Cibersegurança nas Infraestruturas Críticas Angolanas do Sector das Tecnologias de Informação e Comunicação Sundi Henrieth Zalana Dissertação para a obtenção do grau de Mestre em Segurança de Informação e Direito no Ciberespaço Orientadores: Prof. Doutor Fernado Correia Prof. Doutor Carlos Caleiro Júri Presidente: Prof. Doutor Paulo Mateus Orientador: Prof. Doutor Fernando Correia Vogal: Contra-almirante António José Gameiro Marques 21 de Dezembro 2016
101
Embed
Cibersegurança nas Infraestruturas Críticas Angolanas do ...§a nas Infraestruturas Críticas Angolanas do Sector das Tecnologias de Informação e Comunicação Sundi Henrieth Zalana
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Cibersegurança nas Infraestruturas Críticas Angolanas do Sector
das Tecnologias de Informação e Comunicação
Sundi Henrieth Zalana
Dissertação para a obtenção do grau de Mestre em
Segurança de Informação e Direito no Ciberespaço
Orientadores: Prof. Doutor Fernado Correia
Prof. Doutor Carlos Caleiro
Júri
Presidente: Prof. Doutor Paulo Mateus
Orientador: Prof. Doutor Fernando Correia
Vogal: Contra-almirante António José Gameiro Marques
21 de Dezembro 2016
I
Em memória do meu querido pai
Nsiona Miguel Zalana e
do meu irmão amado Kenedy Miguel Zalana
II
Agradecimentos
Agradeço primeiramente à Deus por tudo que fez desde o príncipio deste percurso até ao fim.
Agradeço ao meu orientador Professor Dr. º Fernando Ribeiro Correia por partilhar o seu saber,
pelas sugestões, pela sua pronta disponibilidade, dedicação e atenção que teve no processo de
orientação deste trabalho.
A todos os professores que com o seu saber e rigor ministraram as aulas do curso de Segurança
de Informação e Direito no Ciberespaço.
Ao Dr. º Gonçalo de Sousa e ao Eng.º Lino Alves dos Santos pela contribuição feita por me
conceder uma entrevista fundamental para a realização deste trabalho.
Agradeço a todos quanto apoiaram-me em Angola na pesquisa de campo através dos dados,
informações que me cederam que foram pertinentes para a conclusão da tese.
Aos meus familiares, em especial a minha mãe e aos meus irmãos pelo apoio incondicional que
deram e por estarem sempre presentes nestes dois anos de formação.
Por último aos meus colegas, aos meus amigos que deram sempre uma palavra de motivação
nos momentos mais difíceis dessa caminhada.
III
Resumo
O ciberespaço é uma rede global sem fronteiras que interconecta utilizadores e dispositivos em
todo o mundo, tornou-se o novo espaço de interação humana, e tem sido um suporte tecnológico
para muitos serviços e infraestruturas críticas.
O sector das Tecnologias de Informação e Comunicações (TIC) tem estado a desenvolver-se
cada vez mais, é uma parte vital da economia e da sociedade, sendo o elemento de agregação
de diversos sectores da sociedade.
A atual dependência que se assiste das TIC, principalmente da Internet para a prestação de
serviços críticos para a manutenção da sociedade, introduz vulnerabilidades que podem ser
exploradas por uma vasta gama de indivíduos com diferentes características e motivações.
As infraestruturas críticas são essenciais para a economia e segurança dos países. Dada a
importância não devem apresentar problemas com a continuidade das suas operações, pois a
interrupção prolongada pode causar sérias consequências à sociedade no que tange ao
fornecimento de serviços fundamentais.
A ubiquidade do ciberespaço trouxe um desafio adicional aos mecanismos, às políticas e aos
procedimentos usados na proteção das infraestruturas críticas. Deste modo, há necessidade de
abordar o tema da cibersegurança para a proteção das infraestruturas críticas no ciberespaço,
pois é um tema atual e em constante evolução.
Em Angola tem-se observado um crescimento do sector das TIC, e a dependência dos outros
sectores da atividade da economia nacional com as TIC. Este trabalho de investigação pretende
ser uma reflexão sobre a situação das TIC em Angola, bem como, um documento orientador
sobre a cibersegurança em Angola.
Palavras Chaves: Cibersegurança, Ciberespaço, Infraestrutura Crítica, Sector das TIC.
IV
Abstract
The cyberspace is a worldwide borderless system that interconnects users and devices all over
the world, became the new space of human interaction, and have been a technological support
for several services and critical infrastructures.
The Information Technology and Communications (ITC) sector has been developing more and
more, lately, it is a vital part of the economy and society, and the element of aggregation of various
sectors of society.
The present dependence of the ITC sector is mostly from the Internet for the society maintenance,
it brings vulnerabilities that can be explored by a wide range of individuals with different
characteristics and motivation.
The critical infrastructures are crucial for the economy and country security. Due of its importance,
it should not present problems with continuity of operations, as the long downtime can cause
serious consequences to the society concerning to the fundamental services supply.
The ubiquity of cyberspace has brought an additional challenge to the mechanisms, procedures
and policies used in the protection of critical infrastructures. There comes a need on approaching
about cybersecurity issue for the protection of critical infrastructures in cyberspace since it is a
current issue and in constant evolution.
In Angola has been observed a growing movement on the ITC activity, and the direct relationship
with other economy national sectors. This research work presents the ITC current situation in
Angola, and to be a guide document about cybersecurity in Angola.
A presente dissertação encontra-se dividida em 5 capítulos:
No capítulo 1. Introdução - faz-se um breve introito no âmbito da temática em abordagem,
apresenta-se também a questão de partida para o estudo deste tema, os objetivos que se
pretendem alcançar, as hipóteses que no final serão validadas ou refutadas e é apresentada a
metodologia aplicada para o desenvolvimento deste trabalho.
1 Consideram-se fontes primárias como: inquéritos, entrevistas, observação painéis, grupos de foco.
5
No capítulo 2. Revisão da Literatura – É apresentado um mapa de conceitos, com os termos
pertinentes para o tema em abordagem, é feito ainda um breve estudo do estado da arte sobre
a cibersegurança e infraestruturas críticas em alguns países.
No capítulo 3. Avaliação o Índice Global de Cibersegurança – Como resultado do que foi
apresentado no capítulo 2, é feita uma comparação a nível do comprometimento com a
cibersegurança, ou seja, procura-se aqui compreender o nível de engajamento de alguns países
com a cibersegurança para se ter uma noção de como se tem tratado este assunto a nível
internacional.
No capítulo 4. Prioridades de Implementação – Neste capítulo como consequência do que foi
apresentado nos capítulos 2 e 3, apresentam-se as prioridades que devem ser aplicadas em
Angola para a criação de um quadro de cibersegurança.
No capítulo 5. Análise e Discussão dos Resultados – Neste capítulo serão apresentados os
principais resultados, será feita uma análise e discussão dos resultados obtidos através da
análise de conteúdo das entrevistas.
E finalmente a Conclusão e as Recomendações – fez-se a conclusão do trabalho, respondeu-
se à questão central do trabalho, bem como a verificação das hipóteses e apresentou-se alguns
pontos para uma possível orientação que poderá ser seguido por Angola.
1.7 Resultados Esperados
A dissertação cumprindo os objetivos estabelecidos, deverá apresentar os seguintes resultados:
Compreensão da necessidade de criação de uma estratégia nacional de cibersegurança.
Motivação para implementação de métodos para a proteção das infraestruturas críticas
do sector das TIC.
A mobilização dos operadores das infraestruturas críticas do sector das TIC em prol da
Cibersegurança.
6
2 Revisão da Literatura
2.1 Mapa de Conceitos
As referências desenvolvidas, combinando as palavras-chave associadas ao tema deste
trabalho, consistem basicamente em publicações, artigos disponibilizados na Internet.
Inicialmente para dar início à uma investigação completa e envolvente à temática escolhida,
procedeu-se à definição de conceitos considerados essenciais para compreensão do tema em
abordagem.
2.1.1 Tecnologia de Informação e Comunicações
TIC é a aplicação de computadores e equipamentos de telecomunicações para armazenar,
recuperar, transmitir e manipular dados. O termo está habitualmente associado ao uso de
computadores e redes de computadores, mas abrange também outras tecnologias de
distribuição de informação, como a televisão, telefones e outros aparelhos eletrónicos. Existe
uma forte vertente industrial associada à tecnologia da informação, tais como hardware,
software, eletrónica, semicondutores, Internet, equipamentos de telecomunicações, comércio
eletrónico e outros serviços de informática. Ralston, A.2000, citado por Fernandes [4].
O termo Tecnologia de Informação e Comunicação (TIC) foi nomeada por Stevenson no seu
relatório de 1997 para o governo do Reino Unido e promovido pelos novos documentos
Curriculares Nacionais para o Reino Unido em 2000, Foldoc [5]
O advento destas novas tecnologias proporcionou muitas vantagens para a sociedade no geral,
na criação de serviços que hoje são disponibilizados através do ciberespaço, este grande
universo que tem servido de interação entre os homens.
2.1.2 Ciberespaço
De acordo a Casa Branca, o ciberespaço toca praticamente tudo e todos. Proporciona uma
plataforma para a inovação, prosperidade, e os meios para melhorar o bem-estar geral de todo
o mundo [6].
Este espaço virtual, estruturado com base numa rede de redes serve também de suporte
tecnológico a muitos dos serviços críticos e infraestruturas, de que milhões de pessoas
dependem diariamente [7].
De acordo com os conceitos aferidos, pode-se dizer que o ciberespaço auxilia no crescimento
dos países, ajudando a desenvolver os vários sectores da sociedade e a facilitar o
aprovisionamento de serviços de uma forma mais rápida. O ciberespaço tornou-se um novo
espaço para o desenvolvimento de várias tarefas que noutrora só podiam ser efetuadas em
outros domínios.
Atendendo ao seu aspeto mais técnico, o ciberespaço pode ser definido como um conjunto de
redes e sistemas de comunicação que estão interligados entre si de forma direta ou indireta”. O
ciberespaço é assim um ambiente em si mesmo, onde se deve ter em linha de conta tanto a sua
componente tecnológica, isto é, as vulnerabilidades inerentes ao seu emprego e ameaças que
7
possam afetá-lo, como os fatores humanos, uma vez que são estes que caraterizam os
utilizadores deste ambiente [7].
De acordo a figura 1 são apresentadas algumas características do ciberespaço:
Figura 1 - Características do ciberespaço
(Adaptado do IDN, 2013)
O ciberespaço está em desenvolvimento devido a inúmeras tecnologias e sistemas que o
compõem. O carácter dinâmico refere-se à capacidade de mudança constante dessas mesmas
tecnologias, sistemas e das informações que trafegam neste espaço. É também de ressaltar que,
quer mesmo os atacantes, as vulnerabilidades e os ataques cibernéticos existentes estão
suscetíveis a persistentes alterações.
