Cibersegurança nas Infraestruturas Críticas Angolanas do ...§a nas Infraestruturas Críticas...

Cibersegurança nas Infraestruturas Críticas Angolanas do Sector

das Tecnologias de Informação e Comunicação

Sundi Henrieth Zalana

Dissertação para a obtenção do grau de Mestre em

Segurança de Informação e Direito no Ciberespaço

Orientadores: Prof. Doutor Fernado Correia

Prof. Doutor Carlos Caleiro

Júri

Presidente: Prof. Doutor Paulo Mateus

Orientador: Prof. Doutor Fernando Correia

Vogal: Contra-almirante António José Gameiro Marques

21 de Dezembro 2016

I

Em memória do meu querido pai

Nsiona Miguel Zalana e

do meu irmão amado Kenedy Miguel Zalana

II

Agradecimentos

Agradeço primeiramente à Deus por tudo que fez desde o príncipio deste percurso até ao fim.

Agradeço ao meu orientador Professor Dr. º Fernando Ribeiro Correia por partilhar o seu saber,

pelas sugestões, pela sua pronta disponibilidade, dedicação e atenção que teve no processo de

orientação deste trabalho.

A todos os professores que com o seu saber e rigor ministraram as aulas do curso de Segurança

de Informação e Direito no Ciberespaço.

Ao Dr. º Gonçalo de Sousa e ao Eng.º Lino Alves dos Santos pela contribuição feita por me

conceder uma entrevista fundamental para a realização deste trabalho.

Agradeço a todos quanto apoiaram-me em Angola na pesquisa de campo através dos dados,

informações que me cederam que foram pertinentes para a conclusão da tese.

Aos meus familiares, em especial a minha mãe e aos meus irmãos pelo apoio incondicional que

deram e por estarem sempre presentes nestes dois anos de formação.

Por último aos meus colegas, aos meus amigos que deram sempre uma palavra de motivação

nos momentos mais difíceis dessa caminhada.

III

Resumo

O ciberespaço é uma rede global sem fronteiras que interconecta utilizadores e dispositivos em

todo o mundo, tornou-se o novo espaço de interação humana, e tem sido um suporte tecnológico

para muitos serviços e infraestruturas críticas.

O sector das Tecnologias de Informação e Comunicações (TIC) tem estado a desenvolver-se

cada vez mais, é uma parte vital da economia e da sociedade, sendo o elemento de agregação

de diversos sectores da sociedade.

A atual dependência que se assiste das TIC, principalmente da Internet para a prestação de

serviços críticos para a manutenção da sociedade, introduz vulnerabilidades que podem ser

exploradas por uma vasta gama de indivíduos com diferentes características e motivações.

As infraestruturas críticas são essenciais para a economia e segurança dos países. Dada a

importância não devem apresentar problemas com a continuidade das suas operações, pois a

interrupção prolongada pode causar sérias consequências à sociedade no que tange ao

fornecimento de serviços fundamentais.

A ubiquidade do ciberespaço trouxe um desafio adicional aos mecanismos, às políticas e aos

procedimentos usados na proteção das infraestruturas críticas. Deste modo, há necessidade de

abordar o tema da cibersegurança para a proteção das infraestruturas críticas no ciberespaço,

pois é um tema atual e em constante evolução.

Em Angola tem-se observado um crescimento do sector das TIC, e a dependência dos outros

sectores da atividade da economia nacional com as TIC. Este trabalho de investigação pretende

ser uma reflexão sobre a situação das TIC em Angola, bem como, um documento orientador

sobre a cibersegurança em Angola.

Palavras Chaves: Cibersegurança, Ciberespaço, Infraestrutura Crítica, Sector das TIC.

IV

Abstract

The cyberspace is a worldwide borderless system that interconnects users and devices all over

the world, became the new space of human interaction, and have been a technological support

for several services and critical infrastructures.

The Information Technology and Communications (ITC) sector has been developing more and

more, lately, it is a vital part of the economy and society, and the element of aggregation of various

sectors of society.

The present dependence of the ITC sector is mostly from the Internet for the society maintenance,

it brings vulnerabilities that can be explored by a wide range of individuals with different

characteristics and motivation.

The critical infrastructures are crucial for the economy and country security. Due of its importance,

it should not present problems with continuity of operations, as the long downtime can cause

serious consequences to the society concerning to the fundamental services supply.

The ubiquity of cyberspace has brought an additional challenge to the mechanisms, procedures

and policies used in the protection of critical infrastructures. There comes a need on approaching

about cybersecurity issue for the protection of critical infrastructures in cyberspace since it is a

current issue and in constant evolution.

In Angola has been observed a growing movement on the ITC activity, and the direct relationship

with other economy national sectors. This research work presents the ITC current situation in

Angola, and to be a guide document about cybersecurity in Angola.

Keywords: Cybersecurity, Cyberspace, Critical Infrastructure, ICT Sector.

V

Índice

Agradecimentos ............................................................................................... II

Resumo ............................................................................................................ III

Abstract ............................................................................................................ IV

Lista de Tabelas ............................................................................................. VII

Lista de Figuras ............................................................................................. VIII

Lista de Abreviaturas ...................................................................................... IX

1 Introdução ................................................................................................... 1

1.1 Justificação do tema ...................................................................................................... 2

1.2 Descrição do Problema ................................................................................................. 2

1.3 Objetivos ........................................................................................................................ 3

1.4 Hipóteses ....................................................................................................................... 3

1.5 Metodologia de Investigação ......................................................................................... 3

1.6 Síntese dos Capítulos ................................................................................................... 4

1.7 Resultados Esperados .................................................................................................. 5

2 Revisão da Literatura ................................................................................. 6

2.1 Mapa de Conceitos........................................................................................................ 6

2.1.1 Tecnologia de Informação e Comunicações ............................................................. 6

2.1.2 Ciberespaço .............................................................................................................. 6

2.1.3 Cibersegurança ......................................................................................................... 8

2.1.4 Ciberdefesa ............................................................................................................... 8

2.1.5 Infraestruturas Críticas .............................................................................................. 9

2.1.6 Ameaças .................................................................................................................. 10

2.2 Panorama sobre a cibersegurança nas infraestruturas .............................................. 13

2.2.1 Estados Unidos ....................................................................................................... 14

2.2.2 Canadá .................................................................................................................... 18

2.2.3 Portugal ................................................................................................................... 20

2.2.4 África do Sul ............................................................................................................ 24

2.2.5 Nigéria ..................................................................................................................... 26

2.2.6 Análise Comparativa ............................................................................................... 29

VI

3 Avaliação do Índice Global de Cibersegurança ..................................... 31

3.1 Gráficos do GCI ........................................................................................................... 31

3.2 Resumo da Avaliação do GCI ........................................................................................... 34

4 Ponto de Situação em Angola ................................................................. 36

4.1 Visão Sobre o Sector das TIC ..................................................................................... 36

4.2 Cibersegurança e Infraestruturas Críticas .................................................................. 38

4.2.1 Prioridades de Implementação para a Cibersegurança em Angola ....................... 39

5 Análise e Discussão dos Resultados ..................................................... 50

5.1 Análise I ....................................................................................................................... 50

5.2 Análise II ...................................................................................................................... 60

Conclusão ....................................................................................................... 70

Verificação das Hipóteses ....................................................................................................... 70

Confirmação dos objetivos gerais e específicos ..................................................................... 71

Recomendações e sugestões ................................................................................................. 72

Limitações ou problemas ......................................................................................................... 73

Trabalho Futuro ....................................................................................................................... 73

Bibliografia ...................................................................................................... 74

Anexos ............................................................................................................ 80

VII

Lista de Tabelas

Tabela 1 – Ativos das organizações ............................................................................................. 8

Tabela 2 - Sectores de infraestruturas críticas e agências sectoriais específicas EUA ............. 16

Tabela 3 - Sectores de infraestruturas críticas e agências sectoriais específicas de Canadá ... 19

Tabela 4 - Sectores de infraestruturas críticas definidos pela União Europeia .......................... 22

Tabela 5 - Sectores de infraestruturas críticas na África do Sul ................................................. 25

Tabela 6 - Sectores de infraestruturas críticas Nigéria ............................................................... 28

Tabela 7 – Análise comparativa dos países ............................................................................... 29

Tabela 8 - Medidas de cibersegurança da ITU em relação aos países...................................... 35

VIII

Lista de Figuras

Figura 1 - Características do ciberespaço .................................................................................... 7

Figura 2 – Cibersegurança (um edifício – vários pilares) ............................................................. 9

Figura 3 - Modelo de interdependência de infraestruturas críticas ............................................. 10

Figura 4 – Espectro de ameaças cibernéticas ............................................................................ 11

Figura 5 - Tendências de ameaças 2014/2015 ........................................................................... 12

Figura 6 - Comparação das motivações por detrás dos ataques ............................................... 13

Figura 7 - Componentes para o programa de cibersegurança EUA ........................................... 15

Figura 8 - Interdependência das infraestruturas críticas nos EUA ............................................. 17

Figura 9 - Plataforma de trabalho para gestão de riscos das infraestruturas críticas dos EUA . 18

Figura 10 - Pilares da estratégia de cibersegurança Canadá ..................................................... 19

Figura 11 - Eixos de intervenção da Estratégia - Portugal ......................................................... 21

Figura 12 - Âmbito de actuação do CNCS .................................................................................. 21

Figura 13 - Rede de CERTs de Portugal .................................................................................... 22

Figura 14 - Soluções de segurança para as infraestruturas críticas (Decreto n.º 62/11) .......... 23

Figura 15 - Medidas para garantir a cibersegurança na África do Sul ....................................... 24

Figura 16 - Medidas definidas para proteção das infraestruturas críticas na África do Sul........ 26

Figura 17 - Objetivos da estratégia de cibersegurança da Nigéria ............................................. 27

Figura 18 - Medidas de proteção das infraestruturas críticas Nigéria ........................................ 28

Figura 19 - Índice de Cibersegurança dos Países ...................................................................... 31

Figura 20 - Comparação da média global de cibersegurança entre África e Angola ................. 33

Figura 21 - Mapa de estratégias nacionais de cibersegurança no mundo ................................. 34

Figura 22 – Quadro mundial da cibersegurança 2014 ................................................................ 35

Figura 23 - Estágio de desenvolvimento das TIC em Angola ..................................................... 36

Figura 24 - Elementos para a lei de proteção de IC .................................................................. 40

Figura 25 - Medidas legais ......................................................................................................... 41

Figura 26 - Países com CERT nacionais .................................................................................... 43

Figura 27 - Equipas de resposta a incidentes ............................................................................ 43

Figura 28 - Funções do CERT Nacional ..................................................................................... 44

Figura 29 - Órgãos para a elaboração da estratégia nacional de cibersegurança ..................... 46

Figura 30 - Dependência de outros sectores de IC do sector das TIC ....................................... 52

Figura 31 - Mapa de ciberataques Kaspersky ............................................................................ 53

IX

Lista de Abreviaturas

ANPC: Autoridade Nacional de Proteção Civil

CERT: Computer Emergency Response Team

CNCS: Centro Nacional de Cibersegurança

CNPCE: Conselho Nacional de Planeamento Civil de Emergência

CNTI: Centro Nacional de Tecnologias de Informação

CSIRT: Computer Security Incident Response Team

DoS: Denial of Service

ECS-CSIRT: Electronic Communications Security - Computer Security Incident Response

Team

ENISA: European Union Agency for Network and Information Security

GCI: Global Cybersecurity Index

HSPD: Homeland Security Presidential Directive

IC: Infraestrutura Crítica

INACOM: Instituto Nacional das Comunicações

INFOSI: Instituto Nacional de Fomento da Sociedade de Informação

ISO: International Organization for Standardization

ITU: International Telecommunication Union

JCPS: Justice, Crime Prevention and Security Cluster

MTTI: Ministério das Telecomunicações e Tecnologias de Informação

NIPP: National Infrastructure Protection Plan

PPD: Presidential Policy Directive

SSP: Sectorial Specific Plan

TI: Tecnologia de Informação

TIC: Tecnologia de Informação e Comunicação

1

1 Introdução

Com o desenvolvimento da Internet, e consequentemente com a sua abrangência com o passar

dos tempos, este cenário propiciou a criação de novas tecnologias, que permitem uma

comunicação universal, fácil e rápida.

O ciberespaço fornece condições para interligar as Infraestruturas Críticas (IC). As IC são

instalações, serviços, bens e sistemas que exercem significativa influência em qualquer país na

operação de sectores importantes para o desenvolvimento e manutenção da sociedade. As IC

são importantes porque fornecem serviços à sociedade, e, principalmente, por subsidiarem na

forma de recurso ou serviço outras infraestruturas.

É, portanto, necessário garantir que não existe interrupção prolongada das IC pois pode causar

graves prejuízos à sociedade afetando serviços, trazendo perdas económicas avultadas, e

podendo mesmo por em causa a capacidade de resposta dos países.

O espaço virtual (ciberespaço) que serve de suporte às IC, é constituído por um conjunto de

redes e sistemas interligados, onde não existe uma representação física geográfica, porém, a

dependência deste ciberespaço expõe os países a vulnerabilidades, aumentando

exponencialmente o risco de ataques.

Os ataques lançados por atores interessados em prejudicar o normal funcionamento das redes

e sistemas de informação têm vindo a aumentar em número e em impacto, tornando as ameaças

mais sérias e persistentes. Estes ciberataques, devido ao seu poder disruptivo e destrutivo

crescente, têm vindo a afirmar-se como uma preocupação prioritária para os Estados [1].

A ausência da operação de uma IC pode comprometer outras, causando sérios impactos a nível

económico, político, social, internacional e na segurança dos Estados, logo a razão de se analisar

a importância da cibersegurança nas infraestruturas críticas.

Apesar da criticidade dos serviços, é facto de que as infraestruturas críticas possuem riscos,

riscos esses inerentes ao estar conectado e neste sentido devem ser considerados fatores de

planeamento para a implementação de medidas de mitigação.

Assim, motivada por estes factos reais e considerando a necessidade de garantir no ciberespaço,

medidas de cibersegurança para prover confidencialidade, disponibilidade e integridade das IC

Angolanas do sector das TIC, decidiu-se abordar sobre esta temática.

Em Angola ainda não existe uma legislação específica referente a cibersegurança e

infraestruturas críticas, nem relacionada a crimes informáticos. Nesse cenário, a falta de punição,

em parte dos casos, e o extraordinário desenvolvimento tecnológico abre portas para ataques

cibernéticos deliberados constituindo uma séria ameaça à segurança das Infraestruturas críticas.

2

1.1 Justificação do tema

Com avanço das tecnologias de informação e comunicação, não só em outros países, mas em

Angola também, tem-se verificado na nação Angolana uma maior aderência de pessoas à

Internet. Diversos sectores de atividade essenciais para a sociedade hoje em dia migraram para

o mundo virtual, tais como o sector bancário, os transportes, os hospitais, entre outros.

Acompanhando o desenvolvimento a nível mundial, pretende-se estabelecer em Angola a

implementação de todos os serviços da sociedade de informação assentes nas TIC, de formas

a facilitar processos e diversificar serviços.

As TIC fazem parte do nosso quotidiano, estão presentes em todos os sectores de atividade da

sociedade, é uma área crucial para os Estados, indivíduos e empresas de formas a prover o

desenvolvimento social e económico.

Nesta perspetiva, os sistemas que controlam as infraestruturas críticas podem ser seriamente

afetados por incidentes de segurança. Os incidentes podem ocorrer devido a falhas técnicas,

vírus, ou outros ataques cibernéticos de maiores proporções. Neste âmbito pode-se citar o caso

da Estónia [2] em que quase todos os serviços estão dependentes da Internet, o que tornou o

país vulnerável aos ataques cibernéticos, os sites do governo ficaram indisponíveis e a

população do país foi atingida diretamente com este tipo de ataque.

Observa-se hoje que há uma crescente e silenciosa onda de ameaças cibernéticas, e, por

conseguinte, os riscos são cada vez maiores e não há como fugir à esta realidade.

De um modo geral, estes ataques cibernéticos estão a tornar-se mais frequentes e cada vez

mais difíceis de enfrentar, podendo os mesmos incidentes causar prejuízos enormes,

comprometer a prestação de serviços e impedir as organizações de funcionar corretamente.

Atendendo ao fato de que a caraterização do ciberespaço baseia-se em aspetos como a não

territorialidade, o anonimato, a transversalidade, aspetos estes que podem facilitar a

consumação dos ataques cibernéticos e considerando que no ciberespaço não existem fronteiras

físicas, importa salientar que Angola não está isento de sofrer ataques cibernéticos às suas

infraestruturas críticas do sector das TIC, por esta razão, considera-se pertinente a abordagem

desta temática da cibersegurança na proteção das infraestruturas críticas em Angola, analisando

as medidas que se poderão adotar quer a nível legislativo bem com a nível técnico-operacional.

1.2 Descrição do Problema

O desenvolvimento das tecnologias de informação e comunicação, principalmente da Internet,

trouxe um progresso elevado no mundo, no tratamento da informação, na dinamização das

empresas no que tange a eficiência dos processos internos, bem como, na prestação de serviços

aos utentes.

Entretanto este progresso trás consigo não apenas fatores positivos, mas também aspetos

negativos. Os aspetos negativos derivam da grande dependência que existe hoje em dia das

tecnologias de informação e comunicação. Esta dependência introduziu vulnerabilidades de

diversas ordens nos sistemas de informação que podem ser exploradas para propiciar ataques.

O número de incidentes e ataques maliciosos a nível mundial tem vindo a aumentar

3

consideravelmente, muitos destes ataques têm como alvo as infraestruturas críticas de

informação dos governos, instituições públicas e privadas, empresas e cidadãos.

As infraestruturas das TIC estão presentes em todos os sectores críticos da sociedade, não se

pretende neste trabalho abordar exaustivamente sobre todos os sectores, porém atendendo a

transversalidade do sector das TIC, pretende-se responder à questão principal, apresentado

soluções para uma abordagem holística e aplicável em outros sectores críticos.

Que solução pode ser adotada por Angola, em particular pelos operadores do sector das

TIC, por forma a proteger as infraestruturas críticas no ciberespaço?

1.3 Objetivos

Geral

Apresentar as medidas a adotar no âmbito da cibersegurança para a elaboração de uma

estratégia de cibersegurança a nível nacional que contemple a proteção das infraestruturas

críticas angolanas do sector das TIC.

Específicos

Apresentar um panorama de cibersegurança e infraestruturas críticas em alguns países.

Identificar as infraestruturas críticas do sector das TIC em Angola.

Descrever as iniciativas que se têm desenvolvido para a prevenção e redução de

ameaças cibernéticas.

Identificar os principais atores intervenientes e responsabilidades para a abordagem

desta temática e elaboração de uma estratégia de cibersegurança em Angola.

1.4 Hipóteses

Angola tem definido um plano nacional de proteção para as infraestruturas críticas que

engloba o conceito, os sectores e o responsável pelas atividades.

As infraestruturas críticas do sector das TIC são seguras.

Os operadores de infraestruturas críticas do sector das TIC estão preparados para dar

resposta aos incidentes informáticos, mantendo assim a operacionalidade dos seus

serviços na ocorrência de um ataque cibernético.

Existe a cooperação entre o sector público e privado na promoção da cultura de

cibersegurança nos operadores de infraestrutura crítica do sector das TIC.

1.5 Metodologia de Investigação

A investigação em geral caracteriza-se por usar os conceitos, procedimentos ou métodos,

técnicas e os instrumentos com o objetivo de dar respostas as questões que se levantam nos

diversos âmbitos do trabalho de pesquisa.

Segundo Reis [3], a metodologia é um conjunto de passos a percorrer e dos meios que conduzem

aos resultados, é assim o modo como se organiza um trabalho em função dos objetivos que se

pretendem atingir.

4

Tendo em conta que a investigação que se pretende realizar será iminentemente teórica,

recorreu-se ao método qualitativo, que facultou a realização do estudo exploratório através da

análise documental com base na leitura e revisão de fontes bibliográficas relevantes.

Tendo em conta que é uma temática não muito abordada em Angola, e pelo facto de não

existirem ainda medidas definidas no âmbito da cibersegurança, inicialmente optou-se por olhar

a nível internacional através de análise documental (legislação, documentos de carácter político

sobre esta matéria em alguns países, livros, artigos, publicações online e dissertações), por

forma a verificar quais têm sido os esforços desempenhados nesta temática.

Com base na realidade que se observou em diversos países considerados como referência em

cibersegurança, incluindo Portugal, efetuou-se primeiramente uma entrevista em Portugal com o

responsável pelo Departamento de Operações e Controlo (DOC), do Centro Nacional de

Cibersegurança (CNCS), a fim de ter uma visão sobre o funcionamento da cibersegurança em

Portugal, e da possibilidade de criar uma linha de orientação passível de ser aplicada em Angola.

Face a insuficiência de fontes escritas, no caso concreto de Angola em que quase nada se

escreve sobre esta temática, este fator contribuiu para a grande dificuldade encontrada para o

desenvolvimento do trabalho, por isso, para ultrapassar estes constrangimentos, foi necessário

basear-se em fontes primárias1 em detrimento das fontes secundárias, o que não significa que

estas foram excluídas.

As entrevistas em Angola, foram feitas a profissionais das áreas: Jurídica, Segurança e Auditoria,

Negócios de TI, Telecomunicações, Redes e outras áreas (referenciadas no capítulo 5). Estas

fontes, por sua vez, foram a base de apoio para a realização da presente pesquisa por

constituírem a principal fonte de informação.

Por outro lado, o uso das doutrinas internacionais para desenvolver o presente trabalho teve

grande relevância, uma vez que, o país ainda não possui uma estratégia definida para a

cibersegurança.

Como mencionado anteriormente o método adotado foi o qualitativo, baseado num estudo

exploratório.

As técnicas foram as seguintes:

Análise Documental: decretos-lei, livros, artigos, publicações, dissertações.

Entrevistas

1.6 Síntese dos Capítulos

A presente dissertação encontra-se dividida em 5 capítulos:

No capítulo 1. Introdução - faz-se um breve introito no âmbito da temática em abordagem,

apresenta-se também a questão de partida para o estudo deste tema, os objetivos que se

pretendem alcançar, as hipóteses que no final serão validadas ou refutadas e é apresentada a

metodologia aplicada para o desenvolvimento deste trabalho.

1 Consideram-se fontes primárias como: inquéritos, entrevistas, observação painéis, grupos de foco.

5

No capítulo 2. Revisão da Literatura – É apresentado um mapa de conceitos, com os termos

pertinentes para o tema em abordagem, é feito ainda um breve estudo do estado da arte sobre

a cibersegurança e infraestruturas críticas em alguns países.

No capítulo 3. Avaliação o Índice Global de Cibersegurança – Como resultado do que foi

apresentado no capítulo 2, é feita uma comparação a nível do comprometimento com a

cibersegurança, ou seja, procura-se aqui compreender o nível de engajamento de alguns países

com a cibersegurança para se ter uma noção de como se tem tratado este assunto a nível

internacional.

No capítulo 4. Prioridades de Implementação – Neste capítulo como consequência do que foi

apresentado nos capítulos 2 e 3, apresentam-se as prioridades que devem ser aplicadas em

Angola para a criação de um quadro de cibersegurança.

No capítulo 5. Análise e Discussão dos Resultados – Neste capítulo serão apresentados os

principais resultados, será feita uma análise e discussão dos resultados obtidos através da

análise de conteúdo das entrevistas.

E finalmente a Conclusão e as Recomendações – fez-se a conclusão do trabalho, respondeu-

se à questão central do trabalho, bem como a verificação das hipóteses e apresentou-se alguns

pontos para uma possível orientação que poderá ser seguido por Angola.

1.7 Resultados Esperados

A dissertação cumprindo os objetivos estabelecidos, deverá apresentar os seguintes resultados:

Compreensão da necessidade de criação de uma estratégia nacional de cibersegurança.

Motivação para implementação de métodos para a proteção das infraestruturas críticas

do sector das TIC.

A mobilização dos operadores das infraestruturas críticas do sector das TIC em prol da

Cibersegurança.

6

2 Revisão da Literatura

2.1 Mapa de Conceitos

As referências desenvolvidas, combinando as palavras-chave associadas ao tema deste

trabalho, consistem basicamente em publicações, artigos disponibilizados na Internet.

Inicialmente para dar início à uma investigação completa e envolvente à temática escolhida,

procedeu-se à definição de conceitos considerados essenciais para compreensão do tema em

abordagem.

