Portugal Country Report

Anlise ao Relatrio Francisco Pereira

2011

Portugal Country Report*

Introduo A ENISA, Agncia Europeia de Segurana das Redes de Informao, publicou no seu portal Web, os relatrios actualizados, sobre o estado da segurana das redes de informao no espao comunitrio. Uma anlise breve ao, (Portugal Country Report), o relatrio que trata do nosso pas, mostra uma realidade nada lisonjeira no que concerne ao actual estado de segurana das nossas redes de comunicao. Este documento tem por base, o relatrio citado.

Anlise Ficamos pois a saber que a entidade responsvel pela coordenao e planeamento estratgico das questes da segurana a UMIC, (), no entanto esta entidade aponta a sua estratgia essencialmente para o sector pblico, esquecendo uma larga fatia dos utilizadores, que so os utilizadores domsticos. No captulo das equipas de resposta rpida a incidentes de redes informticos, Portugal no dispe, segundo o relatrio de nenhuma estrutura formal (CERT), no entanto existe uma entidade que funciona mais ou menos dentro do princpio CERT, ma que trata apenas das redes das escolas, das universidades, sendo tambm responsvel pela gesto do domnio (.pt). Em termos de desenvolvimento estratgico para as tecnologias de informao, esse planeamento e desenvolvimento assenta no Plano para a Sociedade de Informao, o famoso (Choque Tecnolgico), alicerado em trs eixos de actuao. 1. Conhecimento Que almeja a qualificao da sociedade e a sua mobilizao para a nova realidade da sociedade da tecnologia e do conhecimento. 2. Tecnologia Pretende, vencer as clivagens nas reas cientficas e tecnolgicas, dando um salto em frente no desenvolvimento de parcerias com as empresas para a criao de emprego mais qualificado e tecnologicamente avanado. 3. Inovao Promover a inovao como meio de modernizar a corrente produtiva para melhor adaptao aos mercados globais e concorrncia.

Em termos de cooperao e troca de informao, entre as vrias entidades envolvidas nestes processos, o relatrio diz que, estes mecanismos ainda no atingiram em Portugal uma maturidade plena, existindo uma muito limitada troca de informao entre essas vrias entidades, no existindo informao disponvel, que indique que tenham sido implementados procedimentos de cooperao sistemtica entre as vrias autoridades competentes. Em relao a 2010, no foram implementadas nenhumas alteraes importantes relativas s questes de resilincia dos sistemas em Portugal. No que concerne proteco de dados, o rgo competente a famosa, no pelos melhores motivos, Comisso Nacional de Proteco de Dados (CNPD), qual, segundo o relatrio no obrigatrio comunicar, as falhas de segurana que ocorram em termos de fuga de dados pessoais, o que no nosso entender uma questo muito sensvel que deveria ter colhido outro entendimento das autoridades competentes. A CNPD, pode investigar as entidades que gerem os dados pessoais, pode fazer buscas a essas entidades e inclusive aplicar coimas, das quais cabe sempre recurso aos tribunais, o que mais uma vez no nosso entender uma situao pouco equilibrada. Em relao consciencializao pblica e implementao de medidas pelas autoridades competentes sobre a necessidade da segurana preventiva na utilizao da Internet, uma vez mais o relatrio no abona em nada a favor de Portugal, informa pois o relatrio que Portugal um Estado onde no existe informao consistente contra as ms prticas online. Um Estado onde a falta de clareza e coerncia da moldura legal, leva incerteza sobre como, e quem deve actuar no combate e sano legal s ms prticas online. Falha tambm a implementao de medidas de formao, informao e preveno, sobre a segurana dos meios de informao no que toca rea da Proteco Civil, dado que no existem sequer directivas sobre esta temtica. Ainda segundo o relatrio, no existem dados claros que indiquem que as autoridades competentes possuem mtodos de cooperao, nem que implementem regras pblicas que ajam coordenadamente. Uma nota de apreo pelos ISP,

