Centro Nacional de Cibersegurança | Enquadramento Geral da Cibersegurança no Contexto do Conceito Estratégico de Defesa Nacional |
Parte IV – Conclusões, Modelos de Desenvolvimento e Desafios Futuros
Duas conclusões resultam imediatamente da compreensão do ciclo histórico político-estratégico de evolução da cibersegurança em Portugal e, especialmente, da constituição do CNC:
- a necessidade de um (novo) modelo de operacionalização da cibersegurança nacional [1] e
- a necessidade de construção de um (novo) modelo de ciberilicitude.
A constituição do CNC concretiza, assim, simultaneamente, um ponto de chegada e um ponto de partida para um novo ciclo ou modelo de segurança nacional, exigindo o desenvolvimento de novos modelos de enquadramento estratégico e, sobretudo, novos modelos de enquadramento teórico-doutrinário, operacional e táctico-técnico.
1.Modelo de operacionalização da estratégia de cibersegurança
A construção de um modelo de operacionalização da estratégia de cibersegurança, no quadro alargado de segurança nacional do CEDN, vai implicar um processo de desenvolvimento, com prioridades diferenciadas, com pelo menos quatro fases:
(1º) É claro que a operacionalização da política e estratégia de segurança nacional, no quadro do CEDN, implica imediata, necessária e expressamente
- a criação de um CNC e
- a criação de um Centro de Ciberdefesa.
(2º) É também clara, no quadro do CEDN, a autonomização expressa dos fenómenos da cibercriminalidade, que justificariam a existência de um Centro de Cibercrime, à semelhança ou em paralelo ao Centro de Ciberdefesa [2].
(3º) Apesar da falta de uma referência expressa, é possível encontrar já no CEDN as linhas de força justificativas da autonomização de
- um Centro de Ciberespionagem, focado sobre a «inteligência estratégica» e sobre as informações e
- um Centro de Cibercrise, focado sobre as infraestruturas críticas e sobre as situações de gestão de crises, emergências e protecção civil com relevância digital.
(4º) Finalmente, sem qualquer referência directa ou indirecta, mas a partir de uma visão integrada e articulada, num quadro de ciberespaço que transcende as fronteiras territoriais físicas tradicionais, emerge a necessidade de um Centro de Ciberdiplomacia, para fazer face às necessidades acrescidas de relacionamento internacional e de governação do ciberespaço.
O modelo de cibersegurança seria assim construído a partir de cinco centros operacionais com particulares especificidades táctico-técnicas, articulados por sua vez por um Centro Nacional de Cibersegurança, de acordo com uma lógica de coordenação, cooperação e colaboração [3]:
2.Modelo de ciberilicitude
O discurso político, estratégico e operacional, no âmbito da sociedade digital e da cibersegurança em termos gerais, atribui um lugar central à categoria da cibercriminalidade como conceito agregador de todos os incidentes e actividades que, sendo realizadas no âmbito do ciberespaço ou através de meios cibernéticos, são consideradas ilícitas.
Contudo, verdade é que a categoria da cibercriminalidade não deve ser erigida como um dos pilares conceptuais fundamentais da cibersegurança
- quer porque é incorrecto, em termos jurídicos, classificar todos os incidentes ilícitos no âmbito da cibersegurança como incidentes criminosos ou crimes, havendo uma escala de ilicitude mais ampla;
- quer porque essa equiparação é incapaz, em termos sociais, de captar e explicar todos os fenómenos associados à multiplicidade de incidentes ilícitos e respectiva danosidade social no âmbito de uma sociedade digital.
A categoria da cibercriminalidade deve ser integrada num quadro mais amplo de ciberilicitude, de forma a ser possível compreender toda a multiplicidade complexiva de incidentes, responsabilidades, bens jurídicos protegidos e tipos de ilícitos envolvidos na cibersegurança da sociedade digital.
A categoria da ciberilicitude permite, quer em termos jurídicos, quer em termos sociais, a compreensão dos diferentes níveis da escala de ilicitude no âmbito da cibersegurança e correspectiva gradação de responsabilidade:
- simples danosidade social:
- responsabilidade civil;
- responsabilidade contraordenacional e
- responsabilidade criminal.
3.Desenvolvimento de modelos e enquadramentos
A partir da análise e compreensão da realidade actual é possível verificar já a necessidade de desenvolvimento de novos modelos de enquadramento teórico-doutrinário, operacional e táctico-técnico, destacando-se seis grandes enquadramentos:
- construção de um quadro conceptual e de um léxico adequado à realidade da cibersegurança;
- desenvolvimento dos modelos de resposta a incidentes de cibersegurança [4];
- desenvolvimento do modelo de articulação institucional entre as entidades nacionais e as entidades internacionais com competências de governação do ciberespaço e da cibersegurança [5];
- levantamento das entidades nacionais relevantes para a operacionalização da estratégia de cibersegurança e respectivo modelo de articulação;
- desenvolvimento de um modelo de sobreposição dos mandatos fundamentais da cibersegurança com os mandatos operacionais transversais de
– normalização e certificação [6];
– partilha de informação e protecção de dados;
– coordenação;
– investigação e desenvolvimento e
– formação; - desenvolvimento de um modelo de adequação táctico-técnico das forças e serviços de segurança às exigências específicas da cibersegurança.
4.Desafios emergentes à cibersegurança
A velocidade de crescimento e o ritmo acelerado de investigação, desenvolvimento e aplicação das novas TIC ao ciberespaço vai gerar uma pressão brutal sobre a cibersegurança, sendo já possível antecipar a emergência de um novo paradigma securitário a partir dos principais fenómenos ocorrentes na agenda da Sociedade Digital, destacando-se, entre outros [7]:
- o crescimento geométrico e exponencial das redes de comunicações e das TIC, num quadro de globalização total da Internet;
- a digitalização dos meios de comunicação, dos dados e das informações;
- a evolução para um modelo integral de computação em rede [8];
- a mobilidade comunicacional, com globalização da utilização das comunicações móveis;
- a expansão da “coisificação” da Internet, com ligação das coisas às redes [9] e o processamento de grandes volumes de dados [10].
À Agenda Digital [11] terá que corresponder uma política de cibersegurança. O grande desafio é conseguir que a cibersegurança acompanhe a velocidade de crescimento do ciberespaço, num quadro de emergência de um novo paradigma securitário digital…
NOTAS DE RODAPÉ:
[1] Cfr. uma compreensão detalhada da importância destes modelos em Klimburg (2012).
[2] Percebem-se as hesitações político-estratégicas face à comparação dos modelos: (i) um modelo unitário ao nível das forças armadas versus (ii) um modelo dualista ao nível das forças e serviços de segurança – Cfr. supra Parte II.
[3] Com uma compreensão estruturante diferente dos principais mandatos da cibersegurança, cfr. o enquadramento proposto por Nunes (2012).
[4] Cfr., por exemplo, a proposta analítica feita por Santos et alli (2012).
[5] Cfr., por exemplo, a ilustração feita por Santos (2012).
[6] Cfr. Klimburg (2012).
[7] Para maiores desenvolvimentos cfr. Melo (2014).
[8] «Cloud computing».
[9] «Internet of things».
[10] «Big Data».
[11] Cfr. http://ec.europa.eu/portugal/temas/crescimento_inteligente/agenda_digital_europa/index_pt.htm .