Sei sulla pagina 1di 6

Portugal Country Report

Análise ao Relatório

Francisco Pereira

Portugal Country Report Análise ao Relatório Francisco Pereira 2011 1

2011

Portugal Country Report*

Introdução

A ENISA, Agência Europeia de Segurança das Redes de Informação, publicou no seu portal Web,

os relatórios actualizados, sobre o estado da segurança das redes de informação no espaço

comunitário. Uma análise breve ao, (Portugal Country Report), o relatório que trata do nosso país,

mostra uma realidade nada lisonjeira no que concerne ao actual estado de segurança das nossas

redes de comunicação. Este documento tem por base, o relatório citado.

Análise

Ficamos pois a saber que a entidade responsável pela coordenação e planeamento estratégico

das questões da segurança é a UMIC, (), no entanto esta entidade aponta a sua estratégia

essencialmente para o sector público, esquecendo uma larga fatia dos utilizadores, que são os

utilizadores domésticos. No capítulo das equipas de resposta rápida a incidentes de redes

informáticos, Portugal não dispõe, segundo o relatório de nenhuma estrutura formal (CERT), no

entanto existe uma entidade que funciona mais ou menos dentro do princípio CERT, ma que trata

apenas das redes das escolas, das universidades, sendo também responsável pela gestão do

domínio (.pt).

Em termos de desenvolvimento estratégico para as tecnologias de informação, esse planeamento

e desenvolvimento assenta no Plano para a Sociedade de Informação, o famoso (Choque

Tecnológico), alicerçado em três eixos de actuação.

1. Conhecimento – Que almeja a qualificação da sociedade e a sua mobilização para a nova

realidade da sociedade da tecnologia e do conhecimento.

2. Tecnologia – Pretende, vencer as clivagens nas áreas científicas e tecnológicas, dando um

salto em frente no desenvolvimento de parcerias com as empresas para a criação de

emprego mais qualificado e tecnologicamente avançado.

3. Inovação – Promover a inovação como meio de modernizar a corrente produtiva para

melhor adaptação aos mercados globais e à concorrência.

2

Em termos de cooperação e troca de informação, entre as várias entidades envolvidas nestes

processos, o relatório diz que, estes mecanismos ainda não atingiram em Portugal uma

maturidade plena, existindo uma muito limitada troca de informação entre essas várias entidades,

não existindo informação disponível, que indique que tenham sido implementados procedimentos

de cooperação sistemática entre as várias autoridades competentes. Em relação a 2010, não

foram implementadas nenhumas alterações importantes relativas às questões de resiliência dos

sistemas em Portugal.

No que concerne à protecção de dados, o órgão competente é a famosa, não pelos melhores

motivos, Comissão Nacional de Protecção de Dados (CNPD), à qual, segundo o relatório não é

obrigatório comunicar, as falhas de segurança que ocorram em termos de fuga de dados

pessoais, o que no nosso entender é uma questão muito sensível que deveria ter colhido outro

entendimento das autoridades competentes. A CNPD, pode investigar as entidades que gerem os

dados pessoais, pode fazer buscas a essas entidades e inclusive aplicar coimas, das quais cabe

sempre recurso aos tribunais, o que mais uma vez no nosso entender é uma situação pouco

equilibrada.

Em relação à consciencialização pública e à implementação de medidas pelas autoridades

competentes sobre a necessidade da segurança preventiva na utilização da Internet, uma vez

mais o relatório não abona em nada a favor de Portugal, informa pois o relatório que Portugal é

um Estado onde não existe informação consistente contra as más práticas online. Um Estado

onde a falta de clareza e coerência da moldura legal, leva à incerteza sobre como, e quem deve

actuar no combate e sanção legal às más práticas online.

Falha também a implementação de medidas de formação, informação e prevenção, sobre a

segurança dos meios de informação no que toca à área da Protecção Civil, dado que não existem

sequer directivas sobre esta temática. Ainda segundo o relatório, não existem dados claros que

indiquem

que

as

autoridades

competentes

possuem

métodos

de

cooperação,

nem

que

implementem regras públicas que ajam coordenadamente. Uma nota de apreço pelos ISP,

(Internet Service Providers), que segundo o relatório tomam medidas pró activas na defesa dos

seus sistemas, disponibilizando filtros anti-spam e antivírus.

