O Dr. Antwi-Boasiako é especialista em segurança cibernética que trabalhou nos sectores público e privado por mais de uma década. Em 2011, fundou a eCrime Bureau, a primeira empresa de perícia digital da África Ocidental. Actuou como especialista em segurança cibernética no Grupo Global de Especialistas em Crime Cibernético da Interpol e no Projecto Alargado de Acção Global contra o Crime Cibernético do Conselho da Europa. Em 2017, foi nomeado Conselheiro Nacional de Segurança Cibernética do Gana e chefe do Centro Nacional de Segurança Cibernética. Nesta função, ajudou a elaborar a Lei de Segurança Cibernética do Gana, que foi aprovada em 2020. Em 2021, foi nomeado director-geral da Autoridade de Segurança Cibernética do Gana, cargo que ocupou até 2025. Ele falou com a ADF a partir do seu escritório em Acra. Os seus comentários foram editados por questões de extensão e clareza.
ADF: Olhando para o panorama cibernético da África Ocidental hoje, como descreveria as ameaças de actores estatais e não estatais? Quão vulneráveis são as instituições governamentais e as infra-estruturas críticas?
Antwi-Boasiako: Quando olho para trás, há 10 anos, as ameaças cibernéticas que a região enfrentava eram ataques de engenharia social. São os tipos habituais de burlas, como fraudes românticas e outras. Esses ataques eram mais externos por natureza. Eram originários do continente e tinham como alvo europeus e americanos. Foi nessa altura que as burlas 419 [“príncipe nigeriano”] e as burlas Sakawa [espiritualismo] se tornaram predominantes. Mas hoje a tendência mudou. Fico feliz que tenha mencionado os riscos enfrentados pela infra-estrutura de informação crítica: bases de dados governamentais, sistemas críticos. Há uma grande transformação digital a decorrer no continente, e o Gana é um dos países que está a adoptar várias iniciativas de transformação digital: sistemas de identificação digital, sistemas portuários sem papel, administrações de justiça criminal que utilizam plataformas digitais.
Nos últimos anos, assistimos a um aumento de ataques de ransomware. A nossa análise mostra que eles são originários de agentes criminosos, e a principal motivação é o ganho financeiro. Cerca de 80% dos ataques que observamos têm motivação financeira. O dinheiro é o principal motivador disso. Mas acho que também nos preocupamos com o papel dos actores estatais, seja directamente pelos Estados ou por seus representantes. Embora a posição geopolítica do Gana sempre tenha sido não alinhada, conforme interpretado pelo primeiro presidente, Dr. Kwame Nkrumah, cada vez mais antecipamos ameaças que virão de actores estatais. Como nação, estamos seriamente preparados por meio da sensibilização, da legislação, mas também por meio das nossas defesas cibernéticas, para sermos capazes de conter os ataques.
ADF: No início da década de 2000, o Gana enfrentava grandes desafios relacionados ao crime cibernético, principalmente fraude, chantagem e roubo de identidade. Pode descrever como isso afectou o país e por que vocês e outros decidiram tornar o combate ao crime cibernético uma prioridade nacional?
Antwi-Boasiako: Os crimes cibernéticos que estavam a ser cometidos eram direccionados para o exterior, mas tinham impacto aqui. Naquele período, descobrimos que, se vivesse no Gana e visse algo na Amazon ou no eBay, não poderia usar o seu cartão de crédito para fazer uma compra. Isso teve um efeito grave na adopção do comércio electrónico. Mesmo agora, existem limitações para endereços IP provenientes de regiões associadas a fraudes. É uma questão séria e afecta o investimento no país.
Gostaria de partilhar uma história. Em 2012, 2013, algo mudou. Na altura, eu trabalhava no sector privado e ocorreu o pior ataque de comprometimento de e-mails, e a minha empresa, a eCrime Bureau, foi contratada para investigar. A fraude levou ao desvio de mais de 2 milhões de euros destinados a projectos de infra-estruturas no Gana para países terceiros. O governo e os líderes do país começaram a perceber que o 419, o Sakawa, a fraude Yahoo Yahoo, o roubo de identidade, esses crimes não são direccionados apenas a europeus ou americanos, mas são algo que está a ter um impacto sobre nós. E acho que foi aí que começou parte da nossa resposta.
ADF: Qual foi a resposta?
Antwi-Boasiako: Lembro-me que uma das primeiras conversas que tivemos foi sobre a adesão do Gana à Convenção de Budapeste [um tratado internacional destinado a harmonizar a resposta global ao crime cibernético]. No caso que investiguei, o dinheiro tinha sido transferido para dois países diferentes e os endereços IP estavam localizados em quatro continentes diferentes. A questão era: “Como investigar crimes transfronteiriços desta natureza?” É necessária cooperação internacional e são necessárias ferramentas disponíveis para poder colaborar com diferentes países. O Gana agiu rapidamente para ratificar a Convenção de Budapeste e começou a criar legislação para reforçar a resiliência cibernética do país e a trabalhar na protecção das crianças na internet. Foi a proliferação destes crimes e ataques que levou o governo a tomar medidas sérias. Devo dizer que, em certa medida, tudo começou com o que chamamos de sensibilização. Quando os ataques passaram a ser direccionados para dentro do país, os decisores políticos e os actores políticos começaram a compreender que a questão do crime cibernético não se resumia a alguns rapazes pobres com competências para defraudar e ganhar algum dinheiro, mas que tinha consequências graves.
FORÇAS ARMADAS DO GANA
ADF: O senhor disse que, em África, a abordagem à segurança cibernética precisa de ser mais sistemática e menos ad hoc. O que quer dizer com isso?
Antwi-Boasiako: Penso que a dimensão do problema exigiu uma mudança. Precisamos de sistematizar o processo. É necessário abordar certos imperativos: política, estratégia, estabelecimento de um quadro institucional, e foi por isso que foi criada a Autoridade de Segurança Cibernética do Gana. Alguns países africanos estão a fazer o mesmo. O Gana lidera a Rede Africana de Autoridades da Segurança Cibernética e, actualmente, temos cerca de 20 países com agências dedicadas a questões de segurança cibernética.
ADF: O Gana também criou uma Equipa de Resposta a Incidentes Informáticos, ou CIRT. Pode descrever o que esta equipa faz e como ajuda a defender o país contra ataques cibernéticos?
Antwi-Boasiako: Apesar dos esforços que temos feito, um dia um ataque irá acontecer. É uma questão de quando, não de se. Portanto, é imperativo ter um sistema CIRT eficiente. O Gana adoptou o que chamamos de sistema CIRT descentralizado, no qual temos um CIRT nacional e outros CIRT sectoriais. O sector bancário, as tecnologias financeiras, os seguros, todas as entidades relacionadas com finanças estão agrupadas num CIRT sectorial. O Banco do Gana é o nosso líder nessa área específica. Isso significa que os incidentes são coordenados dentro do sector e, em seguida, trabalham em estreita colaboração com o CIRT nacional.
Temos um CIRT para as bases de dados governamentais, outro para as telecomunicações e um terceiro para a segurança nacional. É assim que está a nossa configuração em termos do ecossistema CIRT como país. Existem diferentes modelos, dependendo de como funciona a estrutura interna do governo, mas tivemos de adoptar este, porque existem vários órgãos reguladores fortes que acreditamos que, se trabalharmos através deles, podemos alcançar melhor a conformidade.
ADF: O senhor disse que apenas cerca de 35% a 40% dos ganeses têm conhecimentos básicos sobre segurança cibernética. Por que isso é perigoso e como pode ser melhorado?
Antwi-Boasiako: Acho que, se me perguntar agora, posso até rever esse número, porque [35% a 40%] pode ser ambicioso. A sensibilização para os riscos cibernéticos é a questão mais importante. A diferença entre a utilização de dispositivos digitais pelos cidadãos e a sua sensibilização para os riscos cibernéticos continua a aumentar. Principalmente agora, com o uso de truques baseados na IA. Há vídeos e imagens a serem manipulados usando sistemas de IA, e os cidadãos estão realmente indefesos. Às vezes, mesmo para um olho experiente, torna-se bastante difícil distinguir entre o que é autêntico e o que não é. Há um medo crescente de que, à medida que a tecnologia evolui, o nível de consciência dos nossos cidadãos se torne bastante baixo. Isso está a ter um impacto enorme.
Uma das coisas que fazemos todos os anos é o Mês Nacional da Consciencialização Cibernética, através do qual envolvemos os cidadãos o máximo possível. Também usamos plataformas das redes sociais para emitir alertas de segurança quando vemos uma tendência comum, porque os crimes de baixo nível também são crimes organizados. Às vezes, há golpistas que se instalam num apartamento e o seu trabalho é apenas golpear e ganhar dinheiro. Os fundos são pequenos, mas o volume agregado é bastante grande. Os efeitos cumulativos em termos de perdas para os cidadãos são significativos.
Tentamos partilhar informações, sensibilizar e educar o público, mas devo dizer que ainda existem algumas lacunas que precisamos de colmatar. Precisamos de chegar aos nossos cidadãos que podem não saber ler em Inglês. No Gana, a inclusão financeira tem uma elevada penetração. Nas aldeias remotas, todos utilizam transacções monetárias móveis. Todos são alvos potenciais. Até a minha mãe idosa na aldeia é um alvo potencial para os defraudadores.
ADF: Todos os anos, durante o Mês Nacional da Consciencialização de Segurança Cibernética, as Forças Armadas do Gana realizam eventos para o seu pessoal. Que papel acha que as forças armadas podem e devem desempenhar no apoio à segurança cibernética?
Antwi-Boasiako: O papel das forças armadas em termos de resposta a incidentes é muito consistente com o mandato de uma força armada típica. Qual é o papel das forças armadas? Lidar com a integridade territorial e a defesa nacional do país. Certamente, o papel das forças armadas é proteger os seus sistemas internos, porque esses são alvos potenciais para um inimigo. Na minha opinião, a defesa cibernética é tanto defensiva quanto ofensiva. Essa é uma área que está em desenvolvimento. Acho que o plano é, à medida que você moderniza as suas forças armadas e introduz mais sistemas centrados em redes para torná-las eficientes e compatíveis com a tecnologia, a sua defesa interna também precisa ser reforçada.
ADF: Hoje, o continente tem cerca de 20.000 profissionais treinados em segurança cibernética, o que representa cerca de um quinto do total necessário, de acordo com a empresa de segurança cibernética CrowdStrike. O que precisa ser feito para expandir as oportunidades de formação e emprego para jovens profissionais de segurança cibernética?
Antwi-Boasiako: Essa é uma questão importante, a questão das competências. O governo precisa de profissionais de segurança cibernética para proteger o país, o sector privado precisa deles, a justiça criminal precisa deles. O sistema educativo precisa de professores para transmitir conhecimentos e competências à nova geração de profissionais que está a ser formada nas nossas universidades. As necessidades existem. O que o Gana começou a fazer foi introduzir o que chamamos de sistema de acreditação, que consiste basicamente em registar os profissionais de segurança cibernética em três níveis e também numa categoria geral. Por um lado, temos certos profissionais que estudaram e trabalharam no estrangeiro e regressaram ao país. Esses profissionais são muito bons, têm exposição, têm experiência, mas são bastante caros. A estratégia tem sido contratar um, dois ou três deles e, depois, contratar jovens bastante talentosos que saem das nossas universidades, que podem ser estagiários.
