Os ataques terroristas a que o mundo tem vindo a assistir, e que se intensificaram nas passadas semanas, manifestam intenções e motivações de grupos radicais em atacarem de forma indiscriminada. Alguns destes ataques culminaram em infortúnios que nos consciencializam da existência de fragilidades que manifestam uma célere necessidade de intervenção e correcção, como exemplo, no que concerne ao ciberterrorismo.

Uma das maiores fragilidades hodiernas manifesta-se na preocupação cega e isolada em conhecer o inimigo, tão intensamente que acaba por nos toldar a visão e afastar da importância mútua de nos conhecermos a nós próprios, da mesma forma como nos preocupamos em conhecer o inimigo.

Já no século IV, o grande general Sun Tzu afirmava que, "se não conhecer o inimigo nem a si mesmo, perderá todas as batalhas". De que nos servirá conhecermos o inimigo, se desconhecemos aquilo que somos ou o que faz parte de nós? E, se desconhecemos as fronteiras, património e particularidades dos activos que possuímos e que nos constitui, como poderemos assegurar a protecção desse desconhecido, ainda que este faça parte de nós?

Além dos ataques que foram noticiados em alguns países europeus, existiram dezenas de milhares de ataques informáticos a sistemas de entidades francesas, a maioria bem-sucedidos e que promoveram prejuízo económico, financeiro e reputacional.

Por prática, em situações de suspeita ou efectiva manifestação terrorista, verifica-se um maior zelo em garantir a segurança física, com reforço à vigilância e patrulhamento policial, mantendo algum descuido e falta de atenção nos cuidados com a cibersegurança. Este comportamento contraria a recomendação que Sun Tzu deixou escrita no tratado militar A Arte da Guerra, aquando afirmou que, "para ser vitorioso, é preciso ver o que não está visível". A existência de sistemas e infra-estruturas críticas que processam, transmitem ou armazenam dados de famílias, empresas ou do Estado, pode constituir um alvo fácil para enumerar um ataque, ou realizar um incidente que prejudique a sociedade, se, uma vez instrumentalizado, culminar numa materialização efectiva. Por essa mesma razão, não é passível de descuido.

Além de ser pertinente analisar a Europa no seu todo, importa aferir se estará o nosso país e as nossas empresas preparadas para um ataque informático de grande dimensão? Preocupamo-nos com a nossa imagem externa quando falamos de empréstimos da troika ou avaliações das agências de rating, mas quais serão as consequências reputacionais efectivas para Portugal, numa concretização de um ciberataque bem sucedido contra a nação e que revele fragilidades estruturais básicas em sectores ou sistemas críticos, que se materializem em prejuízo efectivo?

Não devemos pensar que assistimos a uma manifestação pontual e ímpar de um grupo radical. No futuro, poderão ser outros grupos radicais, os quais inclusivamente poderão surgir de países europeus ou aliados. Os Estados e as empresas devem estar preparados para qualquer que seja o vector de ataque, seja este interno ou externo.

Existem actualmente diversas plataformas mundiais que pesquisam continuamente por vulnerabilidades de equipamentos ligados à Internet e partilham esses resultados de forma livre e gratuita. Independentemente da análise jurídica que possa ser feita a esses serviços, e que me dispenso comentar, oferecem um valioso contributo à sociedade, ao disponibilizarem informações e identificarem tacitamente activos expostos na Internet. Contudo, estes podem ser explorados de forma maliciosa, auxiliando a promoção de ciberataques, que, uma vez iniciados, pela complexidade que poderão espoletar, não serão fáceis de controlar ou mitigar sem prejuízos sistémicos e/ou por contágio.

No nosso país, quando se discute a importância da intervenção do Estado em matérias de terrorismo, insiste-se na reiterada e polémica carência de autorizar entidades de segurança nacional a realizarem escutas e a monitorizarem comunicações entre os cidadãos (dispensando as actuais acções penais previstas na lei e que autorizam pontualmente estas acções), forçando a uma alteração constitucional de direitos consagrados num Estado que, no passado, conheceu o sabor amargo de uma ditadura. Ainda assim, e mesmo que isso venha a ser autorizado, será apenas uma resposta parcial e redutora à verdadeira necessidade de solucionar o problema.

Existem inúmeros equipamentos informáticos vulneráveis e expostos, passíveis de serem controlados remotamente, permitindo que um utilizador malicioso aceda de forma abusiva a informações privadas ou confidenciais. A monitorização de vulnerabilidades em activos (privados ou públicos) ligados à Internet, acompanhada de um processo eficaz de resolução ou mitigação, evitaria diversos prejuízos e danos aos proprietários e ao próprio Estado.

Neste contexto, a mitigação de risco passa por inventariar os principais activos críticos do Estado, expostos à Internet, realizando periodicamente auditorias que promovam a correcção das vulnerabilidades detectadas. Semelhantemente, os activos de entidades colectivas ou particulares que processem e/ou armazenam informações confidenciais ou privadas, deveriam ser alvo de um scan realizado por uma entidade de segurança nacional devidamente autorizada nos termos da lei, e que promova corrigir ou mitigar vulnerabilidades detectadas que constituam risco para as empresas e/ou famílias. Seriam, desta forma, controladas eventuais exposições e impedidas de serem instrumentalizados maliciosamente contra a sociedade.

Pedro Nunes Oliveira Machado

Docente e consultor científico de pós-graduação em Information Security