O ciberespaço e a cibersegurança

Com a criação da internet, foi gerado um novo espaço para a expressão, o conhecimento e a comunicação humana. Espaço esse que não é mais do que um espaço virtual sem existência humana, apenas virtual, a que denominamos de ciberespaço. 

O ciberespaço apresenta-se assim como uma plataforma sem fronteiras que permite a interação de qualquer pessoa para qualquer fim, não existindo, desta forma, uma definição universalmente aceite. Este abrange desde a informação digitalizada, as infraestruturas, as comunicações por satélites, as redes de servidores, a internet, os computadores, as informações e até os seres humanos que fazem uso da tecnologia.

       O ciberespaço ultrapassa as fronteiras de um Estado, devendo, por este modo, obedecer a regras de controlo e de governança. E impondo-se a necessidade de serem criadas estruturas nacionais e internacionais de monitorização e prevenção de práticas que coloquem em causa a segurança interna e externa dos Estados.

É inegável que, a partir da última metade do século XX, a rede digital e o ciberespaço passaram a ser um traço inquestionável nas nossas vidas. Tal como nos diz a Professora Doutora Ana Guerra Martins, “a União Europeia está tão dependente do ciberespaço como qualquer outra entidade”[1]. Todavia, esta interligação acarreta novos desafios no que concerne à segurança devido ao seu funcionamento em rede aberta, sem delimitação de fronteiras físicas, uma vez que qualquer pessoa ou programa virtual pode interagir com propósitos ilícitos ou de cariz duvidoso. 

Deste modo, surge a cibersegurança, isto é, “a garantia de fiscalização de policiamento do ciberespaço de forma a garantir uma eficaz reação à prática criminosa do mesmo”[2] que, na sua aceção de preocupação pela salvaguarda da informação nacional vital, essencial e confidencial, tendo em vista o interesse nacional, envolve as forças de segurança com vista ao combate do cibercrime e do hacktivismo. 

O cibercrime é definido assim como qualquer prática criminosa que tenha associada à sua realização um aspeto cyber ou o recurso à utilização de computadores[3]. Por sua vez, o hacktivismo ali o ativismo ao uso de métodos de hacking declarados ilegais, cujo principal objetivo é o de transmitir uma mensagem ao maior número de pessoas[4]. 

      Assim sendo, a ciberdefesa tem, a nível nacional, o Centro Nacional de CiberSegurança (CNCS)[5] e, a nível internacional, o CERT.

     O CNCS tem como missão “implementar as medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de situações que, face à iminência ou ocorrência de incidentes ou ciberataques, ponham em causa o funcionamento dos organismos do estado, das infraestruturas críticas e dos interesses nacionais” e “ apostar claramente numa estratégia de prevenção, sensibilizando e educando as organizações em particular e a sociedade civil em geral para as questões da cibersegurança, contribuindo desta forma para a criação de uma comunidade de conhecimento e de uma cultura nacional de cibersegurança”[6]. Por sua vez o CERT tem como missão resolver problemas relativos à segurança cibernética, vulnerabilidades de segurança de pesquisa em produtos de software com o intuito de contribuir para mudanças a longo prazo nos sistemas em rede[7]. 

       Na tomada de consciência da importância do ciberespaço, da cibersegurança e da ciberdefesa por parte da União Europeia, a Comissão Europeia, em 1999, lançou a iniciativa eEurope destinada a garantir que a União Europeia tirasse partido da evolução associada à Sociedade da Informação e adotou medidas destinadas a enquadrar e limitar os riscos associados à divulgação da sociedade da informação; designadamente um plano de ação destinado a promover uma utilização segura da Internet e a combater as mensagens com um conteúdo ilícito e prejudicial[8]. 

       A nível europeu a ENISA - European Union Agency for Network and Information Security - que foi criada em 2004, é a agência especializado em cibersegurança. Ela tem como missão contribuir para segurança cibernética na Europa aumentando a "consciência da segurança das redes e da informação e para desenvolver e promover uma cultura, das redes e da informação na sociedade em benefício dos cidadãos, consumidores, empresas e organizações do sector público em a União"[9].

    A Comissão Europeia, em 2006, adotou um comunicado no qual expõe os princípios e os instrumentos necessários para a execução do Programa Europeu de Proteção das Infraestruturas Críticas (PEPIC), europeias e nacionais, tendo como objetivo geral melhorar a proteção das infraestruturas críticas na União Europeia.

      No seguimento da Estratégia da União Europeia para a cibersegurança: Um ciberespaço aberto, seguro e protegido, em 13 de setembro de 2017, a Alta Representante e a Comissão apresentaram uma comunicação conjunta ao PE e ao Conselho, intitulada Resiliência, dissuasão e defesa: reforçar a cibersegurança na UE[10], tendo em vista: desenvolver a resiliência aos ciberataques; dissuadir ações maliciosas e criminosas ao nível da União; e reforçar a cooperação internacional no domínio da cibersegurança. Foi proposto pela Comunicação: a aplicação, na íntegra, da diretiva relativa à segurança das redes e da informação; a adoção rápida, pelo Parlamento Europeu e pelo Conselho, do regulamento que estabelece um novo mandato para a Agência da EU para a Segurança das Redes e de Informação (ENISA) e um quadro europeu para a certificação; a iniciativa conjunta da Comissão e da indústria para definir um princípio de “dever de diligência” a fim de reduzir as vulnerabilidades dos produtos/suportes lógicos e promover a “segurança desde a conceção”; a execução rápida do plano de ação para a resposta a incidentes transfronteiriços em grande escala; a avaliação de impacto para estudar a possibilidade de uma propostas da Comissão, em 2018, para a criação de uma rede de centros de competências em matéria de cibersegurança e de um Centro Europeu de Investigação e de Competências em matéria de Cibersegurança, partindo de uma fase-piloto imediata; o apoio aos Estados-Membros na identificação dos domínios em que os projetos de cibersegurança comuns possam ser considerados para efeitos de financiamento pelo Fundo Europeu de Defesa; a criação de um “balcão único” a nível da EU para ajudar as vítimas de ciberataques, prestando informações sobre as ameaças mais recentes e resumindo recomendações práticas e instrumentos de cibersegurança; a adoção, pelos Estados-Membros, de medidas para integrar a cibersegurança em programas de competências, na administração pública em linha e em campanhas de sensibilização; e a adoção, pela indústria, de medidas destinadas a intensificar a formação em matéria de cibersegurança para o seu pessoal e adotar o princípio da “segurança desde a conceção”, para os seus produtos, serviços e processos[11]. 

