A NOVA ESTRATÉGIA DA UE PARA A CIBERSEGURANÇA
Duas perspetivas complementares sobre o tema
A perspetiva jurídica:
A 16 de Dezembro de 2020, a Comissão Europeia e o Alto Representante da União Europeia (UE) para os Negócios Estrangeiros e Política de Segurança apresentaram a nova Estratégia da UE para a Cibersegurança, tendo sido assegurado um investimento de 4.500 milhões de euros durante os próximos sete anos.
De acordo com as declarações emitidas pela Comissão Europeia, a decisão de um investimento tão elevado deve-se, essencialmente, ao facto do futuro digital da Europa depender da transformação digital de milhares de empresas em todos os Estados-Membros, digitalização essa que apenas será viável se as pessoas e as empresas puderem ter confiança na segurança informática dos produtos e serviços dos quais dependem.
Esta estratégia surge após a entrada em vigor, a 17 de abril de 2019, do Regulamento (UE) 2019/881 relativo à ENISA (Agência da UE para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação.
Importa destacar que, em 2020, na sequência da pandemia de Covid-19, 40% dos trabalhadores da UE começaram a teletrabalhar, o que resultou num aumento colossal de ataques cibernéticos às empresas.
Neste contexto, uma em cada oito empresas sofreu um ataque cibernético que resultou no acesso, modificação, ou perda de informação. No entanto, o risco maior está previsto para a Internet das Coisas(1), cujo aumento esperado (deste tipo de objetos) pela UE nos seus Estados-Membros até 2025, é de 6,25 mil milhões.
A principal finalidade desta estratégia da UE para a cibersegurança relaciona-se com a proteção do Mercado Único Digital dos ataques cibernéticos, definindo a nível europeu, os aspetos a serem tidos em consideração para que esta proteção seja eficaz.
Assim, esta Estratégia tem três principais linhas de ação:
• Aumentar a segurança dos serviços essenciais e da Internet das Coisas, através da resiliência, soberania tecnológica e liderança(2);
• Reforçar a capacidade coletiva operacional para prevenir, dissuadir e reagir aos principais ciberataques(3);
• Trabalhar com parceiros em todo o mundo, de modo a garantir a segurança internacional e a estabilidade no ciberespaço, e promover a sua abertura à escala mundial(4).
No âmbito desta Nova Estratégia, foram ainda apresentadas duas propostas: a primeira, que será uma Diretiva relativa a Medidas Destinadas a Assegurar um Elevado Nível Comum de Cibersegurança em toda a UE (Diretiva SRI2), e uma segunda, que se traduzirá numa Diretiva relativa à Resiliência das Entidades Críticas (acompanhada por um Relatório de Avaliação de Impacto).
Uma nota também para aludir à Proposta da Diretiva SRI2, que vem revogar a Diretiva SRI de 2016. Tem como objetivo é melhorar e desenvolver o regime atual de cibersegurança, de forma a preparar a UE para os desafios inerentes à digitalização.
Assim, a Proposta prevê medidas para aumentar a supervisão e a execução das regras de cibersegurança, tais como:
• a introdução de coimas;
• a eliminação da distinção entre os conceitos «operador de serviços essenciais» e «prestador de serviços digitais». A distinção passa a ser entre entidades essenciais e importantes, que ficam sujeitas aos mesmos requisitos de gestão e informação em matéria de cibersegurança, ainda que a supervisão e as sanções possam ser distintas;
• uma ampliação do âmbito da Diretiva atualmente em vigor, passando a incluir outros setores e serviços considerados fundamentais, tais como telecomunicações, produtos químicos, alimentação entre outros;
• o alargamento do efeito extraterritorial no atual regime, determinando que os fornecedores de serviços digitais, mesmo não possuindo uma sucursal na EU, desde que ofereçam serviços nos seus Estados-Membros, estão igualmente abrangidos pelo âmbito da proposta de Diretiva.
No que respeita à Proposta de Diretiva relativa à Resiliência de Entidades Críticas, esta pretende reforçar a resiliência cibernética, substituindo a atual Diretiva Europeia de 2008 sobre Infraestruturas Críticas, ampliando o seu âmbito de aplicação de dois sectores para dez. Desta forma, esta Diretiva abrangerá o sector da energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestruturas digitais, administração pública e espaço.
Ambas as propostas de Diretivas deveriam ser debatidas e negociadas até 15 de fevereiro de 2021.