Não existem fronteiras no ciberespaço e hoje o custo para conectar-se a este espaço é irrisório.
Nesta linha de raciocínio, não são necessários hoje em dia recursos sofisticados para efetuar
ataques. Os ataques vão desde os mais simples aos de maiores proporções, podendo os seus
efeitos serem refletidos no ambiente físico e acabando por afetar as mais diversas áreas da
sociedade.
O ciberespaço também proporciona o anonimato o que favorece os atacantes e dificulta as
entidades competentes pela aplicação da lei na obtenção de provas dos crimes cometidos e a
punição destes atores.
O ciberespaço não está limitado pela esfera pública ou privada, interna ou externa, desta forma,
as ameaças podem surgir de qualquer local e ter efeitos assimétricos e fortemente disruptivos.
Métodos de ataques semelhantes podem ser utilizadas para atingir indivíduos, empresas ou
Estados [1].
Ciberespaço
Carácter dinámico
Custo irrelevante de acesso
Enorme potencial de crescimento
Alta capacidade de
processamento
Carácter assimétrico
Anonimato
Alta capacidade para produzir efeitos físicos
Transversalidade
8
Nesta ordem de ideias cada país deve avalizar a segurança dos utentes no ciberespaço e a
salvaguarda da soberania através de implementação de políticas, tecnologias, processos para a
mitigação das ameaças cibernéticas.
2.1.3 Cibersegurança
A União Internacional das Telecomunicações (ITU), com base a recomendação ITU-T X.1205,
define a cibersegurança como o conjunto de ferramentas, políticas, conceitos de segurança,
medidas de segurança, orientações, abordagens de gestão de riscos, ações, formações, boas
práticas e tecnologias que podem ser usadas para proteger o ciberespaço e os ativos das
organizações (ver tabela1) e dos utilizadores [8].
Tabela 1 – Ativos das organizações
(Adaptado de ITU, 2008)
Ativos da Organização
Computadores conectados Infraestrutura
Recursos humanos Aplicações
Sistemas de telecomunicação Serviços
Informação transmitida Informação guardada
Ghernaouti-Hélie, afirma que o conceito de cibersegurança é aplicado para a proteção de
quaisquer recursos de TIC material ou imaterial contra uma ameaça (…) [9].
Assim, as tecnologias, os sistemas e os processos devem ser concebidos com a segurança
sempre presente. A segurança deve ser um processo ininterrupto dentro das organizações e
deve fazer parte das atividades de negócio, devendo servir de base para o fornecimento de
outros serviços.
A abordagem para a cibersegurança deve ser abrangente devendo lidar com questões
imponentes como a soberania, a segurança nacional, a herança cultural das nações, e a proteção
das infraestruturas críticas, sistemas, redes, bens, valores e a segurança das pessoas [9].
A cibersegurança tem-se tornado uma preocupação global, assumindo assim uma acuidade
crescente na agenda da segurança internacional. Muitos governos estão a investir na
investigação e desenvolvimento de novas tecnologias de segurança, devido o aumento dos
riscos associados ao ciberespaço.
2.1.4 Ciberdefesa
Enquanto espaço de interação social, o ciberespaço materializa assim uma área de
responsabilidade coletiva onde a atribuição de responsabilidades e competências na sua
segurança deverá obedecer à mesma lógica e fundamentos que caracterizam a Segurança e a
Defesa do Estado [1]
Por ciberdefesa entendem-se as atividades de monitorização, prevenção e resposta às ameaças
que ponham em risco a soberania e a segurança nacional (ciberguerra) e cuja responsabilidade
de resposta recai nas Forças Armadas [10].
9
A cibersegurança sendo um edifício de vários pilares (ver figura 2), para garantir a soberania
nacional, deve-se desenvolver a componente de ciberdefesa.
Figura 2 – Cibersegurança (um edifício – vários pilares)
(Nunes, 2012)
A estratégia nacional de cibersegurança deve contemplar um conjunto de iniciativas para a
proteção do ciberespaço, deve garantir medidas de segurança e defesa nos sistemas e redes
das infraestruturas críticas para fazer face ao espectro de ameaças no ciberespaço.
2.1.5 Infraestruturas Críticas
Segundo Santos et al., as Infraestruturas críticas são redes de estruturas críticas para regular o
funcionamento da sociedade, “devem constituir uma preocupação central de um país perante as
diversas ameaças que surgem do ciberespaço, pois o número de pontos sensíveis cresce com
a proliferação tecnológica [11].
Podem ser consideradas como IC as instalações básicas, ou seja, serviços necessários para o
funcionamento de uma comunidade ou sociedade, tais como transporte e sistemas de
comunicação, linhas de água e de energia, e as instituições públicas, incluindo escolas, correios
e prisões [12].
Os países, os indivíduos e as organizações passaram a depender do uso das tecnologias de
informação e comunicação (TIC), especialmente da internet, para realizar as suas atividades.
Quanto maior for essa dependência maiores serão os riscos para a segurança. As infraestruturas
críticas hoje podem ser operadas e controladas remotamente através da Internet, este fator
introduz uma série de riscos para a segurança das IC.
As IC enfrentam uma variedade de riscos para a sua segurança desde atos de vandalismos
provocados pelo homem, desastres naturais e ataques cibernéticos. A proteção das diversas
infraestruturas críticas é de suma importância para a sobrevivência dos países.
É neste sentido que os países têm envidado esforços no que toca a definição das suas
infraestruturas críticas, e adoção de medidas para a salvaguardar as suas infraestruturas críticas.
Nunes [13] apresentou um modelo de interdependência funcional das infraestruturas críticas (ver
figura 3).
10
Figura 3 - Modelo de interdependência de infraestruturas críticas
(Adaptado de Nunes, 2015)
As infraestruturas críticas podem ser afetadas diretamente ou indiretamente. Quando afetadas
diretamente, as funções destas infraestruturas são paralisadas (quando o ataque é direcionado
a uma parte crítica da IC: ativos, serviços, sistemas críticos). Quando é afetada indiretamente, o
ataque direcionado a uma infraestrutura crítica tem os seus efeitos repercutidos noutras
infraestruturas [13].
A figura 2 mostra essencialmente a relação de interdependência entre as IC, onde todas as IC
consideradas dependem da infraestrutura elétrica para a execução das suas atividades, e
dependem também da infraestrutura crítica de telecomunicações. Uma falha numa destas
infraestruturas prejudica o funcionamento das demais. Por isso importa refletir sobre o
desenvolvimento de um plano de proteção de infraestrutura crítica e numa estratégia de
cibersegurança que contempla a questão de proteção de infraestruturas críticas no ciberespaço
para fazer face às ameaças.
2.1.6 Ameaças
A ameaça à segurança das TIC pode ser definida como “qualquer circunstância ou
evento passível de explorar, intencionalmente ou não, uma vulnerabilidade específica
num sistema de TIC, resultando numa perda de confidencialidade, integridade e disponibilidade
da informação manipulada ou do sistema [7].
Existem diferentes tipos de ameaças (…), ainda que as ameaças associadas às catástrofes
naturais, origem industrial e a erros ou falhas não intencionais, estejam sempre presentes, é
necessário analisar com maior profundidade os ataques deliberados, já que a sua sofisticação,
precisão e potencial impacto estão em constante evolução, elevando o nível de risco a que os
sistemas estão submetidos [7].
Rede Elétrica Nacional
Rede de Telecomunicações
Transportes (ex: correio, tráfego
aéreo, ferroviário, metro)
Sistema Financeiro (ex: bancos, bolsas,
multibanco)
Defesa (ex: sistemas, radares,
mísseis, etc)
Proteção Civil (ex: bombeiros, forças de segurança, etc)
Outras IC (governo, saúde, sist.de dist.
de água, etc)
11
Os ataques podem ser perpetrados de qualquer parte do mundo, a qualquer hora, sem a
necessidade de grandes recursos para a realização dos mesmos.
Falando das ameaças cibernéticas que também fazem parte dos ataques deliberados, vale
realçar que podem ser agrupados de acordo a motivação associada a eles [14] (ver figura 4).
Figura 4 – Espectro de ameaças cibernéticas
(Adaptado de Santos, 2011)
• Cibercrime: centradas essencialmente na obtenção de benefícios económicos através de
ações ilegais. As ações realizadas como: a fraude bancária, com cartões de crédito ou a
realização de transações em diferentes páginas web, constituem exemplos de ações comuns
relacionadas com este tipo de ameaças [7].
• Ciberespionagem: com o foco na obtenção de informações, seja para benefício próprio
ou para deter um benefício monetário posterior com a sua venda. A informação mais suscetível
a identificar-se neste campo pode pertencer, nomeadamente, a um governo ou até a
organizações privadas, e ser classificada, sendo esta uma mais valia para os atacantes [7].
• Ciberterrorismo: onde se procura um impacto social e político significativo pela destruição
física. Neste contexto as infraestruturas críticas constituem os alvos mais prováveis.
O ciberterrorismo tem motivações políticas, sociais ou religiosas, é também considerado com a
convergência entre o terrorismo convencional e o ciberespaço [7].
• Ciberguerra: pode ser definida como uma luta ou conflito entre duas nações ou entre
diferentes facções dentro de uma nação onde o ciberespaço é o campo de batalha [7].
• Hacktivismo: o ciberativismo possui os mesmos princípios que o ativismo convencional,
na verdade a Internet e as redes sociais servem como ferramentas para divulgação e
consciencialização, contundo existem atos considerados ativistas que não poderiam ser feitos
no mundo real como ataques a servidores [7].
O que varia neste conjunto de ameaças deliberadas são as motivações e os atores que cometem
os ataques cibernéticos. Portanto é muito importante ter em atenção estes aspetos de formas a
se analisar as ameaças que podem afectar as infraestruturas críticas.
A figura 5 apresenta quinze tendências de ameaças referentes aos anos de 2014 e 2015
publicados pela Agência da União Europeia para a Segurança das Redes e Informação (ENISA)
12
[15], em diversas áreas tecnológicas e de aplicações, são mencionadas as principais ameaças
cibernéticas que podem ser realizadas pelos atacantes contra os sistemas.
Figura 5 - Tendências de ameaças 2014/2015
(Adaptado ENISA, 2015)
Pode-se constatar que não teve muita alteração na classificação entre os dois anos. Os
atacantes hoje em dia usam inúmeras técnicas para efetuarem essas ameaças. Entre as 5
primeiras ameaças pode-se destacar os Botnets e o Denial of Service (Negação de serviço –
DoS em Inglês) como um dos ataques com maior impacto às infraestruturas críticas podendo
causar: paralisação no fornecimento de serviços essenciais, perda temporária ao acesso de
informações críticas, prejuízos financeiros.