2.1.1 Tecnologia de Informação e Comunicações

TIC é a aplicação de computadores e equipamentos de telecomunicações para armazenar,

recuperar, transmitir e manipular dados. O termo está habitualmente associado ao uso de

computadores e redes de computadores, mas abrange também outras tecnologias de

distribuição de informação, como a televisão, telefones e outros aparelhos eletrónicos. Existe

uma forte vertente industrial associada à tecnologia da informação, tais como hardware,

software, eletrónica, semicondutores, Internet, equipamentos de telecomunicações, comércio

eletrónico e outros serviços de informática. Ralston, A.2000, citado por Fernandes [4].

O termo Tecnologia de Informação e Comunicação (TIC) foi nomeada por Stevenson no seu

relatório de 1997 para o governo do Reino Unido e promovido pelos novos documentos

Curriculares Nacionais para o Reino Unido em 2000, Foldoc [5]

O advento destas novas tecnologias proporcionou muitas vantagens para a sociedade no geral,

na criação de serviços que hoje são disponibilizados através do ciberespaço, este grande

universo que tem servido de interação entre os homens.

2.1.2 Ciberespaço

De acordo a Casa Branca, o ciberespaço toca praticamente tudo e todos. Proporciona uma

plataforma para a inovação, prosperidade, e os meios para melhorar o bem-estar geral de todo

o mundo [6].

Este espaço virtual, estruturado com base numa rede de redes serve também de suporte

tecnológico a muitos dos serviços críticos e infraestruturas, de que milhões de pessoas

dependem diariamente [7].

De acordo com os conceitos aferidos, pode-se dizer que o ciberespaço auxilia no crescimento

dos países, ajudando a desenvolver os vários sectores da sociedade e a facilitar o

aprovisionamento de serviços de uma forma mais rápida. O ciberespaço tornou-se um novo

espaço para o desenvolvimento de várias tarefas que noutrora só podiam ser efetuadas em

outros domínios.

Atendendo ao seu aspeto mais técnico, o ciberespaço pode ser definido como um conjunto de

redes e sistemas de comunicação que estão interligados entre si de forma direta ou indireta”. O

ciberespaço é assim um ambiente em si mesmo, onde se deve ter em linha de conta tanto a sua

componente tecnológica, isto é, as vulnerabilidades inerentes ao seu emprego e ameaças que

7

possam afetá-lo, como os fatores humanos, uma vez que são estes que caraterizam os

utilizadores deste ambiente [7].

De acordo a figura 1 são apresentadas algumas características do ciberespaço:

Figura 1 - Características do ciberespaço

(Adaptado do IDN, 2013)

O ciberespaço está em desenvolvimento devido a inúmeras tecnologias e sistemas que o

compõem. O carácter dinâmico refere-se à capacidade de mudança constante dessas mesmas

tecnologias, sistemas e das informações que trafegam neste espaço. É também de ressaltar que,

quer mesmo os atacantes, as vulnerabilidades e os ataques cibernéticos existentes estão

suscetíveis a persistentes alterações.

Não existem fronteiras no ciberespaço e hoje o custo para conectar-se a este espaço é irrisório.

Nesta linha de raciocínio, não são necessários hoje em dia recursos sofisticados para efetuar

ataques. Os ataques vão desde os mais simples aos de maiores proporções, podendo os seus

efeitos serem refletidos no ambiente físico e acabando por afetar as mais diversas áreas da

sociedade.

O ciberespaço também proporciona o anonimato o que favorece os atacantes e dificulta as

entidades competentes pela aplicação da lei na obtenção de provas dos crimes cometidos e a

punição destes atores.

O ciberespaço não está limitado pela esfera pública ou privada, interna ou externa, desta forma,

as ameaças podem surgir de qualquer local e ter efeitos assimétricos e fortemente disruptivos.

Métodos de ataques semelhantes podem ser utilizadas para atingir indivíduos, empresas ou

Estados [1].

Ciberespaço

Carácter dinámico

Custo irrelevante de acesso

Enorme potencial de crescimento

Alta capacidade de

processamento

Carácter assimétrico

Anonimato

Alta capacidade para produzir efeitos físicos

Transversalidade

8

Nesta ordem de ideias cada país deve avalizar a segurança dos utentes no ciberespaço e a

salvaguarda da soberania através de implementação de políticas, tecnologias, processos para a

mitigação das ameaças cibernéticas.

2.1.3 Cibersegurança

A União Internacional das Telecomunicações (ITU), com base a recomendação ITU-T X.1205,

define a cibersegurança como o conjunto de ferramentas, políticas, conceitos de segurança,

medidas de segurança, orientações, abordagens de gestão de riscos, ações, formações, boas

práticas e tecnologias que podem ser usadas para proteger o ciberespaço e os ativos das

organizações (ver tabela1) e dos utilizadores [8].

Tabela 1 – Ativos das organizações

(Adaptado de ITU, 2008)

Ativos da Organização

Computadores conectados Infraestrutura

Recursos humanos Aplicações

Sistemas de telecomunicação Serviços

Informação transmitida Informação guardada

Ghernaouti-Hélie, afirma que o conceito de cibersegurança é aplicado para a proteção de

quaisquer recursos de TIC material ou imaterial contra uma ameaça (…) [9].

Assim, as tecnologias, os sistemas e os processos devem ser concebidos com a segurança

sempre presente. A segurança deve ser um processo ininterrupto dentro das organizações e

deve fazer parte das atividades de negócio, devendo servir de base para o fornecimento de

outros serviços.

A abordagem para a cibersegurança deve ser abrangente devendo lidar com questões

imponentes como a soberania, a segurança nacional, a herança cultural das nações, e a proteção

das infraestruturas críticas, sistemas, redes, bens, valores e a segurança das pessoas [9].

A cibersegurança tem-se tornado uma preocupação global, assumindo assim uma acuidade

crescente na agenda da segurança internacional. Muitos governos estão a investir na

investigação e desenvolvimento de novas tecnologias de segurança, devido o aumento dos

riscos associados ao ciberespaço.

2.1.4 Ciberdefesa

Enquanto espaço de interação social, o ciberespaço materializa assim uma área de

responsabilidade coletiva onde a atribuição de responsabilidades e competências na sua

segurança deverá obedecer à mesma lógica e fundamentos que caracterizam a Segurança e a

Defesa do Estado [1]

Por ciberdefesa entendem-se as atividades de monitorização, prevenção e resposta às ameaças

que ponham em risco a soberania e a segurança nacional (ciberguerra) e cuja responsabilidade

de resposta recai nas Forças Armadas [10].

9

A cibersegurança sendo um edifício de vários pilares (ver figura 2), para garantir a soberania

nacional, deve-se desenvolver a componente de ciberdefesa.

Figura 2 – Cibersegurança (um edifício – vários pilares)

(Nunes, 2012)

A estratégia nacional de cibersegurança deve contemplar um conjunto de iniciativas para a

proteção do ciberespaço, deve garantir medidas de segurança e defesa nos sistemas e redes

das infraestruturas críticas para fazer face ao espectro de ameaças no ciberespaço.

2.1.5 Infraestruturas Críticas

Segundo Santos et al., as Infraestruturas críticas são redes de estruturas críticas para regular o

funcionamento da sociedade, “devem constituir uma preocupação central de um país perante as

diversas ameaças que surgem do ciberespaço, pois o número de pontos sensíveis cresce com

a proliferação tecnológica [11].

Podem ser consideradas como IC as instalações básicas, ou seja, serviços necessários para o

funcionamento de uma comunidade ou sociedade, tais como transporte e sistemas de

comunicação, linhas de água e de energia, e as instituições públicas, incluindo escolas, correios

e prisões [12].

Os países, os indivíduos e as organizações passaram a depender do uso das tecnologias de

informação e comunicação (TIC), especialmente da internet, para realizar as suas atividades.

Quanto maior for essa dependência maiores serão os riscos para a segurança. As infraestruturas

críticas hoje podem ser operadas e controladas remotamente através da Internet, este fator

introduz uma série de riscos para a segurança das IC.

As IC enfrentam uma variedade de riscos para a sua segurança desde atos de vandalismos

provocados pelo homem, desastres naturais e ataques cibernéticos. A proteção das diversas

infraestruturas críticas é de suma importância para a sobrevivência dos países.

É neste sentido que os países têm envidado esforços no que toca a definição das suas

infraestruturas críticas, e adoção de medidas para a salvaguardar as suas infraestruturas críticas.

Nunes [13] apresentou um modelo de interdependência funcional das infraestruturas críticas (ver

figura 3).

10

Figura 3 - Modelo de interdependência de infraestruturas críticas

(Adaptado de Nunes, 2015)

As infraestruturas críticas podem ser afetadas diretamente ou indiretamente. Quando afetadas

diretamente, as funções destas infraestruturas são paralisadas (quando o ataque é direcionado

a uma parte crítica da IC: ativos, serviços, sistemas críticos). Quando é afetada indiretamente, o

ataque direcionado a uma infraestrutura crítica tem os seus efeitos repercutidos noutras

infraestruturas [13].

A figura 2 mostra essencialmente a relação de interdependência entre as IC, onde todas as IC

consideradas dependem da infraestrutura elétrica para a execução das suas atividades, e

dependem também da infraestrutura crítica de telecomunicações. Uma falha numa destas

infraestruturas prejudica o funcionamento das demais. Por isso importa refletir sobre o

desenvolvimento de um plano de proteção de infraestrutura crítica e numa estratégia de

cibersegurança que contempla a questão de proteção de infraestruturas críticas no ciberespaço

para fazer face às ameaças.

2.1.6 Ameaças

A ameaça à segurança das TIC pode ser definida como “qualquer circunstância ou

evento passível de explorar, intencionalmente ou não, uma vulnerabilidade específica

num sistema de TIC, resultando numa perda de confidencialidade, integridade e disponibilidade

da informação manipulada ou do sistema [7].

Existem diferentes tipos de ameaças (…), ainda que as ameaças associadas às catástrofes

naturais, origem industrial e a erros ou falhas não intencionais, estejam sempre presentes, é

necessário analisar com maior profundidade os ataques deliberados, já que a sua sofisticação,

precisão e potencial impacto estão em constante evolução, elevando o nível de risco a que os

sistemas estão submetidos [7].

Rede Elétrica Nacional

Rede de Telecomunicações

Transportes (ex: correio, tráfego

aéreo, ferroviário, metro)

Sistema Financeiro (ex: bancos, bolsas,

multibanco)

Defesa (ex: sistemas, radares,

mísseis, etc)

Proteção Civil (ex: bombeiros, forças de segurança, etc)

Outras IC (governo, saúde, sist.de dist.

de água, etc)

11

Os ataques podem ser perpetrados de qualquer parte do mundo, a qualquer hora, sem a

necessidade de grandes recursos para a realização dos mesmos.

Falando das ameaças cibernéticas que também fazem parte dos ataques deliberados, vale

realçar que podem ser agrupados de acordo a motivação associada a eles [14] (ver figura 4).

Figura 4 – Espectro de ameaças cibernéticas

(Adaptado de Santos, 2011)

• Cibercrime: centradas essencialmente na obtenção de benefícios económicos através de

ações ilegais. As ações realizadas como: a fraude bancária, com cartões de crédito ou a

realização de transações em diferentes páginas web, constituem exemplos de ações comuns

relacionadas com este tipo de ameaças [7].

• Ciberespionagem: com o foco na obtenção de informações, seja para benefício próprio

ou para deter um benefício monetário posterior com a sua venda. A informação mais suscetível

a identificar-se neste campo pode pertencer, nomeadamente, a um governo ou até a

organizações privadas, e ser classificada, sendo esta uma mais valia para os atacantes [7].

• Ciberterrorismo: onde se procura um impacto social e político significativo pela destruição

física. Neste contexto as infraestruturas críticas constituem os alvos mais prováveis.

O ciberterrorismo tem motivações políticas, sociais ou religiosas, é também considerado com a

convergência entre o terrorismo convencional e o ciberespaço [7].

• Ciberguerra: pode ser definida como uma luta ou conflito entre duas nações ou entre

diferentes facções dentro de uma nação onde o ciberespaço é o campo de batalha [7].

• Hacktivismo: o ciberativismo possui os mesmos princípios que o ativismo convencional,

na verdade a Internet e as redes sociais servem como ferramentas para divulgação e

consciencialização, contundo existem atos considerados ativistas que não poderiam ser feitos

no mundo real como ataques a servidores [7].

O que varia neste conjunto de ameaças deliberadas são as motivações e os atores que cometem

os ataques cibernéticos. Portanto é muito importante ter em atenção estes aspetos de formas a

se analisar as ameaças que podem afectar as infraestruturas críticas.

A figura 5 apresenta quinze tendências de ameaças referentes aos anos de 2014 e 2015

publicados pela Agência da União Europeia para a Segurança das Redes e Informação (ENISA)

12

[15], em diversas áreas tecnológicas e de aplicações, são mencionadas as principais ameaças

cibernéticas que podem ser realizadas pelos atacantes contra os sistemas.

Figura 5 - Tendências de ameaças 2014/2015

(Adaptado ENISA, 2015)

Pode-se constatar que não teve muita alteração na classificação entre os dois anos. Os

atacantes hoje em dia usam inúmeras técnicas para efetuarem essas ameaças. Entre as 5

primeiras ameaças pode-se destacar os Botnets e o Denial of Service (Negação de serviço –

DoS em Inglês) como um dos ataques com maior impacto às infraestruturas críticas podendo

causar: paralisação no fornecimento de serviços essenciais, perda temporária ao acesso de

informações críticas, prejuízos financeiros.

Os botnets são usados em muitos ataques de negação de serviços, eles são uma rede de

computadores infectados que são usados para inundar o servidor “vítima” com muitas

solicitações e tornando assim os recursos dos sistemas indisponíveis para os seus utilizadores.

Essas ameaças podem afectar serviços, processos ou mesmo paralisar os sistemas das

infraestruturas críticas.

O site Hackmagedom [16], publica as estatísticas de ataques cibernéticos a nível global, é

apresentado na figura 6 uma comparação entre os anos 2014 e 2015, as principais motivações

por detrás dos ciberataques.

13

Figura 6 - Comparação das motivações por detrás dos ataques

(Adaptado do Hackmagedon,2015/6)

Como se pode observar na figura 6, os cibercrimes têm ocupado a posição de destaque dentre

os ataques, pelo que se pode esperar é que haja um crescimento exponencial nos próximos

anos. Todos os dias acontecem casos relacionados com cibercrime. Os atacantes exploram

vulnerabilidades mais rapidamente do que os utilizadores podem defender-se deles.

De uma forma geral os ataques cibernéticos vêm crescendo cada vez mais, e deve ser uma

preocupação cimeira dos países a busca de medidas para fazer face a estas ameaças, que

colocam em risco a segurança nacional.

2.2 Panorama sobre a cibersegurança nas infraestruturas

O grande aumento da interligação dos sistemas informáticos, particularmente o desenvolvimento

da Internet, revolucionou a forma de como os governos, as empresas e os indivíduos comunicam

e fazem negócios. No entanto, este advento de um mundo hiperligado trouxe também enormes

riscos para os sistemas, para os computadores e, mais importante ainda, para o normal

funcionamento das infraestruturas críticas (IC) que eles suportam [17] .

O fator criticidade das infraestruturas pode variar de país para país, mas há algo em comum

neste contexto que é a relevância para o funcionamento normal de um país.

As infraestruturas críticas podem ser danificadas, destruídas ou perturbadas por atos deliberados

de terrorismo, catástrofes naturais, negligência, acidentes, crimes cibernéticos, ou

comportamentos mal-intencionados. No início do século XXI, os acontecimentos do 11 de

Setembro nos EUA2 e os seus impactos, a nível mundial, fizeram com que o estudo sobre a

proteção de infraestruturas críticas começasse a ser visto com maior atenção por toda a

comunidade internacional [18].

Os governos precisam de um plano abrangente para lidar com a questão da cibersegurança e

identificar mecanismos que visam proteger as suas infraestruturas críticas. A nível mundial

2De acordo o documento de proteção física das infraestruturas críticas dos Estados Unidos de América, há uma referência citada pela casa branca que afirma, que os ataques demonstraram a extensão da vulnerabilidade dos EUA à ameaça terrorista. Na sequência destes acontecimentos trágicos, tem-se demonstrado firme determinação em proteger as Infraestruturas críticas e principais ativos de maior exploração terrorista. (http://www.whitehouse.gov/sites/default/files/rss_viewer/national_security_strategy.pdf)

Motivações dos ataques

14

diversos países têm adotado estratégias em matéria de cibersegurança, pode-se citar como

exemplo: os EUA [6] [12] [19] [20], Alemanha [21], Estónia [22], Canadá [23]. Em Portugal, a

resolução do Conselho de Ministros nº42/2012 orientou a implementação de uma Estratégia

Nacional de Segurança da Informação que compreende, designadamente, a criação, instalação

e operacionalização de um Centro Nacional de Cibersegurança. Em Junho de 2015 foi aprovada

a Estratégia Nacional de Segurança no Ciberespaço, conforme a resolução do Conselho de

Ministros nº36/2015 [24].

A seguir apresentar-se-á o ponto de situação de alguns países em matéria de cibersegurança e

proteção das infraestruturas críticas.

2.2.1 Estados Unidos

2.2.1.1 Cibersegurança

O ciberespaço e a sua infraestrutura subjacente são vulneráveis a uma ampla gama de riscos

decorrentes de ambas as ameaças físicas e virtuais [25].

Atendendo as vulnerabilidades do ciberespaço, os cibercriminosos cometem atos deliberados

com a finalidade de destruir os sistemas informáticos, interromper serviços críticos e até mesmo

destruir as infraestruturas críticas.

Segundo o Departamento de Segurança Interna [25], “uma série de crimes tradicionais estão

agora a ser perpetrados através do ciberespaço (…), os quais têm consequências económicas

e humanas substanciais”.

Em função desta realidade o Presidente dos EUA emitiu a Ordem Executiva 13636, "Melhorando

a Cibersegurança das Infraestruturas Críticas". A Ordem Executiva apela ao desenvolvimento de

uma plataforma de trabalho voluntária de cibersegurança baseada em riscos - um conjunto de

padrões e melhores práticas para ajudar as organizações a gerenciar riscos de cibersegurança

[20].

A plataforma de trabalho, criada através da colaboração entre o governo e o sector privado,

utiliza uma linguagem comum para resolver e gerenciar riscos de cibersegurança de uma forma

eficaz.

A plataforma de trabalho é uma abordagem baseada na gestão de riscos à cibersegurança, e

está composta em três partes: plataforma de trabalho de núcleo, plataforma de trabalho de

implementação de camadas, plataforma de trabalho de perfis. Cada componente da plataforma

de trabalho reforça a conexão entre os administradores de negócio e atividades de

cibersegurança [20].

O esforço para garantir um programa de cibersegurança coerente com as infraestruturas críticas

tem quatro componentes que são apresentados na figura 7:

15

Figura 7 - Componentes para o programa de cibersegurança EUA

(Adaptado de NIST, 2014)

2.2.1.2 Infraestruturas Críticas

As infraestruturas críticas fornecem os serviços essenciais que sustentam a sociedade

americana [26].

Esforços pró-ativos e coordenados são necessários para fortalecer e manter seguras,

operacionais, e resilientes as infraestruturas críticas

As Infraestruturas críticas dos EUA são diversas e complexas. Incluem redes distribuídas,

estruturas organizacionais, modelos variados de funcionamento, funções e sistemas

interdependentes, tanto no espaço físico e no virtual, construções de governança que envolvem

autoridades de vários níveis, responsabilidades e regulamentações [27].

As Infraestruturas críticas devem ser seguras, capazes de suportar e rapidamente recuperar de

todos os perigos, para o efeito deve haver um preparo em termos de prevenção, proteção,

mitigação, resposta e recuperação.

A Diretiva Presidencial Política 21 (PPD-21): Segurança e Resiliência nas Infraestruturas Críticas

- revoga a Diretiva Presidencial de Segurança Interna / HSPD-7, avança uma política nacional

para fortalecer e manter seguro, o funcionamento das infraestruturas críticas. A Diretiva

Presidencial Política e o Plano Nacional de Proteção de Infraestruturas Críticas (NIPP),

organizam as infraestruturas críticas em 16 sectores, e agências federais, conhecidas como

Agências Sectoriais Específicas (Specific Sector Agency), para liderar um processo colaborativo

para a segurança das infraestruturas críticas dentro de cada um dos 16 sectores de infraestrutura

crítica. Cada Agência Sectorial Específica é responsável pelo desenvolvimento e implementação

de um Plano Sectorial Específico (SSP), que detalha a aplicação dos conceitos do Plano

Nacional de Proteção das Infraestruturas Críticas (NIPP) às caraterísticas únicas e condições do

seu sector, (ver tabela 2).

16

Tabela 2 - Sectores de infraestruturas críticas e agências sectoriais específicas EUA

(Adaptado da Casa Branca, 2013)

Sector de Infraestruturas Críticas Agências Sectoriais Específicas

Químico

Departamento de Segurança Interna Instalações Comerciais

Comunicações

Produção

Barragens

Serviços de Emergência

Reatores Nucleares, Materiais e Resíduos

Tecnologia de Informação

Base Industrial de Defesa Departamento de Defesa

Energia Departamento de Energia

Serviços Financeiros Departamento de Tesouro

Instalações Governamentais Departamento de Segurança Interna

Serviços Gerais de Administração

Sistemas de Transporte Departamento de Segurança Interna

Departamento de Transportes

Assistência Médica e Saúde Pública Departamento de Saúde e Serviços Humanos

Sistema de Água e Esgoto Agência de Proteção Ambiental

Agricultura e Alimentação Departamento de Agricultura

Departamento de Saúde e Serviços Humanos

Os planos para a proteção das infraestruturas críticas são criados através de um esforço

coordenado envolvendo os seus parceiros dos sectores público e privado.

Dentre os sectores referenciados na tabela 2, a Diretiva Presidencial identifica o sector

energético como exclusivamente crítico, pois sem o fornecimento estável da energia, a saúde e

o bem-estar estão ameaçados, o sector tem uma função muito importante para todos os outros

sectores de infraestrutura crítica. Mais de 80% da infraestrutura energética do país é de

propriedade do sector privado, fornecendo combustíveis para o sector de transportes, a

eletricidade para as famílias e empresas [28].

Pode-se aqui verificar uma interdependência entre as infraestruturas críticas, ou seja, para que

uma infraestrutura execute as suas funções dependerá, no entanto das funções de outra

infraestrutura, (ver figura 8).

17

Figura 8 - Interdependência das infraestruturas críticas nos EUA

(Adaptado do Departamento de Energia, 2010)

Uma interrupção numa única infraestrutura pode gerar distúrbios dentro de outra infraestrutura.

Pode-se observar na figura 8 que o sector energético é o ponto central das demais infraestruturas

críticas, sendo que uma falha neste sector poderia causar uma falha geral no funcionamento de

outras IC.

O sector das comunicações é um componente integrante da economia dos EUA, subjacente às

operações de todas as empresas, organizações de segurança pública e governo. A Diretiva

Presidencial Política identifica o sector das comunicações como crítico, porque fornece uma

função importante que permite o funcionamento de outros sectores críticos de infraestrutura

pode-se citar o sector da energia, transporte, tecnologia de informação, financeiro e outros [29].

Outo sector crítico é o da tecnologia de informação identificado como central para a segurança,

economia e saúde pública. Empresas, governos, e cidadãos estão cada vez mais dependentes

das funções do sector das tecnologias de informação [30].

2.2.1.3 Plano de Proteção das Infraestruturas Críticas

O Plano Nacional de Proteção das Infraestruturas Críticas (NIPP 2013), criado em resposta da

Diretiva Política Presidencial 21 (PPD-21), foi desenvolvido através de um processo colaborativo

envolvendo as partes interessadas de todos os 16 sectores de infraestrutura crítica, de todos os

estados, e de todos os níveis do governo e da indústria.

O NIPP possui uma plataforma de trabalho ou modelo de gestão de riscos (ver figura 9), que

está estruturado para promover o aperfeiçoamento na proteção contínua dos recursos chaves

das infraestruturas críticas, e este modelo deve ser aplicado em cada sector de infraestrutura

crítica de acordo as suas características.

18

Figura 9 - Plataforma de trabalho para gestão de riscos das infraestruturas críticas dos EUA

(Adaptado do Departamento de Segurança Interna, 2013)

Os elementos da IC (físico, virtual e humano) devem ser integrados em todas as fases do modelo

de gestão de risco dependendo das caraterísticas do sector e focando em atividades como:

estabelecer objetivos; identificar a infraestrutura (incluindo os ativos críticos); avaliar os riscos

baseando-se nas vulnerabilidades, ameaças e consequências; estabelecer prioridades

baseando-se na avaliação dos riscos e aumento ou retorno do investimento para mitigação dos

riscos; implementar programas de proteção, estratégias resilientes; e medidas de efetividade.

Finalmente, retrata a importância da partilha de informação em todo o processo de gestão de

riscos. A informação é compartilhada através de cada passo do quadro, para incluir a etapa de

"medir a eficácia", facilitando o feedback e permitindo melhoria contínua dos esforços críticos de

segurança de infraestrutura e resiliência [31].

2.2.2 Canadá


A Estratégia de Cibersegurança do Canadá é o plano do Governo para proteger o Canadá contra

ameaças.

O Ministério de Segurança Pública de Canadá é responsável por coordenar a implementação da

Estratégia do Canadá e reconhece que a cibersegurança afeta a todos, atendendo os riscos e

os ataques que podem interromper as redes de energia, tratamento de água, e

telecomunicações. [23]

A cibersegurança deve pautar-se numa abordagem abrangente e multidisciplinar requerendo

assim partilha e coordenação de informação.

Lidar com ameaças cibernéticas isoladamente não é suficiente, razão pela qual implementou-se

a Estratégia Nacional de Cibersegurança, pois através dela o Governo vai trabalhar com as

províncias, territórios e o sector privado em um esforço concertado para enfrentar as ameaças

que o país poderá sofrer [23].

A estratégia é apenas um elemento de uma série de iniciativas destinadas a proteger os

canadianos. O governo estabeleceu o Centro Canadiano de Respostas a Incidentes para

monitorar e prestar assessoria sobre mitigação ameaças cibernéticas, e coordenar a resposta

nacional a qualquer incidente no âmbito da cibersegurança [23].

A Estratégia de Cibersegurança do Canadá assenta sobre três pilares, conforme a figura 10.

19

Figura 10 - Pilares da estratégia de cibersegurança Canadá

(Adaptado do Ministério da Segurança Pública, 2009)


O Ministério de Segurança Pública descreve que as Infraestruturas Críticas referem-se aos

processos, sistemas, instalações, tecnologias, redes, ativos e serviços essenciais para saúde,

segurança ou o bem-estar económico para os canadianos e o funcionamento efetivo do governo

[32].

A interrupção das infraestruturas críticas pode resultar numa catástrofe como: perdas de vidas,

efeitos económicos adversos e danos significativos a segurança pública. Para o efeito foram

criadas a Estratégia Nacional e o Plano de Ação para as IC que estabelecem uma abordagem

baseada em risco para fortalecer a resiliência dos ativos vitais e sistemas em Canadá como por

exemplo: redes elétricas, transportes, comunicações, sistema de segurança pública.

No Canadá existem 10 sectores de IC e redes sectoriais. Estes sectores são constituídos por

departamentos federais de áreas específicas definidas na Estratégia Nacional para as IC (tabela

3).

Tabela 3 - Sectores de infraestruturas críticas e agências sectoriais específicas de Canadá

(Adaptado do Ministério da Segurança Pública, 2009)

Sector de Infraestruturas Críticas Redes Sectoriais

Energia e Instalações Recursos Naturais

Tecnologia de Informação e Comunicações Indústria

Finanças Finanças

Saúde Agência de Saúde

Alimentação Agricultura

Água Ambiente

Transporte Transporte

Segurança Segurança Pública

Governo Segurança Pública

Produção Indústria

Departamento de Defesa Nacional

Proteger os sistemas

governamentais

Parceria para garantir

sisgtemas cibernéticos

Ajudar os canadianos para uma segurança

online

20


O plano de ação e a estratégia nacional para a proteção de infraestruturas críticas em Canadá

descrevem apenas os sectores de infraestrutura crítica sem mencionar quais são os sectores

mais críticos. Porém, atendendo à importância e analisando o fator de interdependência,

pode-se citar os sectores de energia, transportes e tecnologia de informação e comunicações

como sendo os sectores mais críticos devido as funções que desempenham e considerando que

um ataque a estas infraestruturas críticas poderia seriamente afetar o funcionamento de outras

infraestruturas críticas.

A finalidade da Estratégia Nacional de Infraestrutura Crítica [32] é reforçar a resiliência das

infraestruturas críticas contra os riscos actuais e emergentes. Os objetivos estratégicos com vista

a reforçar a resiliência das infraestruturas críticas no Canadá são:

• Construir parcerias;

• Implementar uma abordagem de gestão de riscos;

• Promover a partilha atempada e proteção de informações entre os parceiros.

A Estratégia Nacional para Infraestruturas Críticas [32] “descreve que deve haver uma partilha

de responsabilidades para a proteção das infraestruturas críticas (…). A responsabilidade para

proteção das infraestruturas críticas no Canadá é compartilhada pelos governos federais,

provinciais, territoriais, autoridades locais, proprietários de infraestruturas críticas e operadores

que carregam a responsabilidade principal de proteger seus bens e serviços”.

De acordo o Ministério de Segurança Pública “O Plano de Ação de Infraestruturas Críticas

consiste em tomar passos adicionais para cada um dos três objetivos estratégicos definidos na

Estratégia Nacional, (…) e vai também reforçar a resiliência da infraestrutura crítica, ajudando a

prevenir, mitigar, preparar, responder e se recuperar de rupturas” [33].

2.2.3 Portugal


A atual dependência das TIC tem criado diversas vantagens, tais como a melhor prestação de

serviços, a inclusão digital, crescimento económico, mas por outro lado a adoção dessas novas

tecnologias trás consigo muitos riscos.

De acordo a Resolução do Conselho de Ministros nº36/2015 “O ciberespaço transpõe a vida real

para um mundo virtual, com características únicas que impõem novas formas de interação e de

relacionamento (…), este mundo em rede desenvolve novos modos de atuação com

caraterísticas únicas, de onde se destaca o cibercrime” [24].

A Estratégia Nacional de Segurança do Ciberespaço, publicada pela Resolução do Conselho de

Ministros nº. 36/2015 assenta no compromisso de aprofundar a segurança das redes e da

informação como forma de garantir a proteção e defesa das infraestruturas críticas e dos serviços

vitais de informação, e potenciar uma utilização livre, segura e eficiente, do ciberespaço por parte

de todos os cidadãos, das empresas e das entidades públicas e privadas

A estratégia define seis eixos de intervenção conforme a figura 11, destinadas a reforçar o

21

potencial estratégico nacional no ciberespaço [24].

Figura 11 - Eixos de intervenção da Estratégia - Portugal

(Adaptado do Diário da República, 2015)

Devido ao crescente número de incidentes e ataques maliciosos que têm como alvo as

infraestruturas de informação do governo, instituições públicas e privadas, empresas e cidadãos,

surgiu a necessidade do país levantar uma estrutura nacional de cibersegurança. Esta estrutura

é composta por uma capacidade de nível essencialmente operacional, capaz de garantir uma

eficaz gestão de crises, coordenar a resposta operacional a ciberataques, desenvolver sinergias

nacionais e potenciar a cooperação internacional neste domínio [7].

A Estratégia Nacional de Cibersegurança define o Centro Nacional Cibersegurança (CNCS),

como coordenador operacional.

Para a proteção das infraestruturas críticas o CNCS possui o seguinte âmbito de atuação

assentos nos pilares conforme indicado na figura 12 e conta com uma rede de CERTs para rápida

resposta aos ataques.

Figura 12 - Âmbito de actuação do CNCS

(Adaptado do Centro Nacional de Cibersegurança, 2015)

O CNCS assegura a planeamento das atividades entre as várias partes responsáveis (ver figura

13), O CNCS acolheu o serviço do CERT.PT, com as atribuições de coordenação de resposta a

incidentes de cibersegurança, envolvendo as entidades do Estado, os operadores de

infraestruturas críticas e outros CSIRTs nacionais.

22

Figura 13 - Rede de CERTs de Portugal

(Centro Nacional de Cibersegurança, 2015)


De acordo o decreto nº 62/2011, no seu 2º artigo entende-se por “Infraestrutura Crítica a

componente, sistema ou parte deste situado em território nacional que é essencial para a

manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico

ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade

de continuar a assegurar essas funções” [34].

A Diretiva de 2008/114/CE [35] do Conselho da União Europeia, constitui a primeira etapa de

uma abordagem faseada para identificar e designar as Infraestruturas Críticas Europeias (ICE)

e avaliar a necessidade de melhorar a sua proteção. Concentra-se, enquanto tal, nos sectores

da energia e dos transportes (ver tabela 4).

Tabela 4 - Sectores de infraestruturas críticas definidos pela União Europeia

(União Europeia, 2008)

Sector Subsector

I. Energia 1.Eletricidade Infraestruturas e instalações de produção de transporte de

eletricidade, em termos de abastecimento.

2.Petróleo Produção, refinação, tratamento, armazenamento e

transporte de petróleo por oleodutos.

3.Gás Produção, refinação, tratamento, armazenamento e

transporte de gás, por gasodutos Terminais para GNL.

II. Transporte 4. Transportes rodoviários

5. Transportes ferroviários

6. Transportes aéreos

7. Transporte por vias navegáveis interiores

8. Transporte marítimo, transporte marítimo de curta distância e portos

23


No âmbito da proteção de infraestruturas críticas em Portugal, é de referenciar o papel do

Conselho Nacional do Planeamento Civil de Emergência (CNPCE) que nos últimos anos (2003-

2011), foi responsável por [36]:

• Identificar e classificar as infraestruturas fundamentais;

• Criar o programa nacional para a proteção de infraestruturas críticas;

• Elaborar uma definição de infraestrutura crítica.

As funções exercidas pelo CNPCE foram passadas para o ANPC (Autoridade Nacional de

Proteção Civil).

A proteção de infraestruturas críticas ganhou sustento legal em Portugal quando, em 9 de maio

de 2011, foi publicado o Decreto-Lei 62/2011, o qual transpôs para o quadro jurídico nacional a

Diretiva 2008/114/CE.

O Decreto-Lei n.º 62/2011 faz referência que o plano de proteção das infraestruturas críticas

deve ser elaborado pelos operadores das infraestruturas críticas [34] (artigo 10º), e também

identifica as soluções de segurança que devem ser aplicadas nas infraestruturas críticas

conforme a figura 14.

Figura 14 - Soluções de segurança para as infraestruturas críticas (Decreto n.º 62/11)

(Adaptado do Diário da República, 2011)

Portugal tem as medidas criadas a nível de legislação o que é um fator extremamente importante,

porém a proteção de infraestruturas críticas no ciberespaço exige também a coordenação

operacional de vários atores para se chegar a este fim. O responsável por esta coordenação é o

CNCS.

A fim de, de uma forma otimizada e eficiente, coordenar as de respostas a incidentes é

necessário que haja uma responsabilização de todos os intervenientes e principalmente a

colaboração dos proprietários das infraestruturas críticas tanto públicas, como privadas,

conforme pode-se constatar no anexo 2 (entrevista do responsável operacional do CNCS Eng.º

Lino Santos).

Prevenção

Identificação de Elementos

Críticos

Gestão de Riscos

Identificação de vulnerabilidades

Identificação de ameaças

Análise de Impacto

Resposta e Recuperação

Gestão de Incidentes

Soluções de Recuperação

Comunicação

Sensibilização

Uso de boas práticas

Formação

24

2.2.4 África do Sul


A Política Nacional de Cibersegurança tem o objetivo de criar um ambiente ciber seguro, fiável e

de confiança que facilita a proteção das infraestruturas críticas de informação, visa assegurar

que o governo, as empresas e a sociedade civil são capazes de desfrutar dos benefícios de um

ciberespaço seguro. [37].

De modo a reduzir as vulnerabilidades e ameaças a política nacional de cibersegurança prevê:

(ver figura 15):

Figura 15 - Medidas para garantir a cibersegurança na África do Sul

(Adaptado da Agência de Segurança de Estado, 2012)

Foi criada um grupo denominado JCPS (Cluster de Segurança, Prevenção de Crimes e Justiça)

que trabalhará com outros órgãos do governo para supervisionar a implementação da política

nacional de cibersegurança com o objetivo de garantir a coordenação centralizada das questões

inerentes à cibersegurança.

Dentro deste Cluster será criado um comité de resposta de cibersegurança que será o órgão que

terá a função de coordenar as atividades de cibersegurança, guiar a implementação da política

nacional de cibersegurança, vai também supervisionar e guiar o processo de funcionamento do

centro de cibersegurança, ECS-CSIRT e de outros CSIRT existentes na África do Sul [37].

E dentre outras funções deverá ainda promover e orientar o processo de desenvolvimento e

implementação do [37]:

Enquadramento legal para reger o ciberespaço.

Plano de proteção das infraestruturas críticas de informação.

Análise situacional da África do Sul e campanhas de sensibilização sobre os riscos no

ciberespaço.

O cumprimento das normas técnicas e operacionais de cibersegurança.

Formação em cibersegurança, investigação e desenvolvimento, programas de

desenvolvimento de competências.

Cooperação internacional;

Medidas para lidar com a segurança nacional em termos de ciberespaço.

Medidas para combater a guerra cibernética, a

cibercriminalidade e outros males cibernéticos.

Desenvolvimento, revisão e actualização das leis.

Medidas para assegurar a confiança na utilização das

TIC.

25

Facilitação da interação, tanto a nível nacional e internacional, nomeadamente através

de associações internacionais e organizações.

Para este fim o sector público, o sector privado e a sociedade civil terão de trabalhar em conjunto

para compreender e lidar com os riscos, reduzir os benefícios para os criminosos e aproveitar as

oportunidades no ciberespaço para melhorar a África do Sul em geral em termos de segurança

e protecção, incluindo o seu bem-estar económico [37].

2.2.4.2 Infraestruturas Críticas e Plano de Proteção das Infraestruturas

Críticas

As infraestruturas críticas são estruturas fundamentais, instalações de redes, sejam fixas ou em

locais especiais, onde as empresas ou a sociedade em geral recebem os serviços básicos como

transporte, infraestrutura elétrica, fornecimento de água, ou telecomunicações [38].

O projeto-lei de proteção das infraestruturas críticas tem os seguintes objetivos [39]:

• A proteção adequada das infraestruturas críticas dentro da República.

• A criação de procedimentos para a determinação e proteção das infraestruturas.

• Administração responsável das infraestruturas críticas enquanto se garante que a

segurança da República é mantida.

É definida de igual modo pelo mesmo projeto a criação de um conselho de infraestruturas críticas

que será responsável em determinar e declarar áreas como infraestruturas críticas, avaliar as

vulnerabilidades das infraestruturas críticas, determinar medidas de segurança para a proteção

de infraestruturas críticas [39].

De acordo o projeto-lei de proteção das infraestruturas críticas, considera-se infraestruturas

críticas todos os sistemas e ativos que devem constar dentro de uma das categorias conforme a

tabela 5:

Tabela 5 - Sectores de infraestruturas críticas na África do Sul

(Adaptado da Assembleia Nacional, 2015)

Sectores de

Infraestruturas

Críticas

Energia

Comunicações

Finanças

Indústria

Transportes

Proteção Civil

Serviços Públicos

Saúde

Água

26

As medidas de proteção definidas para as infraestruturas críticas estão representadas na figura

16.

Figura 16 - Medidas definidas para proteção das infraestruturas críticas na África do Sul

(Adaptado da Assembleia Nacional África do Sul, 2015)

2.2.5 Nigéria


O Governo da Nigéria desenvolveu uma estratégia nacional de cibersegurança por forma a

enfrentar os desafios que se apresentam relacionados com a atual dependência do ciberespaço.

A estratégia nacional de cibersegurança descreve o plano de preparação do país para fornecer

medidas coesas e ações estratégicas no sentido de garantir a segurança e proteção do país no

ciberespaço, salvaguardando a infraestrutura de informação crítica (…), com o compromisso de

garantir a continuidade do governo no advento de ameaças cibernéticas e salvaguardar a

infraestrutura de informação crítica (…) [40].

O foco primordial da estratégia de cibersegurança é abordar sobre a exposição ao risco

cibernético, a proteção da infraestrutura de informação crítica, explorando as oportunidades do

ciberespaço para a segurança nacional e os objetivos económicos, e a entronização de uma

comunidade virtual de confiança continuam a ser um foco fundamental da Estratégia Nacional

de Cibersegurança [40].

Portanto, a estratégia é necessária para alcançar os objetivos específicos de acordo a figura 17.

27

Figura 17 - Objetivos da estratégia de cibersegurança da Nigéria

(Adaptado do Conselho Nacional de Segurança, 2014a)

2.2.5.2 Infraestruturas Críticas e Plano de Proteção das Infraestruturas

Críticas

A Nigéria ainda não possui nenhuma lei que aborde especificamente sobre as infraestruturas

críticas, mas existe a lei do Cibercrime HB. 14.01.669, aprovada pela Assembleia Nacional, que

cita no seu 3º artigo que: deve ser feita pelo Conselho Nacional de Segurança sob ordem

presidencial, a designação de sistemas de computadores, redes e infraestruturas de informação

vitais para a segurança da Nigéria e o bem-estar económico e social dos cidadãos [41].

No documento elaborado pelo Conselho Nacional de Segurança, intitulado Política Nacional de

Cibersegurança foram descritos os sectores de infraestruturas críticas (ver Tabela 6) e aspetos

sobre a proteção das mesmas. O Plano de Proteção das Infraestruturas Crítica de Informação

(CIIP) apresenta a política do Governo para desenvolver diretrizes nacionais e critérios para a

criação de perfil de infraestrutura de informação com uma intenção estratégica de determinação,

identificação e classificação de infraestrutura de informação crítica [42].

Assim, as medidas de proteção das infraestruturas críticas definidas devem adaptar-se às

normas de cibersegurança e diretrizes previstas na Estratégia Nacional de Cibersegurança.

Criar uma abrangente legislação sobre o cibercrime.

Criar medidas para a proteção das ICs, bem como a redução das vulnerabilidades.

Articular mecanismos eficazes de resposta à emergências informáticas.

Criar mecanismos nacionais de capacitação, sensibilização do público.

Promover o engajamento de múltiplas partes nacionais interessadas e parceiros internacionais no sentido de abordar em conjunto sobre as ameaças cibernéticas.

Impedir e proteger o governo de todas as formas de ataques cibernéticos.

Coordenar as iniciativas de cibersegurança em todos os níveis do governo no país.

Construir capacidades nacionais contra ameaças cibernéticas com coerente cooperação através da parceria público-privada.

Promover a coordenação, cooperação e a colaboração dos participantes sobre a cibersegurança.

Promover uma visão nacional sobre a cibersegurança através da consciência, parceria através de uma partilha de responsabilidades e uma comunidade de confiança.

28

Tabela 6 - Sectores de infraestruturas críticas Nigéria

(Adaptado do Conselho Nacional de Segurança, 2014b)

Sectores de

Infraestruturas

Críticas

Comunicações

Governo

Industrial

Barragens

Defesa

Química (Petróleo e Gás)

Energia

Comercial

Finanças

Alimentação e Agricultura

Serviços de Emergência

Sistemas de Transporte

Saúde

Água

Tecnologia de Informação

Na Política Nacional de Cibersegurança, são mencionados apenas os sectores de infraestrutura

crítica sem apresentar os mais críticos. Porém o Governo reconhece no mesmo documento a

importância das infraestruturas críticas e define-as como partes que fornecem serviços

essenciais para a vida cotidiana (sector de energia, alimentação, água, transportes,

comunicações, saúde, bancário e financeiro), sendo que uma interrupção nas infraestruturas

críticas poderia ter uma gama de implicações graves para as empresas, os governos e para o

bem-estar social [42].

Para a proteção das infraestruturas críticas foram definidas algumas medidas conforme a figura

18:

Figura 18 - Medidas de proteção das infraestruturas críticas Nigéria

(Adaptado de Conselho Nacional de Segurança, 2014 b)

29

2.2.6 Análise Comparativa

Uma das maiores preocupações analisando a situação dos cinco países (EUA, Canadá,

Portugal, África do Sul e Nigéria) é a proteção das infraestruturas críticas no ciberespaço, devido

as funções vitais para o funcionamento dos países. Para o efeito estas nações têm criado

condições para garantir a cibersegurança nas infraestruturas críticas de formas garantir a

soberania e sobrevivência nacional.

Na tabela 7 é apresentada uma análise comparativa entre os países estudados nos pontos

anteriores.

Tabela 7 – Análise comparativa dos países

EUA Canadá Portugal África

do

Sul

Nigéria Angola

Conceito de IC Existe Existe Existe Existe Existe Existe

Definição dos

Sectores de IC

Existe Existe Existe Existe Existe

Legislação

específica3

sobre IC

Existe Existe Existe Não

existe

Não

existe

Organismo

responsável

pelo controlo

das IC


existe

Não

existe

Documento

oficial4 para a

Proteção das IC


existe

Não

existe

Estratégia

Nacional de

Cibersegurança


Equipas de

Respostas a

Incidentes


3 No caso da África do Sul e a Nigéria ainda não foram aprovadas as leis, existem apenas projetos-lei. 4 Na África do Sul e Nigéria não existe oficialmente um plano nacional de proteção das IC, porém existem medidas definidas em outros documentos

30

Devido o crescimento da atividade criminosa no ciberespaço, a cibersegurança tem sido nestes

países uma prioridade nacional.

Além da estratégia de cibersegurança os países têm definido as infraestruturas que consideram

críticas e para a proteção das mesmas no ciberespaço têm adotado medidas e também definido

os diversos responsáveis para atingir este objetivo.

Como se viu anteriormente os principais sectores de infraestruturas críticas nos países citados

são: Energia, Transportes, Água, e Tecnologia de Informação e Comunicações.

Dentre os diversos sectores de infraestruturas críticas citados, o sector das tecnologias de

informação e comunicações é um dos sectores mais destacados pela função que exerce e pela

dependência de outros sectores.

Hodiernamente pode-se dizer que as áreas fundamentais ou essenciais (energia, transportes,

água) para a execução das suas atividades dependem deste sector, pois não existem

infraestruturas críticas que não dependam de softwares, computadores e redes informáticas.

Deste modo, a nível de cibersegurança, Angola deve ter como linha de orientação o seguinte

principio: definir uma estratégia de cibersegurança tendo em consideração as infraestruturas

críticas.

Tal como nos outros países pode-se considerar os seguintes sectores como mais críticos para

Angola: energia, transportes, água, tecnologia de informação e comunicação.

Atualmente, a implementação de medidas de segurança das infraestruturas críticas do sector

das TIC em Angola é feita de forma independente.

Existe a necessidade de se ter uma abordagem abrangente no âmbito da proteção das

infraestruturas críticas do sector das TIC, e também tendo em conta que as infraestruturas

críticas das TIC em Angola compreendem ambos sectores público e privado na prestação de

serviços, é necessária a criação de grupos de trabalho com representantes de ambos os sectores

para a discussão e aprovação de medidas de proteção das mesmas infraestruturas críticas.

31

3 Avaliação do Índice Global de Cibersegurança

Depois de se ter efetuado uma análise sobre as infraestruturas críticas e a cibersegurança em

alguns países, vai se apresentar um estudo comparativo recorrendo a União Internacional das

Telecomunicações (ITU), baseando-se no Índice Global de Cibersegurança (GCI) conforme pode

ser observado uma amostra no Anexo 1. É de salientar que os dados aqui apresentados são

baseados em estudos feitos pela ITU em 2014.

O GCI é um projeto de duas organizações a ITU e a ABIresearch para medir o compromisso dos

países com a Cibersegurança. Cada país será analisado de acordo o nível de desenvolvimento

dentro de cinco categorias: medidas legais, técnicas, organizacionais, desenvolvimento de

capacidades e cooperação internacional [43].

3.1 Gráficos do GCI

Através de uma ferramenta interativa disponível no site da ITU é possível a comparação dos

índices de cibersegurança dos países. Serão apresentados os níveis de GCI (ver figura 19) em

cada uma das cinco medidas anteriormente citadas.

Figura 19 - Índice de Cibersegurança dos Países

(Adaptado do ITU, 2014)

Os dados apresentados no gráfico acima são referentes a pesquisa feita pelo ITU e foram

publicados em 2014. É evidente que muitas coisas foram melhoradas nos países mencionados,

mas, no entanto, o gráfico acima serve apenas para se ter uma visão dos esforços efetuados

nestes países no âmbito da cibersegurança e para que Angola veja quais são as medidas que

devem ser trabalhadas para se criar um quadro de cibersegurança aceitável.

32

O nível máximo de classificação neste gráfico do índice global de cibersegurança é 5. Os EUA

possuem uma boa classificação de 4,21 e ultrapassa o índice de cibersegurança regional da

Europa, sendo o continente que possui maior índice de cibersegurança.

Os Estados Unidos em termos de proteção das infraestruturas críticas e medidas de

cibersegurança estão bem preparados, pelo que se pode constatar pelas medidas adotadas quer

em medidas legais, desenvolvimento de capacidades, no tocante a programas de pesquisa e

desenvolvimento de projetos de normas de cibersegurança, boas práticas e diretrizes a serem

aplicadas tanto no sector privado ou público.

Vale ressaltar também o esforço que os EUA têm feito no desenvolvimento de recursos humanos.

É de elevada importância dotar as pessoas de competências e também consciencializar o público

em geral, promovendo cursos de cibersegurança no ensino superior e a promoção da certificação

dos profissionais, quer do sector público ou do sector privado. Dentre os aspetos já citados e

outros, fundamenta-se o facto de ser considerado como o país melhor preparado no combate de

ciberataques devido as medidas adotadas.

Analisando a situação do Canadá pode-se aferir que a estratégia de cibersegurança e outras

medidas definidas para a proteção das infraestruturas críticas, faz com que o valor do índice de

cibersegurança ultrapasse, de igual modo aos EUA o índice de cibersegurança regional da

Europa. O Canadá é o segundo país melhor posicionado, está um pouco atrás dos EUA, com o

valor de 4,01.

O valor do índice de cibersegurança em Portugal justifica-se pelo facto do país só agora estar a

começar a criar as medidas para cibersegurança. Está numa posição acima dos índices de

cibersegurança de alguns continentes e da média global de cibersegurança, com um valor de

1,76, porém não chega ao valor do índice de cibersegurança do continente Europeu.

A África do Sul possui um índice de cibersegurança de 1,88 acima da média global, porém,

olhando para os dados em específico pode-se constatar que há uma necessidade de reforçar as

medidas legais, desenvolvimento de capacidades e de cooperação internacional.

A Nigéria possui um índice de cibersegurança de 2,08 acima da média global, tal como a África

do Sul. Deve melhorar o aspeto legal e aumentar a capacidade técnica do país.

Angola possui um índice de cibersegurança de 0,63, um valor considerado baixo, para o efeito

devem ser trabalhadas as medidas técnicas, organizacionais, de desenvolvimento de

capacidades e reforçar as medidas legais e de cooperação.

E esta realidade que se visualiza na Nigéria, na África do Sul e Angola, não foge da visão geral

do continente Africano (Ver figura 20).

33

Figura 20 - Comparação da média global de cibersegurança entre África e Angola

(ITU, 2014)

De acordo a figura 20, pode-se concluir que nenhuma das medidas definidas pela ITU, em África

ultrapassa os valores da média global de cibersegurança, principalmente na área da criação de

medidas legais e técnicas, o mesmo ocorre para o caso particular de Angola como pode ser visto

no pentágono a direita.

Para reforçar o que foi abordado anteriormente, recorreu-se ao mapa de estratégias mundiais da

ENISA (ver figura 21) de 2013, realmente pode-se constatar a diferença entre o continente

africano e os demais continentes, o caso de Angola não foge daquilo que é a realidade geral do

continente africano.

As empresas do sector privado limitam-se a adotar medidas de proteção individual apenas para

as suas redes, seus próprios sistemas e infraestruturas, mas em contrapartida a proteção

individualizada prejudica a visão de um todo, fragilizando a proteção das infraestruturas críticas

vitais para o país.

Deste modo é necessário que seja criado um plano abrangente para o desenvolvimento de

medidas para a proteção a nível do sector público e privado.

Cada vez mais torna-se visível a crescente dependência nas tecnologias de informação e

comunicação, os governos devem efetuar investimentos proporcionais às seguranças das redes,

respostas a incidentes, treinamento técnico e cooperação internacional.

34

Figura 21 - Mapa de estratégias nacionais de cibersegurança no mundo

(Adaptado da ENISA, 2013)

3.2 Resumo da Avaliação do GCI

Depois de feitas as análises com a ajuda das ferramentas disponíveis no site da ITU, pode-se

concluir que nesta abordagem os Estados Unidos têm melhores condições criadas na área de

cibersegurança e proteção das suas infraestruturas críticas, logo está bem capacitado para o

combate aos ciberataques no ciberespaço.

A cibersegurança deve estar em conformidade com a lei, e a lei deve acompanhar a evolução

da tecnologia, porém, o que se observa é que nos países africanos existe uma demora em termos

de criação e aprovação de leis.

O Projeto de Convenção da União Africana sobre a adoção de um quadro jurídico sobre a

cibersegurança em África, também realça que os Estados Africanos têm uma verdadeira

necessidade de estratégias inovadoras de política criminal que combinem as respostas estatais

técnicas e da sociedade a fim de criar um ambiente jurídico de confiança para a cibersegurança.

Contudo, constata-se que a maior parte dos Estados não dispõe de instrumentos de

comunicação que integrem meios suficientes e necessários para a realização ou a garantia de

um nível mínimo de segurança, nem recursos humanos capazes de conceber e criar um quadro

jurídico de confiança [44].

Segue a tabela 8, com o resumo comparativo da análise do GCI dos países mencionados.

35

Tabela 8 - Medidas de cibersegurança da ITU em relação aos países

(Adaptado da ITU, 2014)

Quadro Comparativo da Cibersegurança nas Infraestruturas Críticas

Medidas EUA Canadá Portugal África do Sul Nigéria

Medidas legais ● ● ● ● ●

Medidas Técnicas

CERT ● ● ● ● ●

Norma ● ● ● ● ●

Certificação ● ● ●

Medidas Organizacionais

Política ● ● ● ● ●

Agência Responsável ● ● ● ● ●

Capacidades

Desenvolvimento de Normas ● ●

Desenvolvimento de RH ● ●

Cooperação Internacional ● ● ● ● ●

A cibersegurança envolve vários atores, portanto é necessário que haja uma cooperação entre

os vários responsáveis para que se consiga proteger os ativos e sistemas das infraestruturas

críticas.

A figura 22 demonstra o compromisso dos países a nível mundial com a cibersegurança, este

mapa encontra-se disponível no site da ITU foi criado através de dados fornecidos por

autoridades responsáveis dos países bem como com dados secundários recolhidos por analistas

do projeto índice global de cibersegurança, onde se pode ser visualizar os países com melhores

condições criadas a nível de cibersegurança.

Figura 22 – Quadro mundial da cibersegurança 2014

(ITU 2014)

36

4 Ponto de Situação em Angola

4.1 Visão Sobre o Sector das TIC

As TIC hoje em dia são indispensáveis para o desenvolvimento sustentável de qualquer país,

devido aos benefícios que proporcionam criando assim enorme impacto em todos os

seguimentos (social, político e económico).

De acordo o despacho presidencial nº71/11 de 12 de setembro, “o Executivo Angolano

reconhece de forma inequívoca que o sector das TIC constitui um importante elemento indutor

do desenvolvimento social e da prosperidade económica do país, bem como um catalisador da

modernidade para o povo angolano sobre o qual assenta a edificação da sociedade da

informação” [45].

O progresso das TIC em Angola está suportado num processo de planeamento estratégico onde

se inclui o: livro branco das tecnologias informação e comunicação, o plano de ação da sociedade

de informação e o plano de ação para a governação eletrónica.

De acordo a figura 23 pode-se verificar as etapas traçadas para o desenvolvimento das TIC em

Angola (2001-2020).

Figura 23 - Estágio de desenvolvimento das TIC em Angola

(Diário da República de Angola, 2011)

Analisando a figura 23 e o ano em que estamos, pode-se aferir de facto que muito se tem feito

para cumprir o estágio de desenvolvimento das TIC em Angola, na reabilitação e investimento

de novas infraestruturas quer no sector público como no privado, por forma a criar um mercado

competitivo, e tornar a empresas cada vez mais produtivas e hábeis no que toca a prestação dos

seus serviços para a sociedade no geral.

Alguns dos objetivos traçados foram cumpridos, outros ainda estão por se efetivar, mas vale

realçar aqui alguns deles considerados como de extrema importância [46]:

Criação do Centro de Dados (com o objetivo de criar, manter e integrar uma estrutura

física de tecnologia, comportável com as exigências estratégicas e operacionais do

Estado e com os níveis de organização de sistema de informação já atingidos, onde se

possa manter de forma segura e confidencial, toda a informação crítica do Estado).

37

Criação do Portal do Governo (32 portais governamentais).

Lançamento do Satélite previsto para 2017 (que terá como objetivo fomentar a rapidez

do acesso aos serviços das comunicações eletrónicas no país).

É importante também mensurar a adesão da sociedade no geral as TIC. Hoje todas as IC do

sector das TIC estão ligadas em rede. Os maiores operadores na área das TIC (provedores de

serviços de Internet) estão presentes no ciberespaço proporcionando os seus serviços. Isto faz

parte dos objetivos traçados no livro branco procurando criar uma sociedade digital inclusiva.

Existem outras infraestruturas críticas pertencentes a outros sectores que dependem dos

serviços deste sector. Quanto à presença de utilizadores na Internet, no final de 2007, cerca de

3 milhões de cidadãos estavam já ligados à Internet e à telefonia móvel [47].

Em 2013 segundo o relato da diretora do Gabinete Jurídico do MTTI, “Cerca de 5 milhões de

angolanos tinham o acesso a Internet” [48].

O sector das TIC em Angola tem vindo a desenvolver, tem-se assistido em Angola a uma grande

dependência das TIC por parte das empresas públicas e privadas, no entanto não existe uma

empresa ou sector que desempenhe suas funções sem o uso dos serviços deste sector. É de

salientar, a ausência de uma indústria vocacionada na área das TIC (o país ainda depende de

soluções compradas para se implementar no país).

Dentro dos objetivos e princípios políticos e operacionais enunciados no livro branco, faz-se

menção de alguns assuntos importantes para o tema em questão [45].

Assegurar uma base infraestrutural de excelência que permita suportar a implementação

de todos os serviços da sociedade de informação assentes nas Tecnologias de

Informação e Comunicação.

Potenciar a Governação Eletrónica e a modernização da administração pública,

facilitando-se processos, diversificando-se serviços, ao mesmo tempo que se

desenvolvem áreas chaves como sejam a educação, saúde, economia, cultura, entre

outras, fomentando-se a interação eletrónica entre os cidadãos e os vários níveis da

administração pública;

Criar um quadro legislativo que permita ultrapassar os novos desafios que se colocam

ao sector das tecnologias de informação e comunicação, integrado e abrangente a todos

os sectores da economia nacional.

Diante aos factos mencionados há que se apostar na cibersegurança pois a dependência total

das TIC, inclusive da Internet que hoje se tem vivido, tem exposto as infraestruturas críticas a

vulnerabilidades e ameaças cibernéticas no fornecimento de serviços essenciais à sociedade.

Esta situação pode afetar a economia nacional tratando-se de riscos globais e imprevisíveis.

A adoção de medidas de cibersegurança deve acompanhar esse investimento e

desenvolvimento, pois sem garantir a cibersegurança o país estará exposto a riscos com grandes

impactos.

Deve-se desenvolver a sociedade de informação garantindo a privacidade das informações

fornecendo assim confidencialidade, disponibilidade e integridade das mesmas informações, isso

38

fará com que utilizadores usem cada vez mais a sociedade da informação, e usufruam dos

serviços que são disponibilizados.

É fulcral manter a segurança e a resiliência nas infraestruturas do sector das TIC, a fim de garantir

que são usadas na sua plenitude.

São fatores a serem avaliados, pois a cibersegurança deve ser incorporada em todos os sectores

de atividade. Deve-se criar uma cultura de cibersegurança no país. O investimento na busca de

soluções no âmbito da cibersegurança deve ser igual ou superior aos investimentos e apostas

feitas nas tecnologias, nos recursos para a edificação da sociedade de informação.

Deve existir uma abordagem e cultura em gestão de riscos, capaz de responder e prevenir as

ameaças cibernéticas.

Sendo assim propôs-se na seção seguinte abordar sobre um conjunto de medidas essenciais

para a proteção das infraestruturas críticas no ciberespaço e também a identificação de um grupo

de trabalho com responsabilidade nesta matéria de cibersegurança.

4.2 Cibersegurança e Infraestruturas Críticas

Em Angola ainda não existe uma estratégia que aborda a questão da cibersegurança, nem um

diploma legal que trata especificamente sobre a questão das infraestruturas críticas.

Existe a Lei de Proteção dos Dados Pessoais (Lei nº 22/11 de 17 de Junho), que estabelece as

regras jurídicas aplicáveis ao tratamento dos dados pessoais com o objetivo de garantir o

respeito pelas liberdades públicas e os direitos e garantias fundamentais das pessoas singulares.

Existe também a Lei das Comunicações Eletrónicas e Dos Serviços da Sociedade da Informação

(Lei nº 23/11 de 20 de Junho), que estabelece as bases da disciplina e regulamentação jurídica

das comunicações eletrónicas da sociedade da informação, bem como o regime jurídico relativo

ao tratamento de dados pessoais e a proteção da privacidade nas comunicações eletrónicas. É

nesta lei onde está referido o conceito de Infraestrutura Crítica, como sendo aquela cuja

destruição total ou parcial, perturbação ou utilização indevida é suscetível de afetar, direta ou

indiretamente, de forma permanente ou prolongada, a manutenção de funções vitais para a

sociedade, a saúde, a segurança ou o bem-estar económico e social [49].

O livro branco faz referência à cibersegurança como a garantia da segurança da informação da

administração pública e a proteção de dados que constitui um fator fundamental para adesão à

governança eletrónica, por parte dos cidadãos e das empresas.

A salvaguarda da cibersegurança da administração pública pretende assegurar [49]:

Utilização de sistemas seguros e transparentes.

Desenvolvimento de uma cultura de utilização segura e fiável das TIC na administração

pública.

Adoção de sistemas de identificação e encriptação digital seguros e fiáveis.

Proteção de dados e de direitos humanos.

A cibersegurança deve ser encarada como um problema nacional, pois afeta todos os aspetos

das atividades das pessoas.

39

As medidas definidas acima são consideradas insuficientes razão pela qual diante dos estudos

efetuados sobre alguns países nos capítulos 2 e 3, apresenta-se aqui as prioridades na

implementação da cibersegurança em Angola.

4.2.1 Prioridades de Implementação para a Cibersegurança em

Angola

De acordo o que foi analisado nos outros países e atendendo ao resultado que se viu sobre

Angola na figura 20, em comparação com o GCI global, estabeleceu-se aqui algumas prioridades

de implementação, naquilo que se considera essencial como ponto de partida para se

estabelecer a cibersegurança nas infraestruturas críticas do sector das TIC.

A cibersegurança envolve muitos domínios, desde a proteção simples à ciberdefesa (Anexo 2),

porém o enfoque principal da dissertação assenta na proteção simples.

4.2.1.1 Medidas Legais

O primeiro ponto aqui apresentado considera-se como ponto de partida para o país, consiste na

adoção de medidas legais (leis e regulamentos).

A legislação é uma medida fundamental para se criar uma harmonização nas diversas entidades,

as medidas legais vão ainda permitir que o país defina respostas aos mecanismos de violação:

por meio de investigação e repressão de crimes e da imposição de sanções facilitando o combate

contra as ameaças cibernéticas.

Legislação sobre Infraestruturas

Apesar do facto de já existir um conceito sobre infraestrutura crítica definido na lei n.º 23/11 sobre

Comunicações Eletrónicas e dos Serviços da Sociedade da Informação, considera-se ser útil a

adoção de uma lei específica que, além do conceito, deverá tratar sobre a questão de

identificação, proteção das infraestruturas críticas e atribuição de responsabilidades de

coordenação das atividades à um órgão específico. Esta lei deverá impulsionar assim a criação

de um plano nacional de proteção das infraestruturas críticas, que deverá ser um guia para os

operadores de infraestruturas críticas quer públicas, quer privadas.

Este mesmo órgão específico deverá trabalhar com os diferentes sectores definidos como

críticos através de um responsável sectorial.

Pode-se observar na figura 24, um modelo para a proteção das infraestruturas críticas que

consiste na adoção de uma lei de infraestruturas críticas.

40

Para o sector das TIC, o Ministério das Telecomunicações e Tecnologias de Informação pode

delegar uma instituição que será o responsável sectorial e deverá, no entanto, fiscalizar os planos

de segurança dos operadores de infraestruturas críticas do sector das TICs que deverá obedecer

os princípios definidos no plano nacional de proteção das infraestruturas críticas.

Os operadores das IC deverão identificar as funções e os recursos críticos para os seus

negócios, a fim de criarem os planos de segurança que incluam medidas de prevenção, gestão

de riscos, resposta, recuperação e comunicação.

Como forma de fiscalização das medidas que serão definidas na lei de infraestruturas críticas,

os responsáveis sectoriais deverão fiscalizar as medidas implementadas pelos operadores de

infraestrutura crítica e o coordenador das atividades deverá fiscalizar as ações dos responsáveis

sectoriais.

Estratégia Nacional de Cibersegurança

As infraestruturas quer públicas, quer privadas, assentam em sistemas de informação

dependendo totalmente do sector das TIC para a execução de suas atividades. Neste ambiente

em rede todas as infraestruturas críticas estão interligadas, portanto a ocorrência da disrupção

de telecomunicações pode causar sérias consequências.

Deve-se entender que o ciberespaço não está delimitado a fronteiras. De qualquer ponto do

ciberespaço podem surgir ameaças contra às infraestruturas críticas para atentar à segurança

nacional e ao bem-estar social, no entanto, a intervenção do Estado é primordial, porque a

cibersegurança é um meio para assegurar a continuidade da sociedade da informação

protegendo os ativos críticos e as infraestruturas críticas que suportam os interesses nacionais.

O tratamento da cibersegurança requer uma vontade política para definir uma estratégia que

inclui medidas para a proteção das infraestruturas críticas no ciberespaço.

O Ministério das Telecomunicações e Tecnologia de Informação deve ser um dos principais

órgãos a impulsionar a criação de uma estratégia nacional de cibersegurança.

Para a elaboração da estratégia deve ser necessário a constituição de um grupo especial de

trabalho composto por órgãos públicos e privados, isto porque o ciberespaço toca praticamente

todas as formas de atividades de segurança social e económico.

A estratégia deve dar resposta ao que proteger, identificar as partes interessadas e os objetivos

a serem cumpridos.

Figura 24 - Elementos para a lei de proteção de IC

41

Sem uma estratégia nacional, os esforços em diferentes sectores tornam-se dissemelhantes e

desconectados, frustrando os esforços para alcançar a harmonização nacional em termos de

cibersegurança.

A proteção individualizada e sem coordenação das diversas infraestruturas críticas prejudicará a

visão de um todo, fragilizando a proteção das infraestruturas críticas no ciberespaço.

De acordo com os desafios da cibersegurança em África, a União Africana estabeleceu na

convenção sobre a cibersegurança alguns objetivos e também algumas linhas orientadoras para

os países constituintes.

A convenção reforça no entanto a ação de se “implementar uma política nacional de

cibersegurança, especificamente na área da reforma legislativa e do desenvolvimento, na

sensibilização e desenvolvimento de capacidades, na parceria público-privada e na cooperação

internacional, pelo que para o efeito deve-se mobilizar todos os atores públicos e privados

(Estados, comunidades locais, empresas do sector privado, organizações da sociedade civil,

instituições de formação e de investigação) em prol da cibersegurança” [44].

Legislação contra cibercrimes

É necessário que haja uma legislação adequada e abrangente contra a má utilização das TIC

para fins maliciosos ou criminosos.

É necessário que se aprove uma lei de combate à criminalidade informática para que se possa

reprimir todas as atividades que atentam contra os principais atributos da cibersegurança

(confidencialidade, integridade, disponibilidade) e de se penalizar os infratores que atentam

contra a cibersegurança das infraestruturas críticas.

A cibersegurança possui uma dimensão global, a ubiquidade e a transnacionalidade dos

cibercrimes, faz com que seja difícil lutar contra as infrações contra a cibersegurança.

Deve-se ainda pautar pela cooperação internacional em matéria de legislação no que tange ao

cibercrime.

A figura 25 retrata as medidas legais que devem ser adotadas pelo país.

Figura 25 - Medidas legais

A cibersegurança é o ponto mais abrangente, neste sentido a estratégia e outras medidas para

cibersegurança devem contemplar a questão de proteção das infraestruturas críticas e a questão

das ameaças cibernéticas.

42

A criação de medidas legais é o ponto de partida, mas, no entanto, não é suficiente, há que se

criar também outras medidas que serão apresentadas a seguir.

4.2.1.2 Medidas Organizacionais

As empresas devem pôr em prática as recomendações que serão definidas na estratégia

nacional de cibersegurança através de um regulamento ou uma plataforma de trabalho com

normas de segurança e boas práticas de cibersegurança.

As medidas organizacionais podem ser dimensionadas com base na existência e no número de

instituições que adotarão as medidas definidas na estratégia o que vai promover deste modo o

desenvolvimento da cibersegurança a nível nacional.

É necessário que se faça junto das organizações a promoção da cibersegurança, através de

medidas para alertas e resposta a incidentes, para tal deve-se definir uma entidade responsável

pela coordenação da implementação da estratégia de cibersegurança.

4.2.1.3 Medidas Técnicas

A tecnologia é considerada como uma linha de defesa contra ameaças cibernéticas, sem

medidas técnicas adequadas e as capacidades para detetar e responder a ataques cibernéticos,

o país e as respetivas organizações estarão vulneráveis a ameaças cibernéticas.

As medidas técnicas incluem:

Criação de um CERT ou CSIRT Nacional

CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response

Team) é uma equipa de resposta ou reação às urgências ou incidentes informáticos, responsável

por funções que incluem a gestão de incidentes de segurança informática, análise de

vulnerabilidades ou a redução de probabilidade de ataques bem-sucedidos através da

publicação de alertas de segurança e outras medidas.

Segundo a informação disponível no site da ITU5, existem 102 CERTs em todo mundo [50].

Através da figura 26, pode-se ver no ponto marcado a vermelho, que em Angola ainda não existe

um CERT Nacional.

5 http://www.itu.int/en/ITU-D/Cybersecurity/Pages/Organizational-Structures.aspx, acedido aos 15/01/2016

http://www.itu.int/en/ITU-D/Cybersecurity/Pages/Organizational-Structures.aspx

43

Figura 26 - Países com CERT nacionais

(ITU, 2016)

Numa primeira fase é importante a criação de um CERT Nacional que deverá ter a capacidade

para identificar, defender, responder e gerir as ameaças cibernéticas de formas a aumentar a

segurança das infraestruturas críticas, dos utentes da sociedade de informação ou do

ciberespaço de interesse para o Estado Angolano.

O CERT nacional deverá ser capaz de detetar incidentes, correlacionar eventos e determinar

tendências de ataques, deverá ainda ser capaz de analisar as vulnerabilidades que podem ser

exploradas de formas a efetuar-se ataques cibernéticos e publicar informações para a

comunidade servida.

Além do CERT Nacional, propõe-se numa outra fase a criação de uma equipa de resposta a

incidentes exclusivamente para o governo e também equipas de respostas a incidentes

sectoriais, conforme a figura 27.

Figura 27 - Equipas de resposta a incidentes

O CSIRT (Computer Security Incident Response Team) do Governo deverá responder a

incidentes que afetam as instituições exclusivamente governamentais. Além de serviços reativos,

CERT Nacional

CSIRT Sectoriais

CSIRT Gov

44

pode também envolver-se em serviços pró-ativos tais como a análise de vulnerabilidade e

auditorias de segurança.

Um CSIRT sectorial deverá responder a incidentes que podem afetar um sector específico. Os

CSIRTs sectoriais podem ser estabelecidos para os sectores críticos como por exemplo: TIC,

energia, sector financeiro.

Tendo em conta as características do ciberespaço, é necessário conhecer os riscos, as ameaças

que ele apresenta, portanto, as equipas de respostas a incidentes identificadas na figura 27

deverão trabalhar em rede para responder às ameaças organizadas no ciberespaço, para tal é

essencial que haja partilha de informação relevante para coordenação e mitigação das ameaças

cibernéticas.

Deve-se criar um ambiente de colaboração no tratamento de incidentes e na partilha de boas

práticas de cibersegurança.

O CERT Nacional deverá promover um ambiente de colaboração sobre as medidas de

cibersegurança, deverá trocar informações com as outras equipas de respostas a incidentes

internacionais sobre as vulnerabilidades, incidentes que podem colocar em risco o ciberespaço

angolano e perigar acima de tudo as infraestruturas críticas.