Em 2013, foi proposta a elaboração de uma Diretiva da Comissão Europeia relativa a ataques contra sistemas de informação e em que foram implementadas outras medidas pela Comunicação de forma a melhorar a resposta do direito penal aos ciberataques: iniciativa da Comissão para o acesso transfronteiriço a provas eletrónicas; adoção rápida, pelo Parlamento Europeu e pelo Conselho, da proposta de diretiva relativa ao combate à fraude e à contrafação de meios de pagamento que não em numerário; introdução de requisitos relativos ao IPv6 nos concursos públicos e no financiamento de investigação e de projetos por parte da EU; celebração de acordos voluntários entre os Estados-Membros e os fornecedores de serviços de Internet para promover a adoção do IPv6; ênfase renovada e alargada da Europol no domínio da informática forense e da monitorização da Internet obscura; aplicação do quadro para uma resposta conjunta da EU às ciberatividades maliciosas; reforço do apoio financeiro a projetos nacionais e transnacionais para a melhoria da justiça penal no ciberespaço; e criação em 2018, de uma plataforma de formação de matéria de cibersegurança para fazer face ao atual défice de competências em matéria de cibersegurança e de ciberdefesa[12]. 

Nesse mesmo ano, em 2013, foi criado o EC3 – “European Cybercrime Centre”, que tem como objetivos o fortalecimento da resposta da aplicação da lei da criminalidade informática na União Europeia e ajudar a proteger os cidadãos europeus, empresas e governos. [13].

Por último, a Comunicação preconizou o reforço da cooperação internacional em matéria de cibersegurança e o aprofundamento da cooperação com a NATO, que, dada a crescente preocupação com as questões que o ciberespaço levanta e com o agudizar das querelas com este relacionadas deu origem a que a 10 de Fevereiro de 2016, a NATO e a EU firmassem um acordo histórico com o intuito de combater o cibercrime e outras “ameaças híbridas”[14]. 

Em Portugal, em 2014, foram criados o Centro Nacional de Cibersegurança, pelo Decreto-Lei Nº 69/2014 (9 de Maio) e o Centro de Ciberdefesa, pelo Decreto-Lei 184/2014 de 29 de Dezembro, que atuam como coordenadores operacionais em autoridade nacional junto das entidades do Estado assegurando que o ciberespaço é usado com liberdade, segurança e justiça.

Em suma, têm sido várias as soluções apresentadas pela União Europeia no combate ao cibercrime que, por este ser um problema que ultrapassa as fronteiras físicas, devem-se concatenar meios, a nível mundial, para combatê-lo de forma eficaz. Existe ainda uma profunda necessidade de criar estruturas tanto a nível nacional como internacional, que estejam interligadas entre si e que funcionem como uma rede exclusiva de prevenção do cibercrime, no entanto, ainda não foi criada uma autoridade que, em última análise, detenha o controlo de todas as outras.

Constança Carvalho nº 26658

[1] Os Desafios Contemporâneos à Ação Externa da União Europeia - Lições de Direito Internacional Público II, Almedina, 2018;

[2] Nunes, Paulo Viegas (2013) “Cibersegurança e Estratégia Nacional de Informação: Estruturas de Coordenação Nacional no Ciberespaço”, Conferência, Beja, IV SimSIC;

[3] “What is Cybercrime?”, Norton, Symantec http://us.norton.com/cybercrimedefinition;

[4] Santos, Paulo, Bessa, Ricardo e Pimentel, Carlos (2008) Cyberwar – O Fenómeno, as Tecnologias e os Atores, Lisboa, FCA;

[5] Decreto-Lei Nº 69/2014 (9 de Maio)

[6] Decreto-Lei Nº 69/2014 (9 de Maio)

[7] http://www.cert.org/about/

[8]http://cedis.fd.unl.pt/wp-content/uploads/2017/10/CEDIS-working-paper_DSD_A-problem%C3%A1tica-da-ciberseguran%C3%A7a-e-os-seus-desafios.pdf

[9] Artigo 1º(1) do Regulamento ENISA (EU) Nº 526/2013

[10] Os Desafios Contemporâneos à Ação Externa da União Europeia - Lições de Direito Internacional Público II, Almedina, 2018;

[11] Os Desafios Contemporâneos à Ação Externa da União Europeia - Lições de Direito Internacional Público II, Almedina, 2018;

[12] Os Desafios Contemporâneos à Ação Externa da União Europeia - Lições de Direito Internacional Público II, Almedina, 2018;

[13]  https://www.europol.europa.eu/ec3

[14]http://cedis.fd.unl.pt/wp-content/uploads/2017/10/CEDIS-working-paper_DSD_A-problem%C3%A1tica-da-ciberseguran%C3%A7a-e-os-seus-desafios.pdf