Os botnets são usados em muitos ataques de negação de serviços, eles são uma rede de
computadores infectados que são usados para inundar o servidor “vítima” com muitas
solicitações e tornando assim os recursos dos sistemas indisponíveis para os seus utilizadores.
Essas ameaças podem afectar serviços, processos ou mesmo paralisar os sistemas das
infraestruturas críticas.
O site Hackmagedom [16], publica as estatísticas de ataques cibernéticos a nível global, é
apresentado na figura 6 uma comparação entre os anos 2014 e 2015, as principais motivações
por detrás dos ciberataques.
13
Figura 6 - Comparação das motivações por detrás dos ataques
(Adaptado do Hackmagedon,2015/6)
Como se pode observar na figura 6, os cibercrimes têm ocupado a posição de destaque dentre
os ataques, pelo que se pode esperar é que haja um crescimento exponencial nos próximos
anos. Todos os dias acontecem casos relacionados com cibercrime. Os atacantes exploram
vulnerabilidades mais rapidamente do que os utilizadores podem defender-se deles.
De uma forma geral os ataques cibernéticos vêm crescendo cada vez mais, e deve ser uma
preocupação cimeira dos países a busca de medidas para fazer face a estas ameaças, que
colocam em risco a segurança nacional.
2.2 Panorama sobre a cibersegurança nas infraestruturas
O grande aumento da interligação dos sistemas informáticos, particularmente o desenvolvimento
da Internet, revolucionou a forma de como os governos, as empresas e os indivíduos comunicam
e fazem negócios. No entanto, este advento de um mundo hiperligado trouxe também enormes
riscos para os sistemas, para os computadores e, mais importante ainda, para o normal
funcionamento das infraestruturas críticas (IC) que eles suportam [17] .
O fator criticidade das infraestruturas pode variar de país para país, mas há algo em comum
neste contexto que é a relevância para o funcionamento normal de um país.
As infraestruturas críticas podem ser danificadas, destruídas ou perturbadas por atos deliberados
de terrorismo, catástrofes naturais, negligência, acidentes, crimes cibernéticos, ou
comportamentos mal-intencionados. No início do século XXI, os acontecimentos do 11 de
Setembro nos EUA2 e os seus impactos, a nível mundial, fizeram com que o estudo sobre a
proteção de infraestruturas críticas começasse a ser visto com maior atenção por toda a
comunidade internacional [18].
Os governos precisam de um plano abrangente para lidar com a questão da cibersegurança e
identificar mecanismos que visam proteger as suas infraestruturas críticas. A nível mundial
2De acordo o documento de proteção física das infraestruturas críticas dos Estados Unidos de América, há uma referência citada pela casa branca que afirma, que os ataques demonstraram a extensão da vulnerabilidade dos EUA à ameaça terrorista. Na sequência destes acontecimentos trágicos, tem-se demonstrado firme determinação em proteger as Infraestruturas críticas e principais ativos de maior exploração terrorista. (http://www.whitehouse.gov/sites/default/files/rss_viewer/national_security_strategy.pdf)
Motivações dos ataques
14
diversos países têm adotado estratégias em matéria de cibersegurança, pode-se citar como
exemplo: os EUA [6] [12] [19] [20], Alemanha [21], Estónia [22], Canadá [23]. Em Portugal, a
resolução do Conselho de Ministros nº42/2012 orientou a implementação de uma Estratégia
Nacional de Segurança da Informação que compreende, designadamente, a criação, instalação
e operacionalização de um Centro Nacional de Cibersegurança. Em Junho de 2015 foi aprovada
a Estratégia Nacional de Segurança no Ciberespaço, conforme a resolução do Conselho de
Ministros nº36/2015 [24].
A seguir apresentar-se-á o ponto de situação de alguns países em matéria de cibersegurança e
proteção das infraestruturas críticas.
2.2.1 Estados Unidos
2.2.1.1 Cibersegurança
O ciberespaço e a sua infraestrutura subjacente são vulneráveis a uma ampla gama de riscos
decorrentes de ambas as ameaças físicas e virtuais [25].
Atendendo as vulnerabilidades do ciberespaço, os cibercriminosos cometem atos deliberados
com a finalidade de destruir os sistemas informáticos, interromper serviços críticos e até mesmo
destruir as infraestruturas críticas.
Segundo o Departamento de Segurança Interna [25], “uma série de crimes tradicionais estão
agora a ser perpetrados através do ciberespaço (…), os quais têm consequências económicas
e humanas substanciais”.
Em função desta realidade o Presidente dos EUA emitiu a Ordem Executiva 13636, "Melhorando
a Cibersegurança das Infraestruturas Críticas". A Ordem Executiva apela ao desenvolvimento de
uma plataforma de trabalho voluntária de cibersegurança baseada em riscos - um conjunto de
padrões e melhores práticas para ajudar as organizações a gerenciar riscos de cibersegurança
[20].
A plataforma de trabalho, criada através da colaboração entre o governo e o sector privado,
utiliza uma linguagem comum para resolver e gerenciar riscos de cibersegurança de uma forma
eficaz.
A plataforma de trabalho é uma abordagem baseada na gestão de riscos à cibersegurança, e
está composta em três partes: plataforma de trabalho de núcleo, plataforma de trabalho de
implementação de camadas, plataforma de trabalho de perfis. Cada componente da plataforma
de trabalho reforça a conexão entre os administradores de negócio e atividades de
cibersegurança [20].
O esforço para garantir um programa de cibersegurança coerente com as infraestruturas críticas
tem quatro componentes que são apresentados na figura 7:
15
Figura 7 - Componentes para o programa de cibersegurança EUA
(Adaptado de NIST, 2014)
2.2.1.2 Infraestruturas Críticas
As infraestruturas críticas fornecem os serviços essenciais que sustentam a sociedade
americana [26].
Esforços pró-ativos e coordenados são necessários para fortalecer e manter seguras,
operacionais, e resilientes as infraestruturas críticas
As Infraestruturas críticas dos EUA são diversas e complexas. Incluem redes distribuídas,
estruturas organizacionais, modelos variados de funcionamento, funções e sistemas
interdependentes, tanto no espaço físico e no virtual, construções de governança que envolvem
autoridades de vários níveis, responsabilidades e regulamentações [27].
As Infraestruturas críticas devem ser seguras, capazes de suportar e rapidamente recuperar de
todos os perigos, para o efeito deve haver um preparo em termos de prevenção, proteção,
mitigação, resposta e recuperação.
A Diretiva Presidencial Política 21 (PPD-21): Segurança e Resiliência nas Infraestruturas Críticas
- revoga a Diretiva Presidencial de Segurança Interna / HSPD-7, avança uma política nacional
para fortalecer e manter seguro, o funcionamento das infraestruturas críticas. A Diretiva
Presidencial Política e o Plano Nacional de Proteção de Infraestruturas Críticas (NIPP),
organizam as infraestruturas críticas em 16 sectores, e agências federais, conhecidas como
Agências Sectoriais Específicas (Specific Sector Agency), para liderar um processo colaborativo
para a segurança das infraestruturas críticas dentro de cada um dos 16 sectores de infraestrutura
crítica. Cada Agência Sectorial Específica é responsável pelo desenvolvimento e implementação
de um Plano Sectorial Específico (SSP), que detalha a aplicação dos conceitos do Plano
Nacional de Proteção das Infraestruturas Críticas (NIPP) às caraterísticas únicas e condições do
seu sector, (ver tabela 2).
16
Tabela 2 - Sectores de infraestruturas críticas e agências sectoriais específicas EUA
(Adaptado da Casa Branca, 2013)
Sector de Infraestruturas Críticas Agências Sectoriais Específicas
Químico
Departamento de Segurança Interna Instalações Comerciais
Comunicações
Produção
Barragens
Serviços de Emergência
Reatores Nucleares, Materiais e Resíduos
Tecnologia de Informação
Base Industrial de Defesa Departamento de Defesa
Energia Departamento de Energia
Serviços Financeiros Departamento de Tesouro
Instalações Governamentais Departamento de Segurança Interna
Serviços Gerais de Administração
Sistemas de Transporte Departamento de Segurança Interna
Departamento de Transportes
Assistência Médica e Saúde Pública Departamento de Saúde e Serviços Humanos
Sistema de Água e Esgoto Agência de Proteção Ambiental
Agricultura e Alimentação Departamento de Agricultura
Departamento de Saúde e Serviços Humanos
Os planos para a proteção das infraestruturas críticas são criados através de um esforço
coordenado envolvendo os seus parceiros dos sectores público e privado.
Dentre os sectores referenciados na tabela 2, a Diretiva Presidencial identifica o sector
energético como exclusivamente crítico, pois sem o fornecimento estável da energia, a saúde e
o bem-estar estão ameaçados, o sector tem uma função muito importante para todos os outros
sectores de infraestrutura crítica. Mais de 80% da infraestrutura energética do país é de
propriedade do sector privado, fornecendo combustíveis para o sector de transportes, a
eletricidade para as famílias e empresas [28].
Pode-se aqui verificar uma interdependência entre as infraestruturas críticas, ou seja, para que
uma infraestrutura execute as suas funções dependerá, no entanto das funções de outra
infraestrutura, (ver figura 8).
17
Figura 8 - Interdependência das infraestruturas críticas nos EUA
(Adaptado do Departamento de Energia, 2010)
Uma interrupção numa única infraestrutura pode gerar distúrbios dentro de outra infraestrutura.
Pode-se observar na figura 8 que o sector energético é o ponto central das demais infraestruturas
críticas, sendo que uma falha neste sector poderia causar uma falha geral no funcionamento de
outras IC.
O sector das comunicações é um componente integrante da economia dos EUA, subjacente às
operações de todas as empresas, organizações de segurança pública e governo. A Diretiva
Presidencial Política identifica o sector das comunicações como crítico, porque fornece uma
função importante que permite o funcionamento de outros sectores críticos de infraestrutura
pode-se citar o sector da energia, transporte, tecnologia de informação, financeiro e outros [29].
Outo sector crítico é o da tecnologia de informação identificado como central para a segurança,
economia e saúde pública. Empresas, governos, e cidadãos estão cada vez mais dependentes
das funções do sector das tecnologias de informação [30].
2.2.1.3 Plano de Proteção das Infraestruturas Críticas
O Plano Nacional de Proteção das Infraestruturas Críticas (NIPP 2013), criado em resposta da
Diretiva Política Presidencial 21 (PPD-21), foi desenvolvido através de um processo colaborativo
envolvendo as partes interessadas de todos os 16 sectores de infraestrutura crítica, de todos os
estados, e de todos os níveis do governo e da indústria.