Figura 28 - Funções do CERT Nacional

Na figura 28, são apresentadas algumas funções que o CERT Nacional poderá exercer.

O CERT Nacional deverá ser o ponto de contacto nacional para notificação de incidentes, auxiliar

outros CSIRTs na execução de suas atividades.

Normas

O governo deve aprovar a aplicação de normas de cibersegurança reconhecidas

internacionalmente no sector público e nas infraestruturas críticas (mesmo se operadas pelo

sector privado) para que haja uma uniformização e para que a comunicação entre as várias

entidades seja facilitada.

45

Estes padrões podem ser os desenvolvidos pelos organismos como: ISO6, ITU7, e outras, no

âmbito da cibersegurança.

Deve-se impor ações de carácter preventivo que envolvem a criação e a aplicação de

metodologias de gestão de riscos e o desenvolvimento de planos de continuidade de negócios,

para as infraestruturas críticas do sector das TIC e principais sistemas essenciais ao bom

funcionamento do Estado e da sociedade angolana.

Por outro lado, também pode-se elaborar boas práticas através de uma Task-force para o uso

interno.

4.2.1.4 Capacitação de Recursos Humanos

A capacitação humana é necessária para melhorar o conhecimento sobre cibersegurança em

todos os sectores, para aplicar as soluções mais adequadas, e promover o desenvolvimento dos

profissionais.

A capacitação dos recursos humanos é extremamente importante para responder pronta e

eficiente aos incidentes nas redes das infraestruturas críticas, garantir a privacidade das pessoas

e organizações.

Deve-se apostar na formação de recursos humanos nesta área da cibersegurança, e para tal

deve-se apostar na cooperação com outros países mais desenvolvidos nesta matéria de

cibersegurança, para a formação de quadros Angolanos com as competências exigidas nesta

área.

4.2.1.5 Cooperação Internacional

É de extrema importância que haja cooperação internacional, Angola deve contactar os outros

países que estão a desenvolver as estratégias de cibersegurança e também os que já estão

avançados na matéria.

A nível regional o país pode analisar a Convenção Africana sobre a cibersegurança para servir

como um guia de uma forma geral.

Através da pesquisa feita sobre alguns países, nos capítulos 2 e 3 sugere-se o exemplo de

Portugal devido ao nível de cooperação entre os dois países. Seria um grande ponto de partida

para a implementação de mecanismos, de procedimentos e politicas de cibersegurança, pois

Portugal já tem definidas medidas importantes para questão da cibersegurança e infraestruturas

críticas. De entre algumas é de salientar: a Estratégia Nacional de Segurança do Ciberespaço,

6 A ISO/IEC 27002 SO / IEC 27002: 2013 dá orientações para as normas de segurança da informação organizacionais e práticas de gestão de segurança da informação, incluindo a seleção, implementação e gestão de controle levando em consideração ambiente de risco de segurança da informação da organização. http://www.iso.org/iso/catalogue_detail?csnumber=54533 7 O ITU é uma agência das Nações Unidas centrada na regulação internacional das TIC, porém tem agora dedicado mais atenção a esta temática da cibersegurança, tendo criado um portal que reúne muita informação sobre a cibersegurança. http://www.itu.int/cybersecurity/gateway/

http://www.itu.int/cybersecurity/gateway/

46

o Decreto Lei n.º 62/11 para as infraestruturas críticas, o CERT.PT vinculado ao Centro Nacional

de Cibersegurança, a Lei do Cibercrime.

O Governo Angolano deve assumir o papel de liderar a nível nacional os programas de

cibersegurança, mas proteger o ciberespaço é uma responsabilidade coletiva, logo o

desenvolvimento de políticas e a elaboração da estratégia nacional deverá ter em conta o ponto

de vista de outras partes interessadas. Com isso pretende-se aclarar que deve haver também

uma cooperação ou parceria local que se pode denominar como: parceria público-privada para

facilitar a troca de informações sobre o desenvolvimento de nova legislação, regulação entre as

partes interessadas e permitir a troca de informações em tempo real sobre as ameaças

cibernéticas e vulnerabilidades.

4.2.1.6 Principais Atores para a Elaboração da Estratégia de

Cibersegurança em Angola

A cibersegurança tem sido um dos temas mais desafiadores para os países. A decisão deve

partir dos mais altos decisores políticos.

A cibersegurança deve ser encarada como um assunto de abrangência multidisciplinar, para tal

é necessário que vários esforços sejam coordenados para a busca de melhores soluções que se

podem aplicar nesta área no país.

Para a elaboração da política pública que é a estratégia nacional de cibersegurança é necessária

a constituição de um grupo especial de trabalho como já anteriormente referido, composto por

órgãos públicos e privados.

De acordo a realidade angolana apresenta-se aqui (ver figura 29) um grupo de entidades

relevantes para a discussão desta temática que, no entanto, para além de debates, busca de

soluções, deverá culminar com a elaboração de uma Estratégia Nacional de Cibersegurança.

A cibersegurança deve ser é uma responsabilidade partilhada por todos. O Governo deve

encorajar o sector privado, solicitando a sua participação nas iniciativas do mesmo para a

promover a cibersegurança.

Figura 29 - Órgãos para a elaboração da estratégia nacional de cibersegurança

47

Ministério das Telecomunicações e Tecnologias de Informação (MTTI)

É o órgão da administração central do Estado que tutela o sector das TIC, é regido pelo Decreto

Presidencial n.º 179/14 de 25 de Julho, tem como missão propor a formulação, a condução, a

execução e o controlo da política nos domínios das telecomunicações, das tecnologias de

informação (…) [51].

Dentre as atribuições do MTTI no contexto deste trabalho destacam-se:

Habilitar o Governo a definir a política e a estratégia das Telecomunicações e das

Tecnologias de Informação,

Representar o Estado nas instâncias internacionais no âmbito das Telecomunicações e

das Tecnologias de Informação.

Coordenar e promover as ações que conduzam à edificação da sociedade de

informação.

Criar um quadro jurídico-legal que habilite o órgão regulador a elaboração de

regulamentos, normas, padrões, instruções e manuais referentes aos serviços de

telecomunicações, no âmbito da sua competência, tanto para as redes públicas como

privadas.

Incentivar a política de segurança e encriptação de dados, bem como a

interoperabilidade e padronização de soluções no domínio das tecnologias de

informação.

O MTTI deve ser o principal órgão a impulsionar a abordagem sobre a cibersegurança,

envolvendo todas as partes interessadas, deve criar um grupo de trabalho para a pesquisa,

discussão, busca de melhores soluções para a elaboração de uma estratégia de cibersegurança

a nível nacional.

A implementação de uma cultura de cibersegurança quer nos operadores de IC públicas e

privadas para ser bem-sucedida deve partir do mais alto nível, a partilha de informação e a

cooperação são as chaves essenciais.

Instituto Nacional das Comunicações (INACOM)

O Instituto Angolano das Comunicações, é tutelado pelo MTTI cujas funções e competências

estão enunciadas no Decreto n.º 243/14, é o órgão regulador dos serviços de comunicações

tendo como finalidade a sua regulação, disciplina, controlo e monitorização.

Para o contexto da cibersegurança são importantes as suas atribuições [52] no âmbito do

estabelecimento de estratégias e políticas para o desenvolvimento dos serviços de

comunicações que consiste em apoiar o Ministro da tutela designadamente no seguinte:

Definição do quadro legal do sector, sobretudo na monitorização do cumprimento das

leis e regulamentos e da exploração ordenada dos serviços de comunicações.

No estudo e investigação do desenvolvimento legal, institucional, científico e tecnológico

das comunicações.

Na concertação de ações com outros órgãos oficiais, organismos e entidades públicas e

privadas, necessárias à execução das medidas de política no domínio das

comunicações.

48

Centro Nacional das Tecnologias de Informação (CNTI) atual INFOSI

CNTI é um instituto público tutelado pelo MTTI. Rege-se pelo Decreto Presidencial n.º 212/14 de

20 de agosto. Tem como missão desenvolver, coordenar, monitorar e avaliar os programas e

projetos de tecnologias de informação, de governação eletrónica e de distribuição de serviços

públicos eletrónicos transversais no quadro das políticas de tecnologias de informação e

comunicação definidas pelo Executivo.

Algumas das atribuições [53] do CNTI que consideram-se pertinentes para o tema em

abordagem são:

Pronunciar-se tecnicamente sobre a realização de projetos no âmbito das tecnologias de

informação nos organismos públicos, bem como acompanhar a implementação, gestão

e operação de sistemas informáticos, registrar as empresas que atuam no sector as

tecnologias de informação,

Emitir as certificações sobre a aptidão e capacidade técnica das empresas angolanas

no domínio das TIC,

Promover a cibersegurança, a privacidade no uso da internet e também recomendar e

fomentar as boas práticas de governança das tecnologias de informação.

Ministério das Ciências e Tecnologias (MINCT)

O MINCT é o departamento ministerial que tem por missão: propor a formulação, conduzir,

executar e controlar a política do Executivo nos domínios da Ciência, Tecnologia e Inovação.

Uma das suas atribuições consiste em estimular e apoiar a formação e a qualificação de recursos

humanos em áreas do ensino superior, da investigação científica e do desenvolvimento

tecnológico, promover, em articulação com outros ministérios, o desenvolvimento da capacidade

tecnológica do país, da sociedade de informação e do conhecimento [54].

De acordo as suas atribuições o MINCT, deve contar com uma equipa de académicos e

investigadores para a sua contribuição na elaboração da estratégia nacional de cibersegurança.

Ministério da Justiça

É o órgão responsável em tomar medidas com vista a realizar uma justiça que vise harmonizar

todas as tendências sociais do País, e promover medidas com vista à realização de uma boa

administração da justiça no país.

Tem a competência de assegurar o funcionamento adequado do sistema de administração da

justiça no plano judiciário e nos domínios da segurança do tráfego jurídico, da prevenção de

litígios, garantir o intercâmbio entre o Ministério e demais organismos que intervêm na proteção

dos direitos políticos, económicos e sociais dos cidadãos [55].

Ministério da Defesa

É o departamento governativo da administração central ao qual incumbe participar na definição

da política de defesa nacional, elaborar e executar a política relativa à componente militar de

defesa nacional. Cabe ainda promover e estimular o estudo e investigação das questões

atinentes à Defesa Nacional [56].

Sendo que a cibersegurança abrange a segurança nacional, num ambiente em rede, como o

ciberespaço a insegurança dos sistemas de informação das infraestruturas críticas, as

49

vulnerabilidades podem ser exploradas para se perpetrar ataques e, por conseguinte, ameaçar

o crescimento económico e a segurança nacional.

Polícia Nacional

A Polícia Nacional depende organicamente do Ministério do Interior. De acordo a sua natureza

compete-lhe: a defesa e proteção da propriedade estatal coletiva, privada e pessoal, a prevenção

à delinquência e o combate à criminalidade [57].

A Polícia Nacional possui duas direções que de acordo o âmbito deste trabalho julga-se de

elevada importância para a abordagem da cibersegurança: a Direção Nacional de Investigação

Criminal como o órgão operativo central ao qual compete, genericamente a investigação dos

crimes ou delitos e a descoberta dos seus autores e a Direção Nacional da Polícia Económica

que é o órgão operativo central ao qual, genericamente, compete prevenir e contribuir para a

repressão da prática de crimes contra a economia [57].

Operadores de Infraestruturas Críticas

São figuras consideradas necessárias para a abordagem desta temática. Tanto os operadores

responsáveis pelas empresas públicas, como as privadas consideradas como infraestruturas

críticas que desempenham funções vitais para o país ligadas aos sectores de: energia,

comunicações, transportes, financeiro e outros sectores não menos importantes devem estar

também englobados neste grupo.

Uma das perspetivas da cibersegurança reside na proteção das infraestruturas críticas no

ciberespaço, os operadores de IC são considerados como peça fundamental a contribuir com a

identificação de medidas e procedimentos de segurança a serem tomadas no ciberespaço para

a proteção das IC.

A parceria público-privada é um ponto forte para estratégia de cibersegurança, deve ser liderada

pelo governo, e basear-se na confiança de modo que haja partilha de informação.

Identificados os atores, precisam todos estar conscientes sobre as ameaças no ciberespaço,

partilhando a mesma preocupação, deve haver também uma eficiente definição dos papéis e das

responsabilidades de cada um dos órgãos na questão da cibersegurança.

Volta-se a realçar o fator cooperação, pois é crucial que o governo crie programas de cooperação

com a comunidade internacional porque o maior perigo dos ciberataques é que eles podem ser

perpetrados a distância. Considerando que o ciberespaço é um espaço sem fronteiras, identificar

a origem das ameaças, acaba por ser uma tarefa difícil, e uma vez que estão em constante

evolução tecnológica. Deve-se ter em conta que essas evoluções exigem um alto nível de

formação, lei eficiente e cooperação internacional quer a nível técnico-operacional como também

sob o ponto de vista de harmonização internacional da legislação do cibercrime.

Sendo assim, a estratégia nacional de cibersegurança deve fomentar a cooperação com

organizações internacionais.

50

5 Análise e Discussão dos Resultados

Neste capítulo é apresentado a análise de conteúdo e a discussão dos resultados com base a

pesquisa em campo. Criou-se tabelas com o parecer dos vários entrevistados e depois foi feita

uma análise de acordo as respostas fornecidas, para isso procurou-se observar a frequência de

ocorrência de determinados termos, conceitos ou palavras equitativas. De formas a facilitar o

trabalho neste capítulo foi feito um resumo dos aspetos mais importantes das entrevistas

efetuadas para então permitir a comprovação das hipóteses inicialmente apresentadas e

construção da reposta da questão principal desta dissertação.

Caracterização dos Entrevistados

Os entrevistados estão constituídos por dois grupos de profissionais ligados as áreas: Jurídica,

Segurança e Auditoria, Negócios de TI, Telecomunicações, Redes, Operações e Controlo e

Engenharia.

5.1 Análise I

Questões

1. Quais são as infraestruturas críticas do Sector das TIC, existe alguma entidade

responsável pela identificação ou definição das IC do Sector das TIC?

2. Tem conhecimento da ocorrência de algum ciberataque nas infraestruturas críticas do

sector das TIC e qual foi o impacto?

3. Quais são as medidas que os operadores devem tomar para a prevenção e redução de

ataques cibernéticos?

4. Qual é a sua opinião sobre as empresas do sector das TIC, encontram-se preparadas

para realizar a nível tecnológico, processual e humano investigações forenses

complexas decorrentes de ciberataques?

5. Considera urgente a aprovação de uma Estratégia Nacional de Cibersegurança? E

Quais devem ser os elementos que a Estratégia deve englobar?

6. A abordagem da cibersegurança deve ser multidisciplinar, deve envolver vários

stakeholders (partes interessadas), em Angola se fosse para montar ou idealizar um

grupo de trabalho para abordagem desta questão no sentido de elaborar uma estratégia

nacional de cibersegurança, quais instituições citaria, e qual deve ser o principal órgão

responsável pela questão da cibersegurança?

7. No âmbito da cibersegurança, é necessário que se crie uma rede de partilha de

informação entre entidades privadas e públicas, qual deve ser a informação a ser

partilhada entre os operadores de infraestrutura crítica?

8. Além de um CSIRT Nacional, acredita que no país deve existir outras equipas de

respostas a incidentes? E quais devem ser os serviços que O CSIRT Nacional deverá

prestar a comunidade servida (Estado e operadores de IC)?

Questão n.º 1

51

Quais são as infraestruturas críticas do Sector das TIC, existe alguma entidade responsável

pela identificação ou definição das IC do Sector das TIC?

Entrevistado Ideias Chaves

#1 De acordo a Lei nº 23/2011 das comunicações eletrónicas infraestrutura crítica é

definida como sendo aquela cuja destruição total ou parcial, perturbação ou

utilização indevida é suscetível de afetar, direta ou indiretamente, de forma

permanente ou prolongada, a manutenção de funções vitais para a sociedade,

a saúde, a segurança ou o bem-estar económico e social. Pode-se citar comunicações

fixas, móveis e Internet.

No que tange a administração pública, a Lei nº 23/2011 declara que compete ao Titular

do Poder Executivo em cada momento definir as infraestruturas críticas, submetendo-

as à regulação mais exigente em termos de segurança, integridade, disponibilidade e

fiabilidade, particularmente em situações de catástrofes, calamidades ou guerras.

#2 Não sei se em Angola existe algum documento a indicar se esta ou aquela é

considerada IC, mas na minha opinião diria que as redes de telecomunicações, a

rede privativa do Estado são IC, redes de fibra óptica, redes dos operadores.

O Estado é que determina o grau de apetência ao risco, o grau de dependência em

relação a determinadas infraestruturas críticas, e depois com base ao nível de

perceção da importância da infraestrutura crítica consegue-se dizer que esta ou

aquela é crítica para o país.

#3 As Infraestruturas Críticas no sector das TIC podem ser consideradas como as

redes de comunicações eletrónicas, sistemas de informação e comunicação que

são vitais para a sociedade.

Lei nº 23/2011.

#4 De uma forma geral as Infraestruturas críticas são todas aquelas que contribuem

para a continuidade de um país, falando de sectores pode-se citar o sector de

energia, água, TIC, Defesa e Segurança.

Análise da Questão 1

Os conceitos de infraestrutura crítica declarados pelos entrevistados de uma forma geral não

fogem da visão universal que se tem sobre esta temática, as infraestruturas críticas são decisivas

pelas funções e serviços que desempenham para um país, logo o não funcionamento de uma

infraestrutura crítica pode afectar em grande parte várias funções vitais para a sociedade.

No sector das TIC são consideradas como infraestrutura crítica as redes de telecomunicações,

Internet, rede de fibra óptica, sistemas de informação (…), serviços que sendo paralisados

afetariam o funcionamento da sociedade nos vários sectores em que estão presentes devido a

interdependência que existe entre elas. A partir do momento em que nos vários sectores vai se

incorporando meios tecnológicos, ou seja, quando há automatização, quando o controlo é feito

52

através das TIC faz com que o grau de vulnerabilidades aumente nessas infraestruturas e se

tornem suscetíveis de serem atacadas.

Se há pouco automatismo não se considera como uma infraestrutura crítica em termos de TIC,

o que não quer dizer que não seja crítica em outros pontos. (ver figura 30).

Figura 30 - Dependência de outros sectores de IC do sector das TIC

Questão n.º 2

Tem conhecimento da ocorrência de algum ciberataque a nível das infraestruturas críticas do

Estado e qual foi o impacto?


#1 Sim, e o impacto foi a baixa qualidade no acesso aos serviços.

#2 Sim, o ataque contra alguns sites, tornando os sites indisponíveis por um curto tempo,

mas muitos ataques não são publicados por questão de segurança e prestigio das

próprias instituições, e para não criar oportunidades a outros atacantes.

#3 Não.

#4 Tem ocorrido ciberataques, mas não são noticiados.


Atendendo a ubiquidade do ciberespaço, não existem fronteiras neste ambiente virtual. Os

crimes cometidos no mundo real, hoje são perpetrados de forma homóloga no ciberespaço, os

ciberataques podem ser originados de qualquer parte do mundo para atingir as infraestruturas

críticas angolanas. Podemos entender pelas respostas dos entrevistados que têm ocorrido

ataques cibernéticos, mas as instituições vítimas destes ataques não divulgam esta informação.

Infraestruturas críticas do sector

das TIC

(sistema de informação)

Banca


Hospitais


Água


Transportes

53

De acordo o mapa em tempo real de ciberataques da Kaspersky [58], Angola encontra-se na

posição 818 dos países mais atacados (ver figura 31). Apesar da posição não ser uma posição

que chama muita atenção, deve-se, no entanto, trabalhar de forma proactiva, as instituições

precisam ter a noção de risco e procurar aplicar medidas de segurança eficazes.

Figura 31 - Mapa de ciberataques Kaspersky

Disponível em: https://cybermap.kaspersky.com/

8 É de realçar que esta posição não é uma posição estática, atendendo a dinâmica dos ciberataques no

ciberespaço, a consulta no site (https://cybermap.kaspersky.com/), ajudará a verificar em tempo real a

posição que poderá estar o país.

https://cybermap.kaspersky.com/

54

Questão n.º 3

Quais são as medidas que devem-se tomar para a prevenção e redução de ataques

cibernéticos?


#1 A organização usa a norma de segurança ISO 27002:2013.

#2 As empresas devem apostar no máximo no desenvolvimento das suas

competências internas, preparando muito bem os quadros que têm na organização,

como também participar nos esforços internacionais, ou mesmo de outros âmbitos

que sejam feitos para aumentar a cibersegurança.

As empresas devem ter cooperação com as universidades, de formas a saber o que

os jovens inovadores estejam a desenvolver.

Participar no desenvolvimento e melhoria de projectos de softwares de formas a

conhecer mais sobre a tecnologia, vulnerabilidades que sejam descobertas.

#3 Investimento na matéria de segurança, capacitar os recursos humanos.

#4 Implementação de medidas de segurança, desenvolvimento de recursos

humanos.


Segundo as respostas dos entrevistados compreendemos que ainda há muito por se fazer neste

sentido. O facto de não ocorrerem ataques de grande impacto no país faz com que a busca de

medidas para prevenção e redução de ataques cibernéticos não seja acelerado. Deve-se investir

em segurança no país, e deve haver um investimento em pessoas, processos e tecnologias nas

organizações para melhorar a capacidade de mitigar os ciberataques.

55

Questão n.º 4

Qual é a sua opinião sobre as empresas do sector das TIC, encontram-se preparadas para

realizar a nível tecnológico, processual e humano investigações forenses complexas decorrentes

de ciberataques?


#1 Não. Sem uma instituição como um CERT não tem como, do nosso ponto de vista

deve existir apenas um CERT que deverá ser o ponto focal de todas as instituições,

deverá ainda estar em contacto com outros parceiros internacionais para partilha de

informações.

#2 Não.

#3 Não.

#4 Não.


Por unanimidade essa questão tem a mesma resposta da parte dos entrevistados. As

organizações, os operadores de infraestrutura críticas devem estar preparados quer a nível de

pessoas, recursos tecnológicos para efetuar investigações forenses complexas decorrentes de

ciberataques como já se ressaltou na questão anterior deve haver um investimento, deve-se

apostar na formação dos seus técnicos e consecutivamente criar equipas dedicadas para tratar

de questões inerentes a resposta de incidentes a ciberataques.

56

Questão n.º 5

Considera urgente a aprovação de uma Estratégia Nacional de Cibersegurança? E Quais devem

ser os eixos de actuação da Estratégia?


#1 Sim. Deve incluir elementos principais, nomeadamente os respeitantes à segurança

e a resiliência das infraestruturas críticas das TIC.

Segurança do ciberespaço

Combate ao cibercrime

Proteção das infraestruturas críticas

Educação, sensibilização e prevenção

Investigação e desenvolvimento

Cooperação internacional

#2 Sim. Dentre alguns pontos pode-se ressaltar a cooperação internacional,

desenvolvimento de recursos humanos, proteção das infraestruturas críticas.

#3 Sim. Porém antes da criação da estratégia deve-se pensar primeiro em formar as

pessoas, pois com pessoas formadas facilmente será elaborada e implementada a

estratégia.

#4 Sim. Pode-se citar alguns pontos: desenvolvimento de competências internas,

cooperação internacional e sensibilização.


A cibersegurança deve ser encarada como um problema político, social, económico, legal,

policial, técnico, gestão, ou seja, uma questão que envolve várias áreas.

É de comum aceitação da parte de todos os entrevistados que em Angola deve ser aprovada

uma estratégia nacional de cibersegurança que abarca vários eixos de atuação incluído a

proteção de infraestruturas críticas, cooperação internacional, educação, sensibilização (…). A

adoção de uma estratégia nacional de cibersegurança semelhantemente ao que se tem feito em

muitos países poderá uniformizar as medidas de proteção das infraestruturas críticas.

Portanto deve-se definir os atores nacionais, em matéria de criação de legislação e de

mecanismos técnicos e operacionais de resposta a incidentes. Conforme mencionado pela maior

parte dos entrevistados, a estratégia deverá englobar aspetos de cooperação com vista a agregar

esforços para o combate às ameaças cibernéticas a nível local e internacional.

57

Questão n.º 6

A abordagem da cibersegurança deve ser multidisciplinar, portanto deve envolver vários

stakeholders (partes interessadas), em Angola se fosse para montar ou idealizar um grupo de

trabalho para abordagem desta questão no sentido de se elaborar uma estratégia nacional de

cibersegurança, quais instituições citaria, e qual deve ser o principal órgão responsável pela

questão da cibersegurança?


