Por Rui Martins (*)

Recentemente tive oportunidade para ter uma reunião com o eurodeputado Carlos Zorrinho, que tem trabalhado as questões da Digitalização da Economia na União Europeia, tendo tido ocasião para apresentar muito sumariamente algumas propostas de iniciativas que poderiam ser conduzidas pelo Parlamento e pela Comissão europeia tendo em vista o aumento da cibersegurança de empresas, particulares e organizações estatais e autárquicas dentro do espaço europeu.

A apresentação baseou-se nas propostas, mais extensas e detalhadas, que podem ser encontradas em https://cidadaospelaciberseguranca.wordpress.com e onde procurei usar os  meus conhecimentos profissionais numa área que é de incidência cada vez mais aguda e importante na nossa sociedade e economia como comprovam todos os ataques recentes e designadamente aquele que destruiu a rede do hospital Garcia da Orta, da SIC/Impresa, Vodafone, a Germano de Souza, Transportes Colectivos de Coimbra e muitos outros que não chegaram às notícias e que nunca chegarão porque a maioria dos alvos não divulga publicamente a sua condição de vítima de cibercrime.

Na reunião com o eurodeputado, em particular convidei à reflexão sobre a possível tomada de posições do Parlamento Europeu sobre quatro medidas muito concretas, relativamente simples de implementar e de elevado efeito positivo potencial na área do reforço da cibersegurança:

1. A proibição do pagamento de resgates de ransomware deve ser ponderada  a nível europeu, seja na forma de um regulamento, seja na forma de uma directiva: Esta proibição pode ser feita de forma gradual, numa abordagem "top-down" impondo esta proibição às empresas de maior facturação e a todos os órgãos do estado central e local e depois, num plano faseado por anos, descendo até às PMEs e aos cidadãos particulares. Uma abordagem deste tipo poderia convidar as empresas e as organizações do Estado a investirem mais em cibersegurança (sendo 10% do orçamento total de investimento o número ideal) e, indirectamente, reduzir também o impacto destas actividades junto dos cidadãos particulares dado que estes, por sua vez, ou trabalham no sector Estado ou em empresas privadas e haveriam de trazer também para os seus lares as boas práticas e formações que adquirissem nos seus locais de trabalho.
Esta proibição (reforçada com outra que multasse severamente todas as organizações que ocultassem às autoridades terem sido vítimas de um ataque) iria afastar os Estados da UE da mira das organizações de cibercriminosos (ou APTs) e faria toda a diferença porque atualmente muitos APTs já incorporam nos seus ataques mecanismos de detecção do local de ataque (excluindo destes ataques - de forma automática - a Rússia e o Irão: p.ex.)

2. Não pode haver indústria do Ransomware sem criptomoedas. Se existe ransomware e não existia há uma década isso ocorre porque hoje é possível realizar transferências de grandes quantias de forma anónima ou secreta. É imperativo prosseguir os esforços europeus de regulação das criptomoedas, banindo todas as formas de anonimização e determinando que deve existir sempre um registo de emissor e receptor de todas as transacções. Não se trata de banir as criptomoedas (embora o seu valor actual para a economia real seja praticamente nulo), mas de as regular e de impedir ou dificultar o seu uso em operações de branqueamento de capitais, de ransomware ou de financiamento de regimes como o da Coreia do Norte.

3. Foi igualmente proposta a criação de um programa europeu patrocinado pela CE que distribuísse prémios ou recompensas ("bounties") a todos os investigadores de cibersegurança que identificam uma determinada fragilidade ou vulnerabilidade num site ou serviço público acessível europeu ou de um Estado-membro a partir da Internet.

4. Por fim, foi colocada a possibilidade que a União Europeia determine que nenhum dos seus Estados Membros deve ter uma empresa seguradora que no seu portfólio de oferta tenha seguros contra ransomware que inclui o pagamento destes resgates e que funcionam assim como forma indirecta de financiamento desta indústria.

Estas quatro propostas foram bem acolhidas e espero agora que tenham efeitos práticos algo que iremos seguir atentamente nos próximos meses enquanto são desenvolvidas e apresentadas novas propostas aos nossos órgãos electivos nacionais e europeus e se prossegue com a elaboração e publicação de novos guias de cibersegurança no https://cidadaospelaciberseguranca.wordpress.com

A Europa - como sucedeu recentemente com o RGPD - tem que dar o exemplo e começar a liderar o processo de bloqueio e travão à actividade dos cibercriminosos. E a solução para o problema do ransomware não é apenas tecnológica, mas de base política estando aqui a razão pela qual este cibercrime continua a prosperar: porque os políticos não compreender nem têm as ferramentas para reagir de forma eficaz e rápida e os especialistas não têm influência política ou capacidade e paciência para colmatarem as lacunas de conhecimento que os políticos possuem numa área tão técnica e especializada com a do cibercrime.

Entre ambos estão os cidadãos: os cidadãos que são afectados quando perdem comunicações porque a sua operadora foi atacada, os cidadãos que deixam de receber a sua medicação porque a enfermeira não consegue aceder ao computador onde está a lista de medicamentos que deve tomar, o infectado por COVID-19 não sabe se está ou não infectado e só recebe os resultados depois do período de isolamento (aconteceu comigo).

Temos que lidar com o problema do ransomware como lidamos com uma autêntica guerra, uma guerra que é feita a partir de portos seguros em Moscovo, Pequim, ou Pyongyang e uma guerra que fecha as nossas escolas, municípios, esquadras de polícia (vários casos recentes nos EUA) e os nossos hospitais (Garcia da Orta, Hospital do Litoral Alentejano, CUF, entre outros). E esta guerra, pela sua escala, só pode ser travada a nível europeu razão pela qual será aqui onde, a partir de agora, serão dedicados os esforços do https://cidadaospelaciberseguranca.wordpress.com.

(*) Profissional de TI e criador da iniciativa Cidadãos pela Cibersegurança