O papel da regulamentação da resiliência cibernética para Internet Exchanges e os seus clientes

Mary Ward foi uma pioneira. Era considerada um talento a desenhar, investigar insetos e a escrever livros sobre microscopia, o que a tornou numa das cientistas mais proeminentes das Ilhas Britânicas – uma novidade para uma mulher na época. Outra novidade era o seu carro movido a vapor, na qual viajava pela Irlanda. Em 1869, este veículo valeu-lhe uma triste notoriedade: Ward é considerada a primeira fatalidade no trânsito. Numa curva, a mulher, de 42 anos, foi projetada do banco e caiu à frente do veículo que lhe passou por cima. Os cintos de segurança, que poderiam ter salvo a vida da mãe de oito filhos, não eram obrigatórios na época. Foi apenas por volta de 1900 que surgiram as regras de trânsito tal como as conhecemos hoje. Regras para evitar danos e tornar a interação de todos mais segura para todos, algo que também é o caso hoje no mundo das TI. Os países estão a avançar com legislação com o objetivo de proteger as empresas, administrações e indivíduos dos perigos do ciberespaço.

Da América do Norte à Índia e à Ásia – em todo o mundo, as regulamentações do tráfego digital são cada vez mais procuradas. Os políticos procuram formas de tornar a economia digital mais resiliente. O objetivo: Estabelecer uma cultura de segurança em todas as esferas públicas e privadas. Um olhar sobre a Europa mostra como isto pode ser conseguido. A União Europeia está atualmente a avançar com a nova versão da diretiva de Redes e Sistemas de Informação (NIS2). O bloco europeu está a procurar a ideia de modernização do quadro legal existente e adaptá-lo à situação de ameaça cada vez mais intensa. Embora mais digitalização também crie mais oportunidades para a criação de valor, cada oportunidade digital adicional encerra também potenciais portas a terceiros com intenções nefastas.

Quer seja nos setores da energia, abastecimento de água, banca, finanças ou saúde, a NIS2 alarga o grupo de empresas e instituições públicas que deverão tornar o seu panorama de TI mais resiliente. E isto aplica-se a todos os sectores de importância económica e social crucial e que são particularmente dependentes das tecnologias de informação e comunicação. As regras aplicam-se diretamente a um leque mais vasto de instituições e indiretamente às empresas que fazem parte de uma cadeia de abastecimento. O exemplo da Crowdstrike mostra porque é que isto é crucial: a 19 de julho de 2024, o fornecedor de serviços de cibersegurança disponibilizou uma atualização defeituosa que causou falhas em sistemas informáticos de todo o mundo. Cerca de 8,5 milhões de dispositivos Windows, em companhias aéreas, hospitais e retalhistas, por exemplo, foram afetados. Foi uma falha simples, mas numa economia totalmente digitalizada transformou-se num problema sem precedentes.

De hackers e botnets a acidentes e percalços, as economias digitalizadas e industrializadas estão, cada vez mais, a preparar-se contra ameaças como estas. Em 2022, por exemplo, foi aprovado nos EUA o Strengthening American Cybersecurity Act. A lei atualiza as regulamentações federais de segurança da informação existentes, exige que os operadores de infraestruturas críticas comuniquem ataques cibernéticos e de ransomware e melhora a segurança dos serviços de Cloud para as agências federais. Na Malásia, o primeiro Cyber Security Act 2024 entrou em vigor em 2024. A lei define normas regulamentares para a cibersegurança e visa proteger a infraestrutura nacional de informação crítica. Uma agência dedicada – o Comité Nacional de Cibersegurança – deverá implementar e monitorizar os requisitos. O mesmo se aplica à Índia e a Singapura: o subcontinente criou a sua própria agência governamental, a Indian Computer Emergency Response Team, que publica orientações e recomendações para as empresas e é responsável pela prevenção de ataques cibernéticos. Já a cidade-estado pretende proteger as infraestruturas de informação críticas com o seu Cybersecurity Act introduzido em 2018.

Infraestrutura crítica com importância económica particularmente elevada e com necessidade de proteção: esta é precisamente a situação das empresas de telecomunicações em muitos países do mundo. O princípio básico é que, para tornar as redes resilientes, todos os níveis – desde os cabos submarinos aos Internet Exchange e aos centros de dados – devem ser protegidos individualmente. Em termos práticos, isto significa que cada infraestrutura é tão resiliente quanto os elementos individuais que a compõem. Assim sendo, se todos os componentes de uma infraestrutura partilhada – sejam as estradas ou a infraestrutura global de telecomunicações – forem concebidos para serem redundantes e diversificados, o sistema global será mais resiliente para todos. Por um lado, para os fornecedores que prestam os seus serviços desta forma e, por outro lado, para os clientes que constroem a sua própria TI com base em tais serviços e soluções mutuamente seguros.

Os fornecedores de telecomunicações, em particular, estão a dar um bom exemplo neste campo. Ao contrário de outros setores, eles têm, geralmente, uma abordagem de resiliência totalmente integrada, como mostram os números PwC's Global Crisis and Resilience Survey 2023. O mesmo se aplica aos fornecedores de interligação na Europa e na Alemanha: tendo em conta o NIS2, alguns operadores terão de reforçar a sua gestão de identidade e acesso, mas, em princípio, os serviços de interligação já pertencem à infraestrutura crítica (de acordo com o NIS1). Além disso, os Internet Exchange, como a DE-CIX, são certificadas de acordo com os requisitos regulamentares nacionais, como o chamado IT-Grundschutz do Gabinete Federal Alemão de Segurança da Informação e a ISO27001. Ambas são estruturas e normas reconhecidas para TI e segurança da informação, exigidas pelo NIS2.

Seja em Berlim, Kuala Lumpur, Nova Deli ou Washington – as empresas que desejam garantir operações de TI profissionais e seguras para si próprias e para os seus clientes sempre foram bem aconselhadas a seguir orientações e normas para uma maior segurança informática. E isto é verdade mesmo apenas do ponto de visto do puro interesse económico. Os especialistas da PWC, por exemplo, recomendam que as leis para uma maior resiliência cibernética não sejam olhadas como meros exercícios de conformidade e tópico de verificação, mas sim reconhecidas como uma vantagem competitiva. Aqueles que não baseiam as ações apenas na forma como a lei os vai afetar elevam os seus próprios interesses corporativos ao nível do bem comum da sociedade.

O interesse próprio como base para o bem comum? Seja na auto-estrada da informação ou na estrada, isto faz todo o sentido. Desde que o Código da Estrada entrou em vigor em Portugal em 1928, as suas regras de trânsitos foram alteradas várias vezes – desde os limites de velocidade às marcações das faixas e à exigência do uso de cinto de segurança. Muito no espírito de Mary Ward.