(Internet Service Providers), que segundo o relatrio tomam medidas pr activas na defesa dos seus sistemas, disponibilizando filtros anti-spam e antivrus. As decises judiciais, so outra questo, em que mais uma vez Portugal, no apresenta uma boa imagem, isto apesar da substantiva e atempada legislao, recorde-se que desde 1991, que possumos uma Lei do Crime Informtico, no entanto esse assumo legislativo parece no colher os melhores prstimos junto das autoridades competentes, nem dos utilizadores, seno vejamos, segundo o relatrio, no h registo de nenhuma condenao por actividades de distribuio de spam, apesar de existirem vrios processos na fase de inqurito, nos ltimos dois anos no constam referncias a este tipo de ocorrncias. Apesar de o cidado poder, atravs de dois portais prprios online, efectuar queixas sobre ms prticas na Internet, no caso do portal da polcia o mesmo nunca foi sequer utilizado.

Concluso Este relatrio apresenta-se como sendo coincidente com a nossa viso sobre o assunto, sendo que h uma dcada que o Projecto @protejainternet, se bate para que estas questes sejam tidas em considerao quando se implementam actividades que tem por objectivo a criao de utilizadores das novas tecnologias. O grande problema, a falta de coordenao, a falta de cooperao e a falta de implementao de medidas que elevem as questes da segurana dos sistemas de informao a um nvel de preocupao e empenho srio, essas questes devem preocupar as nossas autoridades competentes, que parecem bastante alheias ao que se passa no mundo, s para citar alguns exemplos, a Nato e a Unio Europeia, convergiram j na mudana de paradigma, quanto ao grau e nvel de ameaa, que as falhas dos meios de segurana podem significar, no entanto Portugal, apesar de alguma boa legislao, parece alheio a essa nova realidade.

Legislao Lei n. 67/98 de 26 de Outubro Transpe para o quadro legal nacional a Directiva 95/46 sobre proteco de dados. Decreto-lei n 62/2003 de 3 de Abril Define o regime legal das Assinaturas Electrnicas. Lei n 109/2009 Lei de Crime informtico. Decreto-lei n 7/2004 Lei do Comrcio Electrnico. Transpe para o quadro legal nacional a directiva 2002/68/EC sobre o Comrcio Electrnico. Lei n 41/2004 - Transpe para o quadro legal nacional a directiva 2002/68/EC sobre o Comrcio Electrnico e proteco de dados. Decreto-lei 106-A/2006 Lei da Certificao Electrnica. Ligaes teis Autoridade Nacional de Comunicaes - ICP- Anacom Agncia para a Sociedade do Conhecimento - (UMIC) Comisso Nacional Proteco de Dados - CNPD Servio de Resposta a Incidentes de Segurana Informtica CERT Polcia Judiciria Projecto @protejainternet

*Fonte: http://www.enisa.europa.eu/act/cert/background/inv/certs-by-country/portugal

O presente documento elaborado por Francisco Pereira licenciado sob uma Licena Creative Commons Atribuio-Uso nocomercial-Vedada a criao de obras derivadas 3.0 Unported.

Dados estatsticos relevantes

100 90 80 70 60 50 40 30 20 10 0 Acesso Internet (em casa) Acesso Internet (empresas) Actividades online no relazidas por receio de falhas de segurana 13 13,86 Utilizao de ferramentas de segurana Empresas com medidas de segurana implementa das 22 26,41 Ataques de Phishing Domnios usados para ataques de Phishing Phishing por cada 10000 domnios Ataques de Phishing registados em Portugal por cada 10000 domnios 2,1 2,1

Portugal Mdia Europeia

54 68,04

94 94,24

46 59,29

61 67

46 51

1,5 1,6

O presente documento elaborado por Francisco Pereira licenciado sob uma Licena Creative Commons Atribuio-Uso no-comercial-Vedada a criao de obras derivadas 3.0 Unported.