Ciberespaço e
Cibersegurança:
Desafios e Soluções
O Ciberespaço e a Cibersegurança
O ciberespaço consiste
num espaço virtual constituído por informação que circula nas redes de
computadores e telecomunicações. Abrange um amplo mundo de partilha, receção e
envio de materiais dos mais diversos temas, contribuindo para uma cada vez
maior interação, independente da presença física e/ou da proximidade. Sinal dos
tempos e da evolução tecnológica que se tem observado, contribui para uma
superior difusão da informação útil, da educação e do ensino, seja a nível
público ou privado; contudo, traz também uma panóplia de novos problemas que
carecem ainda de solução: atualmente, torna-se difícil proteger, em particular,
os menores, idosos, incapacitados e o público em geral, dos esquemas de burlas,
furtos, sequestro ou tentativas de atingir, de algum modo, a esfera particular
dos indivíduos, independentemente do propósito. A cibersegurança, ou seja, o estado
de proteção contra ciberataques[1] ou cibercrimes[2] feitos através de redes
informáticas, vem então tentar colmatar as falhas e tentar proteger as pessoas,
apresentando-se um conjunto de atitudes, ações e mecanismos que devem ser
desencadeados ou colocados em prática de modo a que todos possam partilhar da
informação de uma forma responsável, segura e adequada. Além do exposto,
torna-se também relevante ensinar, especialmente aos mais novos, que sempre que
tais modos estejam em risco ou exista qualquer problema no geral, devem
reportar aos pais ou tutores, às autoridades ou entidades responsáveis. A
internet e as telecomunicações trouxeram grandes vantagens, mas também grandes
prejuízos devido à sua utilização errada ou para fins maliciosos, distintos dos
que levaram ao seu desenvolvimento no início. Com a sua difusão além de
território, género e faixa etária, e devido ao aumento gradual do número de casos
relacionados com as tecnologias, tornou-se este um tema cada vez mais presente
no seio dos países, seja a nível de criação de entidades[3] que educam as mentes,
aconselham e que contactam com os casos reais, como a nível da aprimoração da
legislação que prevê e tutela as ocorrências derivadas do problema exposto. É,
então, relevante analisar o ponto da situação na cena nacional e internacional,
avaliando-se esta última a nível da U.E.
A nível nacional os
crimes previstos nesta matéria constam da Lei do Cibercrime (Lei nº 109/2009 de
15 de setembro) e do Código Penal. A resolução do conselho
de ministros nº92/2019 aprova a Estratégia Nacional de Segurança do Ciberespaço
2019-2023, e por seu turno, a Lei n.º 46/2018, de 13 de agosto, veio
estabelecer o regime jurídico da segurança do ciberespaço, transpondo a
Diretiva (UE) 2016/1148 (respeitante à
gestão de riscos dos prestadores de serviços digitais), do Parlamento Europeu e
do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um
elevado nível comum de segurança das redes e dos sistemas de informação em toda
a União. O Quadro Nacional de Referência para a Cibersegurança dá cumprimento à
Estratégia Nacional de Segurança do Ciberespaço que se funda no compromisso de
aprofundar a segurança das redes e da informação, como forma de garantir a
proteção e defesa do ciberespaço de interesse nacional e potenciar uma
utilização livre, segura e eficiente do mesmo por parte de todos os cidadãos,
das empresas e das demais entidades públicas e privadas. O conjunto de
legislação em vigor aprova os requisitos técnicos mínimos das redes e sistemas
de informação que são exigidos ou recomendados a todos os serviços e entidades
da Administração direta e indireta do Estado, relativos a dados pessoais, na
sequência do novo Regulamento Geral sobre a Proteção de Dados.
A nível europeu, onde o
tema já foi reconhecido como vital no Considerando 1 da Diretiva (EU) 2016/1148
do PE e do Conselho de 6 de julho de 2016 e se encontra estabelecido nos
artigos 3º/2 e 179ºTFUE, merecem particular atenção a Convenção
sobre Cibercrime do Conselho da Europa (Convenção de Budapeste) e a Diretiva
2013/40/UE relativa a ataques contra os sistemas de informação.