#1 A nível civil são essas instituições sugeridas Gabinete da Presidência, Ministério

das Telecomunicações e Tecnologias de Informação (MTTI), Ministério das

Ciências e Tecnologias.

#2 Ministério das Telecomunicações e Tecnologias de Informação (

MTTI), Centro Nacional de Tecnologias de Informação (CNTI - atual INFOSI),

Ministério da Defesa Nacional, Polícia.

Deve ainda existir um Conselho Nacional de cibersegurança.

#3 Ministério da Defesa, Ministério das Telecomunicações e Tecnologias de

Informação (MTTI), Ministério do Interior, Serviços de Segurança Interna.

Olhando para outras realidades quando se está a falar sobre cibersegurança, fala-se

de uma componente que do ponto de vista administrativo é coordenado pelo Ministério

da Defesa Nacional, ou se pode dizer órgãos ligados aos sectores de Segurança e a

Defesa Nacional.

#4 Ministério das Telecomunicações e Tecnologias de Informação (MTTI), Ministério

das Ciências e Tecnologias, Ministério da Educação, Empresas do Sector, Sociedade

Civil (Investigadores Independentes), Juristas.

Deve existir um Conselho Nacional de Cibersegurança para servir de elo de

ligação com o Gabinete da presidência para se levar essas preocupações ao

mais alto nível.


A cibersegurança é um problema nacional e transversal a todas as áreas: económica, militar,

policial e outras.

No capítulo 4 foram referenciados os atores para a elaboração da estratégia de cibersegurança,

onde se enquadram alguns dos atores mencionados pelos entrevistados.

A criação de um conselho nacional de cibersegurança (constituído por responsáveis pela Defesa

Nacional, Telecomunicações e representantes de outros ministérios) é um dos passos

importantes a tomar numa primeira fase para se levar as preocupações ao mais alto nível, o

conselho nacional de cibersegurança deverá ter a missão de coordenar, acompanhar e

58

monitorizar, de forma transversal, o processo de implementação da Estratégia Nacional para a

Cibersegurança nacional.

Questão n.º 7

No âmbito da cibersegurança, é necessário que se crie uma rede de partilha de informação entre

entidades privadas e públicas, como acha que será possível manter a partilha de informação e

cooperação entre os vários operadores de infraestruturas críticas públicos e privados do sector

das TIC? E qual deve ser a informação a ser partilhada entre os operadores de infraestrutura

crítica?


#1 A troca de informações deve ser acordada via algum instrumento formal (convénio,

acordo, etc.) entre os diversos atores de forma coordenada. As informações que

devem ser partilhadas são: os incidentes, as principais tendências de ataques e

ações de mitigação.

#2 Boas práticas, casos de sucessos, que farão com que todos estejam preparados e

também uma partilha não divulgada daquilo que falhou e deverá ser feita pelos

intervenientes pelos elementos desta rede.

Quanto maior for a informação em termos de ataques, medidas de combates, as

vulnerabilidades (como é que ela foi aproveitada por uma entidade externa de formas

a perpetrar o ataque) será melhor.

#3 A partilha da informação deve-se basear nas experiências de cada um dos

operadores, a informação deve ter uma vertente preventiva.

#4 A partilha de informação é essencial para se ultrapassar várias situações, é

fundamental para se abordar vários temas como por exemplo como responder a um

eventual ataque, boas práticas.


A partilha de informações deve ser uma ferramenta útil para criar-se o conhecimento situacional

e de resposta a incidentes de forma eficaz, portanto, a informação deve ser oportuna, relevante,

e rotulada para que os destinatários possam recolher detalhes salientes para de forma rápida e

eficiente proteger-se de ou responder aos incidentes.

É necessário que a partilha de informação tal como referido pelo Entrevistado #1, seja efetuada

mediante a um instrumento formal para que os operadores de infraestrutura crítica partilhem as

informações como por exemplo: alertas, ações de mitigação, boas práticas.

Essa partilha pode ser efetuada sob a designação de um órgão da parte do Ministério das

Telecomunicações e Tecnologia de Informação.

59

Questão n.º 8

Além de um CERT Nacional, acredita que no país deve existir outras equipas de respostas a

incidentes? E quais devem ser os serviços que o CERT Nacional deverá prestar a comunidade

servida (Estado e operadores de IC)?


#1 Do nosso ponto de vista deve existir apenas um CERT que deverá ser o ponto

focal de todas as instituições, deverá ainda estar em contacto com outros parceiros

internacionais para partilha de informações.

O CERT deverá também criar diplomas que abordam assuntos sobre:

Segurança na Internet

Golpes na Internet

Códigos maliciosos

Spam

Outros riscos

Mecanismos de Segurança

Contas e senhas

Criptografia

Uso seguro da Internet

Privacidade

Segurança de computadores

Segurança de Redes

Segurança em dispositivos

#2 Devido a falta de muitos quadros nesta área não se aconselha a termos vários CERT,

pois não temos o número de pessoal suficiente para responder em todos os sectores,

é primordial que haja um CERT Nacional forte e este é que deverá ser o

fomentador dos vários outros CERT que irão nascer.

Começa-se com um CERT central que vai amadurecer-se e à medida que for

amadurecendo, passa a disseminar a cultura de cibersegurança em todos os

sectores.

Deve-se divulgar a informação que qualquer que seja autoridade que tenha uma

infraestrutura crítica de TI, deverá ter uma área não necessariamente um CERT, mas

uma área que olhe pelos aspetos de segurança na organização.

Os serviços que o CERT poderá desenvolver são:

Cooperação Internacional

Fomentar a cultura de cibersegurança a nível dos organismos

internos

Resposta a Incidentes / Gestão de Incidentes

60

Serviços de Alertas

#3 Deve-se numa primeira abordagem criar CERT Sectoriais, para facilitar a criação de

capacidades internas e depois permitir a coordenação nacional, vai ser a nível da

coordenação nacional que se vai fazer a coordenação internacional.

O CERT deve ter serviços de sensibilização dos usuários.

Fornecer as medidas de segurança necessárias para a comunidade

servida.

#4 Deve-se criar um CERT nacional e depois com o passar do tempo, devem surgir

outras equipas de respostas a incidentes a nível nacional.


Em Angola ainda não existe um CERT Nacional e esta lacuna na resposta de incidentes, gestão

e coordenação, significa que o país está exposto a riscos cibernéticos.

A maior parte dos entrevistados é de opinião que numa primeira fase deve existir apenas um

CERT nacional, como mencionado pelo Entrevistado nº 2, “é primordial que haja um CERT

Nacional forte e este é que deverá ser o fomentador dos vários outros CERT que irão nascer.”

No capítulo 4 é apresentado também um conjunto de serviços que o CERT Nacional poderá

fornecer à comunidade servida, que enquadram-se nos serviços mencionados pelos

entrevistados.

5.2 Análise II

Questões Abertas

1. O que é considerado como IC na sua Organização?

2. Existem várias ameaças que podem atingir as IC (Desde naturais, sísmicas, guerra),

mas também existem ameaças cibernéticas quando essas I.C são monitoradas ou

geridas por sistemas de I.C, quando podem ser remotamente gerenciadas, introduz

vulnerabilidades que podem ser exploradas e criar um novo âmbito de ameaças

cibernéticas, considera que as IC da sua Organização são seguras? Numa escala de 0

a 5?

3. No caso específico da sua organização, o que se tem feito para garantir a cibersegurança

nas infraestruturas críticas face ao crescimento de ciberataques?

4. De uma forma geral qual é o impacto que os ciberataques podem ter nas atividades da

sua organização?

5. A abordagem da cibersegurança deve ser multidisciplinar, portanto deve envolver vários

stakeholders (partes interessadas), em Angola se fosse para montar ou idealizar um

grupo de trabalho para elaborar a estratégia nacional de cibersegurança, além dos

operadores das infraestruturas críticas, quais instituições citaria e qual delas seria a

responsável para coordenar o grupo de trabalho?

61

6. A Cibersegurança envolve essencialmente a cooperação e a partilha de informação, o

que poderá ser um grande desafio a ser ultrapassado (devido a concorrência que existe

entre as empresas, nenhuma organização quer admitir que possui falhas de segurança,

vulnerabilidades), mesmo dentro dessa comunidade do ramo das TIC, poderá ser difícil.

Como acha que será possível manter a partilha de informação e cooperação entre os

vários operadores de ICs públicos e privados do sector das TIC?

7. E no âmbito da partilha de informação e cooperação, quais são as informações que julga

necessárias a serem partilhadas (vulnerabilidades, mecanismos de mitigação, boas

práticas), e a partilha deverá ser voluntária ou obrigatória?

8. Como empresa que actua no ramo das TIC, de que forma garante a proteção dos seus

clientes (outros operadores de ICs e não críticas), atendendo a interdependência que

existe entre os sectores?

9. Resiliência - A sua organização manteria o nível de operacionalidade se as suas ICs

fossem alvos de um ciberataque de grande impacto, continuaria a prestar serviços

essenciais e preservar os ativos essenciais durante os ataques?

Questão n.º 1

O que é considerado como IC na sua Organização?


#5 Temos uma infraestrutura com ativos muito críticos, como provedor de internet e

outros serviços web.

Pode-se citar alguns serviços como serviços aplicacionais: BD, Emails, Firewalls e

ainda outros serviços mais críticos.

#6 Routers responsáveis pela comunicação com os clientes, equipamentos que

controlam serviços que se falharem podem colocar em causa a comunicação.

#7 Routers, servidores, switches.

#8 Datacenters, rede corporativa, sistemas de telecomunicações.


As organizações têm definido as suas infraestruturas críticas devido a importância que elas

representam para os seus negócios e o país. Uma vez identificados os elementos críticos, é

necessário que seja feita uma análise de impacto de negócio e a seguir incluir estes elementos

em um plano de continuidade de negócio. Este plano deve garantir o fornecimento dos serviços

essenciais na ocorrência de qualquer incidente que poderá, no entanto, comprometer a

organização a nível financeiro, operacional e de imagem.

É necessário que exista também nestas organizações, planos de recuperação de desastres que

deverá incluir cenários e medidas a se tomar na ocorrência de uma falha causada por ameaças

62

como sabotagem, falhas tecnológicas, incêndios, causas naturais. É necessário que se faça a

replicação de modo a garantir uma recuperação rápida e confiável.

A implementação destes planos deve englobar pessoas, processos, políticas e tecnologias e

serem periodicamente revisados.

Questão n.º 2

Existem várias ameaças que podem atingir as IC (Desde naturais, sísmicas, guerra), mas

também existem ameaças cibernéticas quando essas IC são monitoradas ou geridas por

sistemas de IC, quando podem ser remotamente gerenciadas, introduz vulnerabilidades que

podem ser exploradas e criar um novo âmbito de ameaças cibernéticas, considera que as IC da

sua Organização são seguras? Numa escala de 0 a 5?


#5 Pode-se dizer que a organização em termos de classificação ocupa a posição 3 devido

as medidas já implementadas, soluções de segurança e políticas.

#6 Neste momento consideraria que está por aí no 1 há muita coisa para ser feita, o que

envolve investimentos.

#7 Sob o ponto vista geral considera-se 2.

#8 Tendo em conta as boas práticas adotadas o valor é 4.


De acordo a opinião dos entrevistados, podemos verificar que as respostas estão equilibradas,

porém de uma forma geral ainda há muito por se fazer. O facto de não ocorrer ataques de larga

escala faz com que as organizações não invistam tanto em segurança, mas sim priorizem o

investimento em soluções que tenham o retorno imediato e não em soluções de segurança para

salvaguardar os investimentos já feitos.

Deve-se analisar os recursos críticos para a execução das atividades das organizações e

implementar as medidas de proteção baseando-se em gestão de riscos.

63

Questão n.º 3

No caso específico da sua organização, o que se tem feito para garantir a cibersegurança nas

infraestruturas críticas face ao crescimento de ciberataques?


#5 O trabalho que a organização tem feito a nível interno é com a Engenharia Social.

A cibersegurança não depende apenas de boas políticas, boas implementações, mas

depende muito do fator humano.

A confidencialidade, integridade, disponibilidade e outros pilares da segurança

assentam muito em quem está a operar os processos.

A organização tem muitos ativos e serviços críticos, apesar de não existirem

infraestruturas 100% seguras, tem-se implementado soluções de segurança para

minimizar a exposição dos ativos da rede.

Possui uma solução de firewall de perímetro para controlo do tráfego que sai

da rede interna para a rede pública.

IPS (Intrusion Prevetion System): tem uma série de regras que alerta sobre o

comportamento de determinados pacotes.

Monitorização Constante

#6 A organização para aquilo que é interno tem as áreas de negócio, as ferramentas de

negócio, ou seja, a própria rede corporativa onde estão os vários funcionários ligados

e depois tem a parte toda da infraestrutura do Operador onde ligam os clientes e onde

são servidos os serviços aos clientes, portanto ambas têm que ter cuidados de

segurança.

Um exemplo muito simples a nível da rede corporativa existem firewalls que bloqueiam

alguns tipos de tráfego.

#7 A organização tem implementado algumas medidas como por exemplo: a criação de

políticas de segurança, implementação de mecanismos de segurança desde os mais

sobejamente conhecidos como os: firewalls, sistemas de deteção de intrusos,

antivírus entre outros.

#8 Mecanismos de segurança (firewall, antivírus, anti-spam), políticas de segurança,

ferramentas de monitorização da rede.


De acordo os entrevistados, as empresas possuem medidas para proteger as suas

infraestruturas críticas, é necessário que estas medidas estejam em atualização constante.

Atendendo as ameaças globais é importante considerar a questão da criação de equipas de

respostas a incidentes nestas empresas e também a execução de investigações forenses.

64

Questão n.º 4

De uma forma geral qual é o impacto que os ciberataques podem ter na sua organização?


#5 Downtime elevado, perda de dinheiro, impossibilidade de trabalhar com os parceiros.

#6 Prejuízos a vários níveis: financeiro, paralisação de serviços e funções críticas.

#7 Incapacidade de produzir, prejuízos de diversas ordens.

#8 Paralisação na prestação de serviços, perda da reputação, danos financeiros.


Os ciberataques podem causar sérios impactos nas organizações. Conforme já mencionado na

primeira questão é necessário optar pela análise de impacto de negócio, planos de continuidade

de negócio e planos de recuperação em caso de desastres, pois é necessário que as

infraestruturas criticas forneçam os seus serviços de forma ininterrupta.

Questão n.º 5

A abordagem da cibersegurança deve ser multidisciplinar, portanto deve envolver vários

stakeholders (partes interessadas), em Angola se fosse para montar ou idealizar um grupo de

trabalho para elaborar a estratégia nacional de cibersegurança, além dos operadores das

infraestruturas críticas, quais instituições citaria, e qual delas seria a responsável para coordenar

o grupo de trabalho?


#5 A segurança apesar de ser um problema do Estado, também é um problema individual

e cada um deve salvaguardar o que tem.

Cada um sabe o que tem de mais valor e sendo assim cada um deve-se velar pela

segurança independentemente de esperar as medidas definidas pelo Estado.

Em termos de órgãos pode-se citar: Ministério das Telecomunicações e Tecnologias

de Informação, Polícia, Ministério das Ciências e Tecnologias.

#6 Forças de Segurança, INACOM, Operadores de IC.

#7 Ministério das Telecomunicações e Tecnologias de Informação, Ministério da

Defesa, Ministério do Interior, Serviços de Inteligência.

#8 Ministério das Telecomunicações, INACOM, forças de segurança.

65


A cibersegurança é uma questão de segurança nacional. O Estado tem a função principal de

criar medidas para garantir a cibersegurança no país, e isso passa pela criação de uma estratégia

(política pública que aponte o caminho a ser seguido por toda a sociedade). Sem uma estratégia

as empresas do sector público e privado limitam-se a adotar medidas de proteção individual.

Nesta perspetiva é necessário que haja a partilha de informação entre os diversos órgãos e a

coordenação das atividades deve ser de um órgão especializado na matéria como por exemplo:

o Ministério das Telecomunicações e Tecnologias de Informação.

Questão n.º 6

A Cibersegurança envolve essencialmente cooperação e partilha de informação o que poderá

ser um grande desafio a ser ultrapassado (devido a concorrência que existe entre as empresas,

nenhuma organização quer admitir que possui falhas de segurança, vulnerabilidades), mesmo

dentro dessa comunidade de operadores do ramo das TIC, poderá ser difícil. Como acha que

será possível manter a partilha de informação e cooperação entre os vários operadores de ICs

públicos e privados do sector das TIC?


#5 É um paradigma que deve ser quebrado, as pessoas aprendem partilhando a

informação, não existem infraestruturas 100% seguras, pois foram desenvolvidas por

homens e os homens falham.

#6 Por ser um assunto de segurança nacional todo o mundo tem que estar a olhar para

isso. Não é fácil porque temos entidades que são concorrentes em termos

comerciais, e a partilha de informação poderá não ser fácil, daí ter que haver uma

entidade que regula essa passagem de informação.

#7 Através de uma regulamentação que obrigue as empresas a partilhar essas

informações.

#8 Sob o ponto de vista de desenvolvimento tecnológico é essencial que haja essa partilha,

mas considerando o facto da concorrência existente entre as organizações é difícil

que essa partilha aconteça devido os interesses individuais, deve haver uma

regulamentação que permita que a troca dessas informações seja feita de uma

forma fácil.


De acordo o parecer unanime dos entrevistados é imprescindível a partilha de informação e

atendendo o grande obstáculo que é a concorrência existente deve ser feita mediante um

regulamento.

A partilha de informação tem o carácter imperativo pois é extremamente importante no que tange

a criação de um quadro situacional, poderá efetuar-se uma avaliação sobre incidentes, analisar

a forma em que o mesmo poderá afetar uma infraestrutura crítica e o impacto consequente em

outras infraestruturas.

66

Este quadro situacional pode ser criado através de alertas de informação, relatórios para advertir

os operadores de infraestrutura crítica de certas ameaças.

Questão n.º 7

E no âmbito da partilha de informação e cooperação, quais são as informações que julga

necessárias serem partilhas (Vulnerabilidades, mecanismos de mitigação, boas práticas), e a

partilha deverá ser voluntária ou obrigatória?


#5 Deve-se partilhar os ataques ocorridos, os métodos de mitigação, para se garantir

uma atividade melhor no controlo da informação.

#6 A informação sobre os ataques, a forma de mitigação, para que se possa proteger

de uma forma melhor.

#7 Boas Práticas, mecanismos de mitigação.

#8 Ações de mitigação (práticas operacionais que as organizações usam para garantir a

segurança nas organizações).


As informações a serem partilhadas apresentadas pelos entrevistados são relevantes para se

criar um quadro situacional conforme mencionado na questão anterior. Deve haver a cooperação

entre as organizações envolvidas na rede de partilha de informação.

Questão n.º 8

Como empresa que atua no ramo das TIC, de que forma garante a proteção dos seus clientes

(outros operadores de ICs e não críticas), atendendo a interdependência que existe entre os

sectores?


#5 A organização só fornece serviço de segurança se o cliente solicitar, o cliente é

responsável pela segurança dos seus ativos, o cliente deve estar munido, preparado

para a segurança da sua infraestrutura.

#6 O cliente é responsável pela segurança da sua infraestrutura, deve estar preparado

para manter a segurança dos seus ativos.

#7 O cliente deve ser responsável pela segurança da sua organização, porém caso solicite

alguma intervenção, é efetuado com base a petição do cliente final.

#8 A responsabilidade principal é do cliente, mas a nossa organização pode garantir a

segurança caso o cliente solicitar.

67


Nesta questão é percebido que o cliente final tem a responsabilidade de salvaguardar a sua

infraestrutura, portanto deve optar pela implementação não apenas de mecanismos. No entanto,

também deve criar as políticas de segurança dentro da sua empresa, uma vez que o provedor

poderá apenas proporcionar segurança naquele serviço que fornece, mas o ambiente corporativo

(ativos críticos, pessoas, ambiente físico) do cliente é de sua inteira responsabilidade.

Questão n.º 9

A sua organização manteria o nível de operacionalidade se as suas ICs fossem alvos de um

ciberataque de grande impacto, continuaria a prestar serviços essenciais e preservar os ativos

essenciais durante os ataques?


#5 A organização sim possui várias medidas de segurança e ainda possui implementações

redundantes, na eventualidade de um ataque consegue recuperar os serviços dentro

de pouco tempo, fazendo com que o downtime seja bem menor.

Fruto dos ataques ocorridos, a organização ganhou experiência neste sentido.

#6 De uma forma geral pode-se dizer que a maior parte das organizações não são

resilientes, pois para garantir a resiliência é necessário que na organização exista não

apenas a segurança da informação, mas ações de continuidade e recuperação em caso

de desastres.

#7 De uma forma geral pode-se dizer as organizações não são resilientes.

#8 Ainda não se pode afirmar que as organizações neste ramo são resilientes.

Análise da questão 9

Os entrevistados na sua maioria consideram que as organizações ainda não são resilientes. Esta

questão esclarece que existe muito trabalho a realizar. Conforme afirmou o segundo

entrevistado, há que se focar na continuidade e recuperação em caso de calamidades.

68

Análise das questões fechadas

10. A organização já foi alvo de ciberataques?

11. A organização encontra-se preparada para realizar a nível tecnológico, processual e

humano, investigações forenses complexas decorrentes de ciberataques?

12. Existe uma área específica para o tratamento de incidentes de cibersegurança? A

organização possui um CSIRT?

13. De uma forma geral está preparada para reagir a um ciberataque de larga escala?

14. Considera urgente a aprovação de uma Estratégia Nacional para a Cibersegurança?

15. Considera de extrema importância a aprovação de uma lei em matéria de Criminalidade

Informática de modos a auxiliar na implementação da cibersegurança?

16. A organização usa alguma norma no âmbito da Cibersegurança / Segurança da

Informação?

17. Existe algum plano na capacitação de recursos humanos para a área da Cibersegurança

(Há uma cultura de cibersegurança na organização)?

18. A organização tem consciência dos riscos no ciberespaço?

19. A organização possui um plano de Continuidade de Negócio?

Item Opções Entrevistados Contagem (%)

5 6 7 8

Questão nº 10

Alvo de ciberataques Sim X X 2 50%

Não X X 2 50%

Questão nº 11

Realização de

Investigações

Forenses

Sim

Não X X X X 4 100%

Questão nº 12

CERT/CSIRT Sim

Não X X X X 4 100%

Questão nº 13

Preparada para reagir

a ciberataques

Sim X X 2 50%

Não X X 2 50%

Questão nº 14

Sim X X X X 4 100%

69

A crescente dependência do ciberespaço contribui para o desenvolvimento e crescimento

económico no país, porém existem várias ameaças neste ambiente virtual que podem colocar

em risco as infraestruturas críticas, os entrevistados afirmam que realmente são conhecidos os

riscos provenientes do ciberespaço, e com isso consideram urgente a aprovação de uma lei que

criminalize os actos cometidos no ciberespaço, e também a aprovação uma estratégia nacional

de cibersegurança, considera-se também fundamental a criação de uma equipa de respostas a

incidentes a nível nacional que deverá ser o ponto central para coordenação de resposta à

incidentes.

É necessário de igual modo apostar no desenvolvimento de competências internas (investir em

pessoas, tecnologias, adotar normas de segurança ou boas práticas a nível de cibersegurança)

de formas a tornar as organizações preparadas para responder aos ciberataques.

Aprovação de uma

estratégia de

cibersegurança

Não

Questão 15

Aprovação de uma lei

em matéria de

Criminalidade

Informática

Sim X X X X 4 100%

Não

Questão 16

Normas de

cibersegurança /

segurança de

informação

Sim

Não X X X X 4 100%

Questão 17

Desenvolvimento de

RH no âmbito da

cibersegurança

Sim

Não X X X X 4 100%

Questão 18

Consciência dos riscos

do ciberespaço

Sim X X X X 4 100%

Não

Questão 19

Plano de Continuidade

de Negócio

X 1 25%

Não X X X 3 75%

70

Conclusão

As ameaças oriundas do ciberespaço são de carácter global, Angola não está imune a estes ataques.

Todos os dias ocorrem ciberataques independentemente do impacto, não se pode negar o efeito

disruptivo dos mesmos.

Hoje para efetuar um ciberataque não são necessários recursos sofisticados, e por serem executados

num espaço virtual sem fronteiras, os países a nível mundial têm envidado esforços na busca de

soluções para fazer face a este grande desafio que é manter a cibersegurança.

