Müdahale: Supragingival Dental Biyofilm Kontrolü (Hasta Tarafından Gerçekleştirilen)

Uma vez que os custos na área das TIC na Administração Pública (AP) sofreram alterações, houve a necessidade de se implementar uma estratégia global para a racionalização das infraestruturas TIC AP. Para que tal acontecesse, foi constituído o Grupo de Projeto para as Tecnologias de Informação e Comunicação (GPTIC), com mandato até 31 de Dezembro de 2015. Este grupo teve como objetivo desenvolver uma estratégia global para a racionalização as TIC na Administração Pública por forma a melhorar a eficiência e a diminuição dos custos associados (RCM 46/2011, 14 de novembro). Por conseguinte, o GPTIC desenvolveu um plano de ação de modo a cumprir com aqueles objetivos. Este é composto por vinte e cinco medidas de racionalização tendo por base cinco eixos de atuação, dos quais apenas o primeiro, designado “Melhoria dos mecanismos de governabilidade”, é o que nos interessa para o desenvolvimento deste trabalho. Neste primeiro eixo de atuação são propostas cinco medidas, das quais, a quarta medida consiste na “definição e implementação de uma estratégia nacional de segurança de informação” (RCM 12/2012, 7 de fevereiro). A Estratégia Nacional de Segurança de Informação (ENSI) define os objetivos nacionais para a segurança de informação, a responsabilidade na segurança de informação, a

30

organização e os serviços da mesma e também a sua gestão. Sendo assim, a ENSI compreende a “criação, instalação e operacionalização de um Centro Nacional de Cibersegurança” (CNCseg/CNCS) (RCM 12/2012, 7 de fevereiro) pelo que o desenvolvimento desta quarta medida foi coordenada pelo Gabinete Nacional de Segurança (GNS) juntamente com a colaboração de entidades essenciais respeitantes a esta matéria (RCM 12/2012, 7 de fevereiro).

Em 2012 foi criada a Comissão Instaladora do CNCseg que tinha como finalidade definir as medidas e os instrumentos essenciais para a constituição do CNCseg (RCM 42/2012, 13 de abril). Desta forma, o CNCseg foi criado na dependência do GNS, alterando a orgânica deste serviço através do Decreto-Lei nº 69/2014 de 9 de maio. Ou seja, recorreu-se a uma adaptação da organização e funcionamento do GNS às funções exigidas pela cibersegurança. O CNCseg tem como missão garantir que o país use o ciberespaço de “forma livre, confiável e segura” (DL 69/2014, 9 de maio), através da cooperação internacional e da “implementação de medidas e instrumentos necessários à antecipação, à deteção, reação e recuperação de situações” (DL 69/2014, 9 de maio), como ciberincidentes ou ciberataques, que, eventualmente, possam pôr em causa o funcionamento das infraestruturas críticas e os interesses nacionais (DL 69/2014, 9 de maio).

Tal como os outros países da UE, Portugal desenvolveu uma estratégia para garantir a segurança e a proteção dos interesses nacionais no ciberespaço. Esta estratégia surgiu em 2015 designando-se por “Estratégia Nacional de Segurança do Ciberespaço”(ENSC). Este documento estabelece as linhas de ação assim como os objetivos de modo a haver uma eficaz gestão de crises, uma coordenação de resposta a ciberataques, um desenvolvimento de sinergias nacionais e também um aumento da cooperação nacional, europeia e internacional no ciberespaço. De igual forma, esta estratégia compromete-se a aprofundar a segurança das redes e da informação por forma a garantir a proteção e segurança das infraestruturas críticas e dos serviços essenciais de informação (RCM 36/2015, 12 de junho).

31

A ENSC assenta-se em cinco pilares (subsidiariedade; complementaridade; cooperação; proporcionalidade e sensibilização) e desenvolve-se em torno de quatro objetivos, a saber (RCM 36/2015, 12 de junho4):

 Promover uma utilização consciente, livre, segura e eficiente do ciberespaço;

 Proteger os direitos fundamentais, a liberdade de expressão, os dados pessoais e a privacidade dos cidadãos;

 Fortalecer e garantir a segurança do ciberespaço, das infraestruturas críticas e dos serviços essenciais nacionais;

 Afirmar o ciberespaço como um domínio de desenvolvimento económico e de inovação.

As implicações e as necessidades associadas a esses objetivos permitem definir uma orientação geral, consubstanciada em seis eixos de intervenção (RCM 36/2015, 12 de junho). O primeiro eixo “Estrutura de Segurança do Ciberespaço” é o de maior relevância para o objetivo deste capítulo. Neste eixo, são estabelecidas medidas para simplificar os desafios que a segurança do ciberespaço exige. Uma dessas medidas refere a necessidade de consolidar o papel do CNCseg como coordenador operacional e de autoridade nacional em matéria de cibersegurança. Uma outra medida, presente neste mesmo eixo, é o desenvolvimento da capacidade de ciberdefesa (RCM 36/2015, 12 de junho).

