Guerra electrónica: Então e se fosse mesmo a sério?

Tenho lido alguns artigos, por aqui e por ali, que parecem insistir uma vez mais, no tema dos bits à chapada. Exemplos? Dou-vos dois, que são recentes: na McAfee (via Segurança Informática), Virtually Here: The Age of Cyberwarfare, e na CSO, Cyber Mercenaries — Avatar Forces.

Numa primeira análise, é muito fácil pensar que nada disto é real, que nada disto é a sério. Que são campanhas que visam espalhar o medo e, com isso, arranjar novas formas de convencer os Governos, de convencer as empresas, a largar (mais) umas lecas — e o medo pode ser, como todos bem sabemos, muito eficaz nessa cruzada. E o resultado desse trabalho, se houver uma corrida às armas, pode ser bem complicado: Ever heard of self fulfilling prophecies? Pois é...

(Faz-me lembrar aquela situação caricata, em que dois cães começam na brincadeira, na palhaçada, até que começam a desconfiar um do outro e, a partir desse momento, já fica o caldo entornado. Well, sort of)

Então e se fosse mesmo a sério? Estaremos nós preparados, aqui nas terras da Lusitânia, para ficar sem sistemas, sem redes de comunicação? Conseguiríamos funcionar nesse cenário? E o que significa para a população, neste tempo em que vivemos, funcionar?

A primeira questão que me ocorre, assim caída do espaço, é a seguinte: O que é um ataque electrónico? Será uma inundação das redes de dados, ligadas à Internet, que nos impeçam de comunicar com o exterior? Será um fluxo de pacotes dirigidos a uma colecção específica de serviços? Será uma sabotagem interna, que provoque a paralisação dos postos de trabalho e servidores, de uma forma generalizada? Será um ataque sub-reptício à informação retida em bases de dados, que destrua a consistência e a integridade dos dados? Ou uma combinação disto tudo?...

E mesmo sem saber as respostas a estas perguntas, a questão que me ocorre a seguir é, provavelmente, a mais óbvia: Quem é a entidade responsável, em Portugal, por activar e coordenar os mecanismos de defesa, sejam eles quais forem, numa situação em que o País esteja a ser alvo de um ataque electrónico? Já alguém pensou nisto?

Deixando de lado estas questões, que têm um carácter pseudo-existencial, pensando agora em questões mais pragmáticas, parece-me que alguém, não sei quem, deve começar a pensar no seguinte: se houver uma paragem nas comunicações, uma paragem generalizada, ou se forem paralisados vários sistemas internos, públicos ou privados, de que forma é que são afectados:

  • O fornecimento de energia eléctrica, gás, água, e combustíveis? E notem que mesmo que o ataque não vá entupir as torneiras, nem os contadores dos postos de gasolina, pode afectar os sistemas de controlo e contabilização dos consumos. As empresas conseguem viver bem com isso? Durante quanto tempo? E depois? Vão parar o fornecimento?
  • As empresas financeiras, e as operações interbancárias, nacionais e internacionais? Conseguimos estar isolados das bolsas internacionais, durante quanto tempo? E se forem afectadas as estações de trabalho, ou os postos multibanco, ao longo de todo o País, por quanto tempo é que suportamos o caos interno?
  • Os transportes aéreos e terrestres? Se não for possível controlar os acessos, se não for possível contabilizar as passagens, tal como fazemos agora, como vamos fazer então? Ninguém passa? Passa como? E quem é que autoriza e paga a conta?
  • As telecomunicações? Conseguimos lidar com os telemóveis e os telefones em off? For how long?

Eepaah... Mas estas coisas são prováveis?

A verdade é que ninguém, se for minimamente honesto, consegue dizer se é (ou não é) provável um cenário deste calibre. Sobretudo, não consegue avaliar o risco. E porquê? Por várias razões, das quais destaco as seguintes:

  • Não existe uma entidade central que regule os requisitos de segurança necessários para cada classe de serviços;
  • Como primeiro corolário, não existem regras bem definidas que permitam identificar e realizar, em cada organização, os controlos mínimos necessários para evitar os desastres;
  • Como segundo corolário, também não podem ser realizadas, em abono da verdade, auditorias que possam avaliar, em face de regras que não existem, os controlos de segurança activos — podem ser feitas revisões e testes de segurança — podem, e devem ser feitas! — mas não são obrigatórias, nem constituem auditorias contras regras estabelecidas;
  • A tecnologia utilizada nos sistemas e aplicações reais, na sua esmagadora maioria, não é controlada por nós — é externa. E não temos qualquer controlo sobre o código nem sobre os componentes. Mais,
  • O leque de empresas que produz software e hardware é alargado e contam-se pelos dedos aquelas que têm alguma certificação de segurança, em relação aos produtos, ou aos processos de desenvolvimento. E nem sequer é um requisito na maior parte dos cadernos de encargo dos sistemas que são adquiridos; e
  • A tónica nos recursos atribuídos aos sistemas de informação tem sido posta, desde sempre, no desenvolvimento e (alguma) gestão de sistemas e aplicações de negócio; a componente da segurança tem vindo a ser mais considerada, mas não é claro que seja suficiente.

É evidente que não existe uma resposta do tipo 'chave-na-mão' para estas questões. Não existe, nem vai existir tão cedo. Mas é importante ter presente que não há uma avaliação clara do risco que corremos. Dada a natureza distribuída das redes e dos sistemas, o facto, é que não há uma forma simples de saber, portanto, ninguém sabe.

Mas para não fechar este artigo com um rol de perguntas sem resposta, para não ser um exercício completamente balofo, ficam algumas recomendações (sugestões) para quem for, seja quem for, pensar mais um bocado nesta matéria. O País devia ter:

  • Um conjunto de regras mínimas de segurança comuns, a nível nacional, para os sistemas de informação. Regras contextualizadas para diferentes classes de actividade;
  • Uma entidade que regulasse e fiscalizasse os controlos de segurança que são realizados, no mínimo, num conjunto de serviços críticos para o País;
  • Sistemas e canais de comunicação alternativos — nacionais e internacionais — prioritários para as operações mais críticas, para fazer face a uma paralisação generalizada;
  • Capacidade para filtrar ou isolar as redes do País, em caso de necessidade extrema, para garantir que conseguimos funcionar internamente;
  • Capacidade para funcionar offline, se fosse necessário, num conjunto de serviços críticos para o funcionamento do País.
  • Segregar de forma clara, as componentes operacionais, as comunicações, e os elementos administrativos dos sistemas de informação;
  • Constituir um organismo especializado e com competência para investigação de ameaças informáticas, nacionais e internacionais;
  • Manter um sistema nacional de monitorização e alerta de segurança nacional; e
  • Planos de contingência para fazer face a eventuais ataques.

Podia continuar mais um bocado mas, parece-me, os pontos principais já estão vincados. Não estão cá todos mas, novamente, estão alguns dos importantes. Por agora ficam as ideias. E pode ser que alguém lhes pegue... Food for Thought.