As decisões judiciais, são outra questão, em que mais uma vez Portugal, não apresenta uma boa

imagem, isto apesar da substantiva e atempada legislação, recorde-se que desde 1991, que

possuímos uma Lei do Crime Informático, no entanto esse assumo legislativo parece não colher

os melhores préstimos junto das autoridades competentes, nem dos utilizadores, senão vejamos,

segundo o relatório, não há registo de nenhuma condenação por actividades de distribuição de

spam, apesar de existirem vários processos na fase de inquérito, nos últimos dois anos não

constam referências a este tipo de ocorrências. Apesar de o cidadão poder, através de dois

portais próprios online, efectuar queixas sobre más práticas na Internet, no caso do portal da

polícia o mesmo nunca foi sequer utilizado.

Conclusão

Este relatório apresenta-se como sendo coincidente com a nossa visão sobre o assunto, sendo

que há uma década que o Projecto @protejainternet, se bate para que estas questões sejam

tidas em consideração quando se implementam actividades que tem por objectivo a criação de

utilizadores das novas tecnologias.

O grande problema, é a falta de coordenação, a falta de cooperação e a falta de implementação

de medidas que elevem as questões da segurança dos sistemas de informação a um nível de

preocupação e empenho sério, essas questões devem preocupar as nossas autoridades

competentes, que parecem bastante alheias ao que se passa no mundo, só para citar alguns

exemplos, a Nato e a União Europeia, convergiram já na mudança de paradigma, quanto ao grau

e nível de ameaça, que as falhas dos meios de segurança podem significar, no entanto Portugal,

apesar de alguma boa legislação, parece alheio a essa nova realidade.

Legislação

Lei n.º 67/98 de 26 de Outubro – Transpõe para o quadro legal nacional a Directiva 95/46 sobre

protecção de dados.

Decreto-lei nº 62/2003 de 3 de Abril – Define o regime legal das Assinaturas Electrónicas.

Lei nº 109/2009 – Lei de Crime informático.

Decreto-lei nº 7/2004 – Lei do Comércio Electrónico. Transpõe para o quadro legal nacional a

directiva 2002/68/EC sobre o Comércio Electrónico.

Lei nº 41/2004 - Transpõe para o quadro legal nacional a directiva 2002/68/EC sobre o Comércio

Electrónico e protecção de dados.

Decreto-lei 106-A/2006 – Lei da Certificação Electrónica.

Ligações úteis

Autoridade Nacional de Comunicações - ICP- Anacom

Agência para a Sociedade do Conhecimento - (UMIC)

Comissão Nacional Protecção de Dados - CNPD

Serviço de Resposta a Incidentes de Segurança Informática – CERT

Polícia Judiciária

Projecto @protejainternet

*Fonte: http://www.enisa.europa.eu/act/cert/background/inv/certs-by-country/portugal

O presente documento elaborado por Francisco Pereira é

O presente documento elaborado por Francisco Pereira é licenciado sob uma Licença Creative Commons Atribuição-Uso não-

comercial-Vedada a criação de obras derivadas 3.0 Unported.

5

Dados estatísticos relevantes

100 90 80 70 60 50 40 30 20 10 0 Acesso à Acesso à
100
90
80
70
60
50
40
30
20
10
0
Acesso à
Acesso à
Actividades
Utilização de
Empresas
Ataques de
Domínios
Phishing por
Ataques de
Internet (em
Internet
online não
ferramentas
com
Phishing
usados para
cada 10000
Phishing
casa)
(empresas)
relazidas por
de
medidas de
ataques de
domínios
registados
receio de
segurança
segurança
Phishing
em Portugal
falhas de
implementa
por cada
segurança
das
10000
domínios
Portugal
54
94
13
46
22
61
46
1,5
2,1
Média Europeia
68,04
94,24
13,86
59,29
26,41
67
51
1,6
2,1
68,04 94,24 13,86 59,29 26,41 67 51 1,6 2,1 O presente documento elaborado por Francisco Pereira

O presente documento elaborado por Francisco Pereira é licenciado sob uma Licença Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported.