EQUIPA DA ADF
Por quase duas décadas, o país insular das Maurícias desejou ser uma força técnica e financeira no panorama mundial.
A ambição do país de se tornar uma “sociedade de informação” data de 2001, quando estabeleceu o Business Parks of Mauritius Ltd como uma empresa do governo para desenvolver tecnologia de informação e comunicação. Isso levou à criação do Cyber City Project, em 2003. O objectivo do projecto era de fazer com que as Maurícias fossem um destino preferencial para empresas e profissionais e “criar riqueza e emprego através do uso da tecnologia de informação,” reportou o The New Economy, do Reino Unido. Hoje, o projecto ocupa cerca de 62 hectares com cinco zonas distintas: Cibernética e Multimédia, Negócios e Finanças, Conhecimento, Comércio e Residência.
As Maurícias agora são consideradas como o país mais comprometido com a cibersegurança em África e é classificado em sexto lugar no mundo pelo Índice de Cibersegurança Global. Não é uma coincidência que as Maurícias são consideradas uma democracia mais bem-sucedida de África e um dos únicos 20 países do mundo a ser classificado como uma “democracia plena.”
A empresa Grove Applied Intelligence, da África do Sul, considera que o posicionamento das Maurícias como um líder em tecnologias de informação e comunicação (TICs) surge como resultado de “boas políticas do país e forte previsão a favor do sector de negócios.”
Em Maio de 2018, a União Europeia promulgou o Regulamento Geral de Protecção de Dados, que afecta todas as organizações e países que fazem negócios com a UE. O regulamento exige uma vasta gama de práticas de cibersegurança e de privacidade. Em antecipação dos regulamentos da UE, as Maurícias adoptaram a Lei de Protecção de Dados de 2017.
Ao anunciar a lei, oficiais das Maurícias disseram que foi o “equilíbrio correcto” entre os direitos de privacidade e as preocupações de segurança do governo e das empresas.
“O princípio fundamental que dá suporte à protecção de dados é garantir que as pessoas saibam controlar a forma como a sua informação pessoal é usada ou, no mínimo, saber como os outros utilizam esta informação,” anotou o Gabinete de Protecção de Dados das Maurícias. “Os controladores de dados são pessoas ou organizações que detêm informação sobre os indivíduos, e devem obedecer aos princípios de protecção de dados ao manusear dados pessoais, e os ‘titulares dos dados’ são indivíduos que gozam dos direitos correspondentes.
“O objectivo da lei é de prever a protecção dos direitos de privacidade dos indivíduos tendo em conta os desenvolvimentos nas técnicas utilizadas para captar, transmitir, manipular, gravar ou armazenar dados relacionados com os indivíduos.”
Kaleem Ahmed Usmani lidera a Equipa de Resposta de Emergência Informática (CERT), das Maurícias, e é actualmente o representante mauriciano no Grupo de Especialistas do Governo em Cibernética das Nações Unidas. Em entrevista via e-mail com a ADF, Kaleem disse que o país sentiu que devia estar actualizado no que diz respeito a lidar com a cibersegurança.
“A rápida expansão das TICs no continente africano na passada década levou a um aumento da dependência da internet e das tecnologias móveis,” escreveu. “O aumento da penetração da internet também deixou os países vulneráveis a ataques cibernéticos. As legislações, politicas e capacitações no domínio da cibersegurança não têm sido o principal foco em muitos países devido à falta de conhecimento e vontade política.”
Kaleem disse que desde o princípio, a visão do governo mauriciano “era de fazer com que o país fosse uma ‘ilha cibernética’ em que as TICs seriam um quinto pilar da economia depois do açúcar, produtos têxteis, turismo e serviços financeiros.”
Equipa de Resposta de Emergência
Um aspecto principal da cibersegurança do país é a CERT das Maurícias, um departamento do Conselho Informático Nacional. A equipa de resposta opera um portal informático nacional que visa educar o público quanto a questões técnicas e sociais que os usuários da internet enfrentam, em particular os perigos da internet. Os membros da equipa de resposta dizem que o objectivo é fornecer informação aos grupos-alvo enquanto eles “estudam, analisam, pesquisam e inovam continuamente para permanecer à frente e manter uma vantagem tecnológica sobre os actores do crime cibernético.”
