47 minute read
NAÇÃO
Estamos Seguros?
Advertisement
Há cerca de um mês, um grupo de hackers atacou e deixou inoperacionais vários portais do Governo e trouxe para as primeiras páginas um assunto pouco debatido em Moçambique até então: estamos perante uma pandemia informática global que afecta cada vez mais pessoas, empresas e a soberania das próprias nações. Para se ter uma ideia, só no ano passado, segundo um relatório do Fórum Económico Mundial, houve um aumento em 151% dos ataques com pedidos de resgate (e o ransomware até está longe de ser uma das principais ameaças), com prejuízos que atingiram os 6 mil milhões de dólares. Medidas de defesa existem, mas para além de uma necessária mudança de mentalidade generalizada, o problema é complexo e exige estratégia, um plano concreto e uma acção coordenada entre os sectores público e privado. E em Moçambique, embora com boa vontade, estamos ainda longe dessa realidade
Quantas vezes não lemos que contas bancárias foram invadidas e o dinheiro roubado? Que os hackers acederam ao backoffice de uma operadora de telefonia móvel, como aconteceu recentemente em Portugal com a Vodafone tendo afectado quatro milhões de utilizadores, com óbvios danos financeiros e patrimoniais para a empresa e seus clientes?
Ou, ao nível particular, quem não tem alguém conhecido que já teve a conta de uma rede social invadida e utilizada para fins fraudulentos? Ou que os sistemas electrónicos de ministérios e organizações governamentais foram comprometidos, como recentemente aconteceu, sem grandes consequências, é certo, em Moçambique?
A verdade é que notícias deste género não têm faltado nos últimos anos, sendo que é perceptível um incremento nos últimos meses, especialmente durante e no pós-pandemia.
Há muito que este deixou de ser um “problema dos outros”, mas, por Moçambique, pouco se sabe ou se sabia até um passado recente. E, por se tratar de um tema que quase todos ouvem falar “por alto”, a E&M contactou um conjunto de especialistas que trabalham na área da Cibersegurança, um ramo que tem vindo a ganhar cada vez mais importância dada a magnitude do problema que o mundo cada vez mais digital nos trouxe.
Afinal, havia que percorrer os labirintos do Ciberespaço por onde se move o Cibercrime, conhecer os riscos a que estamos todos sujeitos, os danos nas esferas económica, social e política, assim como o vasto conjunto de comportamentos, individuais e colectivos, a adoptar e os investimentos necessários para reduzir a exposição aos ataques.
Ricardo Velho, engenheiro com especialização em Segurança de Informação, que ocupa o cargo de business development manager na InSite – empresa moçambicana que opera no ramo da consultoria e implementação de sistemas de gestão para a segurança de informação e Cibersegurança, entre outras áreas – explica à E&M que “o cibercrime não é um fenómeno novo, mesmo em Moçambique acontece e ficou mais presente com os ataques recentes”. O que o caracteriza é o facto de ser invisível e é aqui onde reside o perigo. Ou seja, “podemos estar a ser atacados num determinado momento, mas não sabemos e só damos conta após o ataque, se houver sintomas!”
A pirâmide da Cibersegurança
Indo à raiz conceptual do que é o cibercrime e de como deve ser encarada a cibersegurança, o especialista explica que “temos de a analisar sob três ângulos: o institucional, no sentido de definir o quadro legal e o plano de implementação da Ciberdefesa que um país deve ter, feito ao nível da entidade responsável por combater o cibercrime; o organizacional ou empresarial, para orientar sobre os requisitos a reunir com vista a que as empresas se protejam a si e aos seus clientes dos ataques; e, por fim, na base da pirâmide, ao nível das pessoas, numa consciencialização crescente dos perigos e na adopção de comportamentos e procedimentos recomendáveis ao lidar com meios tecnológicos.”
Em Moçambique existe um portal do Instituto Nacional das Tecnologias de Informação e Comunicação (INTIC), que é a entidade reguladora da Cibersegurança e responsável pela gestão das questões a este nível em termos de regulamentação. E é o INTIC que está a implementar a política e estratégia de Cibersegurança. Mas em que medida os três degraus da pirâmide da cibersegurança, citadas por Ricardo Velho, estão em sintonia e a trabalhar em conjunto? E, se não estão, até que ponto estamos (in) seguros?
Ainda falta a definição e implementação da legislação e um plano de acção coordenado
Apesar de uma mudança visível do paradigma dos últimos dois anos (desde que eclodiu a pandemia) — sendo justo dizer que começou a haver mais organizações a preocuparem-se em obter informações a este nível se se fizesse uma análise ao estado da arte da segurança digital no país —, a conclusão seria unânime entre os especialistas na matéria com experiência no mercado nacional: no que diz respeito à segurança de informação, e existindo apenas duas entidades certificadas a este respeito no País (a McNet e uma seguradora do mercado), de uma for-
ma geral, o desconhecimento em Moçambique é grande relativamente ao que é a Cibersegurança. Isto acontece porque, endemicamente, não serão poucas as lideranças públicas e privadas que desvalorizam estes temas, encarando-os como um custo e não como um investimento precavendo futuras e grandes perdas potenciais (financeiras e reputacionais), e preferindo não raras vezes pensar que são meramente questões da responsabilidade dos informáticos, o que é errado.
Em resultado, serão muito poucas as entidades públicas com sistemas de defesa digital consolidados, havendo, no entanto, no sector privado, uma preocupação crescente com o tema, especialmente, e como é natural, no sistema financeiro e de telecomunicações, que estarão entre os sectores mais bem preparados para enfrentar esta “guerra virtual” no País. Depois, há ainda as estatísticas sobre o grau de exposição a este tipo de crimes, que é, aliás, um dos grandes problemas apontados pelos especialistas: a falta de informação compilada sobre os ataques existentes e partilha da mesma entre sectores público e privado para que todos possam partilhar e precaver ameaças similares. Esta situação coloca o País numa situação de maior fragilidade quanto à definição dos mecanismos de defesa a adoptar. Do que se sabe, os sectores Financeiro, Comunicações, Energia, Logística e Saúde estão entre os mais expostos entre nós.
Perigo permanente
Sempre que utilizamos equipamentos informáticos, sejam computadores ou celulares, conectados através de um acesso, ficamos susceptíveis a ataques. Aliás, na verdade, este é o último ponto a que devemos estar atentos, uma vez que o problema começa bem atrás no tempo. “A verdade é que a Internet, quando surge, foi desenvolvida por investigadores e alunos universitários sem qualquer preocupação de segurança, para a partilha de conhecimento e meio de comunicação entre grupos de trabalho académico. Depois, nos anos 90, começa a massificar-se, permitindo o acesso a milhares e milhares de páginas. O advento das redes sociais deu origem à criação de um espaço virtual que se designa por Ciberespaço. Este mundo virtual promove a interligação e interacção entre inúmeras aplicações informáticas, serviços bancários, serviços sociais dos países, e... pessoas entre muitos outros serviços críticos como são a distribuição de energia ou água.