Além das propostas mencionadas, as instituições da UE chegaram a um acordo político sobre a criação de um Centro e uma Rede de Competência em matéria de Segurança Cibernética, com o principal objetivo de reforçar as capacidades europeias de segurança cibernética.
Este Centro pretende ainda melhorar a coordenação da investigação e inovação no domínio da cibersegurança na UE, constituindo também o principal instrumento da UE para mutualizar investimentos em investigação, tecnologia e desenvolvimento industrial no domínio da cibersegurança.
Está previsto que nos próximos meses, a Comissão Europeia continue a implementar novas medidas para reforçar a cibersegurança. Quando a negociação das referidas propostas estiver concluída, os Estados-Membros terão 18 meses para transpor para as Propostas para as respetivas jurisdições.
Assim sendo, este parece ser o momento certo para as empresas repensarem a sua estratégia de cibersegurança, de modo a protegerem-se, e a cumprirem com as exigências legais impostas pela UE.
A perspetiva de gestão do risco:
Centrando a nossa análise nas 3 principais linhas de ação desta Estratégia, o que podemos concluir?
Apesar de pretender aumentar a segurança através da resiliência e soberania tecnológica, por um lado, e reforçar a capacidade de prevenção, por outro, há uma falta de referência sobre 3 pontos essenciais na prevenção e mitigação do risco. A saber:
1. Opções relativas à soberania tecnológica;
2. Formação das pessoas como peça fundamental na prevenção de ciberataques; e
3. Apoio à mitigação do risco via subscrição de apólices de seguro, com a criação de um fundo de catástrofe semelhante aos existentes para as catástrofes naturais.
Sobre a oberania tecnológica, a aposta da UE deveria ser claramente o investimento no desenvolvimento de tecnologias descentralizadas, uma vez que só estas garantem efetivamente a segurança, a confidencialidade e a privacidade de sistemas e informações neles contidos.
A maioria dos programas conhecidos são centralizados, ou seja, são controlados por uma única entidade que guarda e fornece todos os dados, e todas as pessoas dependem desta entidade para utilizar o software(5).
As aplicações descentralizadas (DApps) seguem um modelo descentralizado de controlo(6) sobre as mesmas, o que se reflete numa série de características:
• devem ter código aberto e operar de forma autónoma, sem uma autoridade em particular no controlo;
• qualquer alteração só é executada depois de se atingir um consenso entre os participantes;
• protocolos e informações são armazenados em blockchain, protegidos por criptografia e acessíveis à rede descentralizada;
• são emitidos tokens, uma espécie de ficha virtual com valor atribuído, para permitir acesso à rede e também recompensar utilizadores;
• os tokens são gerados através de um algoritmo que incentiva a contribuição dos membros da rede(7).
Qual o motivo para a descentralização?
Simplesmente, substituímos o perigo de single point of failure/attack apresentado pelas tecnologias centralizadas, por uma mitigação do risco através da utilização das tecnologias descentralizadas, cada vez mais ao alcance do comum utilizador.
Em suma, em vez de capotes e chapéus de chuva representados pelos contínuos patchs de segurança e/ou aquisição de tecnologia para defrontar os problemas apresentados pela utilização de tecnologias centralizadas, muda-se a tecnologia.
Seria, provavelmente, melhor estratégia; tendo em conta o excessivo poder concentrado nas grandes empresas tecnológicas; apostar no desenvolvimento deste tipo de tecnologias.
Não se eliminavam os riscos, é certo, contudo, estes reduziriam, consideravelmente, face à realidade atual.
Paralelamente, no que respeita ao pretendido com a terceira linha de ação, ou seja, a proteção dos direitos humanos e as liberdades fundamentais na Internet, só a utilização de tecnologia descentralizada pode ser verdadeiramente censorship resistant.
Quanto à formação das pessoas como peça fundamental na prevenção dos riscos associados à cibersegurança, teria de estar diretamente ligada ao ponto anterior.
Os utilizadores das tecnologias digitais devem saber como lidar com tentativas de ataques, como proteger a sua privacidade online e saber identificar notícias falsas, mas também devem ter a noção dos perigos existentes na utilização de tecnologias centralizadas, das quais as redes sociais centralizadas são um bom exemplo.
Estes programas de sensibilização em cibersegurança deveriam estar centrados em 3 categorias: a proteção das pessoas, dos equipamentos e da informação.
Havendo um programa comum de aprendizagem baseado nestas 3 categorias, poderia ser utilizado o ecossistema existente de empresas que prestam este tipo de serviços, entregando vales-formação às pessoas e/ou empresas, e desta forma apostar a sério na prevenção de incidentes cibernéticos.