As responsabilidades da equipa do portal são as seguintes:
- Encorajar organizações e indivíduos a reportarem incidentes de cibersegurança.
- Aconselhar os usuários da internet sobre como lidar com ameaças cibernéticas.
- Avaliar a segurança da infra-estrutura de tecnologia de informação (TI) da organização.
- Realizar auditorias de segurança de informação de terceiros para organizações.
- Ajudar organizações a estabelecerem melhores práticas de gestão de segurança.
- Ensinar e formar sobre cibersegurança.
- Organizar formações para profissionais de cibersegurança.
Sylvain Martinez, fundador da Elysium Security, disse a um sítio de notícias da internet mauriciano, Defimedia, que enquanto os lares e as empresas mauricianas continuarem a depender da tecnologia e a ligarem-se à internet, o país estará tão vulnerável a ataques cibernéticos quanto qualquer outro país desenvolvido.
“Enquanto o mundo moderno vai ficando cada vez mais digitalizado, irá também depender cada vez mais dos sistemas de TI, o que significa que a superfície de ataques cibernéticos também estará a crescer,” concluiu ele. “Em paralelo, existe mais e mais dinheiro para que os criminosos cibernéticos ganhem a partir de ataques cibernéticos assim como um aumento de um alto potencial impacto geopolítico, o que significa que os hackers estão a tornar-se profissionais cada vez mais sofisticados e com mais recursos.”
Um Portal Acessível
O portal nacional de cibersegurança das Maurícias pretende ser acessível ao usuário e valioso a quase todos os que utilizam a internet. Ele inclui uma explicação e um vídeo sobre phishing scams; um vídeo sobre proteger as crianças de cyber bullying; informação e um vídeo sobre como manter os seus filhos seguros quando estiverem online; dicas sobre como proteger-se a si próprio, a sua família e os seus dispositivos; e informação sobre uma linha directa nacional de segurança informática para denunciar páginas de internet perigosas. A página é útil mesmo para aqueles que não estão nas Maurícias.
O portal tem oito links de internet somente para crianças. A secção dos “pais”, do portal, inclui informação sobre jogos de azar, conteúdo indecente, redes sociais, segurança na internet, vícios da internet, lixo electrónico, conversar de forma segura na internet, predadores da internet e uma secção separada que lida com o uso do Facebook.
A secção de “usuários individuais” oferece informação sobre smartphones, vírus de computador, compras e investimentos pela internet, incitamento ao ódio, acesso via wireless, spam e fraudes, as suas pegadas digitais e informática segura.
O portal oferece informação para organizações e empresas sobre realizar cópias de segurança de dados, combater ameaças, aceder aos controlos, lidar com vírus de computador, identificar roubo e privacidade, acesso via wireless e políticas de segurança.
Ferramentas gratuitas disponíveis para baixar incluem programas de antivírus, uma ferramenta para bloquear páginas da Internet, filtros e bloqueadores de spam e um programa para bloquear sites de phishing.
“O Sistema Online Mauriciano de Denúncias de Crimes Cibernéticos (MAUCORS) também foi estabelecido como uma plataforma online para denunciar crimes cibernéticos,” observou Kaleem. “O MAUCORS também fornece informação relacionada com várias formas de crimes cibernéticos e como os cidadãos podem proteger-se melhor.”
Países Inteligentes Ainda em Risco
Kaleem disse que as lições aprendidas no seu país podem ser aplicadas em outros lugares.
“Outros países, especialmente em África, podem seguir os passos das Maurícias para fortalecer a sua resiliência cibernética,” recomendou. “Estas incluem medidas tais como o desenvolvimento de legislação nacional ligada à cibersegurança, estratégias, criação de CERTs e sistemas técnicos, capacitações na área de cibersegurança e promoção da cooperação internacional. As Maurícias estariam muito dispostas a partilhar a sua experiência na região.”
Especialistas em segurança dizem que mesmo países bem esclarecidos em termos de internet, como as Maurícias, enfrentam riscos de segurança, e à medida que o país incluir mais empresas públicas e privadas nas práticas online, os riscos continuarão a crescer. Os tipos mais comuns são phishing, vírus informáticos e ameaças a infra-estruturas, Loganaden Velvindron, do African Peering & Interconnection Forum, disse ao Defimedia.
