Prova disso é a evolução do discurso nos últimos anos ao ponto de ser discutido em debates presidenciais como nas últimas presidenciais nos EUA com o tema a surgir diversas vezes nos debates[1] e campanhas sendo posteriormente escalado com as várias notícias relacionadas com a possibilidade – cada vez mais real – de ingerência russa nas eleições através da manipulação de informação na Internet e de ciberataques à campanha Clinton[2].

Os ciberataques são também uma preocupação para as infraestruturas críticas, devido aos impactos económicos e sociais derivados de perturbações na sua operação. Alvo físico preferencial em momentos de escalada de conflitos entre países estas utilizam no suporte ao seu funcionamento redes de comunicação e sistemas de informação desenhados e implementados para ligar e monitorizar os componentes da sua infraestrutura, algo que trouxe todo um conjunto novo de ameaças e vulnerabilidades à sua operação, como se viu nos ataques de 2015 a empresas de distribuição elétrica na Ucrânia[3] e nas consequências destes para mais de 80000 pessoas, além das consequências económicas para o país.

O facto de cada vez mais dispositivos estarem ligados em rede e à Internet – a chamada Internet das Coisas – permite o planeamento e execução de ciberataques simples, mas que devido ao efeito de escala pela utilização de vários milhares de sistemas se podem tornar devastadores como é o caso dos ataques distribuídos de negação de serviço. O aspeto mais crítico destes ataques é o facto de qualquer dispositivo ligado a uma rede poder ser comprometido e adicionado maliciosamente a uma botnet como aconteceu com mais de 140.000 câmaras de CCTV que, em conjunto, lançaram ataques de negação de serviço na ordem dos 1,5 Terabytes por segundo[4].

E o que dizer da nossa informação pessoal? Poderemos assumir que esta se encontra protegida ou, pelo contrário, devemos levar bastante a sério as notícias de fugas de informação e violação de dados, em particular aquelas que são mantidas em segredo pelas empresas como foi o caso da Yahoo! em 2012 [5] ou nem sequer são detectadas como no caso Facebook / Cambridge Analytica [6].

Neste mundo interligado estados e redes criminosas utilizam as redes de comunicações e o expertise nas novas tecnologias para expandir as suas atividades afetando desde um indivíduo até comunidades inteiras nas suas operações ilegais através de novos modelos de crime[7] dos quais um exemplo é o ransomware em que indivíduos e organizações são vítimas de extorsão, como se pode ver com o malware Wannacry[8] ou quando as operações de negócio são fortemente afetadas como nos casos do Petya[9] e NotPetya[10] também com impactos que podem afetar um país.

As tecnologias de informação, cada vez mais, moldam a sociedade em que vivemos trazendo-nos benefícios visíveis, mas também nos expõem a riscos de difícil perceção e entendimento. Mesmo quando não estamos conscientemente ligados à Internet, os nossos dados estão armazenados algures – em sistemas de informação do Estado, de empresas com quem temos uma relação de negócio, em plataformas de redes sociais que utilizamos para comunicar com família, junto de amigos ou colegas com quem trocamos informação, e a qualquer um presente no mundo digital que tenha a capacidade e vontade para pesquisar e aceder à nossa informação de forma legal ou ilegal. A nossa pegada digital é real e a informação é, cada vez mais, um recurso com implicações estratégicas cujo controlo deve ser assegurado.

Torna-se necessário que cidadãos, escolas, meios de comunicação, empresas, organizações não governamentais e administração pública, entre outros, se assumam como componente essencial na segurança da informação, seja esta pessoal, de negócio ou de estratégia nacional. É, por isso, cada vez mais importante, à semelhança de outros países e dos outros parceiros da União Europeia, que o Estado Português crie condições e aja como motor para que o tema seja efetivamente colocado na agenda do país, das organizações e instituições que nele atuam assim como dos cidadãos que nele vivem.