Existe de tudo neste mundo virtual, incluindo pessoas e profissionais com boas intenções, mas também os que se aproveitam de tais facilidades para acções criminosas, associadas tipicamente à Darknet.
Este novo universo evoluiu rápido de mais para que muitas organizações e milhões de pessoas se pudessem preparar para os seus perigos”, explica Paulo Borges, consultor parceiro da InSite e especialista com 36 anos de experiência profissional nas várias áreas da segurança de informação, Cibersegurança e Continuidade de negócios, que falou à E&M a partir de Portugal. E prossegue: “Indo ao encontro do que dizia, até uma aplicação como o WhatSapp pode ser atacada, claro. Ou servir de meio para executar ataques. É preciso observar que um telemóvel é essencialmente similar, em funcionalidades, ao computador. Ou seja, através dele, é possível entrar e captar dados de uma pessoa ou organização se a sua utilização não for a mais correcta”, alerta.
Mas porque é que, nos últimos anos, começámos todos a ouvir falar de ataques informáticos? De acordo com o especialista, “a pandemia do covid-19 levou as organizações a utilizarem meios alternativos de acesso às aplicações de negócios e isso aconteceu muito rapidamente. Mas muitas delas, que tinham sistemas, estratégias, políticas e práticas de segurança direccionadas para um contexto de presença num determinado perímetro físico, acabaram por não estender e aplicar esses cuidados a um modo de trabalho deslocalizado da segurança digital instalada no ambiente do escritório.
Ou seja, os sistemas foram instalados em máquinas e infra-estruturas impróprias e quando os colaboradores das empresas e outras organizações tiveram de trabalhar a partir de casa, muitas delas ‘esqueceram-se’ que o perímetro de segurança também teria de ir até à casa de cada um. Uma vez em casa, a maior parte dos trabalhadores utilizavam meios próprios, logo aí tivemos uma fragilidade evidente,
visto que o controlo dos acessos era feito sem a observância das condições de segurança”.
Já o engenheiro Edson Chilengue, director-executivo da ITGest Moçambique, recorrendo a estatísticas globais que referem que 42,3% dos ataques cibernéticos bem-sucedidos acontecem devido à negligência humana, faz menção à necessidade de “consciencializar as pessoas para a observância dos cuidados.” E refere-se, basicamente, “a observar com atenção antes de aceder a determinados links de acesso a janelas desconhecidas, a convites para aceitar condições impostas por certos sites para aceder à sua informação e a propostas de eventos e jogos — fazer uma verificação rigorosa dos links recebidos por e-mail antes do clique". E explica que é geralmente assim que os hackers acedem ao controlo do aparelho (computador ou smartphones) e de todo o sistema da organização.
Mas a própria atenção não é uma condição fácil de observar e cumprir. Milton Lauchande, director comercial da DataServ, também do ramo de tecnologias e com actuação em Moçambique ao nível da cibersegurança, argumenta que os portais “funcionam como janelas e portas que devem estar sempre abertas para facilitar o fluxo de informação. Só esse facto oferece oportunidade de ataques aos cibercriminosos.”
Um dado curioso colocado por Milton Lauchande é o facto de haver pouquíssimas pessoas que se formam em áreas que possibilitem desenvolver habilidades cibercriminais. Se isso é bom? “Em parte, sim, porque há menos cibercriminosos, mas, por outro, limita a possibilidade de, igualmente, haver “cérebros” nacionais capazes de criar soluções ao nível da cibersegurança.”
A partir daqui, invoca-se o papel dos reguladores para legislar e disciplinar o mercado, o que ainda não está a acontecer ou, pelo menos, não é satisfatório, como veremos mais adiante.
Então, onde se vai buscar a defesa? E a que custo?
De uma maneira mais simplificada, e olhando para o utilizador final, todos os especialistas ouvidos pela E&M falam da disponibilidade no mercado de antivírus, que são os mais conhecidos meios de protecção contra perigos ao usar a internet ou ao aceder a um link ou portal. Existe, por exemplo, o firewall, que é uma aplicação que protege a máquina de uma instituição contra qualquer invasão externa.
Existe também uma aplicação denominada IDS que, de forma automática, vai monitorizando todas as acções que vão sendo executadas na organização, seja por colaboradores ou pela equipa de técnicos das tecnologias, e que bloqueia automaticamente as ameaças que detectar, armazenando-as num ponto em que o gestor das tecnologias possa verificar a quantidade e tipos de ameaças sofridas. Para as empresas que trabalhem de forma intensa com páginas web existe o webfilter, uma aplicação que filtra os sites que podem ou não ser consultados dentro da organização, bloqueando todos aqueles que não forem permitidos. No que
MASSIFICAÇÃO DA INTERNET, CLOUD SERVICES
Uma perspectiva histórica, apresentada por Paulo Borges, especialista com mais de três décadas e meia na área da ciber-segurança, e que em Moçambique é consultor associado da Insite, refere que, apesar do mediatismo recente, tudo o que acontece hoje relacionado com a segurança de pessoas ou de infra-estruturas... já acontecia antes, nos anos 1980, 1990. Só que, naquela altura, explica, “os hackers utilizavam métodos muito precários, extremamente complexos, e que exigiam dos atacantes grandes conhecimentos para causarem problemas". A massificação dos ataques para o estágio actual da insegurança tecnológica viralizou, por assim dizer, com a normalização do acesso à internet e, particularmente, do advento dos serviços móveis, que são oferecidos em condições mais baratas, num ambiente em que toda a gente tem direito à sua utilização. Além disso, prossegue, “os serviços de cloud, públicos ou privados, não foram desenhados para serem seguros. É que os operadores aceleraram o passo como provedores de serviços, mas descuraram por completo a questão da segurança".
OS TIPOS DE RISCOS MAIS FREQUENTES
A agência Executech, um dos mais premiados provedores de serviços de TI gerenciados do mundo, apresenta o top 10 dos riscos de ataques cibernéticos que mais ocorrem. Conheça-os:
1 – MALWARE
É quando uma parte indesejada da programação ou software se instala num sistema de destino, causando um comportamento incomum. O resultado varia de negar acesso a programas, excluir arquivos, roubar informações e espalharse para outros sistemas. Uma abordagem proactiva, através de programas antimalware é a melhor defesa.
6 – ATAQUE ENTRE SITES
O alvo é um site vulnerável, sem criptografia. Uma vez direccionado, o código perigoso é carregado no site. Quando um usuário o acessa, essa carga é entregue ao sistema ou ao navegador, causando um comportamento indesejado para roubar informações. Fornecer a opção de
desactivar os scripts de página é vital para impedir a activação da carga maliciosa.
2 – ROUBO DE PASSWORDS
"Fui hackeado!” Uma conclusão comum quando se faz login numa conta para descobrir a senha alterada e detalhes perdidos. É muito pior para uma empresa, que pode perder dados confidenciais. A autenticação de dois
factores é o melhor método de protecção, pois requer um dispositivo adicional para concluir o login.