“Os phishings são comuns em e-mails de pessoas que dizem ser alguém diferente,” disse. “Muitas pessoas não são capazes de identificar phishings feitos contra si. Os vírus informáticos são comuns em smartphones, tablets e também em PCs infectados. Por último, infra-estruturas vulneráveis que são exploradas são muito comuns: os servidores, muitas vezes, são deixados a funcionar durante anos sem planos de actualizações de segurança. Muitos sítios da internet foram desfigurados devido à falta de auditorias de segurança para identificar códigos vulneráveis em funcionamento.”
As Maurícias também deram passos para eliminar notícias falsas, disse Kaleem, com uma pena de até 10 anos de prisão para aqueles que publicarem informação falsa de forma consciente. Acrescentou que o seu país tem portais e páginas da internet especializados onde os cidadãos podem encontrar “informação autêntica.”
Kaleem disse que os riscos da cibersegurança são mais altos do que nunca.
“A crescente dependência do ciberespaço traz novas oportunidades, mas ao mesmo tempo novas ameaças,” disse. “À medida que novos crimes estão a ser desenvolvidos e a uma velocidade exponencial, os governos reconhecem as graves ameaças que os criminosos cibernéticos representam bem como os impactos sobre infra-estruturas importantes do país.”
Kaleem e outros especialistas dizem que existem alguns controlos de segurança básicos que todas as organizações devem ter, incluindo programas de antivírus actualizados, um firewall e palavras passe fortes e específicas para cada aplicativo. Depois existe a questão de uso do senso comum: pensar antes de clicar.
A actual crise da COVID-19 causou um aumento nos crimes cibernéticos, dizem os especialistas.
“Durante esta crise, que promoveu mais dependência em sistemas informáticos, dispositivos móveis e a internet para trabalhar, comunicar, fazer compras, partilhar e receber informação, notou-se um aumento acentuado em incidentes cibernéticos,” disse Kaleem. “Foi vista uma mudança no panorama das ameaças cibernéticas nas Maurícias. As campanhas de phishing, fraudes pela internet, incluindo extorsão, publicação de conteúdos ofensivos, foram tendências contínuas, em comparação com outros tipos de incidentes tradicionais como roubo de identidade, cyber bullying, invasão, entre outros.”
Enquanto a digitalização avança, assim também acontece com os riscos, dizem os especialistas. Subheer Ramnoruth, director da Escola de Gestão de Whitefield, em Curepipe, Maurícias, disse que as pessoas estão “vagamente cientes” dos riscos de cibersegurança, o que as deixa mais propensas a ameaças cibernéticas.
“Por exemplo, quando alguém baixa um aplicativo para o telemóvel, alguma vez já perguntamos por que o aplicativo nos pede permissão para ver as nossas fotos ou o nosso registo de chamadas?” disse ao Defimedia. “Ou será que procuramos ver se esses aplicativos são genuínos ou fraudulentos? Por que uma empresa investiria centenas de milhares de rupias [mauricianas] para desenvolver um aplicativo e depois oferecer na internet gratuitamente para todos? Decerto que existe um outro motivo.”
A Segurança Deve Continuar Aberta e RESPONSÁVEL
O Dr. Nathaniel Allen é Professor Assistente de estudos de segurança, no Centro de Estudos Estratégicos de África. Ele é responsável por supervisionar o programa académico do centro na área de cibersegurança e operações de apoio à paz e pela integração destas considerações nas actividades de pesquisa e divulgação do centro. Ele falou ao telefone com a ADF sobre as Maurícias e sobre o seu trabalho relacionado com crimes cibernéticos.
ADF: Por que as Maurícias são um dos países líderes no que diz respeito ao combate contra ataques cibernéticos?
ALLEN: As Maurícias têm algumas vantagens que muitos países africanos não têm: é um país pequeno, bem governado, com rendimentos médios altos. Está a posicionar-se como um centro financeiro e de negócios regional e global, possui uma elevada taxa de penetração da internet e um sector das TICs (tecnologias de informação e comunicação) robusto. Estes factores fazem com que a cibersegurança seja uma questão muito importante para os parlamentares e para os actores da indústria nas Maurícias. Ambos investiram muito para garantir que as Maurícias tenham infra-estruturas, recursos humanos, estruturas legais, relações de múltiplos actores e instituições necessárias para prevenir e recuperar-se de ataques cibernéticos com sucesso.