Assim, a UE dispõe agora
de uma série de instrumentos para proteger as redes de comunicações
eletrónicas, incluindo a Diretiva Segurança das Redes e da Informação (Diretiva
SRI[4] de 2016), o Regulamento
Cibersegurança[5]
e as novas regras aplicáveis às telecomunicações. O Regulamento (UE) 2019/881 do
Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA e à certificação
da cibersegurança das tecnologias da informação e comunicação revogou o Regulamento
(UE) nº526/2013 (Regulamento Cibersegurança).
Atualmente, a Comissão
pode negociar acordos internacionais sobre provas eletrónicas em matéria penal,
havendo um melhor acesso às provas eletrónicas para combater a criminalidade.
E, em 2019, o Conselho estabeleceu um regime de sanções que permite à UE impor
medidas restritivas específicas para dissuadir e responder a ciberataques que
constituem uma ameaça externa para a UE e para os seus Estados-Membros -
permite à UE fazer uso das medidas no âmbito da Política Externa e de Segurança
Comum. A matéria da cibersegurança, tendo em conta a equivalência que se fez
entre o espaço virtual e o espaço material, representa, então, matéria abordada
na Política Externa e de Segurança Comum (PESC), de base jurídica: artigos 21.º
a 46.º do Título V do TUE e Parte V, artigos 205.º a 222.º e artigos 346.º e
347.º da Parte VII do TFUE.
O acesso à internet é
reconhecido pela ONU como um direito fundamental, na sua resolução
A/HRC/32/L.20, assim como pela União Europeia (tendo esta objetivos, inclusive,
de alcançar o mercado único digital[6] e uma Europa altamente
digitalizada além de 2020,[7] sem “deixar ninguém para
trás”), que se tem vindo a esforçar para delimitar o conceito de ciberespaço e
a concretizar legalmente os conceitos dele emergentes através, por exemplo, do
artigo 4º da Diretiva (UE) 2016/1148, que aplica os artigos 292º, 294º e 114º
do TFUE, criando um quadro conceptual comunitário facilitador da criação de um
enquadramento legal comum a todos os Estados Membros. Nos artigos 14º e
seguintes do mesmo diploma, determina-se a adoção, por parte dos Estados
Membros, de medidas preventivas e gestoras dos riscos decorrentes desta mesma
dependência. Ou seja, consagrou-se a integração da educação e investigação nos
planos de estratégia nacional das redes e dos sistemas de informação. No seu
artigo 6º, estipulou-se uma harmonização do nível de segurança garantido pelos
Estados-Membros, sendo apenas permitidas disposições que garantam um nível
mínimo de segurança. A União Europeia tem, ainda, competência para celebrar
acordos internacionais que tenham como objeto esta matéria, por via do artigo
218º do TFUE.
Assim, a implementação de
legislação adequada desempenha um papel essencial na prevenção e combate ao
cibercrime, sendo importante no âmbito da criminalização das condutas, das
competências e poderes de investigação das autoridades policiais, da recolha e
preservação de prova eletrónica, da jurisdição, da cooperação e partilha de informações,
tanto entre diferentes entidades nacionais como ao nível internacional, e da
responsabilidade dos fornecedores de serviços de Internet. Alguns exemplos dos
recentes desenvolvimentos nesta temática consistem, a nível nacional, duma equipa
portuguesa que conquistou 10º lugar no European Cyber Security Challenge 2019,
de 14 de Outubro de 2019 (link na biografia); e, a nível internacional, do
desenvolvimento do Quadro Nacional de Referência em Cibersegurança, que permite
às organizações reduzir o risco associado às ciberameaças, de acordo com o
art.7º da diretiva 2016/1148 - disponibiliza bases para as organizações
identificarem potenciais riscos e fornece ferramentas para que estas possam
cumprir os “requisitos mínimos de segurança das redes e sistemas de informação”.
Persistem, ainda assim,
alguns desafios como, por exemplo, como saber onde os crimes de facto ocorreram,
ou seja, perceber onde se encontravam ou de onde realizaram os utilizadores os
factos danosos, considerando a localização da vítima e o momento em que esta
tem conhecimento do facto (podendo, com esse conhecimento, aumentar-se a fiscalização,
desmantelar organizações e esquemas, precaver e facilitar a punição do agente, melhorando
a segurança jurídica de todos os envolvidos e garantindo uma efetiva punição).
