"Ainda ficamos surpreendidos com a dimensão das ameaças, como o TikTok"
Perita polaca em cibersegurança, conselheira do presidente Duda e do primeiro-ministro Morawiecki, Izabela Albrycht diz que as sociedades europeias ainda não estão conscientes dos perigos da ligação à internet e acredita que o seu país está preparado para ciberataques complexos.
A Polónia é um dos países europeus, se não o país, que mais está a investir na defesa. Pode dizer-se o mesmo sobre cibersegurança?
Sim. No entanto, existem diferentes níveis de investimento, mas na verdade também começámos a construir o nosso ciberexército. Foi decidido há três anos e agora vemo-nos como um país com capacidades de ciberdefesa bastante avançadas. E somos também reconhecidas como uma das potências cibernéticas na Europa. Portanto, estes investimentos já deram os seus frutos. Podemos ver o potencial crescente nas nossas ciberdefesas. Em definitivo, temos muito bom talento na Europa Central e Oriental em termos de STEM (ciência, tecnologia, engenharia, matemática), há um bom acervo para o desenvolvimento de cibertalentos. Acreditamos que os nossos profissionais cibernéticos, com o apoio sistémico do país, os financiamentos, e também a estrutura, podem ajudar-nos a preparar-nos para ciberataques mais avançados. Podemos ver que a Europa Central e Oriental já está sob ciberataque, podemos ver que as estatísticas estão a mudar a esse respeito. Acreditamos que se trata de um investimento muito importante, e também sabemos pelo exemplo ucraniano que os países são capazes de se prepararem para esse tipo de ataques. A Ucrânia, por exemplo, repeliu até 29% dos ciberataques que visavam a sua rede e sistemas. Não somos capazes de nos protegermos de todos os ciberataques, mas se estivermos preparados esperamos ter êxito.
Como foi constituído esse ciberexército? Quantas pessoas estão a trabalhar?
Depois da decisão política de estabelecer o comando de ciberdefesa e o ciberexército, reforçámos a nossa ciberdefesa e estão a trabalhar umas 6500 pessoas. Agora também estamos mais atentos ao potencial da parceria público-privada, porque podemos ver que foi mais um fator de sucesso da ciberdefesa da Ucrânia. A Ucrânia está ou tem estado a cooperar com empresas globais de tecnologias de informação e comunicação (TIC), mas também tem cooperado com as PME e startups da Ucrânia, com capacidades TIC e cibernéticas. Também construíram um exército de tecnologias de informação (TI) que na realidade consiste em profissionais de TI de empresas ucranianas. Portanto, este é outro dos fatores importantes a ter em conta.
"A Ucrânia repeliu até 29% dos ciberataques que visavam a sua rede e sistemas. Não somos capazes de nos protegermos de todos os ataques, mas se estivermos preparados esperamos ter êxito."
Há dias Varsóvia acusou o governo russo de um ataque cibernético que derrubou o site dos impostos. De acordo com uma empresa de TI, a Polónia é alvo de um ataque cibernético de nove em nove minutos e que se tem agravado com a invasão russa da Ucrânia. Como é que a Polónia lida com a ameaça russa?
Uma vez que somos membros da União Europeia, em primeiro lugar seguimos o regime regulamentar imposto pela UE. Transpusemos a diretiva NIS [segurança das redes e da informação] e agora estamos também a planear aplicar a diretiva NIS2. Há também outra legislação muito importante no horizonte, que é a lei da ciber-resiliência. O nosso governo está a seguir esse regime regulamentar. Ao mesmo tempo, estamos a tentar aumentar a nossa resiliência, a tentar proteger as nossas redes e sistemas ainda mais avançados do que eram antes da invasão. Também impulsionámos a colaboração entre os intervenientes na cibersegurança. Por exemplo, temos três CERT [equipas de resposta a incidentes informáticos] e eles não estavam a cooperar tão intensamente antes do início do conflito, mas agora estão a reunir-se regularmente, partilham informação e a colaborar numa base diária. Estamos também a reforçar o desenvolvimento do conhecimento, o que significa que estamos a organizar formações para funcionários de diferentes empresas, especialmente do setor crítico, operadores de infraestruturas críticas. E estamos bastante ativos em termos de auditorias de sistemas e redes contra ciberameaças.
A solidariedade da Polónia com a Ucrânia também se estendeu à cibersegurança?
Apoiámos a Ucrânia na fase inicial do conflito com a infraestrutura das TIC, que foi destruída pela agressão russa, por isso apoiámos com equipamento, mas o apoio também abrange a formação e agora também a partilha de informação. Assim, avançámos recentemente nesse aspeto e os representantes dos cibercomandos informaram também recentemente que esta partilha de informação está agora quase em tempo real. E isto é muito importante porque a consciência da ciberameaça é um fator muito importante para a preparação de potenciais ciberataques.
