Um ciberespaço aberto e seguro ao fundo do túnel

Nunca o ciberespaço esteve tão bem e tão mal, ao mesmo tempo. Nunca o avanço tecnológico e digital foi tão grande, e nunca foi tão perigosa a presença online das pessoas, das empresas e das organizações. É difícil ver uma luz ao fundo do túnel; as agravantes da cibercriminalidade emergem à superfície a um ritmo acelerado.

A pandemia e a consequente digitalização das organizações e respetivos serviços – agora dependentes das tecnologias digitais para exercerem a sua atividade – expôs a economia e a sociedade a atividades maliciosas e ameaças a entidades de infraestruturas críticas, que têm vindo a aumentar em número e sofisticação. Ao já existente caos no ciberespaço, juntaram-se, ainda, conflitos geopolíticos que incendiaram uma ciberguerra mundial.

“A cibercriminalidade e as ameaças de espionagem no setor público aumentaram drasticamente. (…) Diversos atores de ameaças realizam uma grande variedade de atividades maliciosas no espaço digital, que vão desde intrusões muito direcionadas a campanhas indiscriminadas e oportunistas. As suas táticas, técnicas e procedimentos estão a ficar cada vez melhores e mais automatizados”, afirma o European Comissioner for Budget and Administration, Johannes Hahn, à IT Security.

Há, contudo, vários esforços coletivos em andamento para alcançar, tanto quanto possível, um ciberespaço habitável – aberto, transparente e seguro

Cybersecurity Regulation Proposal

É neste contexto que a União Europeia está à procura de estabelecer medidas em várias frentes de promoção da ciber resiliência, ciberdefesa e diplomacia, e combate à cibercriminalidade. “A quantidade, intensidade e ritmo dos ataques mostram-nos uma situação crítica: o número de incidentes significativos em 2021 cresceu 30% desde 2020 e 90% desde 2019, pelo terceiro ano consecutivo, um máximo de todos os tempos”, acrescenta o representante da Comissão Europeia (CE).

A 22 março de 2021, foi submetida ao Conselho da União Europeia e ao Parlamento Europeu uma proposta da CE que salienta a importância de estabelecer um enquadramento consistente e robusto de segurança para proteger as pessoas, os dados, as redes, e os sistemas de informação da UE – alcançado através de uma maior resiliência e cultura de segurança. 

A proposta inicial de pacote regulatório refere que todas as entidades da UE terão de identificar os riscos de cibersegurança, criar um plano para aumentar a sua maturidade, fazer avaliações regulares e partilhar detalhes sobre os incidentes, no sentido de criar uma união coletiva forte de aprendizagem mútua sobre os perigos do ciberespaço – que a cada dia se renovam – para garantir a resiliência da administração pública europeia.

Por outro lado, tenciona estender o mandato da Computer Emergency Response Team (CERT-EU) para as instituições, organismos e agências europeias (EUIBA, na sigla em inglês), como um hub de coordenação europeia, um órgão de consulta central e, ainda, um fornecedor de serviços. Johannes Hahn conta que “a cibersegurança é uma prioridade política da UE”, e é necessário “acompanhar este cenário de ciberameaças em rápida evolução”.

	“Diversos atores de ameaças realizam uma grande variedade de atividades maliciosas no espaço digital, que vão desde intrusões muito direcionadas a campanhas indiscriminadas e oportunistas” Johannes Hahn, European Comissioner for Budget and Administration

A Cybersecurity Regulation, “um marco no reforço da cooperação interinstitucional e apoio mútuo”, reitera o comissário europeu, reflete a diretiva NIS2 – sobre segurança das redes e sistemas de informação – e aplica-se exclusivamente a entidades públicas europeias, deixando de fora as empresas. “Apenas juntos conseguimos reduzir o risco de danos materiais e reputacionais para todas as EUIBA”, reflete Johannes Hahn.

Este “esforço coletivo” abre o caminho para um processo de crescente cibermaturidade. O diversificado panorama das EUIBA – que poderá ser um desafio – é, de acordo com Johannes Hahn, contornável através de uma governação reforçada pelo Interinstitutional Cybersecurity Board (IICB), que vai monitorizar a implementação das novas medidas e fornecer orientação estratégica ao CERT-EU, mantendo, simultaneamente, a autonomia de cada instituição. A CE propõe, ainda, que o IICB possa emitir advertências e recomendar auditorias.

“Não começámos do zero; as instituições europeias têm canais de comunicação de longa data, mas precisam de mais ações comuns para garantir a resiliência e a eficiência da administração da UE”, afirma o comissário europeu. É de notar que, atualmente, os organismos da UE já trabalham em conjunto no subgrupo de cibersegurança do Interinstitutional Committee on Digital Transformation (ICDT) e que o CERT-EU tem apoiado este campo de batalha há mais de uma década.