Algumas soluções prendem-se com o desenvolvimento de programas e softwares que
permitam alcançar a localização dos aparelhos que serviram de meio ao crime e,
do ponto de vista da vítima, desenvolver mecanismos de segurança em que, em caso
de invasão da privacidade, é emitido um alarme ou aviso. Permanece também o
desafio de enquadrar legalmente um mundo que se encontra em constante
crescimento, de resolver conflitos de jurisdição e de competência, existindo
muitos casos em que os países da nacionalidade dos agentes encobrem as ações
danosas em função dos seus interesses. Exemplos de tal encobrimento não faltam,
sendo, por vezes, muito moroso ou até mesmo inalcançável uma efetiva punição. Logo,
sucintamente, tratar-se-ia de melhorar a cooperação internacional (art.13º da Diretiva
2016/1148 e art.218º TFUE), facilitando a extradição/punição, seja esta última
conforme a lei do foro ou lei estrangeira (devendo, nesse caso, existir legislação
equivalente). Deve sensibilizar-se os utilizadores em todas as idades de modo a
prevenir o maior número de casos possíveis – a sensibilização também impõe os
seus próprios desafios, particularmente na fase da adolescência e da terceira
idade: nos primeiros, devido, muitas vezes, ao desconhecimento absoluto dos
pais e de certa pressão ou isolamento que pode decorrer das suas relações
sociais, tornando-os mais suscetíveis a certo tipo de abordagens via internet;
nos segundos, devido ao não domínio, no geral, das últimas tecnologias e
mecanismos, tornando-os mais desinformados e suscetíveis aos enganos e ataques.
Além do exposto, deve ainda proteger-se as bases de dados, informações e sites de
relevo que possam afetar de forma significativa o país ou os seus cidadãos
(existem inúmeros exemplos de plataformas eletrónicas do governo e, inclusive,
bancos, que se encontram debilmente protegidos) e que poderão, em caso de
ataque, ter consequências devastadoras.
O incremento dos crimes
online trouxe a discussão de questões processuais de implicação substantiva
abordadas no primeiro desafio referido. Dentre vários temas, foram questionados
na jurisprudência dois aspetos: por um lado, a do momento de conhecimento, pela
vítima, do crime que a atingiu. Visto que muitos dos crimes praticados online
são de natureza semipública, depende, portanto, a prossecução criminal de
apresentação de queixa, em devido tempo.
Por outro, foi discutida na jurisprudência a relevância do local da
prática física de factos com consequências à distância. Este aspeto também é
relevante, não só por razões de natureza processual, por exemplo de competência
do tribunal, mas também pela respetiva implicância substantiva. A nível de
jurisprudência nacional é possível indicar, entre muitos outros, o Acórdão da
Relação do Porto de 17 de fevereiro de 2016[8] e o Acórdão da Relação de
Lisboa de 17 de dezembro de 2015[9].
Conclusão
É
possível realçar então, em suma, que a questão do ciberespaço e da cibersegurança
é bastante ampla e de difícil regulamentação por se encontrar em constante
mutação e crescimento. Dificulta não só a tutela dos casos, como a prevenção
dos que ocorrerão em seguida: porém, por se tornarem cada vez mais frequentes e
terem já ocorrido ataques eletrónicos de grande impacto económico e político,
tornou-se esta uma questão primacial nas políticas dos Estados, onde Portugal
não é exceção. A vária legislação que tem surgido esforça-se por abranger e
tutelar as várias condutas, tentando-se, a passo e passo, encontrar as soluções
mais adequadas aos desafios já existentes e que vão surgindo com o passar do
tempo. Tais desenvolvimentos são observáveis a nível nacional, a nível europeu,
mas também a nível internacional, sendo de enorme relevância que cada país
disponha de mecanismos de segurança à altura dos ataques que vão sendo
desfeitos, tanto por motivos de soberania, como por proteção das suas
informações e das dos seus cidadãos, da economia, política e mercado
financeiro.
Assim,
apesar do(s) grande(s) desafio que este tema apresenta, têm-se incorrido em
variados e frutíferos esforços para o conter.