"Cada sistema é vulnerável e provavelmente é apenas uma questão de tempo e de fundos para o atingir de alguma forma."
As regras da guerra aplicam-se de forma igual no ciberespaço? Como deve um país agir sob ataque de outro?
Ao nível das Nações Unidas, foi acordado que o direito internacional se aplica ao ciberespaço. Também os países da NATO decidiram, já em 2014, que o artigo 5.º pode aplicar-se se um país ou países forem atacados no ciberespaço. Mas mesmo assim não temos um critério realmente claro para decidir se o ciberataque atravessou o limiar da guerra. É sempre a decisão política, que também precisa de ser apoiada com a imputação e o processo de imputação é muito complicado. Esta é, muitas vezes, sobretudo uma decisão política. Assim, cada país precisa de considerar como, qual será a resposta para este tipo de ciberataques. A resposta não precisa de ser limitada ao ciberespaço, pode ser, por exemplo, sanções económicas. Não há clareza em termos desses critérios, mas definitivamente concordámos, enquanto comunidade global, que o direito internacional também se aplicava ao ciberespaço.
Em teoria, é possível um ciberataque tornar, por exemplo, as baterias do míssil Patriot ineficazes?Eu diria que não existe um sistema que não possa ser pirateado, mas ainda não ouvi falar deste tipo de ameaça a esse sistema em particular. Podemos concluir que provavelmente cada sistema é vulnerável e que é provavelmente apenas uma questão de tempo e fundos para o atingir de alguma forma. Por isso, talvez seja possível, mas eu não faria disso uma manchete.
A Comissão Europeia proibiu os funcionários de utilizarem o TikTok [decisão entretanto seguida pelo governo britânico]. Qual é a sua avaliação relativamente a questões de segurança e privacidade desta aplicação chinesa?
Há dois anos escrevi num relatório que os dados, que podem ser processados a partir de diferentes aplicações, dispositivos, redes, são uma mais-valia importante. Talvez devêssemos estar cientes de que quando estamos a utilizar dispositivos móveis, a pesquisar informação nos sites e a utilizar as redes sociais estamos a deixar vestígios muito importantes. Portanto, é válido em termos de TikTok, em termos de Facebook, em termos de Twitter, mas a verdadeira questão é que uso pode ser feito pelos proprietários dessas plataformas, quer sejam de países que seguem os princípios e valores democráticos, quer sejam de regimes autoritários, que podem usar esses dados contra a nossa sociedade, contra a nossa segurança. A esse respeito, considero a decisão tomada pela Comissão Europeia indicadora de que nem todas as plataformas podem ser dignas de confiança e que é importante quem está a fornecer esses, digamos, serviços essenciais à nossa sociedade. Penso que veremos mais atenção a nível europeu em relação aos fornecedores digitais de alto risco, e isto é um exemplo disso. Mas outro seria, por exemplo, os fornecedores de tecnologia de rede 5G, e esta discussão já teve lugar e a "caixa de ferramentas 5G" [medidas para mitigar os riscos] foi divulgada com autorização europeia, a qual sugere aos países europeus que precisam de fazer a avaliação de segurança dos fornecedores dessa importante tecnologia.
Além da Rússia e da China, que outros países podem constituir uma séria ameaça no ciberespaço?
Diz-se que os países com capacidades cibernéticas mais avançadas incluem a Rússia, a China, mas também o Irão e a Coreia do Norte.
Não a Bielorrússia?
Sim, mas não a esse nível muito avançado. Mas é claro que também têm grupos de hacking de inspiração estatal.
Os europeus estão cientes da ameaça que representa a ciberguerra? Ou é algo com que não estamos muito preocupados?
O conhecimento e a consciência estão a crescer e têm vindo a crescer há já alguns anos, mas penso que ainda ficamos surpreendidos com a extensão das ameaças, como é o caso do TikTok. Por exemplo, nós, como sociedade, não compreendemos a magnitude da exposição dos nossos dados. Não temos consciência de que todos e cada um dos dispositivos que estão ligados à internet são vulneráveis. Não temos consciência de que a internet das coisas, ou seja, o equipamento que estamos a utilizar todos os dias e que está ligado à internet, é vulnerável. Mas há coisas que já são claras para a sociedade, por exemplo, que a infraestrutura crítica pode ser afetada por ciberataques. Há também coisas que não são tão óbvias, mas penso que a legislação da União Europeia já está a incluir este tipo de ameaças em toda a cadeia de distribuição digital. E assim que os nossos governos, os governos dos estados-membros, aplicarem esses regulamentos na legislação nacional, então o aumento da nossa consciência nas empresas, mas também na sociedade, irá aumentar. Mas ainda não chegámos lá. Estamos a caminho, digamos, de uma consciência ou conhecimento absolutos.
cesar.avo@dn.pt
