Há cerca de um ano fomos surpreendidos com o início da primeira guerra em solo Europeu a ser travada simultaneamente em terra, no ar, no mar e no ciberespaço.
Ao longo do ano, fomos acompanhando notícias sobre ataques a operadores de serviços essenciais ucranianos utilizando softwares maliciosos destinados a destruir/apagar toda a informação (wipers), ataques de negação de serviço por parte de grupos hacktivistas e, também, operações de informações no ciberespaço destinadas a amplificar certas narrativas de interesse para as partes em conflito…

Este quadro de ciberameaça foi-se agravando, pois à medida que o apoio dos países do Ocidente à Ucrânia aumentou, também os agentes de ameaça expandiram o seu raio de ação, atingindo alvos um pouco por toda a Europa, incluindo Portugal.

Em 2022, a análise das fontes abertas apontava para mais de 50 grupos ativos a desencadear ataques contra alvos na Europa, dos quais cerca de 20 surgiram há menos de um ano. Mas, independentemente das motivações, sejam elas políticas, religiosas, sociais ou financeiras, estamos perante a prática de crimes, executados por agentes de ameaça com intenções criminosas.

Neste jogo de sombras e luz no ciberespaço, não podemos deixar de sentir que “o campo” continua inclinado a favor dos agentes de ameaça. A assimetria entre os recursos necessários para concretizar um ciberataque e os recursos disponíveis numa organização para identificar, prevenir, detetar, responder e recuperar, colocam desafios e dilemas desgastantes.

Esta realidade reduz o tempo disponível para as organizações tomarem as decisões adequadas aos riscos, concretizarem os seus processos de procurement e implementarem as medidas técnicas e organizativas. A verdade inconveniente é que todo o tempo perdido pelas organizações nos seus processos de decisão relacionados com cibersegurança é tempo disponibilizado aos criminosos.

É tempo que aumenta o risco de ocorrência de um incidente com impacto relevante ou com substancial severidade e que deveria ser monitorizado e avaliado pela gestão de topo. Percebemos, assim, que o tempo das organizações não é o tempo do cibercrime. As redes de cibercrime caracterizam-se por estruturas descentralizadas e cooperantes, financeiramente autossuficientes e altamente focadas nos seus objetivos.

Esta assimetria torna-se ainda mais perigosa quando a sensação de impunidade se apodera dos cibercriminosos, exponenciada pela tentação do lucro fácil. Em 2023, alguns estudos estimam que o custo do cibercrime em todo o mundo atinja os oito triliões de dólares.

Apesar dos esforços das autoridades judiciárias dos Estados-Membro da União Europeia, há ainda muito a fazer para ultrapassar os inúmeros constrangimentos técnicos e jurídicos que dificultam as investigações no âmbito do cibercrime. É um desafio exigente, mas compensador. Ficamos inspirados com os sucessos recentes das autoridades judiciárias americanas e britânicas contra elementos de grupos de cibercrime conhecidos pelo ransomware como o “Hive”, “Conti” e “Ryuk”.

Na União Europeia também encontramos alguns exemplos positivos como uma recente operação envolvendo seis países, com a participação da polícia judiciária portuguesa, em que um grupo de cibercrime foi desmantelado, culminando na apreensão de 38 milhões de euros. Adicionalmente, importa reforçar os programas de capacitação humana dos agentes de justiça, incluindo  a formação  de juízes e magistrados do ministério público.

Por outro lado, a capacidade de “aprendizagem sem limites ou escrúpulos” dos criminosos contrasta com as limitações legais de muitos países do Ocidente à atividade de investigação, por exemplo, dos hackers éticos. Neste ponto, importa saudar a notícia recente sobre a descriminalização do hacking ético na Bélgica, dentro de certas regras, com o objetivo de robustecer a segurança das entidades públicas e privadas daquele país.

Os estados europeus que ainda não legislaram neste sentido deveriam acompanhar esta “inovação” e promover a implementação no seu ordenamento jurídico.

Quanto a Portugal, ficamos a saber o ponto de situação através do relatório da ENISA de abril de 2022, sobre a divulgação coordenada de vulnerabilidades (CVD). Este relatório indica que em 2022 uma taskforce liderada pelo Centro Nacional de Cibersegurança (CNCS) propôs ao governo uma política abrangente de CVD, bem como propostas e alterações legislativas, nomeadamente ao código de processo penal.

Sendo algo profundamente oportuno e desejável, será prudente e construtivo que o legislador continue a seguir a doutrina vigente, de sujeitar estas alterações a consulta pública, permitindo a melhoria das propostas e a correção de eventuais erros ou omissões. Quando estas iniciativas se tornarem realidade, a sociedade e a economia portuguesa terão tudo a ganhar com o contributo dos hackers éticos para um ciberespaço livre, seguro e confiável.