3 – INTERCEPTAÇÃO DE TRÂNSITO
Ocorre quando um terceiro “escuta” informações enviadas entre um usuário e o host. O tipo de informação roubada varia de acordo com o tráfego, mas geralmente é usado para obter logins ou dados valiosos. É preciso evitar sites comprometidos (como aqueles que não usam HTML5) e criptografar o tráfego de rede.
4 – ATAQUES DE PHISHING
É um método mais antigo. Normalmente, um usuário final recebe uma mensagem ou e-mail que solicita dados confidenciais. Às vezes a mensagem parece oficial, obrigando um indivíduo a clicar em links e acidentalmente fornecer informações. Uma abordagem de segurança de bom senso é a melhor prevenção.
7 – EXPLORAÇÕES DE DIA ZERO
É um ataque direccionado contra um sistema, rede ou software. Esse ataque tira proveito de um problema de segurança negligenciado, procurando causar um comportamento incomum, danificar dados e roubar informações. Os usuários devem manter bons hábitos de segurança até que uma correcção seja lançada.
8 – INJECÇÃO DE SQL
Essencialmente, terceiros mal-intencionados manipulam “consultas” SQL (a sequência típica de solicitação de código enviada a um servidor) para recuperar informações confidenciais. A implementação de firewalls inteligentes é um método de prevenção; firewalls de aplicativos podem detectar e filtrar solicitações indesejadas.
9 – ENGENHARIA SOCIAL
É o método abrangente para tentar enganar os usuários para que forneçam detalhes confidenciais. Isso pode ocorrer em qualquer plataforma. Para evitar, permaneça céptico em relação a mensagens suspeitas, solicitações de amizade, e-mails ou tentativas de colectar informações de usuários de terceiros desconhecidos.
5 – DDOS
É um método no qual partes malintencionadas visam servidores e sobrecarregam-nos com tráfego de usuários. Quando um servidor não consegue lidar com solicitações recebidas, o site é encerrado e tem um desempenho inutilizável. Parar um DDoS requer a identificação de tráfego malicioso e a interrupção do acesso.
10 – ATAQUE MITM
Ocorre quando um terceiro sequestra uma sessão entre o cliente e o host. O hacker geralmente disfarça-se com um endereço IP falsificado, desconecta o cliente e solicita as suas informações, por exemplo, relacionadas com a sua conta bancária. A criptografia e o uso de HTML5 são recomendados.
diz respeito aos preços, Edson Chilengue, director-executivo da ItGest Moçambique, fala da existência de representantes de marcas de antivírus que não são caros. “Existem certificados de segurança que protegem os dados de maneira que, se forem atacados, por mais que o hacker consiga obtê-los, chegam-lhe criptografados e não os pode usar. Este material pode custar, em média, entre 400 e 500 euros (entre 28 mil e 35 mil meticais).
E é possível que uma empresa tenha apenas uma certificação-chave que pode ser utilizada por toda a empresa, inclusive para proteger os e-mails contra os ataques cibernéticos. Além disso, existem aplicações mais pequenas que, anualmente, custam cerca de 100 mil meticais para uma protecção segura. Dependerá da capacidade financeira da organização a definição do que é caro ou barato e é preciso avaliar também quanto vale a segurança de dados”, explicou. Olhando a sistemas mais complexos, direccionados para as empresas, as ferramentas são mais dispendiosas e exigem supervisão de uma equipa de IT especializada na matéria, o que se pode comprovar mais complicado, principalmente para organizações com fraco poder financeiro, como muitas em Moçambique. No entanto, “se considerarmos os meios de segurança uma despesa, devemos questionar quanto vale a informação que fomos construindo durante vários anos, que garante que a organização tenha continuidade e faça o seu percurso". Ricardo Velho, da InSite, continua: “muitas vezes, quando as organizações analisam as propostas técnicas de implementação dos sistemas de gestão de ou da segurança da informação prestados pela sua empresa, acabam por considerar muito o investimento em cibersegurança, o que é claramente um erro".
Costumamos usar o provérbio ‘casa roubada, trancas à porta’, e ele aqui aplica-se. Muitas empresas só se apercebem do prejuízo depois de serem atacadas, perderem informação, clientes, ou verem comprometida a sua operação com graves danos reputacionais e de receitas. É sempre preferível prevenir o máximo possível, portanto diria que sim, apostar na segurança e na certificação dessa segurança é hoje,
Moçambique é uma ‘sandbox’ para os hackers
“Como evitar ataques à soberania, semelhantes à ameaça que o Governo de Moçambique acaba de sofrer?” A questão, oportuna, é colocada por Paulo Borges que, mesmo reconhecendo que nenhuma tecnologia é perfeita o suficiente para garantir a total inviolabilidade dos dados, porque há uma evolução contínua ao mesmo ritmo que se vão sofisticando os mecanismos de invasão, diz que muito há ainda por fazer. Olhando ao caso nacional, ele tipifica, com base na informação disponível sobre o recente ataque aos portais do Governo, que tipo de segurança digital temos no País:
CONFLITO NA UCRÂNIA FAZ DISPARAR AMEAÇAS NO MUNDO
Já antes da invasão da Ucrânia pela Rússia os ataques vinham crescendo exponencialmente, mas agora registam o maior número desde o início do conflito, de acordo com a Check Point Research (CPR), área de Threat Intelligence da Check Point Software Technologies Ltd. Nos primeiros três dias de conflito, as ciberofensivas contra a administração pública e sector militar ucranianos aumentaram em 196%. A CPR suspeita que os hackers moveram a sua atenção para outros governos centrados no conflito. Ainda assim, o número de ciberataques contra todas as indústrias, não apenas a governamental e militar, na Ucrânia e na Rússia, registaram o seu ponto mais alto desde o início do conflito e também do ano. Em geral, não só desde o início do conflito, mas desde o início do ano, ao nível global, a média semanal de ciberataques por organização na segunda semana de Março esteve nos 1266, 14% mais que no período que antecedeu o início do conflito e 15% mais que as primeiras duas semanas de conflito. Em termos regionais, a média semanal de ciberataques em África, no mesmo período, esteve nos 1987, 2% menos que no período que antecedeu o conflito e 1% menos que as primeiras duas semanas de conflito. Na Europa, a média semanal de ciberataques cresceu 14% para 1068, na América do Norte, a média semanal subiu 17% para 991 e na América Latina, a média semanal de ciberataques foi de 1837, mais 17% do que no período que antecedeu o conflito.
“Existem estatísticas que indicam que países como Moçambique, com insuficiência de infra-estruturas de defesa cibernética, estão a ser utilizados como ‘sandboxes’ internacionais (ou seja, são locais de treino onde os hackers podem fazer experiências para testar a sua capacidade técnica para, depois, executar ataques noutros locais, sabendo que as consequências dessa acção não serão grandes para si). Presume-se, por isso, que o caso recente tenha sido claramente um jogo de experiências, testes feitos ou simplesmente por brincadeira feita, diria eu, por um grupo de jovens, que até podem ser estudantes a divertirem-se”.
