Parte II – Enquadramento político, estratégico e jurídico da cibersegurança (2/2) – Portugal | Enquadramento Geral da Cibersegurança no Contexto do Conceito Estratégico de Defesa Nacional |

Centro Nacional de Cibersegurança | Enquadramento Geral da Cibersegurança no Contexto do Conceito Estratégico de Defesa Nacional |

Parte II – Enquadramento político, estratégico e jurídico da cibersegurança (2/2) – Portugal

 

2.Enquadramento político, estratégico e jurídico nacional

Os principais diplomas de enquadramento político, estratégico e jurídico-normativo fundamental da evolução da cibersegurança em Portugal, fundamentais para a compreensão do processo de constituição do CNC, obedecem à seguinte linha de evolução histórica [1]:

 

2.1.Resolução do Conselho de Ministros nº 6/2003, de 20 de Janeiro

Em termos históricos, a primeira referência à importância estratégica do ciberespaço para Portugal aparece introduzida no Conceito Estratégico de Defesa Nacional aprovado pela Resolução do Conselho de Ministros nº 6/2003, de 20 de Janeiro,

  • considerando no ponto 1.1
  • que “[e]mbora este novo ambiente estratégico tenha atenuado as ameaças tradicionais de cariz militar, fez surgir factores de instabilidade traduzidos em novos riscos e potenciais ameaças, de que os trágicos acontecimentos de 11 de Setembro de 2001 são o paradigma”;
  • que “[c]om aquela acção, o terrorismo transnacional parece, assim, não considerar sequer limites éticos, nem de qualquer outra natureza, assumindo uma possibilidade de actuação à escala global, conciliando a violência tradicional, decorrente de atentados e acções bombistas, com a possível utilização do ciberespaço e de meios de destruição maciça”;
  • considerando no ponto 2.1.
  • que “os fenómenos de destruturação dos Estados e da globalização vieram contribuir para aumentar os riscos de proliferação de armas de destruição de massa e de uso indevido das novas tecnologias(…)”;
  • que “[a] acrescer a este conjunto de riscos mais imediatos, é hoje possível identificar um outro conjunto de factores que não deixarão de influenciar e condicionar o ambiente internacional e que se prendem com: (…)
    Os factores ligados à evolução tecnológica, aos novos «vírus» e à utilização criminosa do ciberespaço”.

 

2.2.Resolução do Conselho de Ministros nº 12/2012

A medida 4.4 do plano global estratégico de racionalização e redução de custos com as Tecnologias de Informação e Comunicação (TIC) na Administração Pública (AP), aprovada pela Resolução do Conselho de Ministros nº 12/2012, de 7 de Fevereiro

  • previu a definição e implementação de uma estratégia nacional de segurança de informação (ENSI);
  • determinando, designadamente, a criação, instalação e operacionalização de um CNC.

 

 

2.3.Resolução do Conselho de Ministros nº 42/2012, de 13 de Abril

Através da Resolução do Conselho de Ministros nº 42/2012, de 13 de Abril, foi constituída a Comissão Instaladora do CNC, com a missão de definir as medidas e os instrumentos necessários à criação instalação e operacionalização do CNC.

Em Julho de 2012, a CI CNC, em cumprimento do mandato definido pela Resolução do Conselho de Ministros nº 42/2012, de 13 de Abril, apresentou ao Governo duas propostas:

  • uma proposta de Estratégia Nacional de Cibersegurança e
  • uma proposta para criação do CNC.

 

2.4.Resolução do Conselho de Ministros nº 19/2013, de 5 de Abril

Passados dez anos da publicação do Conceito Estratégico de Defesa Nacional, aprovado pela Resolução do Conselho de Ministros nº 6/2003, a Resolução do Conselho de Ministros nº 19/2013, de 5 de Abril considerou que “tornou-se imperativa a revisão do conceito estratégico de defesa nacional, como instrumento indispensável para a resposta nacional ao novo ambiente da segurança”, tendo aprovado um novo Conceito Estratégico de Defesa Nacional em que é realizada a primeira referência autónoma à cibersegurança e é reforçada a importância estratégica do ciberespaço para Portugal,

