa uma determinada tecnologia que tenha uma vulnerabilidade
publicada, neste caso faz-se um alerta direcionado a entidade já com a respetiva solução.
Relativamente a vulnerabilidades que podem afetar o público em geral, faz-se uma disseminação
de alerta em grande escala, através dos meios disponíveis, já com a solução.
Pode ser melhorado, este serviço de alerta é tão mais eficaz quando melhor for direcionada a
informação, para isso precisa-se saber o que é que existe dentro das entidades.
13. Além do CERT Nacional, em outros países existem os CSIRTs Gov e CSIRTs
Sectoriais, em Portugal funciona da mesma maneira ou existe uma outra estrutura?
Foi uma decisão política criar um único CERT Nacional. Portugal optou por ter um CERT focado
nas entidades todas do Estado incluindo o Governo e operadores de Infraestruturas críticas, a
decisão política foi criar um único, até porque não há muitos recursos nesta área.
O CERT Nacional faz a coordenação nacional, portanto queremos que nos nossos planos de
desenvolvimento, hajam CSIRTs Sectoriais e que sejam criados CSIRTs inclusive nas entidades
de maior dimensão, e que haja partilha de informação em rede.
14. Quais são os requisitos básicos para se estabelecer um CSIRT numa Organização?
Tem que ter o serviço de resposta a incidentes de segurança informática, e para isso precisa de
ter: pessoas, processos e tecnologia.
Pessoas: há vários modelos de grupos de pessoas, a tempo inteiro ou a tempo parcial.
Processos: que permitam que dentro da organização os incidentes sejam notificados a esta
equipa, o CSIRT tem que ser conhecido da comunidade que serve.
Tecnologia: sistema de registo de ocorrência ou de tratamento de incidentes, base de dados
para a informação recebida e contactos exteriores.
15. O CNCS possui serviços reativos e pró-ativos no combate a incidentes de
cibersegurança? Quais são?
Dentro do CERT tem essencialmente serviços reactivos.
Serviços Reativos: Coordenação nacional a resposta de incidentes, Alertas e tem outro serviço
de Suporte on Site em entidades do Estado e operadores de IC que não tenham capacidades
técnicas suficientes para fazer análises forenses ou qualquer outro passo de resposta a
incidentes, pode-se deslocar uma equipa para lá durante o tempo que for necessário.
91
Do ponto de vista preventivo ou pró-activo: vai ser o trabalho para 2016, o CNCS tem um projecto
chamado panorama: quadro situacional, onde vai ser montada a componente de deteção, em
estreita ligação com as entidades da comunidade servida, todos os artefactos de segurança que
a entidade já tem, produzirão informação que deverá ser transmitida de forma automática para o
CNCS, o que é relevante para se ter um panorama nacional.
Depois da implementação dos serviços pró-ativos, vai se separar a equipa de resposta a
incidentes que o CNCS tem em duas: uma vai tratar de respostas incidentes, e a outra vai fazer
a análise de toda informação que vai se receber.
16. Qual foi o maior incidente ou o maior ataque que país já sofreu?
Foi em 2011, uma série de ataques de hacktivistas contra os sites do Estado. Os ataques
começaram em outubro e só terminaram em meados de dezembro, durante este todo tempo
foram ataques atrás de ataques de hacktivismo.
Apesar do impacto ter sido baixo, teve uma projeção política muito grande, veio de alguma forma
alertar o poder politico para a incapacidade das estruturas de responderem a este tipo de
situações, do ponto de vista técnico não foi nada grave.
17. Para um País que esteja a estudar a questão da Cibersegurança para aprovar uma
estratégia, qual acha que deve ser o ponto de partida?
Cooperação, olhar para o que já foi feito. Nesta área já existe muita partilha de boas práticas,
deve-se, no entanto, analisar e adaptar de acordo a realidade do país.
Isso deve ser feito de duas maneiras:
Busca ativa de informação disponível e
Estabelecimento de cooperação internacional.