Ao introduzir o termo “cibersegurança soberana”, uma área em que trabalha há muitos anos, o especialista explica que cada país “deve determinar a sua estratégia, a forma como se interliga com a comunidade internacional e criar condições para organizar e articular toda a sua cibersegurança.” E é da opinião que “nenhuma nação deve trabalhar isoladamente, é preciso estabelecer alianças semelhantes às que se fazem em contextos militares, de entreajuda e partilha de conhecimentos”, assevera.
Paulo Borges observa, de resto, “que já existem dispositivos tecnológicos de segurança em todos os países da Europa e na esmagadora maioria dos países africanos. Mas, no caso de Moçambique, falta o dinamismo operacional de, a partir desta rede global de centros de aviso de ataques informáticos, interagir com as organizações públicas e privadas nacionais, no dia-a-dia, abordando estas problemáticas, no sentido de adoptar medidas de prevenção imediatas e não apenas de reacção, como actualmente acontece.”
Falta regulamentação e... acção
Ricardo Velho, também da InSite, explica que toda esta matriz de aspectos te capacidade instalada em termos de competências humanas e meios tecnológicos, pelo que carece de um maior investimento.
Edson Chilengue, formado no exterior em ciências viradas para a área das tecnologias, com a função de director-executivo da ITGest Moçambique – empresa que opera na área de tecnologias, incluindo a cibersegurança – acrescenta que o recente ataque aos serviços electrónicos do Governo “deveria ser fonte de inspiração para mudarmos de direcção, começando pela criação de uma Lei de Protecção de Dados”, lança. “As instituições públicas têm de desenvolver políticas de gestão de informação que digam a que é que o funcionário deve ou não aceder no exercício de tarefas laborais. Hoje é comum encontrar funcionários a acederem às redes sociais num computador do trabalho e isso é um risco enorme”, sublinha o engenheiro, re-
visando a defesa da cibersegurança soberana está prevista em Moçambique desde o ano passado, com a aprovação da Política e Estratégia Nacional de Segurança Cibernética “mas não é conhecido o estado de implementação da estratégia”.
Em Portugal, por exemplo, existe regulamentação para o uso do ciber-espaço, além da necessidade de, por Lei, estes tipos de incidentes serem reportados à entidade operacional, o que torna estes organismos regulatórios detentores de um conjunto de informação para evitar ocorrências, impactos e ajudar a alastrar essas práticas para as comunidades.
No caso de Moçambique, o país tem tentado acelerar o passo e até existem equipas que estão a ser constituídas ao nível do CERT-MZ – instituição que coordena os aspectos relacionados com a segurança da informação e para promover a cultura de segurança cibernética em Moçambique –, mas ainda não há uma suficienpisando um aspecto em que todos os especialistas são unânimes: “O Estado tem de assumir a tarefa de investir na formação de quadros na área de tecnologias e as instituições de formação académica têm de começar a desenhar currículos que ajudem a buscar soluções a este nível, porque não há volta a dar – com a digitalização crescente da sociedade, existirão cada vez mais fragilidades ao nível da segurança e, claro, mais ataques”.
No fundo, este é um problema que saiu dos ecrãs dos filmes de Hollywood e está agora (literalmente) nas nossas mãos — nos ecrãs dos nossos smartphones e computadores portáteis. E cabe-nos a todos ser responsáveis com o que clicamos em casa ou no trabalho, cabe às empresas que queiram investir na sua (e nossa) segurança, e cabe também ao próprio Estado, que deve zelar para que todo este ecossistema de segurança flua, sem contratempos, defendendo-se também a si próprio.
Jaikumar Sathish • Director de Tecnologias de Informação do Absa Bank Moçambique
Após os recentes ciberataques aos websites do Governo Moçambicano em Fevereiro último, o termo ciberataque ganhou um novo significado na nossa vida. Os ciberataques são um dos arsenais que os criminosos estão a utilizar com maior frequência nesta era da guerra moderna. O Mundo assistiu, muito recentemente, nos ataques da Rússia à Ucrânia, ao uso do ciberataque como arma de guerra.
Como indivíduos ou empresas, somos, diariamente, alvo de hackers hostis. No entanto, a maioria de nós desconhece este facto devido às plataformas que nos protegem.
Para podermos combater esta nova guerra é importante, antes do mais, compreendermos o que é um ciberataque e quais os mais comuns nos dias de hoje.
O que é um ciberataque?
Embora existam várias definições do que é um ciberataque, apresento-vos a que para mim capta de forma muito clara a essência do problema: Um ciberataque é um ataque ciber-criminoso que utiliza um ou mais computadores para atacar um único ou inúmeros computadores ou até redes. Um ciberataque pode ser utilizado para desactivar maliciosamente sistemas, roubar dados, ou lançar ataques adicionais a partir de um computador comprometido.
