quinta-feira, 9 de junho de 2011

Relatório de Segurança da Internet - ENISA

Portugal Country Report*

Introdução
A ENISA, Agência Europeia de Segurança das Redes de Informação, publicou no seu portal Web, os relatórios actualizados, sobre o estado da segurança das redes de informação no espaço comunitário. Uma análise breve ao, (Portugal Country Report), o relatório que trata do nosso país, mostra uma realidade nada lisonjeira no que concerne ao actual estado de segurança das nossas redes de comunicação. Este documento tem por base, o relatório citado.

Análise
Ficamos pois a saber que a entidade responsável pela coordenação e planeamento estratégico das questões da segurança é a UMIC, (), no entanto esta entidade aponta a sua estratégia essencialmente para o sector público, esquecendo uma larga fatia dos utilizadores, que são os utilizadores domésticos. No capítulo das equipas de resposta rápida a incidentes de redes informáticos, Portugal não dispõe, segundo o relatório de nenhuma estrutura formal (CERT), no entanto existe uma entidade que funciona mais ou menos dentro do princípio CERT, ma que trata apenas das redes das escolas, das universidades, sendo também responsável pela gestão do domínio (.pt).
Em termos de desenvolvimento estratégico para as tecnologias de informação, esse planeamento e desenvolvimento assenta no Plano para a Sociedade de Informação, o famoso (Choque Tecnológico), alicerçado em três eixos de actuação.
1. Conhecimento – Que almeja a qualificação da sociedade e a sua mobilização para a nova realidade da sociedade da tecnologia e do conhecimento.
2. Tecnologia – Pretende, vencer as clivagens nas áreas científicas e tecnológicas, dando um salto em frente no desenvolvimento de parcerias com as empresas para a criação de emprego mais qualificado e tecnologicamente avançado.
3. Inovação – Promover a inovação como meio de modernizar a corrente produtiva para melhor adaptação aos mercados globais e à concorrência.
Em termos de cooperação e troca de informação, entre as várias entidades envolvidas nestes processos, o relatório diz que, estes mecanismos ainda não atingiram em Portugal uma maturidade plena, existindo uma muito limitada troca de informação entre essas várias entidades, não existindo informação disponível, que indique que tenham sido implementados procedimentos de cooperação sistemática entre as várias autoridades competentes. Em relação a 2010, não foram implementadas nenhumas alterações importantes relativas às questões de resiliência dos sistemas em Portugal.
No que concerne à protecção de dados, o órgão competente é a famosa, não pelos melhores motivos, Comissão Nacional de Protecção de Dados (CNPD), à qual, segundo o relatório não é obrigatório comunicar, as falhas de segurança que ocorram em termos de fuga de dados pessoais, o que no nosso entender é uma questão muito sensível que deveria ter colhido outro entendimento das autoridades competentes. A CNPD, pode investigar as entidades que gerem os dados pessoais, pode fazer buscas a essas entidades e inclusive aplicar coimas, das quais cabe sempre recurso aos tribunais, o que mais uma vez no nosso entender é uma situação pouco equilibrada.
Em relação à consciencialização pública e à implementação de medidas pelas autoridades competentes sobre a necessidade da segurança preventiva na utilização da Internet, uma vez mais o relatório não abona em nada a favor de Portugal, informa pois o relatório que Portugal é um Estado onde não existe informação consistente contra as más práticas online. Um Estado onde a falta de clareza e coerência da moldura legal, leva à incerteza sobre como, e quem deve actuar no combate e sanção legal às más práticas online.
Falha também a implementação de medidas de formação, informação e prevenção, sobre a segurança dos meios de informação no que toca à área da Protecção Civil, dado que não existem sequer directivas sobre esta temática. Ainda segundo o relatório, não existem dados claros que indiquem que as autoridades competentes possuem métodos de cooperação, nem que implementem regras públicas que ajam coordenadamente. Uma nota de apreço pelos ISP, (Internet Service Providers), que segundo o relatório tomam medidas pró activas na defesa dos seus sistemas, disponibilizando filtros anti-spam e antivírus.
As decisões judiciais, são outra questão, em que mais uma vez Portugal, não apresenta uma boa imagem, isto apesar da substantiva e atempada legislação, recorde-se que desde 1991, que possuímos uma Lei do Crime Informático, no entanto esse assumo legislativo parece não colher os melhores préstimos junto das autoridades competentes, nem dos utilizadores, senão vejamos, segundo o relatório, não há registo de nenhuma condenação por actividades de distribuição de spam, apesar de existirem vários processos na fase de inquérito, nos últimos dois anos não constam referências a este tipo de ocorrências. Apesar de o cidadão poder, através de dois portais próprios online, efectuar queixas sobre más práticas na Internet, no caso do portal da polícia o mesmo nunca foi sequer utilizado.

Conclusão
Este relatório apresenta-se como sendo coincidente com a nossa visão sobre o assunto, sendo que há uma década que o Projecto @protejainternet, se bate para que estas questões sejam tidas em consideração quando se implementam actividades que tem por objectivo a criação de utilizadores das novas tecnologias.
O grande problema, é a falta de coordenação, a falta de cooperação e a falta de implementação de medidas que elevem as questões da segurança dos sistemas de informação a um nível de preocupação e empenho sério, essas questões devem preocupar as nossas autoridades competentes, que parecem bastante alheias ao que se passa no mundo, só para citar alguns exemplos, a Nato e a União Europeia, convergiram já na mudança de paradigma, quanto ao grau e nível de ameaça, que as falhas dos meios de segurança podem significar, no entanto Portugal, apesar de alguma boa legislação, parece alheio a essa nova realidade.

Legislação
Lei n.º 67/98 de 26 de Outubro – Transpõe para o quadro legal nacional a Directiva 95/46 sobre protecção de dados.
Decreto-lei nº 62/2003 de 3 de Abril – Define o regime legal das Assinaturas Electrónicas.
Lei nº 109/2009 – Lei de Crime informático.
Decreto-lei nº 7/2004 – Lei do Comércio Electrónico. Transpõe para o quadro legal nacional a directiva 2002/68/EC sobre o Comércio Electrónico.
Lei nº 41/2004 - Transpõe para o quadro legal nacional a directiva 2002/68/EC sobre o Comércio Electrónico e protecção de dados.
Decreto-lei 106-A/2006 – Lei da Certificação Electrónica.

Ligações úteis
Autoridade Nacional de Comunicações - ICP - Anacom
Agência para a Sociedade do Conhecimento - (UMIC)
Comissão Nacional Protecção de Dados - CNPD
Serviço de Resposta a Incidentes de Segurança Informática – CERT
Polícia Judiciária



*Fonte: http://www.enisa.europa.eu/act/cert/background/inv/certs-by-country/portugal

Nenhum comentário:

Postar um comentário