O registo está a ajudar-nos a identificar aqueles que estão na base, para que possamos ter uma política para que os mais experientes, os mais qualificados, possam apoiá-los através de formação profissional. Essa é uma área com a qual começámos a lidar: o desenvolvimento da força de trabalho. Penso que, em termos gerais, o plano é fazer uma investigação para determinar as competências que temos e quantas são necessárias. Essa é uma área que também estamos a analisar para garantir que desenvolvemos as competências necessárias. Precisamos de ter os números e saber quantos temos no sistema. Sem isso, é muito difícil determinar quantos mais se quer adicionar.
ADF: Em 2024, o Gana foi classificado como um país de nível 1 em segurança cibernética no Índice Global de Segurança Cibernética, o nível mais alto. Foi o segundo país africano com a melhor classificação, com uma pontuação acumulada de 99%. Quais são os seus objectivos para o futuro e em que áreas gostaria de ver o Gana melhorar?
Antwi-Boasiako: Acho que fez uma pergunta pessoal, por isso, vou responder pessoalmente. Tenho orgulho de ver um país em desenvolvimento iniciar esta jornada do nada. Em 2017, quando fui nomeado, o nível do [Índice Global de Segurança Cibernética da União Internacional de Telecomunicações] era de cerca de 32%. E, em 2024, o aumento percentual foi bastante impressionante [para 99%]. Devo dizer que o compromisso político é o denominador comum. Tivemos a sorte de ter esse compromisso político para nos impulsionar. Também tivemos a sorte de contar com uma equipa de técnicos e funcionários qualificados que nos ajudaram a alcançar este marco.
Acho impressionante contar a história de que se pode ser um país em desenvolvimento – e o Gana não é um país rico –, mas acho que a determinação e o foco comuns realmente nos colocaram numa posição séria. Tenho orgulho de dizer que algumas coisas que introduzimos aqui estão agora a ser aprendidas por outros países: licenças e acreditação. Outros países ocidentais estão a contactar-nos para aprender como fizemos isso, protecção de infra-estruturas críticas de informação, protecção de crianças na internet. Quando digo que estou orgulhoso, é porque somos um contribuinte líquido para o desenvolvimento da segurança cibernética por meio das melhores práticas. Foi uma conquista digna de orgulho.
Nos próximos anos, espero que o mesmo compromisso político continue, espero o mesmo espírito de foco e motivação. Olhe, o país está a digitalizar-se. Não temos opções, não temos desculpas. Temos de desenvolver a nossa competência cibernética e os nossos sistemas de segurança cibernética para poder defender os investimentos que estamos a fazer.
ADF: Publicou recentemente um livro intitulado “Dez Mandamentos para o Desenvolvimento Sustentável da Segurança Cibernética Nacional.” Por que achou importante escrever este livro e o que espera que os leitores retirem dele?
Antwi-Boasiako: O livro foi escrito para o público em geral. Não é técnico; é fácil de ler. É esse o feedback que tenho recebido. O desenvolvimento da segurança cibernética de uma nação é um empreendimento multidimensional. É errado pensar nisso apenas como um empreendimento técnico. É preciso envolver todas as facetas da sociedade. É preciso a sociedade civil, é preciso a justiça criminal, é preciso a defesa nacional, é preciso a comunidade empresarial, a indústria, é preciso parceiros internacionais. Na comunicação, é necessário ter uma linguagem comum a todos. A motivação veio da minha própria experiência. Vi que os países africanos estão a dar passos importantes; existem algumas iniciativas. Mas o problema era que elas não estavam integradas; não foram programadas de forma a ter um impacto colectivo. Faltava coordenação e, em alguns casos, havia duplicação. Precisamos de um princípio orientador, e foi por isso que usei a expressão “Dez Mandamentos.” Estas são 10 áreas em que qualquer pessoa que pegar no livro, independentemente da sua posição, pode desempenhar um papel. E uso a palavra “mandamento” porque cada um deles é imperativo; são coisas que têm de ser feitas.