Os ciberataques mais comuns
O número de tipos de ciberataques cresce exponencialmente à medida que a tecnologia avança. Diariamente aparecerão novos tipos de ciberataques, mas deixo-vos alguns dos mais comuns: • Malware - o mais comum (inclui Ransomware, vírus, worms, trojans, spyware, etc.); • Phishing; • Man-in-the-middle (MITM); • Denial of Service (DoS) attack; • SQL injections; • Zero-day exploit; • Brute force password attack. Contudo, existem ataques mais complexos, menos comuns, como é o caso do Cross-site Scripting, ataques Root Kit e Internet das Coisas (Internet of Things - IoT), embora esta última esteja a tornar-se mais comum à medida que cresce sua a utilização como ferramenta para automatizar as operações do dia-a-dia. Piratear uma tecnologia como Alexa, Homepod ou Echo Dot pode comprometer a sua privacidade passando a ouvir tudo que você diz. O objetivo é identificar os principais tipos de crimes tecnológicos que estão a acontecer e ajudá-lo, a si e à sua empresa, a trabalhar na prevenção desses crimes e na contenção dos danos que possam provocar. Por isso descrevo abaixo os dez melhores métodos para se proteger contra os ciberataques: #1: Saber um pouco mais sobre a segurança cibernética Esta deve ser, sem dúvida, a melhor dica deste artigo. A maioria dos ciberataques não exige um software ou uma tecnologia de ponta para garantir um bloqueio e desta forma proteger-nos; tudo o que é preciso é existir uma consciência básica sobre segurança cibernética e como permanecer em segurança neste mundo onde estamos praticamente todos conectados. Conseguir identificar se um e-mail é de um utilizador válido, saber que ao clicar num link não ganhará um telemóvel topo de gama e que disponibilizar os dados bancários a um desconhecido não fará com que este lhe transfira parte da sua fortuna, são os primeiros e mais importantes passos. Conhecer as armas e as técnicas dos criminosos é uma vantagem e pode ajudá-lo a lutar de forma mais eficaz. Mantenha-se informado sobre os ciberataques mais comuns e os que têm ganhado espaço no mundo de hoje. #2: Manter o software e o sistema operativo actualizados A maioria dos ataques é causada por uma vulnerabilidade não corrigida no seu sistema operativo ou software. O que significa que um antivírus desactualizado não o protegerá do último CVE (Common Vulnerability and Exposure). Porém, actualizar o antivírus é apenas o primeiro passo, o seu sistema operativo, software de gestão de clientes, aplicações, middleware e base de dados, têm todos vulnerabilidades. Por
Há uma série de regras a observar para evitar ataques cibernéticos
isso, é de extrema relevância que reserve uma hora por semana para os corrigir, garantindo que estão com as actualizações mais recentes. Poderá optar, por exemplo, por actualizar os seus dispositivos todas as noites de sexta-feira. Faça a sua rotina e mantenha-se fiel a ela. #3: Não confie em ninguém ou em nada (Política de confiança zero) Pode parecer-lhe extremista, mas esteja sempre atento a e-mails maliciosos e a websites comprometidos (spam e phishing). Ao interagir com estes coloca a sua informação em risco e pode acabar por descarregar um vírus. Lembre-se: - não abra e-mails de origem desconhecida; - elimine os anexos de e-mails inesperados; - não aceda a links de origem desconhecida – opte sempre por escrever o endereço da página no seu navegador; - bloqueie os websites que considere não essenciais através do seu firewall e aceda apenas à medida que vá precisando. #4: Redes de Wi-Fi públicas podem ser gratuitas, mas colocam em risco a sua privacidade Utilize sempre uma Rede Privada Virtual (VPN) quando utilizar a rede pública Wi-Fi. O tráfego de informação entre o seu dispositivo e o servidor VPN é encriptado quando utiliza o software VPN. Logo torna o acesso aos seus dados e ao seu dispositivo muito mais difícil para um hacker. Caso a segurança seja um factor relevante e não possua uma VPN opte por utilizar a sua rede de telemóvel (hotspot). #5: Um firewall mal configurado é como deixarmos todas as janelas da nossa casa abertas Um firewall ajuda a proteger os seus sistemas informáticos, garantindo o bloqueio do tráfego não autorizado ou o acesso à rede. Ele também acresce outra camada de protecção contra os malwares e vírus, que são normalmente utilizados pelos hackers para obter acesso aos computadores. No entanto, é recomendável que instale e active um bom firewall nas suas redes. Pode começar por activar os firewall básicos que vêm como padrão na maioria dos computadores (firewall do Windows e do Mac), assim como os firewall no router de Internet. Embora pareça pouco ou quase nada, irá dificultar a vida do hacker quando este quiser aceder aos seus dados ou aos seus sistemas informáticos. Alguns dos mais avançados ciberataques podem ser evitados ao proteger o firewall com uma política de confiança zero (bloqueará todas as portas, a menos que seja necessário que estejam abertas). #6: O aplicativo de gestão de contactos não pode ser o aplicativo que gere as suas credenciais Com um maior número de aplicativos e plataformas, memorizar todas as credenciais de acesso torna-se cada vez mais difícil. Contudo, não quer dizer que se guardar as suas credenciais na lista de contactos do seu telefone, na última página da sua agenda, ou numa nota no seu ambiente de trabalho, monitor ou secretária, seja a solução adequada. Caso tenha dificuldades em memorizar todas as suas credenciais, contacte o departamento de informática da sua empresa ou fale com o seu filho (Geração Z ou A) sobre o uso de uma ferramenta para gestão de credenciais. #7: Proteja os seus smartphones Caso o seu smartphone seja perdido ou roubado , ele poderá ser usado para obter acesso às suas informações pessoais, bancárias ou mesmo à sua identidade, bem como a material insubstituível, como imagens ou textos. É importante que proteja os seus smartphones seguindo estas etapas: - instale um software antivírus; - defina uma palavra-chave, sequência, ou impressão digital para desbloquear o dispositivo; - defina o pedido de uma palavra-passe antes de aceitar a instalação de aplicativos; - oculte o bluetooth quando não o estiver a utilizar e bloqueie ligações automáticas; - habilite funções remotas de bloqueio e/ ou limpeza, se o seu dispositivo as suportar. #8: Faça cópias de segurança (backups) dos seus dados Fazer backups regulares dos seus dados é um aspecto muitas vezes esquecido. A regra de backup 3-2-1 é seguida pelos principais executivos de Tecnologias de Informação (TI) e Segurança. Ou seja, três cópias de segurança dos seus dados em dois locais separados de mídia (disco duro local e externo), bem como uma duplicata externa (armazenamento em nuvem). Um exemplo prático: Caso tenha sido atacado e sofrido um ransomware ou malware, a única forma de recuperar a sua informação é proceder com a limpeza dos sistemas e restaurar o computador usando, como base de partida, o backup mais recente. #9: A autenticação por dois factores é melhor do que 123456. A autenticação com dois factores, geralmente conhecida como autenticação multifactor, é um serviço que adiciona camadas de segurança ao método tradicional de credenciais de identificação online. Ou seja, com este método para além de inserir o seu nome de utilizador e a sua chave de autenticação, será pedido que insira um método de autenticação extra, que poderá ser um código de identificação pessoal, outra credencial ou até mesmo a impressão digital. #10: Controle o acesso ao seu sistema ou arrisca-se a comprometer os seus dados Como proprietário de uma empresa com funcionários ou como pai/mãe de família, uma das maiores preocupações é que os funcionários ou filhos venham a instalar softwares nos dispositivos propriedade da empresa ou laptops pessoais que comprometam a segurança dos seus sistemas. É recomendável, para a sua segurança, ter a gestão das permissões de administrador e impedir que os seus funcionários ou filhos instalem ou tenham acesso a arquivos da sua rede ou dispositivos. Para concluir, é muito importante para os empresários e indivíduos perceber a forma como as ameaças evoluem e quais os tipos de ataques que mais podem comprometer o seu negócio ou a sua vida pessoal. Combater o cibercrime é, de certa forma, um assunto de todos.
Da Culpa dos Dirigentes à Eficácia das Telecomunicações
Como se explica que a maior parte dos ataques cibernéticos seja feita por via das telecomunicações, mas este sector se apresente relativamente seguro, conforme o representante do INCM? E até que ponto a postura dos dirigentes é, em si, um problema?
Texto Celso Chambisso • Fotografia D.R
Duas personalidades trazem uma leitura curiosa sobre o que acontece na área da segurança cibernética. O primeiro é Mulweli Rebelo, membro-fundador da Ologa Sistemas Informáticos, uma empresa que actua no ramo das Tecnologias de Informação e Comunicação (TIC), igualmente membro da Associação das FinTech Moçambique. O outro é responsável pela área segurança e unidade de controlo de normas no Instituto Nacional das Comunicações de Moçambique (INCM), o Engenheiro Adilson Gomes.