O NIPP possui uma plataforma de trabalho ou modelo de gestão de riscos (ver figura 9), que
está estruturado para promover o aperfeiçoamento na proteção contínua dos recursos chaves
das infraestruturas críticas, e este modelo deve ser aplicado em cada sector de infraestrutura
crítica de acordo as suas características.
18
Figura 9 - Plataforma de trabalho para gestão de riscos das infraestruturas críticas dos EUA
(Adaptado do Departamento de Segurança Interna, 2013)
Os elementos da IC (físico, virtual e humano) devem ser integrados em todas as fases do modelo
de gestão de risco dependendo das caraterísticas do sector e focando em atividades como:
estabelecer objetivos; identificar a infraestrutura (incluindo os ativos críticos); avaliar os riscos
baseando-se nas vulnerabilidades, ameaças e consequências; estabelecer prioridades
baseando-se na avaliação dos riscos e aumento ou retorno do investimento para mitigação dos
riscos; implementar programas de proteção, estratégias resilientes; e medidas de efetividade.
Finalmente, retrata a importância da partilha de informação em todo o processo de gestão de
riscos. A informação é compartilhada através de cada passo do quadro, para incluir a etapa de
"medir a eficácia", facilitando o feedback e permitindo melhoria contínua dos esforços críticos de
segurança de infraestrutura e resiliência [31].
2.2.2 Canadá
2.2.2.1 Cibersegurança
A Estratégia de Cibersegurança do Canadá é o plano do Governo para proteger o Canadá contra
ameaças.
O Ministério de Segurança Pública de Canadá é responsável por coordenar a implementação da
Estratégia do Canadá e reconhece que a cibersegurança afeta a todos, atendendo os riscos e
os ataques que podem interromper as redes de energia, tratamento de água, e
telecomunicações. [23]
A cibersegurança deve pautar-se numa abordagem abrangente e multidisciplinar requerendo
assim partilha e coordenação de informação.
Lidar com ameaças cibernéticas isoladamente não é suficiente, razão pela qual implementou-se
a Estratégia Nacional de Cibersegurança, pois através dela o Governo vai trabalhar com as
províncias, territórios e o sector privado em um esforço concertado para enfrentar as ameaças
que o país poderá sofrer [23].
A estratégia é apenas um elemento de uma série de iniciativas destinadas a proteger os
canadianos. O governo estabeleceu o Centro Canadiano de Respostas a Incidentes para
monitorar e prestar assessoria sobre mitigação ameaças cibernéticas, e coordenar a resposta
nacional a qualquer incidente no âmbito da cibersegurança [23].
A Estratégia de Cibersegurança do Canadá assenta sobre três pilares, conforme a figura 10.
19
Figura 10 - Pilares da estratégia de cibersegurança Canadá
(Adaptado do Ministério da Segurança Pública, 2009)
2.2.2.2 Infraestruturas Críticas
O Ministério de Segurança Pública descreve que as Infraestruturas Críticas referem-se aos
processos, sistemas, instalações, tecnologias, redes, ativos e serviços essenciais para saúde,
segurança ou o bem-estar económico para os canadianos e o funcionamento efetivo do governo
[32].
A interrupção das infraestruturas críticas pode resultar numa catástrofe como: perdas de vidas,
efeitos económicos adversos e danos significativos a segurança pública. Para o efeito foram
criadas a Estratégia Nacional e o Plano de Ação para as IC que estabelecem uma abordagem
baseada em risco para fortalecer a resiliência dos ativos vitais e sistemas em Canadá como por
exemplo: redes elétricas, transportes, comunicações, sistema de segurança pública.
No Canadá existem 10 sectores de IC e redes sectoriais. Estes sectores são constituídos por
departamentos federais de áreas específicas definidas na Estratégia Nacional para as IC (tabela
3).
Tabela 3 - Sectores de infraestruturas críticas e agências sectoriais específicas de Canadá
(Adaptado do Ministério da Segurança Pública, 2009)
Sector de Infraestruturas Críticas Redes Sectoriais
Energia e Instalações Recursos Naturais
Tecnologia de Informação e Comunicações Indústria
Finanças Finanças
Saúde Agência de Saúde
Alimentação Agricultura
Água Ambiente
Transporte Transporte
Segurança Segurança Pública
Governo Segurança Pública
Produção Indústria
Departamento de Defesa Nacional
Proteger os sistemas
governamentais
Parceria para garantir
sisgtemas cibernéticos
Ajudar os canadianos para uma segurança
online
20
2.2.2.3 Plano de Proteção das Infraestruturas Críticas
O plano de ação e a estratégia nacional para a proteção de infraestruturas críticas em Canadá
descrevem apenas os sectores de infraestrutura crítica sem mencionar quais são os sectores
mais críticos. Porém, atendendo à importância e analisando o fator de interdependência,
pode-se citar os sectores de energia, transportes e tecnologia de informação e comunicações
como sendo os sectores mais críticos devido as funções que desempenham e considerando que
um ataque a estas infraestruturas críticas poderia seriamente afetar o funcionamento de outras
infraestruturas críticas.
A finalidade da Estratégia Nacional de Infraestrutura Crítica [32] é reforçar a resiliência das
infraestruturas críticas contra os riscos actuais e emergentes. Os objetivos estratégicos com vista
a reforçar a resiliência das infraestruturas críticas no Canadá são:
• Construir parcerias;
• Implementar uma abordagem de gestão de riscos;
• Promover a partilha atempada e proteção de informações entre os parceiros.
A Estratégia Nacional para Infraestruturas Críticas [32] “descreve que deve haver uma partilha
de responsabilidades para a proteção das infraestruturas críticas (…). A responsabilidade para
proteção das infraestruturas críticas no Canadá é compartilhada pelos governos federais,
provinciais, territoriais, autoridades locais, proprietários de infraestruturas críticas e operadores
que carregam a responsabilidade principal de proteger seus bens e serviços”.
De acordo o Ministério de Segurança Pública “O Plano de Ação de Infraestruturas Críticas
consiste em tomar passos adicionais para cada um dos três objetivos estratégicos definidos na
Estratégia Nacional, (…) e vai também reforçar a resiliência da infraestrutura crítica, ajudando a
prevenir, mitigar, preparar, responder e se recuperar de rupturas” [33].
2.2.3 Portugal
2.2.3.1 Cibersegurança
A atual dependência das TIC tem criado diversas vantagens, tais como a melhor prestação de
serviços, a inclusão digital, crescimento económico, mas por outro lado a adoção dessas novas
tecnologias trás consigo muitos riscos.
De acordo a Resolução do Conselho de Ministros nº36/2015 “O ciberespaço transpõe a vida real
para um mundo virtual, com características únicas que impõem novas formas de interação e de
relacionamento (…), este mundo em rede desenvolve novos modos de atuação com
caraterísticas únicas, de onde se destaca o cibercrime” [24].
A Estratégia Nacional de Segurança do Ciberespaço, publicada pela Resolução do Conselho de
Ministros nº. 36/2015 assenta no compromisso de aprofundar a segurança das redes e da
informação como forma de garantir a proteção e defesa das infraestruturas críticas e dos serviços
vitais de informação, e potenciar uma utilização livre, segura e eficiente, do ciberespaço por parte
de todos os cidadãos, das empresas e das entidades públicas e privadas
A estratégia define seis eixos de intervenção conforme a figura 11, destinadas a reforçar o
21
potencial estratégico nacional no ciberespaço [24].
Figura 11 - Eixos de intervenção da Estratégia - Portugal
(Adaptado do Diário da República, 2015)
Devido ao crescente número de incidentes e ataques maliciosos que têm como alvo as
infraestruturas de informação do governo, instituições públicas e privadas, empresas e cidadãos,
surgiu a necessidade do país levantar uma estrutura nacional de cibersegurança. Esta estrutura
é composta por uma capacidade de nível essencialmente operacional, capaz de garantir uma
eficaz gestão de crises, coordenar a resposta operacional a ciberataques, desenvolver sinergias
nacionais e potenciar a cooperação internacional neste domínio [7].
A Estratégia Nacional de Cibersegurança define o Centro Nacional Cibersegurança (CNCS),
como coordenador operacional.
Para a proteção das infraestruturas críticas o CNCS possui o seguinte âmbito de atuação
assentos nos pilares conforme indicado na figura 12 e conta com uma rede de CERTs para rápida
resposta aos ataques.
Figura 12 - Âmbito de actuação do CNCS
(Adaptado do Centro Nacional de Cibersegurança, 2015)
O CNCS assegura a planeamento das atividades entre as várias partes responsáveis (ver figura
13), O CNCS acolheu o serviço do CERT.PT, com as atribuições de coordenação de resposta a
incidentes de cibersegurança, envolvendo as entidades do Estado, os operadores de
infraestruturas críticas e outros CSIRTs nacionais.
22
Figura 13 - Rede de CERTs de Portugal
(Centro Nacional de Cibersegurança, 2015)
2.2.3.2 Infraestruturas Críticas
De acordo o decreto nº 62/2011, no seu 2º artigo entende-se por “Infraestrutura Crítica a
componente, sistema ou parte deste situado em território nacional que é essencial para a
manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico
ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade
de continuar a assegurar essas funções” [34].
A Diretiva de 2008/114/CE [35] do Conselho da União Europeia, constitui a primeira etapa de
uma abordagem faseada para identificar e designar as Infraestruturas Críticas Europeias (ICE)
e avaliar a necessidade de melhorar a sua proteção. Concentra-se, enquanto tal, nos sectores
da energia e dos transportes (ver tabela 4).
Tabela 4 - Sectores de infraestruturas críticas definidos pela União Europeia
(União Europeia, 2008)
Sector Subsector
I. Energia 1.Eletricidade Infraestruturas e instalações de produção de transporte de
eletricidade, em termos de abastecimento.
2.Petróleo Produção, refinação, tratamento, armazenamento e
transporte de petróleo por oleodutos.
3.Gás Produção, refinação, tratamento, armazenamento e
transporte de gás, por gasodutos Terminais para GNL.
II. Transporte 4. Transportes rodoviários
5. Transportes ferroviários
6. Transportes aéreos
7. Transporte por vias navegáveis interiores
8. Transporte marítimo, transporte marítimo de curta distância e portos
23
2.2.3.3 Plano de Proteção das Infraestruturas Críticas
No âmbito da proteção de infraestruturas críticas em Portugal, é de referenciar o papel do
Conselho Nacional do Planeamento Civil de Emergência (CNPCE) que nos últimos anos (2003-
2011), foi responsável por [36]:
• Identificar e classificar as infraestruturas fundamentais;
• Criar o programa nacional para a proteção de infraestruturas críticas;
• Elaborar uma definição de infraestrutura crítica.
As funções exercidas pelo CNPCE foram passadas para o ANPC (Autoridade Nacional de
Proteção Civil).
A proteção de infraestruturas críticas ganhou sustento legal em Portugal quando, em 9 de maio
de 2011, foi publicado o Decreto-Lei 62/2011, o qual transpôs para o quadro jurídico nacional a
Diretiva 2008/114/CE.
O Decreto-Lei n.º 62/2011 faz referência que o plano de proteção das infraestruturas críticas
deve ser elaborado pelos operadores das infraestruturas críticas [34] (artigo 10º), e também
identifica as soluções de segurança que devem ser aplicadas nas infraestruturas críticas
conforme a figura 14.
Figura 14 - Soluções de segurança para as infraestruturas críticas (Decreto n.º 62/11)
(Adaptado do Diário da República, 2011)
Portugal tem as medidas criadas a nível de legislação o que é um fator extremamente importante,
porém a proteção de infraestruturas críticas no ciberespaço exige também a coordenação
operacional de vários atores para se chegar a este fim. O responsável por esta coordenação é o
CNCS.
A fim de, de uma forma otimizada e eficiente, coordenar as de respostas a incidentes é
necessário que haja uma responsabilização de todos os intervenientes e principalmente a
colaboração dos proprietários das infraestruturas críticas tanto públicas, como privadas,
conforme pode-se constatar no anexo 2 (entrevista do responsável operacional do CNCS Eng.º
Lino Santos).
Prevenção
Identificação de Elementos
Críticos
Gestão de Riscos
Identificação de vulnerabilidades
Identificação de ameaças
Análise de Impacto
Resposta e Recuperação
Gestão de Incidentes
Soluções de Recuperação
Comunicação
Sensibilização
Uso de boas práticas
Formação
24
2.2.4 África do Sul
2.2.4.1 Cibersegurança
A Política Nacional de Cibersegurança tem o objetivo de criar um ambiente ciber seguro, fiável e
de confiança que facilita a proteção das infraestruturas críticas de informação, visa assegurar
que o governo, as empresas e a sociedade civil são capazes de desfrutar dos benefícios de um
ciberespaço seguro. [37].
De modo a reduzir as vulnerabilidades e ameaças a política nacional de cibersegurança prevê:
(ver figura 15):
Figura 15 - Medidas para garantir a cibersegurança na África do Sul
(Adaptado da Agência de Segurança de Estado, 2012)
Foi criada um grupo denominado JCPS (Cluster de Segurança, Prevenção de Crimes e Justiça)
que trabalhará com outros órgãos do governo para supervisionar a implementação da política
nacional de cibersegurança com o objetivo de garantir a coordenação centralizada das questões
inerentes à cibersegurança.
Dentro deste Cluster será criado um comité de resposta de cibersegurança que será o órgão que
terá a função de coordenar as atividades de cibersegurança, guiar a implementação da política
nacional de cibersegurança, vai também supervisionar e guiar o processo de funcionamento do
centro de cibersegurança, ECS-CSIRT e de outros CSIRT existentes na África do Sul [37].
E dentre outras funções deverá ainda promover e orientar o processo de desenvolvimento e
implementação do [37]:
Enquadramento legal para reger o ciberespaço.
Plano de proteção das infraestruturas críticas de informação.
Análise situacional da África do Sul e campanhas de sensibilização sobre os riscos no
ciberespaço.
O cumprimento das normas técnicas e operacionais de cibersegurança.
Formação em cibersegurança, investigação e desenvolvimento, programas de
desenvolvimento de competências.
Cooperação internacional;
Medidas para lidar com a segurança nacional em termos de ciberespaço.
Medidas para combater a guerra cibernética, a
cibercriminalidade e outros males cibernéticos.
Desenvolvimento, revisão e actualização das leis.
Medidas para assegurar a confiança na utilização das
TIC.
25
Facilitação da interação, tanto a nível nacional e internacional, nomeadamente através
de associações internacionais e organizações.
Para este fim o sector público, o sector privado e a sociedade civil terão de trabalhar em conjunto
para compreender e lidar com os riscos, reduzir os benefícios para os criminosos e aproveitar as
oportunidades no ciberespaço para melhorar a África do Sul em geral em termos de segurança
e protecção, incluindo o seu bem-estar económico [37].
2.2.4.2 Infraestruturas Críticas e Plano de Proteção das Infraestruturas
Críticas
As infraestruturas críticas são estruturas fundamentais, instalações de redes, sejam fixas ou em
locais especiais, onde as empresas ou a sociedade em geral recebem os serviços básicos como
transporte, infraestrutura elétrica, fornecimento de água, ou telecomunicações [38].
O projeto-lei de proteção das infraestruturas críticas tem os seguintes objetivos [39]:
• A proteção adequada das infraestruturas críticas dentro da República.
• A criação de procedimentos para a determinação e proteção das infraestruturas.
• Administração responsável das infraestruturas críticas enquanto se garante que a
segurança da República é mantida.
É definida de igual modo pelo mesmo projeto a criação de um conselho de infraestruturas críticas
que será responsável em determinar e declarar áreas como infraestruturas críticas, avaliar as
vulnerabilidades das infraestruturas críticas, determinar medidas de segurança para a proteção
de infraestruturas críticas [39].
De acordo o projeto-lei de proteção das infraestruturas críticas, considera-se infraestruturas
críticas todos os sistemas e ativos que devem constar dentro de uma das categorias conforme a
tabela 5:
Tabela 5 - Sectores de infraestruturas críticas na África do Sul
(Adaptado da Assembleia Nacional, 2015)
Sectores de
Infraestruturas
Críticas
Energia
Comunicações
Finanças
Indústria
Transportes
Proteção Civil
Serviços Públicos
Saúde
Água
26
As medidas de proteção definidas para as infraestruturas críticas estão representadas na figura
16.
Figura 16 - Medidas definidas para proteção das infraestruturas críticas na África do Sul
(Adaptado da Assembleia Nacional África do Sul, 2015)
2.2.5 Nigéria
2.2.5.1 Cibersegurança
O Governo da Nigéria desenvolveu uma estratégia nacional de cibersegurança por forma a
enfrentar os desafios que se apresentam relacionados com a atual dependência do ciberespaço.
A estratégia nacional de cibersegurança descreve o plano de preparação do país para fornecer
medidas coesas e ações estratégicas no sentido de garantir a segurança e proteção do país no
ciberespaço, salvaguardando a infraestrutura de informação crítica (…), com o compromisso de
garantir a continuidade do governo no advento de ameaças cibernéticas e salvaguardar a
infraestrutura de informação crítica (…) [40].
O foco primordial da estratégia de cibersegurança é abordar sobre a exposição ao risco
cibernético, a proteção da infraestrutura de informação crítica, explorando as oportunidades do
ciberespaço para a segurança nacional e os objetivos económicos, e a entronização de uma
comunidade virtual de confiança continuam a ser um foco fundamental da Estratégia Nacional
de Cibersegurança [40].
Portanto, a estratégia é necessária para alcançar os objetivos específicos de acordo a figura 17.
27
Figura 17 - Objetivos da estratégia de cibersegurança da Nigéria
(Adaptado do Conselho Nacional de Segurança, 2014a)
2.2.5.2 Infraestruturas Críticas e Plano de Proteção das Infraestruturas
Críticas
A Nigéria ainda não possui nenhuma lei que aborde especificamente sobre as infraestruturas
críticas, mas existe a lei do Cibercrime HB. 14.01.669, aprovada pela Assembleia Nacional, que
cita no seu 3º artigo que: deve ser feita pelo Conselho Nacional de Segurança sob ordem
presidencial, a designação de sistemas de computadores, redes e infraestruturas de informação
vitais para a segurança da Nigéria e o bem-estar económico e social dos cidadãos [41].
No documento elaborado pelo Conselho Nacional de Segurança, intitulado Política Nacional de
Cibersegurança foram descritos os sectores de infraestruturas críticas (ver Tabela 6) e aspetos
sobre a proteção das mesmas. O Plano de Proteção das Infraestruturas Crítica de Informação
(CIIP) apresenta a política do Governo para desenvolver diretrizes nacionais e critérios para a
criação de perfil de infraestrutura de informação com uma intenção estratégica de determinação,
identificação e classificação de infraestrutura de informação crítica [42].
Assim, as medidas de proteção das infraestruturas críticas definidas devem adaptar-se às
normas de cibersegurança e diretrizes previstas na Estratégia Nacional de Cibersegurança.
Criar uma abrangente legislação sobre o cibercrime.
Criar medidas para a proteção das ICs, bem como a redução das vulnerabilidades.
Articular mecanismos eficazes de resposta à emergências informáticas.
Criar mecanismos nacionais de capacitação, sensibilização do público.
Promover o engajamento de múltiplas partes nacionais interessadas e parceiros internacionais no sentido de abordar em conjunto sobre as ameaças cibernéticas.
Impedir e proteger o governo de todas as formas de ataques cibernéticos.
Coordenar as iniciativas de cibersegurança em todos os níveis do governo no país.
Construir capacidades nacionais contra ameaças cibernéticas com coerente cooperação através da parceria público-privada.
Promover a coordenação, cooperação e a colaboração dos participantes sobre a cibersegurança.
Promover uma visão nacional sobre a cibersegurança através da consciência, parceria através de uma partilha de responsabilidades e uma comunidade de confiança.
28
Tabela 6 - Sectores de infraestruturas críticas Nigéria
(Adaptado do Conselho Nacional de Segurança, 2014b)
Sectores de
Infraestruturas
Críticas
Comunicações
Governo
Industrial
Barragens
Defesa
Química (Petróleo e Gás)
Energia
Comercial
Finanças
Alimentação e Agricultura
Serviços de Emergência
Sistemas de Transporte
Saúde
Água
Tecnologia de Informação
Na Política Nacional de Cibersegurança, são mencionados apenas os sectores de infraestrutura
crítica sem apresentar os mais críticos. Porém o Governo reconhece no mesmo documento a
importância das infraestruturas críticas e define-as como partes que fornecem serviços
essenciais para a vida cotidiana (sector de energia, alimentação, água, transportes,
comunicações, saúde, bancário e financeiro), sendo que uma interrupção nas infraestruturas
críticas poderia ter uma gama de implicações graves para as empresas, os governos e para o
bem-estar social [42].