“É tempo de profissionalizar a cibersegurança operacional e esta proposta vai-nos permitir agir”, remata Johannes Hahn. A proposta está sujeita a discussões adicionais e a um processo de codecisão, pelo que o debate no Parlamento deverá continuar. 

Cyber Resilience Act

Também a ecoar a diretiva NIS2, assim como o princípio de proteção de dados by design e by default do RGPD, a CE publicou no passado dia 15 de setembro a proposta para o Cyber Resilience Act. A regulamentação obriga a que qualquer fabricante de um ‘produto com elementos digitais’ vá ao encontro de requisitos mínimos de segurança para poder colocar o produto à venda no mercado europeu.

“Trata-se de uma reação legislativa a um sentimento generalizado de insegurança, causada pelo número crescente de ciberataques” Daniel Reis, Sócio da DLA Piper

“Parece-me ser um passo previsível (mas positivo) dentro do contexto da atividade legislativa da CE em temas relacionados com cibersegurança”, assevera Daniel Reis, Sócio da DLA Piper. “Trata-se de uma reação legislativa a um sentimento generalizado de insegurança, causado pelo número crescente de ciberataques”, completa.

Mais, segundo Ricardo Henriques, Sócio da Abreu Advogados, a proposta promete ser “tão disruptiva como um regulamento sobre este tema deve ser. A Europa precisa de regulamentação concreta nesta área e a proposta apresentada promete a implementação de requisitos e exigências construídos a pensar em todos os envolvidos na utilização, fabrico e venda destes produtos hardware e software”. 

Com um maior controlo europeu sobre o que é colocado à venda no mercado, os consumidores “decerto beneficiarão de uma superior proteção dos seus interesses”. Já a conformidade com a proposta “irá exigir um aumento de mão de obra das entidades responsáveis pelo controlo do cumprimento. Se os níveis desejados de conformidade não forem assegurados, o Regulamento acabará por ter pouca relevância prática”, explica Ricardo Henriques.

No mercado empresarial português, a entrada em vigor do regulamento poderá causar alarme aos fabricantes devido a custos associados à implementação do regulamento, à necessidade de documentação, e até a um potencial atraso no desenvolvimento de novos produtos. Todavia, as empresas possuem dois anos para alcançar a conformidade, “um pouco à semelhança do que aconteceu com o RGPD”.

É de notar que o conceito de ‘produto com elementos digitais’ não se limita a dispositivos IoT, combinações hardware/software, pelo que, anexado à proposta, a CE lista categorias de produtos puramente de software. É, aqui, que Daniel Reis considera estar o maior desafio à implementação. “A indústria de hardware está habituada ao quadro regulatório relacionado com a segurança dos produtos, e terá tipicamente de adaptar procedimentos que já existem. Para muitas empresas da área do software, estas regras serão algo novo”, atesta.

A proposta vem alargar o sistema e princípios de segurança aplicáveis aos produtos físicos, que existe atualmente na UE sob mecanismos de marcação CE, que dizem respeito ao desenvolvimento de produtos, mas também à sua vida útil. 

	“A Europa precisa de regulamentação concreta nesta área e a proposta apresentada promete a implementação de requisitos e exigiências construídos a pensar em todos os envolvidos na utilização, fabrico e venda destes produtos” Ricardo Henriques, Sócio da Abreu Advogados

Entre os principais objetivos, Ricardo Henriques destaca que a proposta assegura uma menor vulnerabilidade dos produtos; responsabiliza os fabricantes pela manutenção da cibersegurança ao longo do ciclo de vida dos produtos; e melhora a consciencialização dos stakeholders para a problemática. A proposta exige documentação dos riscos de cibersegurança, obriga ao reporte ativo de vulnerabilidades expostas e incidentes de risco e a que os fabricantes disponibilizem, durante o período mínimo de cinco anos, atualizações de segurança para os produtos existentes, enumera o Sócio da Abreu Advogados.

O advogado prevê uma adaptação lenta no caso português, “mas com todo o potencial para ser eficaz”. Quando comparado com outros Estados-membros, o número de fabricantes em Portugal é “reduzido”, mas a quantidade de fabricantes exteriores a atuar no mercado português é “tremenda”. Além do regulamento ser dirigido aos membros da UE, poder-se- -á, também, aplicar a estados terceiros que atuem no espaço europeu. Vindo a ser um regulamento, o Cyber Resilience Act terá aplicação direta no sistema jurídico português.

Finalmente, o comissário europeu Johannes Hahn apela à cooperação, fundamental para estabelecer uma frente de combate à cibercriminalidade. “A Europa precisa que atuemos em conjunto em matéria de cibersegurança”, reflete o comissário europeu.