Na sua leitura ao que se passa no País, Mulweli Rebelo – com uma experiência de dez anos em assuntos de segurança de dados, tendo feito parte das estratégias já desenvolvidas com essa finalidade – começou por tentar aceder ao portal do Instituto Nacional de Tecnologias de Informação e Comunicação (INTIC), entidade reguladora das TIC. Ironicamente, deu um “erro ao estabelecer a comunicação na base de dados”. A situação serviu para argumentar o posicionamento de que “temos um problema muito sério de capacidade ao nível do Governo. ou seja, há muita teoria, mas, na prática, quase nada se faz”.
Este especialista aponta o que considera serem grandes falhas ao nível dos dirigentes de topo do País, e que são a génese das fragilidades que se verificam. “A maior parte dos governantes – ministros, directores e chefes – usa o gmail, Hotmail e Yahoo para o trabalho. Tive a oportunidade de partilhar esta preocupação com o Presidente da República numa conversa breve, mas este não se mostrou preocupado com isso”, explicou.
Então, quais são as implicações disso? “É que os servidores destes e-mails estão fora de Moçambique, o que significa que quem os gere tem acesso a toda a informação interna dos nossos governantes”, explicou Mulweli Rebelo. Para este especialista, não faz sentido que se esteja, agora, a criar ideiais que obrigam a que a protecção de dados seja dentro do País, enquanto os dirigentes não estão alinhados com esta necessidade.
“Há ignorância e falta de sensibilidade ao nível do topo sobre coisas muito básicas. E não será a tecnologia que vai resolver esta questão. É o factor humano. Mas as pessoas não sabem. Isto quer dizer que há um tra-
balho de base que deve ser feito para sensibilizar as pessoas em literacia digital e segurança, e não tentar resolver questões muito técnicas. Não devia ser este o foco”, sugeriu.
Além da facilitação dos ataques, a desvantagem de usar, para trabalho, e-mails com servidores que estão fora do País é a desorganização dos próprios dados. É que estando a utilizar endereços pessoais, a sucessão dos governos não deixa nenhum histórico documental importante para a própria instituição — passam os homens e ficam as instituições. Então, os dados não estão seguros, no sentido de que não são acessíveis a todo o momento.
Para explicar a pertinência desta questão, Mulweli Rebelo avançou o exemplo da Hillary Clinton, ex-secretária de Estado dos Estados Unidos, que teria utilizado o seu e-mail pessoal para fins de trabalho por dez dias, entre 2009 e 2013, mas até hoje enfrenta um processo com a justiça, por violação de ordens legais federais.
Não há coordenação institucional?
Mulweli Rebelo também fala da falta de recursos e de uma melhor coordenação institucional. No sector das FinTech, por exemplo, existem três reguladores — o Banco de Moçambique, o INTIC e o Instituto Nacional das Comunicações de Moçambique (INCM) —, que não estão a coordenar de forma satisfatória.
O que se está a tentar fazer é a criação de um veículo de coordenação da segurança chamado C-Cert, uma entidade que possa agir quando houver ataques cibernéticos, uma vez que, muitas vezes, os ataques atingem os servidores vindos através dos canais das telecomunicações. A ideia é que o C-Cert se coordene também com entidades internacionais para bloquear servidores de onde vêm os ataques.
Este exercício chegou a ser ensaiado, mas não regista avanços porque “somos um País habituado a ser reactivo e não proactivo. Então, como ultrapassar? Sinceramente, a solução tem de vir de cima, através de uma estratégia coordenada, o que, neste para o combate à fraude. Mas cooperamos também com o sector privado. Não há outra forma de lidar com esse assunto se não por via de uma boa colaboração, que é o elemento que nos vai conferir união para respondermos todos a estes desafios”, admitiu.
Tentativas falhadas?
Ocorreram tentativas de uma melhor coordenação de defesa, através da C-Cert, contra os ataques cibernéticos que chegaram a evoluir para a ideia de criação de unidades sectoriais a representarem as diversas instituições (Educação, Governo, Transportes, Comunicações, Saúde etc.). Mas o sentimento de concorrência entre os operadores não permitiu o avanço. Nunca houve consenso sobre como os sectores poderiam trabalhar em conjunto.
Entretanto, o posicionamento de fracasso desta iniciativa não encontra eco nas palavras do representante do INTIC (ver entrevista no próximo artigo). Sérgio Guivala garante que a constituição das equipas sectoriais está em andamento.
Telecomunicações estão seguras! É geralmente por via das telecomunicações que os ataques são perpetrados. A E&M ouviu também o
momento, não acontece. Mesmo entre o INTIC e o Instituto Nacional de Governo Electrónico (INAGE), houve uma grande demora na definição do papel de cada um nesta matéria”, lamentou Mulweli Rebelo. Também será importante envolver o sector privado, porque o Governo não tem domínio nem recursos.
Em termos de coordenação, segundo o representante do Instituto Nacional das Comunicações de Moçambique (INCM), Adilson Gomes, existe um bom sinal, mas pode ainda melhorar nos próximos tempos. É que “temos o dever de colaborar e fazemo-lo, naturalmente, com a Procuradoria-Geral da República, com o Banco Central e boa parte da banca. Ainda há pouco assinámos um memorando com o Banco Central Instituto Nacional das Comunicações de Moçambique (INCM), instituição que desempenha um papel importante na busca da cibersegurança enquanto responsável por regular os provedores de telefonia móvel e fixa, redes de televisão, provedores de serviço de internet, etc. É, igualmente, parte das suas atribuições garantir que os prestadores destes serviços tenham as suas redes devidamente protegidas, garantido a protecção dos dados dos cidadãos.
Ao contrário de uma imagem de grandes fragilidades quanto à segurança de dados, emitida pelos diversos técnicos ouvidos pela E&M, o Engenheiro Adilson Gomes, que responde pela área da segurança e unidade de controlo de normas no INCM, fala de um sector seguro. “Em termos gerais,
podemos dizer que estamos bem, no sentido que não tem havido incidentes que afectam o funcionamento das redes” explicou.
Esclarece, entretanto, que isso não quer dizer que não haja ataques frequentes, “mas todos os operadores que referi são obrigados, por lei, a ter todos os mecanismos de segurança implementados. Por via disso, temos um cenário ainda bom de não haver incidentes que provoquem paragem das redes”.
O INCM diz afirma ainda que faz o acompanhamento do crescimento dos incidentes informáticos que afectam a cibersegurança, e garante estar a fortalecer-se para sofisticar, cada vez mais, a capacidade de prevenção de ataques nas telecomunicações.
Aliado a isso, felizmente, os operadores das telecomunicações estão dispostos a investir elevadas somas de dinheiro (os custos nunca são partilhados com a imprensa) em cibersegurança, porque “estão plenamente conscientes de que essas acções os beneficiam. Isto porque, se estiverem devidamente protegidos, não terão a sua rede parada. Como tal, não se podem dar ao luxo de ficar sem prestar serviços, sob pena de perderem clientes. Até agora, portanto, não sentimos nenhuma resistência. Há abertura para investimentos em cibersegurança e em acções cada vez mais arrojadas para responder a esse desafio.