Para a proteção das infraestruturas críticas foram definidas algumas medidas conforme a figura
18:
Figura 18 - Medidas de proteção das infraestruturas críticas Nigéria
(Adaptado de Conselho Nacional de Segurança, 2014 b)
29
2.2.6 Análise Comparativa
Uma das maiores preocupações analisando a situação dos cinco países (EUA, Canadá,
Portugal, África do Sul e Nigéria) é a proteção das infraestruturas críticas no ciberespaço, devido
as funções vitais para o funcionamento dos países. Para o efeito estas nações têm criado
condições para garantir a cibersegurança nas infraestruturas críticas de formas garantir a
soberania e sobrevivência nacional.
Na tabela 7 é apresentada uma análise comparativa entre os países estudados nos pontos
anteriores.
Tabela 7 – Análise comparativa dos países
EUA Canadá Portugal África
do
Sul
Nigéria Angola
Conceito de IC Existe Existe Existe Existe Existe Existe
Definição dos
Sectores de IC
Existe Existe Existe Existe Existe
Legislação
específica3
sobre IC
Existe Existe Existe Não
existe
Não
existe
Organismo
responsável
pelo controlo
das IC
Existe Existe Existe Não
existe
Não
existe
Documento
oficial4 para a
Proteção das IC
Existe Existe Existe Não
existe
Não
existe
Estratégia
Nacional de
Cibersegurança
Existe Existe Existe Existe Existe
Equipas de
Respostas a
Incidentes
Existe Existe Existe Existe Existe
3 No caso da África do Sul e a Nigéria ainda não foram aprovadas as leis, existem apenas projetos-lei. 4 Na África do Sul e Nigéria não existe oficialmente um plano nacional de proteção das IC, porém existem medidas definidas em outros documentos
30
Devido o crescimento da atividade criminosa no ciberespaço, a cibersegurança tem sido nestes
países uma prioridade nacional.
Além da estratégia de cibersegurança os países têm definido as infraestruturas que consideram
críticas e para a proteção das mesmas no ciberespaço têm adotado medidas e também definido
os diversos responsáveis para atingir este objetivo.
Como se viu anteriormente os principais sectores de infraestruturas críticas nos países citados
são: Energia, Transportes, Água, e Tecnologia de Informação e Comunicações.
Dentre os diversos sectores de infraestruturas críticas citados, o sector das tecnologias de
informação e comunicações é um dos sectores mais destacados pela função que exerce e pela
dependência de outros sectores.
Hodiernamente pode-se dizer que as áreas fundamentais ou essenciais (energia, transportes,
água) para a execução das suas atividades dependem deste sector, pois não existem
infraestruturas críticas que não dependam de softwares, computadores e redes informáticas.
Deste modo, a nível de cibersegurança, Angola deve ter como linha de orientação o seguinte
principio: definir uma estratégia de cibersegurança tendo em consideração as infraestruturas
críticas.
Tal como nos outros países pode-se considerar os seguintes sectores como mais críticos para
Angola: energia, transportes, água, tecnologia de informação e comunicação.
Atualmente, a implementação de medidas de segurança das infraestruturas críticas do sector
das TIC em Angola é feita de forma independente.
Existe a necessidade de se ter uma abordagem abrangente no âmbito da proteção das
infraestruturas críticas do sector das TIC, e também tendo em conta que as infraestruturas
críticas das TIC em Angola compreendem ambos sectores público e privado na prestação de
serviços, é necessária a criação de grupos de trabalho com representantes de ambos os sectores
para a discussão e aprovação de medidas de proteção das mesmas infraestruturas críticas.
31
3 Avaliação do Índice Global de Cibersegurança
Depois de se ter efetuado uma análise sobre as infraestruturas críticas e a cibersegurança em
alguns países, vai se apresentar um estudo comparativo recorrendo a União Internacional das
Telecomunicações (ITU), baseando-se no Índice Global de Cibersegurança (GCI) conforme pode
ser observado uma amostra no Anexo 1. É de salientar que os dados aqui apresentados são
baseados em estudos feitos pela ITU em 2014.
O GCI é um projeto de duas organizações a ITU e a ABIresearch para medir o compromisso dos
países com a Cibersegurança. Cada país será analisado de acordo o nível de desenvolvimento
dentro de cinco categorias: medidas legais, técnicas, organizacionais, desenvolvimento de
capacidades e cooperação internacional [43].
3.1 Gráficos do GCI
Através de uma ferramenta interativa disponível no site da ITU é possível a comparação dos
índices de cibersegurança dos países. Serão apresentados os níveis de GCI (ver figura 19) em
cada uma das cinco medidas anteriormente citadas.
Figura 19 - Índice de Cibersegurança dos Países
(Adaptado do ITU, 2014)
Os dados apresentados no gráfico acima são referentes a pesquisa feita pelo ITU e foram
publicados em 2014. É evidente que muitas coisas foram melhoradas nos países mencionados,
mas, no entanto, o gráfico acima serve apenas para se ter uma visão dos esforços efetuados
nestes países no âmbito da cibersegurança e para que Angola veja quais são as medidas que
devem ser trabalhadas para se criar um quadro de cibersegurança aceitável.
32
O nível máximo de classificação neste gráfico do índice global de cibersegurança é 5. Os EUA
possuem uma boa classificação de 4,21 e ultrapassa o índice de cibersegurança regional da
Europa, sendo o continente que possui maior índice de cibersegurança.
Os Estados Unidos em termos de proteção das infraestruturas críticas e medidas de
cibersegurança estão bem preparados, pelo que se pode constatar pelas medidas adotadas quer
em medidas legais, desenvolvimento de capacidades, no tocante a programas de pesquisa e
desenvolvimento de projetos de normas de cibersegurança, boas práticas e diretrizes a serem
aplicadas tanto no sector privado ou público.
Vale ressaltar também o esforço que os EUA têm feito no desenvolvimento de recursos humanos.
É de elevada importância dotar as pessoas de competências e também consciencializar o público
em geral, promovendo cursos de cibersegurança no ensino superior e a promoção da certificação
dos profissionais, quer do sector público ou do sector privado. Dentre os aspetos já citados e
outros, fundamenta-se o facto de ser considerado como o país melhor preparado no combate de
ciberataques devido as medidas adotadas.
Analisando a situação do Canadá pode-se aferir que a estratégia de cibersegurança e outras
medidas definidas para a proteção das infraestruturas críticas, faz com que o valor do índice de
cibersegurança ultrapasse, de igual modo aos EUA o índice de cibersegurança regional da
Europa. O Canadá é o segundo país melhor posicionado, está um pouco atrás dos EUA, com o
valor de 4,01.
O valor do índice de cibersegurança em Portugal justifica-se pelo facto do país só agora estar a
começar a criar as medidas para cibersegurança. Está numa posição acima dos índices de
cibersegurança de alguns continentes e da média global de cibersegurança, com um valor de
1,76, porém não chega ao valor do índice de cibersegurança do continente Europeu.
A África do Sul possui um índice de cibersegurança de 1,88 acima da média global, porém,
olhando para os dados em específico pode-se constatar que há uma necessidade de reforçar as
medidas legais, desenvolvimento de capacidades e de cooperação internacional.
A Nigéria possui um índice de cibersegurança de 2,08 acima da média global, tal como a África
do Sul. Deve melhorar o aspeto legal e aumentar a capacidade técnica do país.
Angola possui um índice de cibersegurança de 0,63, um valor considerado baixo, para o efeito
devem ser trabalhadas as medidas técnicas, organizacionais, de desenvolvimento de
capacidades e reforçar as medidas legais e de cooperação.
E esta realidade que se visualiza na Nigéria, na África do Sul e Angola, não foge da visão geral
do continente Africano (Ver figura 20).
33
Figura 20 - Comparação da média global de cibersegurança entre África e Angola
(ITU, 2014)
De acordo a figura 20, pode-se concluir que nenhuma das medidas definidas pela ITU, em África
ultrapassa os valores da média global de cibersegurança, principalmente na área da criação de
medidas legais e técnicas, o mesmo ocorre para o caso particular de Angola como pode ser visto
no pentágono a direita.
Para reforçar o que foi abordado anteriormente, recorreu-se ao mapa de estratégias mundiais da
ENISA (ver figura 21) de 2013, realmente pode-se constatar a diferença entre o continente
africano e os demais continentes, o caso de Angola não foge daquilo que é a realidade geral do
continente africano.
As empresas do sector privado limitam-se a adotar medidas de proteção individual apenas para
as suas redes, seus próprios sistemas e infraestruturas, mas em contrapartida a proteção
individualizada prejudica a visão de um todo, fragilizando a proteção das infraestruturas críticas
vitais para o país.
Deste modo é necessário que seja criado um plano abrangente para o desenvolvimento de
medidas para a proteção a nível do sector público e privado.
Cada vez mais torna-se visível a crescente dependência nas tecnologias de informação e
comunicação, os governos devem efetuar investimentos proporcionais às seguranças das redes,
respostas a incidentes, treinamento técnico e cooperação internacional.
34
Figura 21 - Mapa de estratégias nacionais de cibersegurança no mundo
(Adaptado da ENISA, 2013)
3.2 Resumo da Avaliação do GCI
Depois de feitas as análises com a ajuda das ferramentas disponíveis no site da ITU, pode-se
concluir que nesta abordagem os Estados Unidos têm melhores condições criadas na área de
cibersegurança e proteção das suas infraestruturas críticas, logo está bem capacitado para o
combate aos ciberataques no ciberespaço.
A cibersegurança deve estar em conformidade com a lei, e a lei deve acompanhar a evolução
da tecnologia, porém, o que se observa é que nos países africanos existe uma demora em termos
de criação e aprovação de leis.
O Projeto de Convenção da União Africana sobre a adoção de um quadro jurídico sobre a
cibersegurança em África, também realça que os Estados Africanos têm uma verdadeira
necessidade de estratégias inovadoras de política criminal que combinem as respostas estatais
técnicas e da sociedade a fim de criar um ambiente jurídico de confiança para a cibersegurança.
Contudo, constata-se que a maior parte dos Estados não dispõe de instrumentos de
comunicação que integrem meios suficientes e necessários para a realização ou a garantia de
um nível mínimo de segurança, nem recursos humanos capazes de conceber e criar um quadro
jurídico de confiança [44].
Segue a tabela 8, com o resumo comparativo da análise do GCI dos países mencionados.
35
Tabela 8 - Medidas de cibersegurança da ITU em relação aos países
(Adaptado da ITU, 2014)
Quadro Comparativo da Cibersegurança nas Infraestruturas Críticas
Medidas EUA Canadá Portugal África do Sul Nigéria
Medidas legais ● ● ● ● ●
Medidas Técnicas
CERT ● ● ● ● ●
Norma ● ● ● ● ●
Certificação ● ● ●
Medidas Organizacionais
Política ● ● ● ● ●
Agência Responsável ● ● ● ● ●
Capacidades
Desenvolvimento de Normas ● ●
Desenvolvimento de RH ● ●
Cooperação Internacional ● ● ● ● ●
A cibersegurança envolve vários atores, portanto é necessário que haja uma cooperação entre
os vários responsáveis para que se consiga proteger os ativos e sistemas das infraestruturas
críticas.