As infraestruturas críticas são elementos vitais para os países, dada a importância que elas

representam tem sido um grande alvo de ciberataques procurando interromper o seu funcionamento

temporariamente ou de forma prolongada. Pelas funções que elas exercem não devem conviver com

problemas de continuidade razão pela qual devem ser implementadas medidas de segurança de formas

a salvaguardá-las em caso de ataques.

Deve-se criar um plano nacional de proteção de infraestruturas, com medidas definidas para que sirva

de guia para os operadores de infraestruturas críticas.

A cibersegurança deve envolver a proteção das infraestruturas críticas, pois infraestruturas críticas

vulneráveis, expõem o país de igual modo a riscos.

Já existe muita informação disponível sobre essa temática, e muitos países e organizações têm

publicado as medidas adoptadas neste âmbito.

O exemplo observado em alguns países foi o da cooperação internacional, por ser uma área a ser

desenvolvida no país deve-se contar com a parceria de países que estejam avançados no tema da

cibersegurança para procurar medidas que se podem adaptar á realidade angolana.

Face a este quadro, passará a se verificar a veracidade das hipóteses enunciadas no princípio deste

trabalho com base a pesquisa de campo e análise de conteúdo.

Verificação das Hipóteses

Hipótese 1 – “Angola tem definido um plano nacional de proteção para as infraestruturas críticas

que engloba o conceito, os sectores e o responsável pelas atividades.”

Esta hipótese encontra-se refutada pelo facto de não se ter verificado ou encontrado um plano nacional

para a proteção das infraestruturas críticas.

Existe a Lei das Comunicações Eletrónicas e Dos Serviços da Sociedade da Informação (Lei nº 23/11

de 20 de Junho), que estabelece as bases da disciplina e regulamentação jurídica das comunicações

eletrónicas da sociedade da informação, bem como o regime jurídico relativo ao tratamento de dados

pessoais e a proteção da privacidade nas comunicações eletrónicas.

A lei faz menção ao conceito de Infraestrutura Crítica, não fazendo alusão de quais são os sectores

críticos, quais são as medidas para identificação das IC, os responsáveis pela adoção de medidas de

proteção e a articulação entre os responsáveis.

No que tange a administração pública, a mesma lei declara que compete ao Titular do Poder Executivo

em cada momento definir as infraestruturas críticas, submetendo-as à regulação mais exigente em

71

termos de segurança, integridade, disponibilidade e fiabilidade, particularmente em situações de

catástrofes, calamidades ou guerras.

Para que haja uma proteção das ICs é necessário que haja comunicação, coordenação e cooperação

com o sector privado, pois a maior parte das infraestruturas críticas pertencem ao sector privado.

Hipótese 2 - “As infraestruturas críticas do sector das TIC são seguras.”

Esta hipótese encontra-se parcialmente verificada. Partindo do principio que não existem

infraestruturas 100% seguras. Os operadores de infraestruturas críticas do sector das TIC têm criado

medidas de segurança, mas a maior parte é de opinião que se deve fazer mais na questão da

segurança das infraestruturas críticas das TIC.

O facto de existirem um número de ataques considerado baixo apresenta um quadro de segurança

considerado bom, o que influência para que o investimento na área, tanto em recursos materiais e

recursos humanos seja reduzido.

Hipótese 3 – “Os operadores de infraestruturas críticas do sector das TIC estão preparados para

dar resposta aos incidentes informáticos, mantendo assim a operacionalidade dos seus

serviços na ocorrência de um ataque cibernético.”

Esta hipótese encontra-se parcialmente refutada, pois segundo o parecer dos entrevistados, existem

organizações que possuem medidas criadas a nível de segurança, e no caso de outras ainda há muito

por se fazer o que leva a conclusão que não são resilientes.

Outro fator centra-se também pelo facto de não existirem equipas de resposta a incidentes (CSIRT)

onde estão incluídos serviços pró-ativos e reativos para fazer face aos ciberataques, e manter os

serviços operacionais na ocorrência de um ciberataque.

Hipótese 4 – “Existe a cooperação entre o sector público e privado na promoção da cultura de

cibersegurança nos operadores de infraestrutura crítica do sector das TIC.”

Esta hipótese encontra-se refutada, pelo facto de os entrevistados mencionarem que é necessário

haver uma cooperação local para endereçar este assunto.

Pouco se tem feito neste sentido. Tomou-se conhecimento que existem algumas iniciativas, tais como

conferências de segurança de informação, em que já se abordou de uma forma pedagógica sobre a

questão da cibersegurança.

A cibersegurança deve ser uma responsabilidade partilhada em que o Estado deve ser o principal

responsável na busca de soluções, e a participação do sector privado é de extrema importância pelo

facto da maior parte das infraestruturas críticas serem operadas por empresas privadas.

Confirmação dos objetivos gerais e específicos

Esta dissertação teve como objetivo geral apresentar as medidas a adotar no âmbito da cibersegurança

para a elaboração de uma estratégia de cibersegurança a nível nacional que contemple a proteção das

infraestruturas críticas angolanas do sector das TIC.

Através da pesquisa realizada tendo como base a realidade de outros países, entendemos que a

cibersegurança é transversal a todos os sectores, isso fez com que as medidas apresentadas partissem

de uma visão holística.

De acordo com o que se tem feito a nível de outros países, consideramos que as medidas apresentadas

neste trabalho são de grande pertinência no âmbito da cibersegurança.

72

No que tange aos objetivos específicos, de acordo o parecer dos entrevistados, podemos ter a noção

de quais são as infraestruturas críticas no sector das TIC e a sua importância em outros sectores de

atividades em Angola.

Quanto aos critérios de identificação das infraestruturas críticas no que toca a administração pública

mencionamos a Lei nº 23/11 das Comunicações Eletrónicas e dos Serviços da Sociedade da

Informação (artigo 44º), enquanto que para o sector privado pode-se depreender das entrevistas que

foram feitas aos responsáveis das organizações que um dos critérios de identificação das suas

infraestruturas é a importância que representa para os negócios da organização.

Sobre as iniciativas desenvolvidas para a prevenção e redução de ameaças cibernéticas, existem

algumas medidas já tomadas mencionadas pelos operadores de infraestruturas críticas, deve-se, no

entanto, investir cada vez mais em recursos tecnológicos e humanos para fazer face a esta nova onda

de ataques disruptivos contra as infraestruturas críticas.

A cibersegurança deve ser uma preocupação de todos, sendo assim, foi também abordado de igual

modo, não de uma forma exaustiva, os principais atores intervenientes para a abordagem desta

temática e elaboração de uma estratégia de cibersegurança em Angola.

Recomendações e sugestões

Através dos resultados obtidos na pesquisa foi possível constatar de uma forma geral que a

cibersegurança ainda não é a palavra de ordem em muitas organizações. As infraestruturas críticas

não podem conviver com problemas de continuidade, falta de resiliência. Algumas das organizações

que atuam no ramo não se encontram certificadas com uma norma de segurança, ainda não possuem

planos de continuidade de negócio no âmbito da segurança, planos de recuperação em caso de

desastres, e a maior parte dos entrevistados concorda que deve-se apostar mais na formação de

quadros para responder a demanda nesta área.

Face ao apresentado anteriormente apresentamos as recomendações e alguns documentos de

referência:

Elaboração de um plano nacional de proteção de infraestruturas críticas.

Elaboração de uma estratégia de cibersegurança. (ITU National Cybersecurity Guide;

Estratégia nacional de segurança no ciberespaço – Portugal, Diretiva Europeia de Segurança

das Redes e da Informação [59]).

Criação de um centro nacional de cibersegurança para coordenar as atividades de

cibersegurança a nível público e privado. (Centro Nacional de Cibersegurança - Portugal).

Aprovação de uma lei que criminaliza todos os crimes cometidos no ciberespaço. (Lei do

cibercrime 109/2009).

Cooperação internacional a nível legal. (Convenção de Budapeste 2001).

Criação de um CERT/CSIRT nacional. (ENISA – Abordagem gradual de criação de uma

CSIRT).

Investigação e desenvolvimento na matéria de cibersegurança.

Criar uma cultura de cibersegurança a nível nacional através de formação e sensibilização.

Levantar uma Estrutura de Ciberdefesa.

73

Outras sugestões que apresentamos que podem ser adotadas pelos operadores de infraestruturas

críticas do sector das TIC são:

Normas de segurança de informação, adopção de boas práticas no âmbito da

cibersegurança. (ISO 27001:2013; ISO 27032:2012; ITU-T X.1205)

Planos de continuidade de negócio. (ISO 22301:2012; ISO 27001:2013 – A.17)

Plano de recuperação em caso de desastres. (ISO 22301:2012)

Cooperação e partilha de informações através de uma rede de confiança.

Criação de equipas de resposta a incidentes.

Auditoria e monitorização contínua.

Limitações ou problemas

No decorrer da elaboração deste trabalho foram encontradas muitas dificuldades pelo facto de não ser

ainda um assunto muito abordado em Angola, e por não haver quase nada escrito sobre esta temática

no que toca a realidade Angolana, o que se procurou superar através das entrevistas aplicadas.

Outra dificuldade encontrada foi no contacto das organizações para as entrevistas, algumas instituições

declinaram a solicitação feita, acreditamos que foi pela sensibilidade do tema.

Trabalho Futuro

Terminando o trabalho a que nos propusemos, consideramos relevante a abordagem de alguns temas

para investigações futuras no país.

A ciberdefesa por ter a função de garantir ações de segurança e defesa nacional, ou seja, garantir a

soberania do estado no ciberespaço global, é uma área que contribui para cibersegurança, é de

extrema importância compreender os passos que devem ser seguidos para o estabelecimento de uma

estrutura de ciberdefesa de modo a defender o país contra ciberataques.

Deve também ser considerado realizar estudos e aprofundar os conhecimentos no que tange a

aplicação de análises forenses na recolha de prova digital para os cibercrimes.

74

Bibliografia

[1] IDN, Paulo Fernandes Viegas Nunes (b), A Definição de uma Estratégia Nacional de

Cibersegurança, 2012.

[2] International Affairs Review, “Ataque de Negação de Serviço: A Ciberguerra na Estónia e as

suas implicações na Segurança dos Estados Unidos,” [Online]. Available: http://www.iar-

gwu.org/node/65. [Acedido em 04 02 2016].

[3] F. L. d. Reis, Como Elaborar uma Dissertação de Mestrado, Lisboa: PACTOR, 2010.

[4] F. Fernandes, “A Cibersegurança e as Estruturas Críticas: A GNR,” 2013. [Online]. Available:

http://comum.rcaap.pt/bitstream/10400.26/7657/1/Vers%C3%A3o%20Final%20189%20Fernan

des.pdf. [Acedido em 15 05 2015].

[5] FOLDOC, Free On-line Dictonary of Computing, “Tecnologia de Informação e Comunicação,”

2008. [Online]. Available:

http://foldoc.org/Information%20and%20Communication%20Technology. [Acedido em 14 11

2015].

[6] Casa Branca (a), “Política do Ciberespaço,” [Online]. Available:

https://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf. [Acedido

em 07 09 2015].

[7] IDN, Instituto da Defesa Nacional (a) , “Estratégia da Informação e Segurança no Ciberespaço,

nº 12,” 2013. [Online]. Available:

http://www.idn.gov.pt/publicacoes/cadernos/idncaderno_12.pdf. [Acedido em 04 10 2015].

[8] ITU, União Internacional das Telecomunicações, “Visão Geral sobre a Cibersegurança,

Recomendação ITU-T X.1205,” 2008. [Online]. Available:

https://ccdcoe.org/sites/default/files/documents/ITU-080418-RecomOverviewOfCS.pdf .

[Acedido em 10 09 2015].

[9] “Ghernaouti-Hélie, Solange,” 2009. [Online]. Available: http://www.itu.int/ITU-

D/cyb/publications/2009/cgdc-2009-e.pdf. [Acedido em 10 10 2015].

[10] Jorge Ralo, “Direção Geral de Política de Defesa Nacional,” [Online]. Available:

http://dgpdn.blogspot.fr/2013/03/artigo-de-opiniao-ciberseguranca-e.html. [Acedido em 24 12

2016].

[11] P. Santos, R. Bessa e C. Pimentel, Cyberwar, O Fenómeno, as Tecnologias e os Atores, Lisboa:

FCA, 2008.

[12] Casa Branca (c), “Estratégia Nacional para a Segurança do Ciberespaço,” 2003. [Online].

Available: https://www.us-cert.gov/sites/default/files/publications/cyberspace_strategy.pdf.

[Acedido em 20 10 2015].

75

[13] Paulo Viegas Nunes, Sociedade em Rede, Ciberespaço e Guerra Informação - Contributos para

o Enquadratamento e Construção de uma Estratégia Nacional da Informação., Lisboa: IDN,

2015.

[14] J. l. d. Santos, “Contributos para uma melhor governação da cibersegurança em Portugal,”

[Online]. Available: http://run.unl.pt/bitstream/10362/7341/1/Santos_2011.PDF. [Acedido em 03

Outubro 2015].

[15] ENISA, “Enisa Threat Landscape,” 2015. [Online]. Available:

https://www.enisa.europa.eu/news/enisa-news/enisa2019s-cyber-threat-overview-2015.

[Acedido em 2016 03 10].

[16] Hackmagedom, [Online]. Available: http://news.softpedia.com/news/the-number-of-reported-

cyber-attacks-grew-in-2015-500303.shtml. [Acedido em 23 02 2016].

[17] R. M. P. Natário e P. F. V. Nunes, Risco Social no Ciberespaço. A Vulnerabilidade das

Infraestruturas Críticas, 2014.

[18] Casa Branca (b), “Estratégia Nacional de Segurança,” 2010. [Online]. Available:

https://www.whitehouse.gov/sites/default/files/rss_viewer/national_security_strategy.pdf.

[Acedido em 10 09 2015].

[19] Casa Branca (d), “Estratégia Internacional para o Ciberespaço,” 2011. [Online]. Available:

https://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspac

e.pdf. [Acedido em 20 11 2015].

[20] NIST, “Plataforma de Trabalho para Melhorar a Cibersegurança nas Infraestruturas Críticas,”

2014. [Online]. Available:

https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-

021214.pdf. [Acedido em 17 11 2015].

[21] Ministério Federal do Interior, “Estratégia de Cibersegurança da Alemanha,” 2014. [Online].

[Acedido em 17 11 2015].

[22] Ministério da Economia e das Comunicações, “Estratégia de Cibersegurança,” 2014. [Online].

[Acedido em 17 11 2015].

[23] Ministério de Segurança Pública (a), “Estratégia Nacional de Cibersegurança,” 2010. [Online].

Available: http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/cbr-scrt-strtgy/cbr-scrt-strtgy-eng.pdf.

[Acedido em 15 11 2015].

[24] Diário da República , “Estratégia Nacional de Segurança do Ciberespaço, 1.ª série — N.º 113,”

12 06 2015. [Online]. Available: https://dre.pt/application/conteudo/67468089. [Acedido em 11

11 2015].

[25] Departamento de Segurança Interna, “Panorama da Cibersegurança,” 2015. [Online]. Available:

http://www.dhs.gov/cybersecurity-overview. [Acedido em 17 11 2015].

[26] Departamento de Segurança de Interna, “O que é infraestrutura crítica?,” 2013. [Online].

Available: https://www.dhs.gov/what-critical-infrastructure. [Acedido em 24 10 2015].

76

[27] Casa da Branca (e), “Diretiva Presidencial de Segurança e Resiliência nas Infraestruturas

Críticas,” 2013. [Online]. Available: https://www.whitehouse.gov/the-press-

office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil. [Acedido

em 25 10 2015].

[28] Departamento de Segurança Interna (b), “Setor de Energia,” 2015. [Online]. Available:

http://www.dhs.gov/energy-sector. [Acedido em 15 11 2015].

[29] Departamento de Segurança Interna (c), “Setor das Comunicações,” 2015. [Online]. Available:

http://www.dhs.gov/communications-sector. [Acedido em 28 10 2015].

[30] Departamento de Segurança Interna (d), “Setor de Tecnologia de Informação,” 2015. [Online].

Available: http://www.dhs.gov/information-technology-sector. [Acedido em 30 10 2015].

[31] Departamento de Segurança Interna (e), “Plano Nacional de Proteção das Infraestruturas,”

2013. [Online]. Available: http://www.dhs.gov/sites/default/files/publications/National-

Infrastructure-Protection-Plan-2013-508.pdf. [Acedido em 11 11 2015].

[32] Ministério da Segurança Pública(b), “Estratégia Nacional para as Infraestruturas Críticas,” 2009.

[Online]. Available: http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/srtg-crtcl-nfrstrctr/srtg-crtcl-

nfrstrctr-eng.pdf. [Acedido em 17 10 2015].

[33] Ministério da Segurança Pública (c), “Plano de Ação para as Infraestruturas Críticas,” 2014.

[Online]. Available: http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/pln-crtcl-nfrstrctr-2014-

17/pln-crtcl-nfrstrctr-2014-17-eng.pdf. [Acedido em 16 11 2015].

[34] Diário da República, “Decreto-Lei n.º 62/2011 1.ª série — N.º 89,” 9 5 2011. [Online].

[35] União Europeia, “Diretiva 2008/114/CE do Conselho - relativa à identificação e designação das

infra-estruturas críticas europeias e à avaliação da necessidade de melhorar a sua protecção,”

08 12 2008. [Online]. Available: http://eur-lex.europa.eu/legal-

content/PT/TXT/PDF/?uri=CELEX:32008L0114&from=PT. [Acedido em 16 09 2015].

[36] Segurança Online, “Proteção e gestão de infraestruturas críticas,” [Online]. Available:

http://www.segurancaonline.com/gca/?id=966. [Acedido em 17 10 2016].

[37] Agência de Segurança do Estado, “Política Nacional de Cibersegurança da África do Sul,” 04

12 2015. [Online]. Available: http://www.gov.za/sites/www.gov.za/files/39475_gon609.pdf.

[Acedido em 01 04 2016].

[38] Departamento de Comércio e Indústria, “Programa de Infraestruturas Críticas,” 2015. [Online].

Available:

https://www.thedti.gov.za/DownloadFileAction?id=1033&filename=CIP_Guidelines.pdf.

[Acedido em 15 10 2015].

[39] Assembleia Nacional da África do Sul(b), “Projeto-Lei de Proteção das Infraestruturas Críticas,”

28 08 2015. [Online]. Available: http://pmg-assets.s3-website-eu-west-

1.amazonaws.com/150829pmb4-2015.pdf. [Acedido em 29 11 2015].

77

[40] Conselho Nacional de Segurança (a), “Estratégia Nacional de Cibersegurança,” 2014. [Online].

Available: https://cert.gov.ng/images/uploads/NATIONAL_CYBESECURITY_STRATEGY.pdf.

[Acedido em 25 11 2015].

[41] Assembleia Nacional da Nigéria, “Lei do Cibercrime [HB. 14.01.669],” 2014. [Online]. Available:

http://www.nassnig.org/document/download/1365. [Acedido em 26 11 2015].

[42] Conselho Nacional de Segurança (b), “Política Nacional de Cibersegurança,” 2014. [Online].

Available: https://cert.gov.ng/images/uploads/NATIONAL_CYBESECURITY_POLICY.pdf.

[Acedido em 25 11 2015].

[43] [Online]. Available: https://ccdcoe.org/sites/default/files/documents/ITU-080418-

RecomOverviewOfCS.pdf. [Acedido em 10 Setembro 2015].

[44] Comissão da União Africana, “Projeto de Convenção da União Africana sobre a adopção de

uma quadro jur~idico sobre a cibersegurança em África,” 01 09 2012. [Online]. Available:

http://au.int/en/sites/default/files/AU%20Convention%20(Portuguese)%20(13-11-

2012%20CSD).pdf. [Acedido em 1 10 2015].

[45] Diário da República de Angola, Iª série, nº 175, “Despacho Presidencial nº 71/11 - Livro Branco

das Tecnologias de Informação e Comunicação,” 12 09 2011.

[46] Gabinete do Vice-Ministro das Tecnologias de Informação, “O Desempenho de Angola no Sector

das Tecnologia de Informação e Comunicação no Âmbito das Recomendações da Cimeira

Mundial da Sociedade de Informação,” 2012. [Online]. Available: http://mediatecas.ao/wp-

content/uploads/2012/05/MTTI-Angola-e-WISIS_20120521.pdf. [Acedido em 20 05 2016].

[47] Gabinete do Vice-Ministro das Tecnologia de Informação, A Indústria das TIC em Angola,

Luanda, 2010.

[48] PORTAL DE ANGOLA, “Usuários de Internet em Angola,” 21 05 2013. [Online]. Available:

http://www.portaldeangola.com/2013/05/angola-tem-actualmente-cinco-milhoes-de-usuarios-

de-internet/. [Acedido em 20 05 2016].

[49] Diário da República de Angola, IªSérie, nº 115, “Lei nº23/11 Das Comunicações Electrónicas e

dos Serviços da Sociedade da Informação,” 20 06 2011. [Online].

[50] ITU, “Programa CIRT - CIRT Nacionais,” 2016. [Online]. Available: http://www.itu.int/en/ITU-

D/Cybersecurity/Pages/Organizational-Structures.aspx. [Acedido em 05 03 2016].

[51] Diário da República, “Decreto Presidencial n.º 179/14,” 25 07 2014. [Online]. Available:

http://www.mtti.gov.ao/Institucionais/Organigrama.aspx. [Acedido em 27 08 2016].

[52] Diário da República de Angola Iª Série - N.º 167, “Estatuto Orgânico do INACOM,” 09 09 2014.

[53] Diário da República, Iª Série - Nº 153, “Estatuto Orgânico do CNTI,” 20 08 2014.

[54] “Estatuto Orgânico do Ministério das Ciências e Tecnologias,” [Online]. Available:

http://www.minct.gov.ao/Institucionais/Organigrama.aspx.

78

[55] Ministério da Justiça e dos Direitos Humanos , “Atribuições do Ministério da Justiça e dos

Direitos Humanos,” [Online]. Available:

http://www.minjusdh.gov.ao/Institucionais/Atribuicoes.aspx. [Acedido em 20 03 2016].

[56] Ministério da Defesa Nacional , “Atribuições do Ministério da Defesa Nacional,” [Online].

Available: http://www.minden.gov.ao/Institucionais/Atribuicoes.aspx. [Acedido em 21 03 2016].

[57] Polícia Nacional de Angola, “Legislação - Estatuto Orgânico da Polícia Nacional,” [Online].

Available: http://cgpn.gov.ao/Legislacao. [Acedido em 22 03 2016].

[58] Kaspersky, “Mapa em tempo real de ciberataques,” [Online]. Available:

https://cybermap.kaspersky.com/. [Acedido em 30 05 2016].

[59] União Europeia, “Diretiva Europeia de Segurança das Redes e da Informação,” [Online].

Available: http://eur-lex.europa.eu/legal-

content/PT/TXT/PDF/?uri=CELEX:32016L1148&from=EN. [Acedido em 23 12 2016].

[60] PORTAL DE ANGOLA, “Usuários de Internet em Angola,” 21 05 2013. [Online]. Available:

http://www.portaldeangola.com/2013/05/angola-tem-actualmente-cinco-milhoes-de-usuarios-

de-internet/. [Acedido em 20, z 05 2016].

80

Anexos

Anexo 1 – Perfil dos países

Estados Unidos da América

Disponível em: http://www.itu.int/en/ITU-

D/Cybersecurity/Documents/Country_Profiles/United_States.pdf

http://www.itu.int/en/ITU-%20D/Cybersecurity/Documents/Country_Profiles/United_States.pdf

http://www.itu.int/en/ITU-%20D/Cybersecurity/Documents/Country_Profiles/United_States.pdf

81

Canadá


D/Cybersecurity/Documents/Country_Profiles/Canada.pdf

Portugal

Disponível: http://www.itu.int/en/ITU-

D/Cybersecurity/Documents/Country_Profiles/Portugal.pdf~

África do Sul


D/Cybersecurity/Documents/Country_Profiles/South_Africa.pdf

Nigéria


D/Cybersecurity/Documents/Country_Profiles/Nigeria.pdf

82

Anexo 2

Entrevista: Eng.º Lino Alves dos Santos

Questionário sobre a Cibersegurança nas Infraestruturas Críticas Nacionais

No âmbito da realização do mestrado em Segurança de Informação e Direito no Ciberespaço,

como parte do trabalho de investigação que se deseja desenvolver, solicitamos a sua maior

contribuição na investigação que se leva a cabo sobre “Cibersegurança nas Infraestruturas

Críticas do sector das TIC em Angola”, com intuito de percebermos a visão que a empresa tem

sobre essa temática e compreender as iniciativas que tem sido levadas a cabo por este sector

no que tange a cibersegurança, agradecemos desde já, a sua colaboração na presente

investigação.