Mas, apesar desse esforço, “prevalece um desafio muito grande no sector, que são as fraudes e burlas. São crimes que não exploram necessariamente a vulnerabilidade das redes, mas dos utilizadores, que acabam por acreditar em a mentiras e ceder os seus dados e informações confidenciais, que permitirão aceder depois às suas contas bancárias, por exemplo. Outro grande desafio é o da pirataria que tem afectado muito a qualidade de serviço e a receita dos provedores.
Também há capacidade humana?
O INCM é uma das instituições públicas mais elogiadas quanto à disponibilidade de “cérebros” capazes de lidar com a matéria da cibersegurança”. O seu representante, Adilson Gomes, confirma, mas minimiza. “Estamos capacitados, mas não estamos no topo da capacidade, vamos melhorando todos os dias. O INCM tem internamente uma equipa de resposta, trabalhamos com capacidade interna e também externa de prestação de serviços, mas, além do INCM, todos os sectores têm equipas de trabalho”, revelou.
Contudo, explica que o passo mais importante que agora tem de ser dado é o de juntar todas as equipas e iniciar um trabalho coordenado ao nível dos respectivos sectores. “Isso está previsto em regulamento, precisamos de avançar para a sua materialização. Pretendemos, ainda este ano, iniciar este processo. Portanto, temos alguma capacidade, mas precisamos de muito mais”, concluiu.
Sérgio Guivala, responsável pela divisão de segurança cibernética no INTIC, entidade reguladora das TIC, fala de uma estratégia recentemente aprovada, e que promete resolver todos os pontos fracos apresentados pelos especialistas e representantes de empresas que operam na cibersegurança
Texto Celso Chambisso • Fotografia Mariano Silva e Shutterstock
OInstituto Nacional de Tecnologias de Informação e Comunicação, o regulador das TIC em Moçambique, evoluiu desde a Comissão para a Política de Informática, tornou-se depois numa Unidade Técnica de Implementação da Política de Informática e, mais tarde, chegou ao Instituto Nacional de Tecnologias de Informação e Comunicação. Nessa altura, tinha duas componentes: uma de implementação do serviço do Governo Electrónico, e outra de regulamentação.
Mais tarde, o Governo entendeu que era preciso separá-las e criou o Instituto Nacional do Governo Electrónico (INAGE), que faz a implementação do Governo Electrónico, e o Instituto Nacional de Tecnologias de Informação e Comunicação (INTIC), que faz a regulação, apesar de ter algumas atribuições no que diz respeito à implementação. Por exemplo, o INTIC é responsável por manter e operar o chamado Registo de Domínios da Internet – uma operação técnica que consiste em associar o número denominado IP de qualquer computador que tenha acesso à internet a um nome. A instituição é também responsável pelo sistema de certificação digital do Estado.
Muitas vozes apontam a falta de regulação como uma fragilidade a ter em conta na luta contra os cibercrimes. Qual é a avaliação que faz?
Estamos numa fase inicial, mas a luta pela organização interna em nome da cibersegurança não começou agora. Já tivemos a Lei 3/2017, que é a Lei das Transacções Electrónicas, e que já indicava algumas actividades que devem ser realizadas no âmbito da segurança cibernética. Nesse quadro, foi indicado o INTIC como a entidade que deve lidar com esta matéria.
No decreto que cria o INTIC como instituto público, havia atribuições muito claras que indicavam que esta instituição deve tratar de todos os aspectos relacionados com a segurança cibernética em Moçambique. Então, neste âmbito, foi desenvolvida e aprovada, em Agosto do ano passado, a Política e Estratégia Nacional de Segurança Cibernética, que é o pilar mais importante que existe em termos de instrumentos muito concretos. Esta política comporta seis pilares desdobradas em 25 iniciativas que são o nosso guião para um horizonte de quatro anos, enquanto a política não tem horizonte, será contínua, sendo que definimos uma estratégia sobre como operacionalizar aquela política.
A Política e Estratégia Nacional de Segurança Cibernética foram aprovadas no ano passado. Mas as instituições privadas que trabalham nesta área consideram que ela é muito pouco conhecida e, na prática, muito pouco impactante…
Temos dois caminhos. Primeiro, o processo de elaboração da política e da estratégia foi inclusivo. Procurámos todas as entidades – Governo, sector privado e Sociedade Civil – que contribuíram activamente, incluindo a área académica, para perceberem o que estávamos a fazer e o seu papel dentro da própria Política. Segundo, fizemos vários processos de consulta e seminários de divulgação nos vários estágios. Depois, quando a Política foi aprovada, criámos a conferência nacional de cibersegurança, que acontece todos os anos, e apresentámos a Política e Estratégia neste fórum, onde participa toda a sociedade. Paralelamente a isso, uma das nossas estratégias para atacar os cibercrimes é criar equipas de respostas sectoriais, o que significa ter equipas para as áreas da Educação, da Aviação Civil, Bancária, etc. Isso já está a acontecer.
Por exemplo, o Governo já tem estabelecida uma equipa de resposta a incidentes cibernéticos a funcionar há aproximadamente dois anos, e que está a ser gerida ao nível do INAGE. Os recentes ataques aos portais do Governo estão a ser resolvidos por essas equipas, assessoradas pelas equipas da academia e o problema foi bem gerido. Já contactámos todos os reguladores das diversas áreas como o Banco de Moçambique, da área de Petróleos e o Instituto Nacional das Comunicações de Moçambique (INCM), aos quais não só apresentámos as políticas como lhes dissemos que precisam de organizar-se e criar equipas de resposta a incidentes cibernéticos.
É assim que funciona noutros países ou trata-se de um modelo de actua-
ção novo, que considera apropriado para Moçambique?
Esta não é uma abordagem só de Moçambique, mas mundial. Por exemplo, não podemos responsabilizar técnicos da área de petróleos por um ataque que ocorre na área académica porque a atenção dele não será a mesma. É preciso segmentar para que se possa discutir, dentro dos respectivos sectores, as medidas mais arrojadas a adoptar para a sua protecção, uma vez que os próprios tipos de ataques variam.
Estas são acções que o Governo já está a realizar. Mesmo antes de a política ter sido aprovada, nós sabíamos que este era o caminho que tínhamos de adoptar. Além disso, temos presente que não se faz segurança cibernética de forma isolada. É impossível. Para haver segurança a este nível é crucial que haja cooperação, partilha de informações. Por exemplo, se houver um ataque a ser perpetrado na área financeira no Uganda, e se nós tivermos essa informação atempadamente, conseguimos avisar o nosso sector financeiro para preparar-se. Neste âmbito, fomos contactando diversos órgãos que existem ao nível mundial para criarmos um elo que traga benefícios sob o ponto de vista de treino de pessoal, colecta de informação em tempo útil e troca de experiência. Por isso estamos associados ao AfricaCERT – fórum africano de equipas de resposta a incidentes informáticos, que visa propor soluções aos desafios da saúde da internet no ecossistema – através do qual cooperamos com vários países.