  • considerando no ponto 3.1 da Parte III que “[o] ambiente de segurança global confronta-se, nomeadamente, com os seguintes riscos e ameaças: (…)
    – O ciberterrorismo e a cibercriminalidade, tendo por alvo redes indispensáveis ao funcionamento da economia e da sociedade da informação globalizada;”
  • considerando no ponto 3.2.1 da Parte III que “Portugal depara-se com ameaças de natureza global que podem pôr directamente em causa a sua segurança, como sejam: (…)
    – A cibercriminalidade, porquanto os ciberataques são uma ameaça crescente a infraestruturas críticas, em que os potenciais agressores (terroristas, criminalidade organizada, Estados ou indivíduos isolados) podem fazer colapsar a estrutura tecnológica de uma organização social moderna”;
  • considerando no ponto 1.4.2 da Parte VI que
  • “[a] tipologia das ameaças transnacionais , como o terrorismo, a proliferação de armas de destruição massiva, o crime organizado transnacional, a cibercriminalidade, as catástrofes e calamidades, os riscos ambientais e as pandemias, exige respostas estratégicas multissectoriais e integradas”;
  • “[n]esse sentido, o Estado deve:
    -Desenvolver as capacidades militares necessárias à mitigação das consequências de ataques terroristas, cibernéticos, NBQR – Nuclear, Bacteriológico, Químico ou Radiológico – e de catástrofes e calamidades”;
  • “[p]ara responder eficazmente à ameaça das redes terroristas, Portugal deve desenvolver uma estratégia nacional e integrada que articule medidas diplomáticas, de controlo financeiro, judiciais, de informação pública e de informações, policiais e militares. (…) Neste domínio adquire grande acuidade a implementação de um Programa Nacional de Proteção das Infraestruturas Críticas”;
  • “[n]o domínio da cibercriminalidade, impõe-se uma avaliação das vulnerabilidades dos sistemas de informação e das múltiplas infraestruturas e serviços vitais neles apoiados. Neste domínio definem-se como linhas de ação prioritárias:
    -garantir a proteção das infraestruturas de comunicação críticas, através da criação de um Sistema de Proteção da Infraestrutura de Informação Nacional (SPIIN);
    -definir uma Estratégia Nacional de Cibersegurança;
    -montar a estrutura responsável pela cibersegurança, através da criação dos órgãos técnicos necessários;
    -sensibilizar os operadores públicos e privados para a natureza crítica da segurança informática e
    -levantar a capacidade de ciberdefesa nacional”;
  • considerando no ponto 1.4.6 da Parte VI que “[t]endo em conta a tipologia das missões das Forças Armadas e das ameaças à segurança nacional, deverá ser atribuído o maior grau de prioridade: (…)
    -à efectiva capacidade nas áreas de comando, controlo, comunicações e informações;
    -ao desenvolvimento da capacidade de ciberdefesa.

 

Princípios e Linhas de Acção para o Enquadramento da Cibersegurança no Âmbito da Segurança Nacional

Além das referências expressas e autónomas à importância estratégica da cibersegurança em Portugal, o novo Conceito Estratégico de Defesa Nacional estabelece um conjunto de princípios e de linhas de acção para o enquadramento da cibersegurança no âmbito da segurança nacional, designadamente,

  • definindo os princípios da segurança e defesa nacional no ponto 2. da Parte V e considerando que “[a] realização da estratégia nacional orienta-se por três regras:
    – Unidade estratégica: é indispensável para integrar todas as dimensões da segurança e defesa, fazendo-as convergir para os objectivos comuns;
    – Coordenação: é imprescindível para garantir a cooperação e colaboração entre todas as entidades e organismos intervenientes, ao nível nacional ou multilateral, de modo a maximizar o potencial estratégico disponível;
    – Utilização racional e eficiente de recursos: no uso dos diversos instrumentos é imperativo que tal aconteça, tendo presente o objectivo para que contribuem e a natureza das ameaças e riscos que pretendem mitigar”;
  • considerando no ponto 1.4.2 da Parte VI que “o Estado deve:
    – Maximizar as capacidades civis e militares existentes e impulsionar uma abordagem integrada na resposta às ameaças e riscos, operacionalizando um efectivo sistema nacional de gestão de crises;
    (…)
    -Aprofundar a cooperação entre as Forças Armadas e as forças e serviços de segurança em missões no combate a agressões e às ameaças transnacionais, através de um Plano de Articulação Operacional que contemple não só as medidas de coordenação, mas também a vertente de interoperabilidade dos sistemas e equipamentos;
    -Promover uma abordagem integrada da segurança interna, contemplando uma dimensão horizontal, incluindo a necessidade de intervenção articulada e coordenada de forças e serviços de segurança, da proteção civil, da emergência médica e das autoridades judiciárias, bem como das entidades do sector privado, e uma dimensão vertical, incluindo os níveis internacional, nacional e local;
    -Promover a integração operativa da segurança interna, através da adopção de medidas operacionais que reduzam redundâncias e aumentem a integração operacional e a resiliência do sistema, incluindo as informações, a segurança pública, a investigação criminal, os serviços de estrangeiros e fronteiras e a proteção civil;
  • afirmando Portugal como coprodutor de segurança internacional no ponto 1.4.3. da Parte VI e considerando que “[a]s fronteiras da segurança nacional são para além das fronteiras territoriais do Estado”;
  • consagrando o princípio do duplo uso ao valorizar as missões de interesse público das Forças Armadas no ponto 1.4.4. da Parte VI;
  • promovendo a rentabilização dos meios e capacidades das Forças Armadas no ponto 1.4.6. da Parte VI, considerando que estas “devem estar preparadas para cumprir missões de (…) [c]ooperação com as forças e serviços de segurança no combate a ameaças transnacionais”;
  • visando clarificar as competências das forças e serviços de segurança no ponto 1.4.7. da Parte VI, considerando que:
    – “[o] sistema de segurança interna não deve ser considerado isoladamente, mas antes integrada no sistema mais amplo e abrangente da segurança nacional, que faz apelo aos princípios da complementaridade e da interdependência entre todas as suas componentes”;
    – “[o] sistema de segurança interna dispõe, para a prossecução da sua actividade, de um conjunto de forças e serviços que exercem funções nesse domínio, para além dos órgãos de polícia criminal”;
    – “[o] sistema português de segurança interna pode incluir-se nos chamados modelos dualistas ou de dupla componente policial. Importa, todavia, reconhecer a necessidade de clarificar este modelo conceptual, definindo com precisão as atribuições e competências de cada componente e eliminando as redundâncias existentes, de modo a torná-lo mais eficiente”.