A figura 22 demonstra o compromisso dos países a nível mundial com a cibersegurança, este
mapa encontra-se disponível no site da ITU foi criado através de dados fornecidos por
autoridades responsáveis dos países bem como com dados secundários recolhidos por analistas
do projeto índice global de cibersegurança, onde se pode ser visualizar os países com melhores
condições criadas a nível de cibersegurança.
Figura 22 – Quadro mundial da cibersegurança 2014
(ITU 2014)
36
4 Ponto de Situação em Angola
4.1 Visão Sobre o Sector das TIC
As TIC hoje em dia são indispensáveis para o desenvolvimento sustentável de qualquer país,
devido aos benefícios que proporcionam criando assim enorme impacto em todos os
seguimentos (social, político e económico).
De acordo o despacho presidencial nº71/11 de 12 de setembro, “o Executivo Angolano
reconhece de forma inequívoca que o sector das TIC constitui um importante elemento indutor
do desenvolvimento social e da prosperidade económica do país, bem como um catalisador da
modernidade para o povo angolano sobre o qual assenta a edificação da sociedade da
informação” [45].
O progresso das TIC em Angola está suportado num processo de planeamento estratégico onde
se inclui o: livro branco das tecnologias informação e comunicação, o plano de ação da sociedade
de informação e o plano de ação para a governação eletrónica.
De acordo a figura 23 pode-se verificar as etapas traçadas para o desenvolvimento das TIC em
Angola (2001-2020).
Figura 23 - Estágio de desenvolvimento das TIC em Angola
(Diário da República de Angola, 2011)
Analisando a figura 23 e o ano em que estamos, pode-se aferir de facto que muito se tem feito
para cumprir o estágio de desenvolvimento das TIC em Angola, na reabilitação e investimento
de novas infraestruturas quer no sector público como no privado, por forma a criar um mercado
competitivo, e tornar a empresas cada vez mais produtivas e hábeis no que toca a prestação dos
seus serviços para a sociedade no geral.
Alguns dos objetivos traçados foram cumpridos, outros ainda estão por se efetivar, mas vale
realçar aqui alguns deles considerados como de extrema importância [46]:
Criação do Centro de Dados (com o objetivo de criar, manter e integrar uma estrutura
física de tecnologia, comportável com as exigências estratégicas e operacionais do
Estado e com os níveis de organização de sistema de informação já atingidos, onde se
possa manter de forma segura e confidencial, toda a informação crítica do Estado).
37
Criação do Portal do Governo (32 portais governamentais).
Lançamento do Satélite previsto para 2017 (que terá como objetivo fomentar a rapidez
do acesso aos serviços das comunicações eletrónicas no país).
É importante também mensurar a adesão da sociedade no geral as TIC. Hoje todas as IC do
sector das TIC estão ligadas em rede. Os maiores operadores na área das TIC (provedores de
serviços de Internet) estão presentes no ciberespaço proporcionando os seus serviços. Isto faz
parte dos objetivos traçados no livro branco procurando criar uma sociedade digital inclusiva.
Existem outras infraestruturas críticas pertencentes a outros sectores que dependem dos
serviços deste sector. Quanto à presença de utilizadores na Internet, no final de 2007, cerca de
3 milhões de cidadãos estavam já ligados à Internet e à telefonia móvel [47].
Em 2013 segundo o relato da diretora do Gabinete Jurídico do MTTI, “Cerca de 5 milhões de
angolanos tinham o acesso a Internet” [48].
O sector das TIC em Angola tem vindo a desenvolver, tem-se assistido em Angola a uma grande
dependência das TIC por parte das empresas públicas e privadas, no entanto não existe uma
empresa ou sector que desempenhe suas funções sem o uso dos serviços deste sector. É de
salientar, a ausência de uma indústria vocacionada na área das TIC (o país ainda depende de
soluções compradas para se implementar no país).
Dentro dos objetivos e princípios políticos e operacionais enunciados no livro branco, faz-se
menção de alguns assuntos importantes para o tema em questão [45].
Assegurar uma base infraestrutural de excelência que permita suportar a implementação
de todos os serviços da sociedade de informação assentes nas Tecnologias de
Informação e Comunicação.
Potenciar a Governação Eletrónica e a modernização da administração pública,
facilitando-se processos, diversificando-se serviços, ao mesmo tempo que se
desenvolvem áreas chaves como sejam a educação, saúde, economia, cultura, entre
outras, fomentando-se a interação eletrónica entre os cidadãos e os vários níveis da
administração pública;
Criar um quadro legislativo que permita ultrapassar os novos desafios que se colocam
ao sector das tecnologias de informação e comunicação, integrado e abrangente a todos
os sectores da economia nacional.
Diante aos factos mencionados há que se apostar na cibersegurança pois a dependência total
das TIC, inclusive da Internet que hoje se tem vivido, tem exposto as infraestruturas críticas a
vulnerabilidades e ameaças cibernéticas no fornecimento de serviços essenciais à sociedade.
Esta situação pode afetar a economia nacional tratando-se de riscos globais e imprevisíveis.
A adoção de medidas de cibersegurança deve acompanhar esse investimento e
desenvolvimento, pois sem garantir a cibersegurança o país estará exposto a riscos com grandes
impactos.
Deve-se desenvolver a sociedade de informação garantindo a privacidade das informações
fornecendo assim confidencialidade, disponibilidade e integridade das mesmas informações, isso
38
fará com que utilizadores usem cada vez mais a sociedade da informação, e usufruam dos
serviços que são disponibilizados.
É fulcral manter a segurança e a resiliência nas infraestruturas do sector das TIC, a fim de garantir
que são usadas na sua plenitude.
São fatores a serem avaliados, pois a cibersegurança deve ser incorporada em todos os sectores
de atividade. Deve-se criar uma cultura de cibersegurança no país. O investimento na busca de
soluções no âmbito da cibersegurança deve ser igual ou superior aos investimentos e apostas
feitas nas tecnologias, nos recursos para a edificação da sociedade de informação.
Deve existir uma abordagem e cultura em gestão de riscos, capaz de responder e prevenir as
ameaças cibernéticas.
Sendo assim propôs-se na seção seguinte abordar sobre um conjunto de medidas essenciais
para a proteção das infraestruturas críticas no ciberespaço e também a identificação de um grupo
de trabalho com responsabilidade nesta matéria de cibersegurança.
4.2 Cibersegurança e Infraestruturas Críticas
Em Angola ainda não existe uma estratégia que aborda a questão da cibersegurança, nem um
diploma legal que trata especificamente sobre a questão das infraestruturas críticas.
Existe a Lei de Proteção dos Dados Pessoais (Lei nº 22/11 de 17 de Junho), que estabelece as
regras jurídicas aplicáveis ao tratamento dos dados pessoais com o objetivo de garantir o
respeito pelas liberdades públicas e os direitos e garantias fundamentais das pessoas singulares.
Existe também a Lei das Comunicações Eletrónicas e Dos Serviços da Sociedade da Informação
(Lei nº 23/11 de 20 de Junho), que estabelece as bases da disciplina e regulamentação jurídica
das comunicações eletrónicas da sociedade da informação, bem como o regime jurídico relativo
ao tratamento de dados pessoais e a proteção da privacidade nas comunicações eletrónicas. É
nesta lei onde está referido o conceito de Infraestrutura Crítica, como sendo aquela cuja
destruição total ou parcial, perturbação ou utilização indevida é suscetível de afetar, direta ou
indiretamente, de forma permanente ou prolongada, a manutenção de funções vitais para a
sociedade, a saúde, a segurança ou o bem-estar económico e social [49].
O livro branco faz referência à cibersegurança como a garantia da segurança da informação da
administração pública e a proteção de dados que constitui um fator fundamental para adesão à
governança eletrónica, por parte dos cidadãos e das empresas.
A salvaguarda da cibersegurança da administração pública pretende assegurar [49]:
Utilização de sistemas seguros e transparentes.
Desenvolvimento de uma cultura de utilização segura e fiável das TIC na administração
pública.
Adoção de sistemas de identificação e encriptação digital seguros e fiáveis.
Proteção de dados e de direitos humanos.
A cibersegurança deve ser encarada como um problema nacional, pois afeta todos os aspetos
das atividades das pessoas.
39
As medidas definidas acima são consideradas insuficientes razão pela qual diante dos estudos
efetuados sobre alguns países nos capítulos 2 e 3, apresenta-se aqui as prioridades na
implementação da cibersegurança em Angola.
4.2.1 Prioridades de Implementação para a Cibersegurança em
Angola
De acordo o que foi analisado nos outros países e atendendo ao resultado que se viu sobre
Angola na figura 20, em comparação com o GCI global, estabeleceu-se aqui algumas prioridades
de implementação, naquilo que se considera essencial como ponto de partida para se
estabelecer a cibersegurança nas infraestruturas críticas do sector das TIC.
A cibersegurança envolve muitos domínios, desde a proteção simples à ciberdefesa (Anexo 2),
porém o enfoque principal da dissertação assenta na proteção simples.
4.2.1.1 Medidas Legais
O primeiro ponto aqui apresentado considera-se como ponto de partida para o país, consiste na
adoção de medidas legais (leis e regulamentos).
A legislação é uma medida fundamental para se criar uma harmonização nas diversas entidades,
as medidas legais vão ainda permitir que o país defina respostas aos mecanismos de violação:
por meio de investigação e repressão de crimes e da imposição de sanções facilitando o combate
contra as ameaças cibernéticas.
Legislação sobre Infraestruturas
Apesar do facto de já existir um conceito sobre infraestrutura crítica definido na lei n.º 23/11 sobre
Comunicações Eletrónicas e dos Serviços da Sociedade da Informação, considera-se ser útil a
adoção de uma lei específica que, além do conceito, deverá tratar sobre a questão de
identificação, proteção das infraestruturas críticas e atribuição de responsabilidades de
coordenação das atividades à um órgão específico. Esta lei deverá impulsionar assim a criação
de um plano nacional de proteção das infraestruturas críticas, que deverá ser um guia para os
operadores de infraestruturas críticas quer públicas, quer privadas.
Este mesmo órgão específico deverá trabalhar com os diferentes sectores definidos como
críticos através de um responsável sectorial.
Pode-se observar na figura 24, um modelo para a proteção das infraestruturas críticas que
consiste na adoção de uma lei de infraestruturas críticas.
