Diariamente assistimos de forma quase impotente aos demasiados casos de ciberataque. Não é uma questão local, embora reconheça que mais recentemente e pela falta da preparação das empresas e entidades, Portugal esteja um pouco mais exposto a este fenómeno. Mas a realidade do desafio é mundial e entre empurrões da responsabilidade dos governantes para os militares e dos militares para os governantes, o quadro vai-se compondo e alguns passos acabam por ser dados. Na verdade, o problema jaz aqui nesta breve introdução que fiz e clarifico já agora, à luz da minha experiência e opinião.
Antes de me alongar na conversa, devo dizer que sou altamente imparcial no tema pois é o meu métier. Não sou de estar a puxar os galões, mas creio que para expor o que escrevo aqui, há a necessidade de me conhecerem neste capítulo importante, pois cansados de opinadores de tudo e de mais alguma coisa está o mundo cheio. Aliás, e se me permitem, creio que seria sempre útil que cada posição de relevo fosse ocupada por alguém proeminente do seu meio e não da área política, a não ser que este personagem seja o proeminente académico ou profissional e que por acaso seja daquela área política. Pergunta a si mesmo, o leitor neste momento, o que tem isto haver com isto? Já lá vou e certamente concordarão comigo.
Voltando ao ponto introdutório e entrando no parágrafo anterior, há uma lentidão alarmante na preparação das nações europeias relativamente ao tema da cibersegurança. Embora o nosso país seja apetecível aos olhos dos atacantes, sejam eles muito evoluídos ou simplesmente iniciantes, nós não estamos sozinhos neste lago e há certamente nações mais atrás que nós e outras mais à frente. Agora, nem todos estão na Europa ou as que estão, nem todas possuem o nosso destaque no panorama internacional. Nem todas possuem uma base militar no meio do mundo, nem todas tiveram recentemente um Presidente da Comissão Europeia, nem todas possuem um Secretário-Geral das Nações Unidas e certamente nem todas possuem um corpo diplomático bom como o nosso nem as relações privilegiadas com África como nós. Isto quer dizer que, apesar de sermos um país pequeno, estamos na mira dos nossos concorrentes ao nível dos jogos das nações bem como dos piratas informáticos mundo fora e que só querem “make quick a buck”, ou seja, ganhar dinheiro. Eu digo isto como analista do mundo da segurança informática com 20 anos de carreira, licenciado, mestre e doutor precisamente nesta área. Certo que convém dizer já que o meu raciocínio acima e curriculum nunca me fariam aceitar um cargo na política, nem que a minha vida dependesse disso. Achei ser importante ter este esclarecimento como garante que a minha opinião formada vem com o facto de eu viver e respirar a temática enquanto estou acordado e não com factos de interesse pessoal. É precisamente por estar muito bem informado e treinado, por dar aulas da matéria em diversas instituições de ensino superior nos mais variados cursos de segurança informática, ter alunos de mestrado e doutoramento que são mais brilhantes que eu e que diariamente me ensinam coisas novas, que me qualificam a dar uma opinião sapiente e não de tendência, e dizer o que vou dizer a seguir.
Ainda há um par de semanas a CNN Portugal foi mais uma vez pioneira no seu trabalho. Aliás, tem sido assim desde a metamorfose que a criou e pelo facto de se ter rodeado de individualidades que prestam o serviço público de informar com isenção e qualidade, mas acima de tudo, pelo facto de estes terem provas dadas nas suas áreas, seja com experiência académica ou de vida. Mas como isso não basta, são também pessoas escolhidas pela ampla experiência profissional onde aplicam o que pregam. A CNN desde cedo que segue e informa de forma muito completa o panorama da cibersegurança em Portugal, quase sempre sozinha, mas de forma crítica e clara como o faz. Sempre que há um problema ou uma novidade que não aparece em mais lado algum ou quando o faz é de forma rápida, a CNN aprofunda o tema a cada ataque que surge e a prova disso é o facto dos mais reputados hackers mundiais, como o que derrubou o grupo Lapsus, chegarem a dar entrevistas altamente completas e informativas.
A reboque desta realidade, à volta da CNN juntam-se verdadeiramente profissionais e especialistas de facto e não de jure, o que faz com que a matéria que publicam seja muito certeira. Uma dessas matérias foi o pedido ignorado por todos que os especialistas dos mais variados arcos da segurança informática fizeram, o pedido de uma Task Force. Uns riram-se, outros criticaram e alguns concordaram, mas ninguém fez eco desta necessidade pois essa é uma realidade inconveniente, porém na Austrália não. No mundo à nossa volta a realidade é tão negra como cá, mas uns estão mais preparados que outros e os que não estão criam as condições para estar, isto é, para estar e estarem muito rapidamente. Como escrevi logo ao início, o nosso país tem uma tendência para não abordar os assuntos até que as condições estejam criadas para tal tarefa, e no intervalo disto faz-se silêncio ou critica-se amplamente, e isto tornou-se uma realidade cada vez mais presente na maior parte dos desafios que enfrentamos como nação. A questão está na velocidade do problema que se chama insegurança informática, e como eu já o disse, a Austrália já deu grandes passos a começar com o Ministro da Cibersegurança.
Neste país longínquo já se percebeu que o problema é muito mais rápido que a solução, que há muitos interesses comerciais ao barulho e que nem sempre isso interessa à estratégia ou à falta dela pelas terras a sul de sua majestade. Já se percebeu que há que criar as condições para que realmente se construa uma solução para a insegurança informática. Pode ser pioneira na criação ou na elevação deste interesse a ministério, mas não é certamente novidade pois na China já há algum tempo uma Task Force criou para o governo uma política de segurança informática que obriga todas as empresas a implementar, e sim, são largas dezenas de milhões de empresas e todas sem exceção a aplicam, desde 2016, revista em 2022.
Não há vergonha nenhuma em admitir que temos trabalho para fazer. Não há problema algum em admitir neste capítulo que estamos atrasados; isto não vai afastar potenciais investimentos no país e sabem porquê? Porque todos estão atrasados ou melhor dito, todos precisam de trabalhar nisto, e muito. Não há qualquer problema em admitir que em Portugal não há uma estratégia centrada para o problema e que há muitas forças a puxar para o seu lado. Antes que puxem ao ponto de romper o pano, há que verdadeiramente criar uma estratégia global e que seja aplicada de ponta a ponta, custe ela o que custar. A alternativa é bem pior pois todos os dias o desafio é maior e todos os dias aparece um “vírus” mais agressivo que o anterior. Todos os dias aparece um grupo mais destruidor que o anterior. Todos os dias aparece mais uma porta para fechar ao lado das que as nossas empresas e entidades possuem já abertas. Portanto, crie-se a Task Force, escolham-se o grupo de trabalho recheado de pessoas que saibam mesmo da matéria. Que se escolham os mais proeminentes professores (menos a minha pessoa), empresas e consórcios internacionais para elaborar uma carta de princípios. Que se crie uma estratégia antes de chamar os legisladores para a escreverem as leis, mas que acima de tudo se faça qualquer coisa de grande e nuclear, sob pena de adensarmos o nosso problema. Que não se limite este grupo ou o embaralhe em leis, muito pelo contrário, que se deixe trabalhar e depois se ajustem as leis.
Por muito ridículo que lhe pareça o que digo acima e por mais absurdo que pareça o título desta opinião “O Ministério da Cibersegurança” recordo, a Austrália já a tem, chama-se Clare O’Neil e é a Ministra dos Assuntos Internos e da Cibersegurança, portanto, uma Task Force não é assim tão absurda.