A terminar, sobre o incentivo à subscrição de apólices de seguros de riscos cibernéticos e constituição de um fundo de catástrofe neste domínio, este seria o completar da barreira de proteção necessária à cibersegurança na UE.
Se no início de 2020 seria impensável a existência de uma pandemia que paralisasse o mundo; no início de 2021 devemos ter presente que um evento semelhante ao nível cibernético é cada vez mais plausível(8).
O que é um seguro de riscos cibernéticos?
Refere-se a contratos de seguro com o objetivo de cobrir um vasto leque de questões relacionadas com riscos no ciberespaço(9).
Nesse sentido, talvez fosse importante pensar num modelo win-win para seguradoras e segurados, em que o incentivo para o desenvolvimento e enriquecimento de produtos deste tipo fosse alargado para os segurados, empresas ou consumidor final(10).
Afinal, se queremos apostar na transição digital e na criação de um verdadeiro Mercado Único Digital, tem de haver um incentivo claro que gere as condições necessárias de funcionamento em segurança deste espaço digital, enquanto se acautela o futuro com possíveis eventos disruptivos em larga escala.
Em conclusão, apesar de termos a evidência de uma vontade da UE em melhorar a cibersegurança das pessoas, empresas, infraestruturas críticas, e em fim de linha, dos próprios Estados; expressa no montante envolvido para investimento neste setor; parece-nos ser uma estratégia algo vaga e pouco assertiva nos objetivos que pretende alcançar(11).
(1) A Internet das Coisas, também conhecida pelo acrónimo IoT, compreende todos os aparelhos e objetos que se encontram habilitados a estarem permanentemente ligados à Internet, sendo capazes de se identificar na rede e de comunicar entre si.
(2) Quanto a este ponto, a Comissão Europeia propõe a reforma das regras de segurança das redes e sistemas de informação, mediante a publicação de uma Diretiva que contenha medidas destinadas a assegurar um nível comum elevado de cibersegurança em toda a UE. Ainda no âmbito desta primeira linha de ação, a Comissão propõe o lançamento a nível da UE de uma rede de centros de operações de segurança baseados na inteligência artificial.
(3) De modo a concretizar este objetivo, a Comissão Europeia está a preparar uma nova unidade conjunta, que visa reforçar a cooperação entre os organismos da UE e as autoridades dos Estados-Membros responsáveis pela prevenção, dissuasão e resposta aos ciberataques, tais como: as comunidades policiais, diplomáticas, entre outras.
(4) No âmbito da última linha de ação, a UE intensificará a sua colaboração com parceiros internacionais. O objetivo é reforçar e promover a segurança e estabilidade internacionais no ciberespaço, e proteger os direitos humanos e as liberdades fundamentais na Internet.
(5) O Microsoft Office 365 é um bom exemplo de utilização em grande escala de tecnologia centralizada.
(6) Funcionam segundo um paradoxo interessante: ninguém é proprietário, ninguém controla; todos são proprietários, todos controlam.
(7) No caso da Bitcoin, o maior exemplo de aplicação descentralizada, o processo de mineração oferece novas moedas a quem empresta a capacidade do seu computador para processar transações, garantir a segurança e manter a sincronização da rede.
(8) Na verdade, assistimos a vários incidentes na última década e meia que tiveram grande impacto; o último dos quais foi o NotPetya, considerado na altura o ciberataque mais devastador até à data.
(9) Podem envolver eventos relacionados com problemas de responsabilidade, perda de propriedade e roubo; tal como incluir a proteção de ativos de dados e extorsão cibernética.
(10) Através dos vales-formação sugeridos acima ou modernização de infraestruturas e/ou equipamentos.
(11) Exemplificada pela vontade em publicar uma Diretiva em vez de um plano de ação concreto sobre o caminho a percorrer no sentido alcançar os objetivos propostos.
Artigo escrito em conjunto por Ricardo Costa Macedo (Advogado e Partner), Mafalda Romão Mateus (Advogada Estagiária), ambos da Caiado Guerreiro, e Pedro Torres (CEO), Plan4Privacy.
A Caiado Guerreiro é uma sociedade de advogados multijurisdicional que presta serviços em todas as áreas do Direito, incluindo propriedade intelectual e tecnologias de informação.
A Plan4Privacy é uma empresa focada em melhorar a forma como as Organizações e Consumidores lidam com os desafios da Privacidade, Proteção de Dados e Cibersegurança.