Bibliografia
Trabalho realizado por:
Carolina Matroca
Nº 56795
Turma B – Subturma 10
[1]
Os ataques perpetrados por meio de software de sequestro (ransomware)
triplicaram entre 2015 e 2017, tendo o impacto económico da cibercriminalidade
quintuplicado entre 2013 e 2017.A cibercriminalidade é vista como um grande
desafio para a segurança interna da UE por 87 % dos europeus e estima-se que os
ciberataques tenham um custo de 400 mil milhões de euros por ano. Este problema
afeta então, a segurança e a estabilidade, mas também a prosperidade e a nossa
ordem democrática.
[2] O cibercrime corresponde aos
crimes praticados com recurso a computadores e/ou à Internet, destacando-se,
pela sua frequência e popularidade, o furto de identidade. Em Portugal, o furto
de identidade não corresponde a um tipo de crime, mas sim a um fenómeno a que
se aplicam vários tipos de crime. Abrange a obtenção não consentida dos dados
pessoais e/ou secretos da vítima; a posse ou transferência dos dados pessoais
e/ou secretos da vítima, com consciência de que serão utilizados para fins
criminosos e a utilização dos dados pessoais e/ou secretos da vítima para a
prática de crimes.
[3]
E, de tal forma, podem as
entidades aconselhar as melhores maneiras de lidar ou prevenir as ocorrências.
Ex: Indicar as boas práticas, como no site do Centro Nacional de Cibersegurança
(Portugal) – link disponível na biografia.
[4] A Diretiva instituiu novos
mecanismos de cooperação a nível da EU a propósito da cibersegurança, prevendo
medidas nacionais e impondo aos operadores de serviços e prestadores de
serviços digitais a adoção de práticas de gestão de riscos e a comunicação às
autoridades nacionais de incidentes com impacto significativo. Será também
exigido a cada país da UE que designe uma ou mais autoridades nacionais e
defina uma estratégia para lidar com as ameaças cibernéticas.
[5]
O Regulamento Cibersegurança
de 2019 introduz regulamentação que rege a certificação, mediante normas
internacionais voluntárias de forma a evitar barreiras comerciais ou técnicas, de
produtos, processos e serviços (que dará aos consumidores escolhas mais
informadas e facilitará às empresas a comercialização dos seus produtos
inteligentes na Europa.). Destina-se a reforçar a resiliência no ciberespaço e a
modernizar a Agência da UE para a Segurança das Redes e da Informação (ENISA), conferindo-lhe
um novo mandato permanente e mais recursos para que esta possa cumprir os seus
objetivos.
[6] O mercado único digital visa
assegurar que a economia, a indústria e a sociedade europeias tirem pleno
partido da nova era digital. Esta estratégia é parte integrante do projeto da
UE para uma Europa digital, já estando em vigor, atualmente, um portal digital
único para os cidadãos.
[7]
Para "Impulsionar a
competitividade digital e económica na União e a coesão digital", segundo
notícia de 7 de junho de 2019. Abrange o
fim das tarifas de itinerância (roaming), a modernização da proteção de dados, a
portabilidade transfronteiras de conteúdos em linha e o acordo para desbloquear
o comércio eletrónico que põe fim ao bloqueio geográfico injustificado. Prevê
uma Europa forte,
competitiva, inovadora e altamente digitalizada, visando-se apoiar a inovação e
incentivar as tecnologias digitais europeias fundamentais, respeitar os
princípios e os valores éticos no âmbito da inteligência artificial, reforçar a
capacidade de cibersegurança da Europa, melhorar as cibercompetências e desenvolver
a sociedade a gigabits, incluindo a 5G.
[8]
Avança o tribunal: “…quando
estão em causa factos relacionados com envio de SMS e conversações telefónicas,
não é relevante o local onde se encontra o ofendido. Se não for indicado o
local onde a ofendida se encontrava quando recebeu cada uma das SMS e cada um
dos telefonemas, esse não é fundamento, por desproporcional e excessivo, de
rejeição da acusação deduzida.”
[9]
“O direito de queixa
extingue-se no prazo de 6 meses a contar da data em que o ofendido teve efetiva
noção de que poderá estar a ser vítima de um crime. Em caso de burla por meio
de vendas online, só decorrido algum tempo sobre a compra o comprador percebe
que caiu num engano ardilosamente montado e que nunca nada irá receber em troca
do que pagou.”
Sem comentários:
Enviar um comentário