 

2.5.Resolução do Conselho de Ministros nº 26/2013, de 19 de Abril

A Resolução do Conselho de Ministros nº 26/2013, de 19 de Abril, nos termos do Preâmbulo do Despacho nº 13692/2013, de 28 de Outubro, definiu as orientações específicas da Reforma «Defesa 2020», que “prevêem o levantamento da capacidade de Ciberdefesa nacional e preconizam em concreto a criação de um Centro de Ciberdefesa, no âmbito do Estado-Maior-General das Forças Armadas, em simultâneo com a criação de um serviço que coordene as comunicações e os sistemas de informação, em articulação com os Ramos, procurando-se, numa lógica de centralização e especialização dos recursos existentes, num único pólo, a implementação de uma plataforma transversal de apoio à decisão, designadamente no que diz respeito às funções de comando, controlo e direção”.

 

2.6.Despacho nº 7527-A/2013, de 11 de Junho

O Despacho nº 7527-A/2013, de 11 de Junho, que publica a Directiva Ministerial para a reforma estrutural na Defesa Nacional e nas Forças Armadas – Reforma «Defesa 2020», atribui ao Chefe do Estado-Maior-General das Forças Armadas, em articulação com os órgãos e serviços centrais do Ministério da Defesa Nacional, a tutela do Serviço de Comunicações e Sistemas de Informação e do Centro de Ciberdefesa.

 

2.7.Despacho nº 13692/2013, de 28 de Outubro

O Despacho nº 13692/2013, de 28 de Outubro aprovou a Orientação Política para a Ciberdefesa,

  • considerando, na Parte I, o ciberespaço como uma ameaça séria à Defesa Nacional e como um novo domínio operacional que coloca importantes desafios à organização e funcionamento da Defesa Nacional;
  • definindo, na Parte II, os princípios da ciberdefesa;
  • especificando, na Parte III, os objectivos da Política de Ciberdefesa;
  • indicando, na Parte IV, as linhas orientadoras
    – da estrutura de ciberdefesa nacional;
    – do planeamento de defesa militar;
    – da capacidade para conduzir operações militares em redes de computadores;
    – do reforço da capacidade de informações no ciberespaço;
    – da partilha de informação de ciberdefesa;
    – da sensibilização, formação e exercícios;
    – da gestão de risco na cadeia de reabastecimento e aquisições.

 

2.8.Conceito Estratégico de Cibersegurança Nacional

A Resolução do Conselho de Ministros nº 19/2013, de 5 de Abril, que aprovou o novo Conceito de Estratégia de Defesa Nacional, considera como linha de acção prioritária, nos termos do ponto 1.4.2 da Parte VI, a definição de uma Estratégia Nacional de Cibersegurança.

Estando já aprovada a Orientação Política para a Ciberdefesa, através do Despacho nº 13692/2013, de 28 de Outubro, e apesar de já ter sido aprovada a orgânica do CNS, pelo DL nº 69/2014, de 9 de Maio, ainda não foi aprovada a Estratégia Nacional de Cibersegurança, ainda que

  • esteja já disponível publicamente para consulta a Proposta de Estratégia Nacional de Cibersegurança [2] e de
  • esta já ter sido entregue ao Governo para efeitos da sua discussão e aprovação [3].

 

 

NOTAS DE RODAPÉ:

[1] A listagem detalhada dos documentos normativos relevantes pode ser consultada infra na parte referente à Legislação.

[2] Acessível em http://www.gns.gov.pt/media/1247/PropostaEstrat%C3%A9giaNacionaldeCiberseguran%C3%A7aPortuguesa.pdf .

[3] IOnline (2014).