Que vantagens, em concreto, traz esta cooperação a Moçambique? Que situações de ataques foram resolvidas ou evitadas graças à intervenção ou cooperação com outros países?
Quando se verifica um ataque em África ou no mundo, eles comunicam e nós informamos o sector que está sob risco. Mas também há casos em que os ataques são perpetrados a partir de Moçambique para fora. Nesse caso, o INTIC também alerta a origem do ataque, já que, muitas vezes, os ataques podem ser feitos a partir de máquinas cujos donos nem sabem. Não vou citar casos mediáticos, porque ocorrem vários ataques, uns com níveis de gravidade maiores que os outros, mas poucos se tornam notícia.
Contudo, já tivemos várias situações em que conseguimos colmatar a situação a tempo, pelo que não houve mediatização. Ou seja, a rede electrónica do Governo opera há muito tempo, mas os ataques mais recentes foram muito noticiados, o que não quer dizer que não tenha havido ataques antes. Quando, há cerca de cinco anos, ocorreram perturbações de um vírus chamado Ransomware (que encripta dados das pessoas e depois pede resgate), foibombástico em todo o mundo. Nós também fomos alertados e fizemos um parecer a informar as instituições e a instruí-las sobre como se poderiam proteger. Mesmo assim, houve instituições que acabaram sofrendo esses ataques.
Moçambique é um país com défice de formação em engenharias. Em que medida este factor dificulta o fortalecimento institucional nesta luta?
As estatísticas mundiais indicam que não existe nenhum país que tenha uma quantidade suficiente de técnicos ao nível da ciberseguraça. E não há nenhum país que não sofra ataques, dos mais desenvolvidos aos mais pobres. Temos equipas de especialistas já a operarem, mas é necessário formarmos cada vez mais e esse é um processo contínuo até porque um dos pilares da Política e Estratégia Nacional de Segurança Cibernética é o desenvolvimento da capacidade humana, investigação e inovação, porque entendemos a importância da formação.
Nesta caminhada temos de incluir o sector privado, que tem de desenvolver cursos a pensar na cibersegrança. Também queremos incentivar a academia a leccionar conteúdos ligados a esta área, desde o nível básico, e queremos que toda a sociedade esteja envolvida nesta questão. É preciso notar que a segurança cibernética não é feita apenas por especialistas desta área. Para termos um sistema forte e seguro temos de ser inclusivos, no sentido de que todos têm de fazer parte. Os dirigentes têm de perceber que é preciso fazer investimentos e priorizar essa área.
Mas o Governo tem essa consciência e exigência sobre si mesmo? A maior parte das pessoas que falaram à E&M a este respeito acredita que não. Entende que o ponto fraco está justamente na postura do Executivo. É mesmo isso?
O Governo tem a consciência das suas atribuições e estamos no bom caminho. O primeiro pilar da estratégia de segurança cibernética fala dos mecanismos de coordenação da segurança cibernética. Uma das iniciativas em carteira é a criação do Conselho Nacional de Segurança Cibernética, um órgão multissectorial que vai trazer entidades ao nível mais alto do Governo e da sociedade civil para debater estas matérias.
Depois virá a componente de formação e equipas de resposta a incidentes. Portanto, há todo um ecossistema que deve ser criado, incluindo a consciencialização. Por exemplo, podemos ter bons especialistas em cibersegurança e todos os mecanismos de protecção, mas se os utilizadores dos meios tecnológicos não forem conscientes, a sua acção pode deitar abaixo todo o esforço feito.
Mas a própria consciencialização é muito questionada por especialistas que lidam com estes assuntos. Entendem que não existe, em Moçambique, qualquer sinal que demostre preocupação com a consciencialização da sociedade?
Temos algumas iniciativas ligadas à consciencialização. De um modo geral, queremos seleccionar uma Universidade para criarmos uma espécie de folhetos informativos acessíveis à leitura e entendimento de qualquer cidadão. Além disso, como disse, pensamos em introduzir conteúdos sobre cibersegurança ainda nos níveis primários de educação.
Quando me referi às equipas sectoriais, que serão criadas para trabalhar na cibersegurança, uma das suas atribuições será também desenvolver grandes campanhas de sensibilização. A conferência que temos realizado anualmente e os workshops que prevemos começar a realizar serão, igualmente, plataformas importantes para minimizarmos o problema de desconhecimento do tema.
Estamos fracos também ao nível das estatísticas. Por exemplo, tentei pesquisar sobre o tipo de ataques, quantidade e sectores mais ameaçados e não obtive nenhuma informação. No entanto, muitos países no mundo têm esta informação. Como é que nos podemos organizar quando não temos sequer estatísticas fiáveis?
É, de certa forma, verdade que não temos estatísticas, porque não temos nenhum mecanismo de colecta de informação. Mas, mais uma vez, a estratégia prevê a criação de um Observatório Nacional de Segurança Cibernética que vai encarregar-se de trazer dados estatísticos que vão contribuir para assessorarmos o próprio Governo sobre as medidas adicionais a tomar no quadro do fortalecimento do ecossistema de cibersegurança.
Dá a entender que a estratégia e política de cibersegurança contém todas as linhas necessárias para a instalação de um sistema de defesa forte. Mas há uma grande preocupação a este nível. Geralmente, do papel à prática, os processos não fluem… adormecem e até chegam a morrer. Não será este mais um caso?
É verdade que no País já tivemos várias políticas e estratégias que não trouxeram resultados tangíveis. Mas não queremos acreditar que o mesmo aconteça com a nossa política e estratégia de segurança cibernética. Estamos bastante motivados e preparados para fazer com que esta política seja implementada. Por isso, este instrumento é muito claro nos pilares e objectivos e iniciativas concretas que foram identificadas e devem ser levadas a cabo.
Nesta fase estamos a desenvolver o plano operacional e temos incluídos os mecanismos de monitoria. Portanto, cada uma das actividades que temos prevê um horizonte temporário para realizar-se. O INTIC vai passar a fazer relatórios anuais sobre o estágio de implementação de cada uma das iniciativas que estão na Estratégia. Mas é preciso deixar claro que as 25 iniciativas que nela estão contidas não são todas operacionalizadas pelo INTIC. Há outros stakeholders que nós já contactámos para perceberem o seu papel na Estratégia. Acreditamos que grande parte dessas iniciativas vai ser operacionalizada. Estamos seguros disso.
Olhando para as perspectivas e para os documentos chega-se facilmente à conclusão de que “estamos quase lá”. É realista esta imagem que se pode criar do futuro com base do que vem descrito na Eestratégia?
O caminho é muito longo e Moçambique tem a desvantagem de ser um país muito extenso, com mais de 30 milhões de habitantes. Não será fácil chegarmos a um estágio que seria o que almejamos.