40
Para o sector das TIC, o Ministério das Telecomunicações e Tecnologias de Informação pode
delegar uma instituição que será o responsável sectorial e deverá, no entanto, fiscalizar os planos
de segurança dos operadores de infraestruturas críticas do sector das TICs que deverá obedecer
os princípios definidos no plano nacional de proteção das infraestruturas críticas.
Os operadores das IC deverão identificar as funções e os recursos críticos para os seus
negócios, a fim de criarem os planos de segurança que incluam medidas de prevenção, gestão
de riscos, resposta, recuperação e comunicação.
Como forma de fiscalização das medidas que serão definidas na lei de infraestruturas críticas,
os responsáveis sectoriais deverão fiscalizar as medidas implementadas pelos operadores de
infraestrutura crítica e o coordenador das atividades deverá fiscalizar as ações dos responsáveis
sectoriais.
Estratégia Nacional de Cibersegurança
As infraestruturas quer públicas, quer privadas, assentam em sistemas de informação
dependendo totalmente do sector das TIC para a execução de suas atividades. Neste ambiente
em rede todas as infraestruturas críticas estão interligadas, portanto a ocorrência da disrupção
de telecomunicações pode causar sérias consequências.
Deve-se entender que o ciberespaço não está delimitado a fronteiras. De qualquer ponto do
ciberespaço podem surgir ameaças contra às infraestruturas críticas para atentar à segurança
nacional e ao bem-estar social, no entanto, a intervenção do Estado é primordial, porque a
cibersegurança é um meio para assegurar a continuidade da sociedade da informação
protegendo os ativos críticos e as infraestruturas críticas que suportam os interesses nacionais.
O tratamento da cibersegurança requer uma vontade política para definir uma estratégia que
inclui medidas para a proteção das infraestruturas críticas no ciberespaço.
O Ministério das Telecomunicações e Tecnologia de Informação deve ser um dos principais
órgãos a impulsionar a criação de uma estratégia nacional de cibersegurança.
Para a elaboração da estratégia deve ser necessário a constituição de um grupo especial de
trabalho composto por órgãos públicos e privados, isto porque o ciberespaço toca praticamente
todas as formas de atividades de segurança social e económico.
A estratégia deve dar resposta ao que proteger, identificar as partes interessadas e os objetivos
a serem cumpridos.
Figura 24 - Elementos para a lei de proteção de IC
41
Sem uma estratégia nacional, os esforços em diferentes sectores tornam-se dissemelhantes e
desconectados, frustrando os esforços para alcançar a harmonização nacional em termos de
cibersegurança.
A proteção individualizada e sem coordenação das diversas infraestruturas críticas prejudicará a
visão de um todo, fragilizando a proteção das infraestruturas críticas no ciberespaço.
De acordo com os desafios da cibersegurança em África, a União Africana estabeleceu na
convenção sobre a cibersegurança alguns objetivos e também algumas linhas orientadoras para
os países constituintes.
A convenção reforça no entanto a ação de se “implementar uma política nacional de
cibersegurança, especificamente na área da reforma legislativa e do desenvolvimento, na
sensibilização e desenvolvimento de capacidades, na parceria público-privada e na cooperação
internacional, pelo que para o efeito deve-se mobilizar todos os atores públicos e privados
(Estados, comunidades locais, empresas do sector privado, organizações da sociedade civil,
instituições de formação e de investigação) em prol da cibersegurança” [44].
Legislação contra cibercrimes
É necessário que haja uma legislação adequada e abrangente contra a má utilização das TIC
para fins maliciosos ou criminosos.
É necessário que se aprove uma lei de combate à criminalidade informática para que se possa
reprimir todas as atividades que atentam contra os principais atributos da cibersegurança
(confidencialidade, integridade, disponibilidade) e de se penalizar os infratores que atentam
contra a cibersegurança das infraestruturas críticas.
A cibersegurança possui uma dimensão global, a ubiquidade e a transnacionalidade dos
cibercrimes, faz com que seja difícil lutar contra as infrações contra a cibersegurança.
Deve-se ainda pautar pela cooperação internacional em matéria de legislação no que tange ao
cibercrime.
A figura 25 retrata as medidas legais que devem ser adotadas pelo país.
Figura 25 - Medidas legais
A cibersegurança é o ponto mais abrangente, neste sentido a estratégia e outras medidas para
cibersegurança devem contemplar a questão de proteção das infraestruturas críticas e a questão
das ameaças cibernéticas.
42
A criação de medidas legais é o ponto de partida, mas, no entanto, não é suficiente, há que se
criar também outras medidas que serão apresentadas a seguir.
4.2.1.2 Medidas Organizacionais
As empresas devem pôr em prática as recomendações que serão definidas na estratégia
nacional de cibersegurança através de um regulamento ou uma plataforma de trabalho com
normas de segurança e boas práticas de cibersegurança.
As medidas organizacionais podem ser dimensionadas com base na existência e no número de
instituições que adotarão as medidas definidas na estratégia o que vai promover deste modo o
desenvolvimento da cibersegurança a nível nacional.
É necessário que se faça junto das organizações a promoção da cibersegurança, através de
medidas para alertas e resposta a incidentes, para tal deve-se definir uma entidade responsável
pela coordenação da implementação da estratégia de cibersegurança.
4.2.1.3 Medidas Técnicas
A tecnologia é considerada como uma linha de defesa contra ameaças cibernéticas, sem
medidas técnicas adequadas e as capacidades para detetar e responder a ataques cibernéticos,
o país e as respetivas organizações estarão vulneráveis a ameaças cibernéticas.
Numa primeira fase é importante a criação de um CERT Nacional que deverá ter a capacidade
para identificar, defender, responder e gerir as ameaças cibernéticas de formas a aumentar a
segurança das infraestruturas críticas, dos utentes da sociedade de informação ou do
ciberespaço de interesse para o Estado Angolano.
O CERT nacional deverá ser capaz de detetar incidentes, correlacionar eventos e determinar
tendências de ataques, deverá ainda ser capaz de analisar as vulnerabilidades que podem ser
exploradas de formas a efetuar-se ataques cibernéticos e publicar informações para a
comunidade servida.
Além do CERT Nacional, propõe-se numa outra fase a criação de uma equipa de resposta a
incidentes exclusivamente para o governo e também equipas de respostas a incidentes
sectoriais, conforme a figura 27.
Figura 27 - Equipas de resposta a incidentes
O CSIRT (Computer Security Incident Response Team) do Governo deverá responder a
incidentes que afetam as instituições exclusivamente governamentais. Além de serviços reativos,
CERT Nacional
CSIRT Sectoriais
CSIRT Gov
44
pode também envolver-se em serviços pró-ativos tais como a análise de vulnerabilidade e
auditorias de segurança.
Um CSIRT sectorial deverá responder a incidentes que podem afetar um sector específico. Os
CSIRTs sectoriais podem ser estabelecidos para os sectores críticos como por exemplo: TIC,
energia, sector financeiro.
Tendo em conta as características do ciberespaço, é necessário conhecer os riscos, as ameaças
que ele apresenta, portanto, as equipas de respostas a incidentes identificadas na figura 27
deverão trabalhar em rede para responder às ameaças organizadas no ciberespaço, para tal é
essencial que haja partilha de informação relevante para coordenação e mitigação das ameaças
cibernéticas.
Deve-se criar um ambiente de colaboração no tratamento de incidentes e na partilha de boas
práticas de cibersegurança.
O CERT Nacional deverá promover um ambiente de colaboração sobre as medidas de
cibersegurança, deverá trocar informações com as outras equipas de respostas a incidentes
internacionais sobre as vulnerabilidades, incidentes que podem colocar em risco o ciberespaço
angolano e perigar acima de tudo as infraestruturas críticas.
Figura 28 - Funções do CERT Nacional
Na figura 28, são apresentadas algumas funções que o CERT Nacional poderá exercer.
O CERT Nacional deverá ser o ponto de contacto nacional para notificação de incidentes, auxiliar
outros CSIRTs na execução de suas atividades.
Normas
O governo deve aprovar a aplicação de normas de cibersegurança reconhecidas
internacionalmente no sector público e nas infraestruturas críticas (mesmo se operadas pelo
sector privado) para que haja uma uniformização e para que a comunicação entre as várias
entidades seja facilitada.
45
Estes padrões podem ser os desenvolvidos pelos organismos como: ISO6, ITU7, e outras, no
âmbito da cibersegurança.
Deve-se impor ações de carácter preventivo que envolvem a criação e a aplicação de
metodologias de gestão de riscos e o desenvolvimento de planos de continuidade de negócios,
para as infraestruturas críticas do sector das TIC e principais sistemas essenciais ao bom
funcionamento do Estado e da sociedade angolana.
Por outro lado, também pode-se elaborar boas práticas através de uma Task-force para o uso
interno.
4.2.1.4 Capacitação de Recursos Humanos
A capacitação humana é necessária para melhorar o conhecimento sobre cibersegurança em
todos os sectores, para aplicar as soluções mais adequadas, e promover o desenvolvimento dos
profissionais.
A capacitação dos recursos humanos é extremamente importante para responder pronta e
eficiente aos incidentes nas redes das infraestruturas críticas, garantir a privacidade das pessoas
e organizações.
Deve-se apostar na formação de recursos humanos nesta área da cibersegurança, e para tal
deve-se apostar na cooperação com outros países mais desenvolvidos nesta matéria de
cibersegurança, para a formação de quadros Angolanos com as competências exigidas nesta
área.
4.2.1.5 Cooperação Internacional
É de extrema importância que haja cooperação internacional, Angola deve contactar os outros
países que estão a desenvolver as estratégias de cibersegurança e também os que já estão
avançados na matéria.
A nível regional o país pode analisar a Convenção Africana sobre a cibersegurança para servir
como um guia de uma forma geral.
Através da pesquisa feita sobre alguns países, nos capítulos 2 e 3 sugere-se o exemplo de
Portugal devido ao nível de cooperação entre os dois países. Seria um grande ponto de partida
para a implementação de mecanismos, de procedimentos e politicas de cibersegurança, pois
Portugal já tem definidas medidas importantes para questão da cibersegurança e infraestruturas
críticas. De entre algumas é de salientar: a Estratégia Nacional de Segurança do Ciberespaço,
6 A ISO/IEC 27002 SO / IEC 27002: 2013 dá orientações para as normas de segurança da informação organizacionais e práticas de gestão de segurança da informação, incluindo a seleção, implementação e gestão de controle levando em consideração ambiente de risco de segurança da informação da organização. http://www.iso.org/iso/catalogue_detail?csnumber=54533 7 O ITU é uma agência das Nações Unidas centrada na regulação internacional das TIC, porém tem agora dedicado mais atenção a esta temática da cibersegurança, tendo criado um portal que reúne muita informação sobre a cibersegurança. http://www.itu.int/cybersecurity/gateway/