Dados do Entrevistado

Nome Lino Alves dos Santos

Função Responsável pelo Departamento de Operações e Controlo

Área Departamento de Operações e Controlo

Organização Centro Nacional de Cibersegurança (CNCS)

Questões

1. O que são Infraestruturas Críticas (IC)? E quais são os sectores que considera como

mais críticos em Portugal?

A definição de Infraestrutura Crítica está prevista na lei, no Decreto-Lei n.º 62/2011, e que

reproduz a transposição da Diretiva Europeia para a proteção das I.C Europeias, portanto o

legislador aqui em Portugal, aproveitou o momento da transposição e aplicou as mesmas

disposições para ICs nacionais.

Entende-se por ICs, aquelas Infraestruturas cuja a disrupção prolongada afecta o bom

funcionamento de um conjunto de elementos, desde o bom funcionamento do Estado de Direito,

o bem-estar social, os valores democráticos, portanto um conjunto de elementos que se forem

afetados devido a uma disrupção forte ou prolongada levem a que se considere aquilo como uma

I.C

Com base nesta definição o primeiro passo foi definir um conjunto de critérios e parâmetros e

com isso foi possível efectuar a:

A identificação das ICs junto de cada um dos sectores.

Aproveitou-se uma estrutura que existia na altura em que isto foi feito, chamado de Sistema

Nacional de Gestão de Crises, que possuía o que se chamava Comissão de Planeamento Civil

de Emergência sectorial que englobava o sector da Saúde, Energia, Transporte,

Telecomunicações, Banca, portanto cobria quase todos os sectores de atividades.

83

Depois de feita a identificação, foi feita uma espécie de matriz de propagação de efeito,

devido a interdependência que existe entre as ICs, e foi pesada o valor de cada uma

das infraestruturas independentemente do sector relativamente aos outros e foi feita

uma hierarquia de infraestruturas.

Não se pode dizer qual é o sector mais crítico, porque é uma questão que hoje academicamente

não faz sentido responder, devido a interdependência que existe entre eles, se formos a olhar

por exemplo na questão do sector das comunicações e da energia, a falha de um sector afecta

o outro, portanto não se pode dizer qual deles é o mais importante em relação ao outro.

A União Europeia dentro do programa de proteção de I.C priorizou dois sectores: Energia e

Transportes.

De acordo as medidas de proteção que são necessárias e obrigatórias para as IC, os próprios

operadores são responsáveis pela criação dos seus próprios planos de segurança para o

cumprimento dessas medidas são aprovados pelo SGSSI (Secretário Geral do Sistema de

Segurança Interna), são auditadas depois da sua implementação para avaliar a sua eficácia.

Essas medidas de segurança são espécies de guidelines face a determinados tipos de ameaças,

em Portugal estão a ser tratadas três tipos de ameaças contra as I.C: Terrorismo, Atividade

Sísmica e Ciberconflitos.

2. Como conceitua a cibersegurança, qual é a importância e o impacto que a mesma tem

para as IC nacionais?

A relação entre a Cibersegurança e a Proteção de IC é grande, por duas razões principais, uma

delas é que cada vez mais as ICs incorporam elementos do ciberespaço, elementos de

tecnologia: por razões de custo, facilidades, e porque auxiliam as operações das IC.

Exemplo típico: hoje em dia as barragens já não são operadas localmente, mas sim a partir de

um ponto central, quando antigamente sem telecomunicações de baixo custo ou capacidade

para o fazer eram operadas localmente, por técnicos locais, e isto obviamente introduz

vulnerabilidades que não existiam no passado relativamente a esta operação.

A segunda razão que está diretamente ligada a primeira, é que a maior parte dos dispositivos

SCADA ou sistemas SCADA, são sistemas muito antigos, que foram preparados exatamente

para uma operação local e não remota, portanto foram sistemas que não tiveram do ponto de

vista da sua concepção, da arquitetura não tiveram qualquer tipo de preocupação com ameaças

externas, ameaças de fora do perímetro de segurança, pois não era suposto estarem ligados a

Internet e esse é o problema que está ligado ao primeiro, mas é um problema extremamente

grande, porque está a se a falar de sistemas de legacy que do ponto de vista de arquitetura não

foram pensados para este ambiente de hiperconectividade, esta é de facto a relação existente

entre a cibersegurança e IC, portanto é tentar resolver este problema, isto do ponto de vista de

tecnologia.

Por outro lado do ponto de vista humano, penso que todos os países sofrem do mesmo problema

que é a falta de recursos humanos com as capacidades ou a perceção desta realidade que é o

ciberespaço ou de ter os sistemas ligados ao ciberespaço e o perigo que acarreta esta ligação.

84

Para mim a Proteção das IC é uma das componentes mais importante dentro daquilo que se

pode chamar o conjunto de políticas públicas para uma melhor cibersegurança, além dela temos

o cibercrime que é um outro contributo para as políticas para melhorar a cibersegurança.

3. O Centro Nacional Cibersegurança (CNCS) existe já um ano, portanto neste primeiro

ano em atividade qual é o balanço que faz?

O CNCS tem um ano e três meses de atividade, e pretende endereçar as questões de Proteção

de IC e Cibercrime, mas começou a trabalhar em respostas a incidentes conceito equivalente a

CERTs, pode ser comparado ao serviço nacional de bombeiros para o ciberespaço, ou seja, é

uma entidade cuja a missão principal é reagir, mitigar, recuperar a confiança aos sistemas

informáticos que de alguma foram comprometidos ou alvos de ataques.

Existe também a componente de formação e treino, onde também o CNCS tem trabalhado, a

outra componente que ainda não se tem trabalhado muito é a componente dos referenciais

normativos, neste momento existem apenas alguns documentos produzidos e que estão

disponíveis no site, esta componente inclui a criação de normas, standards, referenciais e de

boas párticas que ajudem os utilizadores finais, administradores de sistemas.

Algumas entidades trabalham muito pouco a área da cibersegurança, para além do que são as

boas práticas, não têm referenciais, não sabem exatamente qual é o objetivo a atingir.

O CNCS produziu um referencial concernente a definição do que se chama Baseline Capability

para reação de incidentes, um conjunto de capacidades mínimas que devem ser cumpridas por

todas as entidades do Estado e operadores de IC no que se refere a nível de preparação para

reagirem a incidentes.

Está a se trabalhar num outro referencial normativo para a componente de deteção de incidentes

e pretende-se para este ano ainda elaborar um outro documento para Gestão de Segurança de

Informação dentro das organizações.

O CNCS tem o objetivo de produzir um conjunto de referenciais que orientem no fundo, do ponto

de vista de políticas públicas o que é que as entidades do Estado e os operadores de I.C devem

ter implementados.

A componente de resposta a incidentes foi a prioridade do CNCS em ter um ponto focal para a

coordenação nacional de resposta a incidentes, um local onde é suposto parar todas as

informações relativas a incidentes que acontecem na comunidade servida (entidades do Estado

e operadores de IC), para de alguma forma se ter o panorama do que se passa do ponto de vista

de cibersegurança em Portugal.

A Investigação também é uma componente importante que obviamente se tiver desenvolvida

para ajudar a cibersegurança nacional e a componente de ciberdefesa, numa perspetiva de

garantir a soberania, e garantir a informação.

Em suma o balanço que se faz é positivo, de facto ainda há muita coisa por se fazer, o ritmo

deve ser sempre crescente.

Se formos a pensar no que o Estado usou como ferramenta para combater a conflitualidade do

ciberespaço, temos 4 domínios.

85

Diplomacia

Tratando-se de um problema transnacional, os países têm que se relacionar para resolver

problemas.

A maior parte dos ataques que um país sofre de certeza absoluta são originados de fora, de

alguma forma deve haver relações transnacionais, e estas relações podem estar numa camada

institucional por exemplo organismos de investigação criminal (nomeadamente a Interpol) que

podem ajudar a trabalhar na questão, mas também podem estar numa camada acima de

relações diplomáticas com acordos bilaterais para endereçar o assunto, é o que acontece com

ciberterrorismo que também é um fenómeno transnacional.

Defesa

Tem uma lógica externa, garante a questão da soberania nacional e que hoje em dia tem uma

lógica de corrida ao armamento para utilização do ciberespaço como meio de ataque, existem

países que lideram essa área e que já estão a trabalhar nesta componente de Defesa.

Plano de Prossecução Criminal

Os países Europeus e muitos outros têm já definidos nas suas leis o conceito de cibercrime, e

tipificados quais são os cibercrimes.

Portanto temos os crimes que pressupõem a salvaguarda do valor de património (sabotagem,

interferência nos dados) - os atos perpetrados contra sistemas informáticos, mas cibercrimes não

se enquadram apenas nesta classificação, são considerados também cibercrimes, os crimes

comuns realizados através de meios informáticos.

Em Portugal, o cibercrime mais comum é o Devassa da vida privada, portanto é um crime comum,

está previsto no código penal, mas é realizado por meio informático.

Portanto temos como entidades responsáveis a trabalhar nesta área: os Órgãos de Polícia

Criminal, a Polícia Judiciária, o Ministério Público.

Proteção Simples

Tem todas as medidas “civis” que contribuem para a cibersegurança nacional, está a se falar de

condutas, regulação de mercado, normas, portanto tudo que não se enquadra nos 3 domínios já

abordados, o CNCS trabalha essencialmente nesta componente e cujo o objetivo é assegurar a

confidencialidade, disponibilidade e a integridade de informação dos sistemas de informação

nacionais, enquanto que na Prossecução Criminal o objetivo é levar a Justiça e condenar os

cibercriminosos, na Ciberdefesa é ganhar uma superioridade sob um outro Estado e na

Diplomacia é manter a paz.

Dip

lom

acia

Def

esa

Pla

no

de

P

ross

ecu

ção

C

rim

inal

Pro

teçã

o

Sim

ple

s

(CN

CS)

86

4. Quais são os principais desafios da cibersegurança em Portugal?

São dois, um deles é: estabelecer o nível de confiança necessário com a comunidade servida,

isto significa que o CNCS dispa a sua camisola de autoridade nacional, e se relacione com as

entidades do Estado e os operadores de IC, como uma mais valia para cibersegurança nacional,

e que haja confiança deles no trabalho do CNCS.

A cibersegurança precisa de partilha de informação, cada um dos participantes vê um pouco

daquilo que é a realidade, e ela é tão mais eficaz quando há partilha da informação, e para isso

é necessário que haja confiança entre as partes envolvidas.

Desafios da cibersegurança em Portugal

Para a realização de cada uma das tarefas a nível dos 4 domínios mencionados , existem várias

autoridades nacionais que trabalham nestas áreas: Forças Armadas, Serviço de Inteligência,

Órgãos de Investigação Criminal, Ministério Público, Reguladores sectoriais, por exemplo, o

Banco de Portugal, a ANACOM (regulador das telecomunicações), e estes é que são os pares

do CNCS, deve-se criar um nível de articulação suficiente para que haja uma visão nacional da

cibersegurança, portanto isto é teoricamente.

Na prática, o CNCS tem um projeto agora em 2016 que visa a criação de um quadro situacional

de cibersegurança baseada na informação de múltiplas fontes, neste momento já existem mais

de 60 fontes de informação e pretende-se que seja um quadro partilhado por estas outras

autoridades, pretende-se por exemplo saber se o Centro de Ciberdefesa tem a mesma visão que

o CNCS, sob o que se está a passar a nível de ataques externos.

a) E quais são essas fontes de informação?

Neste momento a maior parte são fontes abertas.

Fontes assumidamente públicas, de entidades reconhecidas que têm sensores, ou

quaisquer outros mecanismos de monitorização de atividade maliciosa no globo e

que fornecem informação contínua a Portugal.

Comunidades de CERTs internacionais.

Fontes de Fabricantes, -Comunidade de Segurança (Antivírus), Microsoft e outros.

Ainda tem poucas entidades, mas se está a trabalhar no sentido de recolher ou ter

sistemas de deteção dentro da comunidade servida, que vão produzir informação

sob o que estão a detectar.

Confiança Partilha de Informação

87

5. O CNCS é o coordenador operacional e a principal autoridade nacional na matéria de

cibersegurança. Quais são os outros intervenientes na matéria de cibersegurança? E

como tem sido feita a articulação e cooperação entre os vários intervenientes e

responsáveis nacionais na área da cibersegurança?

Ainda se está a desenvolver esse aspeto, um dos objetivos é a criação do quadro situacional que

deve ser partilhado com as restantes autoridades nacionais, é um dos desafios.

Com algumas dessas entidades, o CNCS tem inclusive o Operational Level Agreement sobre a

produção de informação e processos, o ideal é que em 2016, se tenha essa articulação

devidamente procedimentada.

Por exemplo: quando é o que o CNCS deve notificar a polícia judiciária relativamente a um

incidente.

Quais são os critérios para se notificar? O que deve ser notificado?

Pretende-se aproveitar a fase de planeamento do Exercício Nacional de Cibersegurança, para

se produzir uma versão deste documento, na qual se vai definir também como é que se escala

o problema do ponto de vista da perigosidade sob a mais diversas entidades.

Do ponto de vista da reação a incidentes e da coordenação nacional de respostas a incidentes:

a maior parte de dialogo é estabelecida entre as vítimas e o CNCS, (de acordo a solicitação ou

notificação das vítimas, o CNCS deve averiguar ou identificar de onde provém o ataque, tendo

em atenção o tipo de ameaça, depois de feita a análise, deve-se informar a entidade responsável

em Portugal e se por exemplo o ataque vir de fora deve-se articular com a congénere

internacional de onde provem o ataque.

6. Como tem sido a interação ou a comunicação com os operadores das Infraestruturas

Críticas (Público ou Privadas)?

Antes de mais existem duas abordagens que são complementares, uma delas é a notificação

voluntária, baseada nas relações de confiança suficientes que o CNCS deve ter para que as

entidades notifiquem os incidentes que têm, porque sabem que o CNCS vai auxiliar na resolução

dos mesmos.

A outra abordagem que está para breve por força da Diretiva Europeia de Segurança das Redes

de Informação tem o regime obrigatório de notificação.

O CNCS neste momento está a trabalhar com a notificação voluntária, está a trabalhar com um

instrumento que é uma mistura de duas abordagens bem conhecidas: uma delas é a definição

do Baseline Capability (Capacidades Mínimas), uma exigência que uma entidade dentro da

comunidade servida deve ter do ponto de vista: Humano, Técnico, Processual e Organizacional.

E através deste conjunto de capacidades mínimas, criou-se uma espécie de Roadmap que

implementa o modelo de maturidade.

Neste momento como objetivo interno, o CNCS tem definido para este ano, ter 50 entidades, a

trabalhar no modelo de maturidade e a desenvolver as suas capacidades, isso proporciona o

canal para estabelecer as relações de confiança, o CNCS vai trabalhar com entidades, vai ajudar

88

a desenvolver as capacidades, e espera-se com isso que as entidades ganhem confiança no

CNCS.

7. O que acha que ainda deve ser feito na área da cibersegurança em Portugal?

Do ponto de vista legal pode-se dizer que em Portugal não há um mal cenário, devido as medidas

legais adotadas.

Nota: sob o ponto de vista de Angola. Existe um

documento que tem uma ambição universal, apesar de ser do

Conselho da Europa, que é a convenção de Budapeste prevê

uma harmonização universal do direito substantivo e processual

relativamente ao cibercrime, por outras palavras consiste em,

por exemplo que a criminalização de atividades como Phishing

sejam iguais em todos os que países que aderem a esta

convenção.

O carácter universal da convenção já tem alguns frutos, tem alguns países como: África do Sul,

EUA, Japão, que já aderiram, e, portanto, aconselha-se vivamente a olhar para as suas

disposições.

O objetivo no fundo é não haver paraísos de cibercrimes, porque os atacantes podem usar esses

países para perpetrar os ataques.

8. Considera que a Estratégia Nacional de Segurança no Ciberespaço é suficiente ou

teria que se aprovar uma Lei de Cibersegurança?

Como se pretende ter um regime de notificação de incidentes obrigatório, deve-se ter a Lei de

Cibersegurança, e o momento ideal para se adotar a Lei, é o momento da transposição da

Diretiva Europeia da Segurança das Redes de Informação que pressupõe figuras como

Autoridade Nacional de Segurança das Redes de Informação, Centro Nacional que já está a ser

executado pelo CNCS e pressupõe também a figura do ponto de contacto para a coordenação

internacional de incidentes.

O Decreto n.º 69/2014 refere que o CNCS é o coordenador principal para as atividades de

cibersegurança com enfoque principal para as entidades do Estado e operadores de IC, mas, no

entanto, não está definida a parte procedimental ou seja o Decreto não cita como é que se

exercitam essas atividades, quais são os institutos legais, quais são as figuras disponíveis que

dão corpo a essa autoridade, não estão definidas e precisam ser circunscritas numa Lei da

Cibersegurança, porque a estratégia não preenche todas essas questões.

9. Qual é a opinião que tem sobre o sector das comunicações aqui em Portugal?

Em Portugal temos um sector das comunicações onde existe um elevado grau de competição,

apesar do mercado estar a encolher devido o número de operadores que tem vindo a diminuir.

Existe uma guerra em termos de preços, clientes e quando se trabalha essencialmente os

preços, normalmente não dá espaço para que haja investimento de Segurança.

89

Temos operadores de telecomunicações que já têm CSIRTs, a maior parte dos operadores de

telecomunicações fazem parte daquilo que é o maior exemplo que Portugal tem de parceria

público-privada que a rede Nacional de CSIRTs.

Há portanto a muito trabalho por se fazer no desenvolvimento de capacidades dos operadores

na componente de reação a incidentes, acredita-se que nas componentes de prevenção e

deteção até por interesses económicos e por riscos tenham essas capacidades mais

desenvolvidas.

O sector das comunicações é um elemento chave para todos os restantes sectores da sociedade

no que corresponde a cibersegurança, para proteção de IC, para os utilizadores finais ou

residenciais porque eles também de certa forma contribuem para a cibersegurança e

ciberinsegurança, porque se não haver uma algum tipo de higienização do ciberespaço nacional,

pode-se por simplesmente utilizar os sistemas internos para atacar outros países ou o próprio

país, portanto é a mesma coisa que os hackers usam “sistemas intermediários”, infetam os

computadores de terceiros que depois são usados para efetuar os ataques, faz parte da

cibersegurança nacional também assegurar que isso não aconteça.

O Papel dos Operadores de Telecomunicações

São as únicas entidades capaz de relacionar o IP com o número do

subscritor de serviço, portanto há aqui uma responsabilidade que tem

que ser assacada de uma forma mais positiva, os operadores de

telecomunicações têm que ser envolvidos na higienização da Internet.

10. Qual é a sua opinião, acha que as infraestruturas do sector das comunicações em

Portugal estão preparadas para enfrentar ataques cibernéticos e ainda continuar a

garantir a disponibilidade dos seus serviços para os outros sectores dependentes?

Sim, eles têm recursos e o fator humano também não é um problema, porém o que acontece é

que eles não têm as funções estruturadas, dentro da entidade.

Por exemplo: há um operador que tem o serviço de CSIRT, dentro do Departamento de

Tecnologia, isto não é aconselhável, do ponto de vista de organização, para segurança da

informação todas as boas práticas apontam que o CSIRT deve ser uma unidade autónoma das

Tecnologias de Informação para de alguma forma ter uma supervisão do que o Departamento

de Tecnologia faz.

11. Quais são as principais empresas do sector das TICs que trabalham diretamente com

o CNCS?

O CNCS trabalha com todos os operadores de comunicações eletrónicas, há ainda um outro

grupo que tem muita relevância neste contexto que são os prestadores de serviços de alojamento

de sites.

90

12. A cibersegurança pressupõe o conhecimento de ameaças e vulnerabilidades do

ciberespaço nacional? Como é feito o conhecimento dessas vulnerabilidades e

ameaças?

Primeiro o CNCS presta o serviço de alerta á comunidade servida, este serviço compõem uma

avaliação da comunidade internacional de cibersegurança, o CNCS está atento aos principais

blogs, as principais listas de distribuição, fóruns de hackers e depois faz-se uma avaliação, e

com base a avaliação, pode-se verificar por exemplo, que há uma entidade dentro da

comunidade servida que usa uma determinada tecnologia que tenha uma vulnerabilidade

publicada, neste caso faz-se um alerta direcionado a entidade já com a respetiva solução.

Relativamente a vulnerabilidades que podem afetar o público em geral, faz-se uma disseminação

de alerta em grande escala, através dos meios disponíveis, já com a solução.

Pode ser melhorado, este serviço de alerta é tão mais eficaz quando melhor for direcionada a

informação, para isso precisa-se saber o que é que existe dentro das entidades.

13. Além do CERT Nacional, em outros países existem os CSIRTs Gov e CSIRTs

Sectoriais, em Portugal funciona da mesma maneira ou existe uma outra estrutura?

Foi uma decisão política criar um único CERT Nacional. Portugal optou por ter um CERT focado

nas entidades todas do Estado incluindo o Governo e operadores de Infraestruturas críticas, a

decisão política foi criar um único, até porque não há muitos recursos nesta área.

O CERT Nacional faz a coordenação nacional, portanto queremos que nos nossos planos de

desenvolvimento, hajam CSIRTs Sectoriais e que sejam criados CSIRTs inclusive nas entidades

de maior dimensão, e que haja partilha de informação em rede.

14. Quais são os requisitos básicos para se estabelecer um CSIRT numa Organização?

Tem que ter o serviço de resposta a incidentes de segurança informática, e para isso precisa de

ter: pessoas, processos e tecnologia.

Pessoas: há vários modelos de grupos de pessoas, a tempo inteiro ou a tempo parcial.

Processos: que permitam que dentro da organização os incidentes sejam notificados a esta

equipa, o CSIRT tem que ser conhecido da comunidade que serve.

Tecnologia: sistema de registo de ocorrência ou de tratamento de incidentes, base de dados

para a informação recebida e contactos exteriores.

15. O CNCS possui serviços reativos e pró-ativos no combate a incidentes de

cibersegurança? Quais são?

Dentro do CERT tem essencialmente serviços reactivos.

Serviços Reativos: Coordenação nacional a resposta de incidentes, Alertas e tem outro serviço

de Suporte on Site em entidades do Estado e operadores de IC que não tenham capacidades

técnicas suficientes para fazer análises forenses ou qualquer outro passo de resposta a

incidentes, pode-se deslocar uma equipa para lá durante o tempo que for necessário.

91

Do ponto de vista preventivo ou pró-activo: vai ser o trabalho para 2016, o CNCS tem um projecto

chamado panorama: quadro situacional, onde vai ser montada a componente de deteção, em

estreita ligação com as entidades da comunidade servida, todos os artefactos de segurança que

a entidade já tem, produzirão informação que deverá ser transmitida de forma automática para o

CNCS, o que é relevante para se ter um panorama nacional.

Depois da implementação dos serviços pró-ativos, vai se separar a equipa de resposta a

incidentes que o CNCS tem em duas: uma vai tratar de respostas incidentes, e a outra vai fazer

a análise de toda informação que vai se receber.

16. Qual foi o maior incidente ou o maior ataque que país já sofreu?

Foi em 2011, uma série de ataques de hacktivistas contra os sites do Estado. Os ataques

começaram em outubro e só terminaram em meados de dezembro, durante este todo tempo

foram ataques atrás de ataques de hacktivismo.

Apesar do impacto ter sido baixo, teve uma projeção política muito grande, veio de alguma forma

alertar o poder politico para a incapacidade das estruturas de responderem a este tipo de

situações, do ponto de vista técnico não foi nada grave.

17. Para um País que esteja a estudar a questão da Cibersegurança para aprovar uma

estratégia, qual acha que deve ser o ponto de partida?

Cooperação, olhar para o que já foi feito. Nesta área já existe muita partilha de boas práticas,

deve-se, no entanto, analisar e adaptar de acordo a realidade do país.

Isso deve ser feito de duas maneiras:

Busca ativa de informação disponível e

Estabelecimento de cooperação internacional.

Cibersegurança nas Infraestruturas Críticas Angolanas do ...§a nas Infraestruturas Críticas...

Documents

Transcript of Cibersegurança nas Infraestruturas Críticas Angolanas do ...§a nas Infraestruturas Críticas...