ADF: As Maurícias estabeleceram uma forma para que o povo — público e privado — use a internet e denuncie ataques cibernéticos. Será que isto é algo novo? Será que outros países fazem o mesmo?
ALLEN: É a melhor prática ao lidar com ataques cibernéticos. O sistema de denúncias online das Maurícias é administrado pela sua equipa de resposta de emergência informática (CERT). As CERTs estão a tornar-se veículos cada vez mais comuns para os países e sectores fazerem a monitoria, prevenirem, responderem e gerirem ataques cibernéticos. Ainda não é uma prática padronizada em África, onde mais da metade dos países da região não tem uma CERT. A CERT das Maurícias foi fundada em 2008 e tem estado à frente em relação aos outros.
ADF: Será que outros países podem conseguir fazer o que as Maurícias estão a fazer? Eles devem tentar?
ALLEN: Sem dúvidas. Penso que outros países em África deviam olhar com muita atenção para a forma como as Maurícias estão a fazer a gestão dos seus desafios de cibersegurança, e apenas vai ser uma questão de tempo antes de eles terem de o fazer. A penetração da internet no continente ainda é relativamente baixa — entre cerca de 30% e 40% — mas espera-se que aumente para 75% até ao final da década. À medida que mais países ficam ligados à internet, e mais pessoas usam a banda larga, as vulnerabilidades irão aumentar, e o mesmo acontecerá com a importância da cibersegurança. Os países de África que já possuem um nível elevado de penetração da internet tendem a ter as melhores políticas de cibersegurança. À medida que o número de pessoas com acesso à internet aumenta, o uso de cibersegurança terá de seguir o mesmo rumo.
ADF: Será que o estatuto das Maurícias como uma democracia bem estabelecida tem alguma coisa a ver com os seus esforços na área do combate ao crime cibernético?
ALLEN: Sim. As Maurícias encontraram uma forma de prevenir e responder ao crime cibernético enquanto mantêm o seu estatuto como uma democracia que respeita as liberdades civis e políticas dos seus cidadão. Penso que é crucialmente importante dar ao sector de segurança um papel que o permita lidar de forma efectiva e gerir a ameaça do crime cibernético, mas também permanecer comprometido com princípios de governação do sector de segurança abertos, transparentes e responsáveis. Este é um dos desafios centrais que muitos governos do mundo — incluindo em África — enfrentam actualmente.
ADF: As Maurícias estão a trabalhar juntamente com os bancos para combaterem o crime cibernético. Na sua opinião, quais são os outros aspectos da sociedade, ou das empresas, com os quais o país pode trabalhar para eliminar o crime cibernético?
ALLEN: Visto que é um centro nevrálgico para o resto da economia, o sector financeiro sempre foi um parceiro-chave dos governos quando se trata de responder ao crime cibernético. Os bancos tendem a dedicar recursos significativos para gerirem ameaças de assuntos como transferências ilegais e fraude de cartões de crédito. Isso faz com que eles sejam um parceiro natural de qualquer governo. Dadas as tentativas das Maurícias de se posicionarem como um centro financeiro para a maior parte de África e Ásia, o relacionamento é ainda mais crucial. As TICs estão cada vez mais a ficarem integradas no nosso dia-a-dia e em muitos sectores diferentes; muitas empresas em muitos sectores dependem das TICs ou de infra-estruturas de TICs de alguma forma, o que torna a cibersegurança ainda mais crucial.
ADF: Qual é o próximo passo para as Maurícias na luta contra o crime cibernético?
ALLEN: Esperamos que sejam apenas passos a subir. Contudo, a pandemia da COVID-19 já demonstrou ser um desafio, à medida que os actores das ameaças cibernéticas nas Maurícias e em todo o mundo procuram explorar cada vez mais a pandemia para fazerem spams, phishings e outros tipos de engenharia social. As notícias falsas e a desinformação relacionadas com a pandemia também são um problema. Mas penso que o maior perigo da pandemia é que ela já afectou a economia do país. Mas a pandemia está também, de muitas formas, a acelerar movimentos em direcção ao desenvolvimento motivado pelas TICs. Então, estamos num período de grandes incertezas.