Aos papéis

Do Panamá chegaram as “novidades”: políticos, notáveis, celebridades e também criminosos e entidades alvo de embargos, constam em mais de 11,5 milhões de registos financeiros e jurídicos do escritório de advogados Mossack Fonseca, expondo um sistema instalado que favorece o crime e a invasão fiscal, corrupção e toda a espécie de malfeitorias financeiras, ficando o caso conhecido como os “Panama Papers”.

Os efeitos políticos não se fizeram esperar tendo o primeiro-ministro islandês, Tenders, apresentado a sua demissão e Cameron em Inglaterra estremeceu. Putin também se viu obrigado a dar explicações, visto ter sido associado através de “testas de ferro”. O primeiro-ministro do Paquistão, teve de sair do país e um dos ministros do governo espanhol pediu a demissão. O caso deixou aos papéis, políticos, ricos e famosos.

Da política veio também o oportunismo de Ana Gomes, eurodeputada socialista que classificou como offshore o Centro Internacional de Negócios da Madeira numa carta dirigida à Comissão Europeia, questionando a legitimidade da operação da praça madeirense que rotulou de opaca. Este frete à esquerda radical e a praças financeiras estrageiras, concorrentes da nossa, não se percebe e mereceu mesmo um voto de protesto do CDS na Assembleia Legislativa da Madeira, contando inclusive com a abstenção do PS que se demarcou em comunicado das posições da eurodeputada do seu partido.

O meu propósito não é, focar-me nas práticas censuráveis e anti-éticas, ou mesmo sobre o risco para a segurança global que a opacidade própria dos reais offshores, permite. Partilho antes convosco uma reflexão acerca do processo, ainda envolto em relativo mistério, que permitiu a obtenção de mais de 2,6 terabyte de informação. É muito, acreditem. Tanto que requereu um ano de trabalho desde o acesso até à divulgação.

“John Doe”, foi o anónimo que obteve os dados, aparentemente sem grandes dificuldades. É sintomático que a firma tenha informado os seus clientes no dia 1 de abril (o que não deixa de ter piada) que tinha registado um ataque informático aos servidores de correio eletrónico mas que a situação tinha sido contida e tudo estava a funcionar com normalidade, garantindo aos clientes mais preocupados que as informações sobre os seus investimentos estavam absolutamente salvaguardadas. O habitual. Tudo falso ou pelo menos, inconsciente.

Indo contra todas as boas práticas de segurança, não existia qualquer segmentação dos recursos, encontrando-se todos instalados e em exploração na mesma máquina: servidor web, servidor de conteúdos, bases de dados de clientes e servidor de correio eletrónico. Ou seja, os dados encontravam-se fora de um perímetro de segurança mínimo que prevenisse o acesso não autorizado. As mais rudimentares táticas de segurança não foram observadas.

Nem mesmo a aplicação de atualizações de software (patches, updates e upgrades). Na Mossack, das aplicações em exploração, a que foi atualizada mais recentemente, foi-o há três anos. Uma eternidade em termos de segurança informática.

Dificilmente se podia estar em piores condições. Num paralelo com o mundo físico seria como ter um banco com paredes, portas e alarmes mas sem que a porta esteja fechada e sem que os alarmes estejam ativos ou monitorizados e tudo sem manutenção. Um convite ao saque.

Está a pensar: “ainda bem que os especialistas sabem destas vulnerabilidades tão básicas. A informação da minha organização segura.” Pense bem…

A maior parte das administrações considera a segurança um centro de custo. Os incidentes aumentam exponencialmente todos os anos, em número e em grau de sofisticação, desde acessos não autorizados por adolescentes curiosos, passando pelo furto de identidades e sequestro de dados, até à espionagem industrial, sabotagem e a ataques disruptivos perpetrados por estados ou por proxies destes (procuradores).

Mesmo admitindo que a sua organização está adequadamente protegida, nada lhe garante uma proteção absoluta. Isso não existe. Até porque falta-nos referir o elemento fundamental em qualquer sistema de segurança: o elemento humano. No papel de utilizador, a falta de competências e sensibilização para as questões de segurança de informação por um lado e os mecanismos de engenharia social por outro, vêm colocar sobre o utilizador uma pressão e uma responsabilidade para a qual ele está aos papéis.

Já se considerarmos o elemento humano no papel técnico, um primeiro desafio se coloca: o do número insuficiente de especialistas no mercado de trabalho. Só na Europa estimam-se necessidades de um milhão de técnicos e outro tanto nos EUA.

Para além do número temos a questão da competência, entendida como o saber fazer e não como qualificação, que embora importante, de nada serve sem o savoir faire. Aqui a formação e treino são fundamentais mas todos conhecemos a dificuldade das empresas e da administração pública em financiar formação aos utilizadores (especialmente sem fundos europeus) e pior ainda se considerarmos a formação técnica, dez vezes mais cara e mais longa.

As grandes empresas, primeiras vítimas de ciberataques, tomaram medidas no sentido de mitigar as vulnerabilidades. Os estados, alvos de ciberataques, exploratórios num primeiro momento, disruptivos num segundo, e num terceiro, coordenados em operações militares conjuntas, também tomaram medidas, aprovando estratégias, criando estruturas e construindo capacidades para lidarem com uma nova forma de conflitualidade: a ciberguerra.

Portugal definiu em 2015 a Estratégia Nacional de Segurança do Ciberespaço com o objetivo de aprofundar a segurança das redes e da informação, como forma de garantir a proteção e defesa das infraestruturas críticas e dos serviços vitais de informação, bem como potenciar uma utilização livre, segura e eficiente do ciberespaço por parte de todos os cidadãos, das empresas e das entidades públicas e privadas.

Como todas as iniciativas do estado, está condicionada pela conjuntura económico/financeira e pelo peso da burocracia que não agiliza uma ação que se quer concertada e expedita, bem como focada nos grandes riscos que impedem sobre os principais ativos informacionais do país, nomeadamente as Infraestruturas de Informação Críticas.

O princípio da subsidiariedade é o primeiro pilar da Estratégia, atribuindo aos privados a responsabilidade primária pela proteção do ciberespaço, uma vez que são os detentores das infraestruturas que operam. “Esta responsabilidade inicia-se no próprio indivíduo, pela forma responsável como utiliza o ciberespaço, e termina no Estado”.

O princípio da subsidiariedade remete assim para as organizações a responsabilidade de utilizarem em segurança o ciberespaço e de protegerem adequadamente as suas infraestruturas e recursos informacionais. A intervenção de outras entidades só ocorrerá uma vez esgotadas as capacidades organizacionais ou de nível intermédio.

As Regiões Autónomas, pela natureza político-constitucional que lhes conferem capacidade de governo próprio e assim de decisão política díspar da nacional, por um lado, e pela circunstância da descontinuidade territorial correrem o risco de ficarem sem capacidades de comando e controlo num cenário de disrupção e isolamento, por outro, deveriam dispor de um elemento coordenador de resposta a incidentes de segurança informática, integrando a rede nacional que gravita à volta do Centro Nacional de Cibrsegurança, ligado por sua vez aos homólogos de outros países e à ENISA – Agência da União Europeia para a Segurança das Redes e da Informação. A uma ameaça em rede só é possível responder com uma capacidade em rede.

Ora esta estrutura intermédia não existe.

A 12 de maio, há 507 anos, D. Manuel enviou uma carta ao Senado do Funchal, “em que recomenda aos fidalgos cavaleiros, escudeiros, homens bons e povo da cidade para se proverem de armas como convém não bastando somente a boa vontade, mas devendo cada um tratar de as haver conforme a sua qualidade, assim como cavalos aparelhados aqueles que os poderem ter.”

Como a ameaça está aí, o Estado não envia “carta” e o “Senado” nada faz, resta-nos, como Simão Gonçalves, tomar a iniciativa e agir. No curto prazo, já em junho, serão realizadas iniciativas que promoverão a constituição de uma comunidade informal de interesse bem como serão promovidas ações de sensibilização e formação, exatamente para contribuir para reduzir o défice de competências que antes referi. Curiosamente a História repete-se e serão as Forças Armadas, o Exército em particular que, percebendo a ameaça e constatando as omissões, vêm novamente cumprir a missão de garantir a proteção do Estado e das suas instituições.

Isto porque, as mesmas lacunas técnicas que permitiram no caso Mossack Fonseca, a exposição de práticas condenáveis, também permitem o ataque a informação relevante do ponto de vista da segurança e do interesse político e económico da região e do país.

Contarão com o meu modesto contributo, deixando na oportunidade o meu apelo para que os que forem “recrutados” para esta missão digam “Pronto” e contribuam igualmente para melhorar a qualidade da nossa cibersegurança, concorrendo para a proteção dos nossos dados pessoais, para a proteção da propriedade intelectual das empresas e da investigação, para a proteção das infraestruturas críticas e desta forma para que a Defesa da Madeira e de Portugal, neste particular, não fique aos papéis.

Nuno Perry
Diário de Notícias da Madeira
Terça, 17 de Maio de 2016