Como vimos no capítulo anterior, na EU-ECS, uma das prioridades estratégicas definidas é o desenvolvimento da política e das capacidades de ciberdefesa dentro do quadro da CSDP pelo que em 2013 foi publicado a Orientação Política para a Ciberdefesa. Esta Orientação Política tem como finalidade determinar os princípios fundamentais, definir os objetivos e estabelecer as consequentes linhas de ação, de modo a desenvolver uma capacidade nacional de ciberdefesa. Esta política de ciberdefesa define três objetivos: garantir a resiliência, a proteção e a segurança das redes e das TIC contra ciberataques; assegurar a liberdade de ação no ciberespaço e, quando necessário, atuar por forma a impedir ou dificultar um ato hostil contra os interesses nacionais; contribuir de modo cooperativo para a cibersegurança nacional. Para se cumprir com os objetivos estabelecidos foram definidas linhas de ação, das

4

A Estratégia Nacional de Segurança do Ciberespaço assim como os objetivos mencionados, encontram-se vertidos nesta RCM.

32

quais, uma é estabelecer uma estrutura de comando e controlo da ciberdefesa nacional. Assim, Portugal responde a este desafio através da existência de um organismo que tenha um carácter de orientação estratégico-militar quanto às atividades de ciberdefesa e que tenha uma capacidade de resposta a ciberincidentes e a ciberataques (Despacho nº 13692/2013, 28 de outubro do MDN).

Relativamente à matéria de ciberdefesa, a Direção de Comunicações e Sistemas de Informação (DIRCSI) do Estado-Maior General das Forças Armadas tem como missão “coordenar a proteção dos valores de integridade, confidencialidade e disponibilidade da informação e dos sistemas de informação das Forças Armadas” (DR 13/2015, 31 de julho). De igual forma, coordena a proteção dos mesmos valores, previamente mencionados, mas no âmbito da cibersegurança sectorial da defesa nacional. Portanto, na estrutura da DIRCSI está presente o Centro de Ciberdefesa (CCD) (DR 13/2015, 31 de julho) que, na dependência do CEMGFA, é o órgão responsável pela condução de operações no ciberespaço, assim como pela resposta a ciberincidentes e a ciberataques, tendo responsabilidades de coordenação, operacionais e técnicas (Despacho nº 13692/2013, 28 de outubro). Assim, ao CCD compete a direção e a coordenação da capacidade de ciberdefesa nacional (ex.: condução de operações militares no ciberespaço; promoção de projetos de investigação e desenvolvimento; entre outros); o planeamento, a coordenação e a direção das investigações de ciberincidentes relevantes para a ciberdefesa (ex.: assegurar uma capacidade permanente de deteção, de resposta e de recuperação de ciberincidentes); a coordenação e a cooperação com os Núcleos Computer Incident Response Capability (CIRC) dos ramos das Forças Armadas (FA) e do EMGFA; a partilha de informação de modo a colaborar numa resposta defensiva com o CNCseg e com os CIRC nacionais e internacionais; entre outras competências. No âmbito da cibersegurança sectorial, o CCD coopera com as estruturais nacionais responsáveis pela cibersegurança, pela ciberespionagem, pelo cibercrime e pelo ciberterrorismo. Supletivamente, de acordo com as competências associadas à cooperação nacional e internacional do CNCseg, o CCD partilha informação com o CIRC nacionais e internacionais. O CCD é a autoridade técnica da ciberdefesa e da cibersegurança sectorial da defesa nacional (DR 13/2015, 31 de julho).

Ainda relativamente ao primeiro eixo da estratégia nacional, existe uma outra medida fundamental. Esta medida corresponde ao desenvolvimento da capacidade

33

nacional de resposta a incidentes, ou seja, declara que o papel desempenhado pelas

Computer Incident Response Team (CSIRT) terá que ser reforçado de modo a funcionar

como uma plataforma para a partilha de informação e de boas práticas associadas aos ciberincidentes assim como para os “serviços operacionais de resposta a incidentes” (RCM 36/2015, 12 de junho) nacionais e estrangeiros caso, estes tipos de incidentes, constituam uma ameaça à soberania nacional (RCM 36/2015, 12 de junho).

Importa, agora, descrever o que cada um dos ramos das FA dispõe relativamente a esta matéria e que deverá funcionar desejavelmente em sintonia e alinhamento com o CCD. Iremos falar, de uma forma genérica, sobre o Exército e a Força Aérea e mais detalhadamente sobre a Marinha.

4.2 Exército

Dispõe de duas estruturas, sendo estas, o Sistema de Informação e de Comunicações Operacional (SIC-O) (cobertura nacional) e o Sistema de Informação e Comunicações Tático (SIC-T). Este permite estabelecer o Comando e Controlo (C2) de todas as Unidades/Estabelecimentos/Órgãos (U/E/O) bem como de todas as unidades táticas. O Exército, assim como os restantes ramos, dispõe de um CIRC que tem como finalidade providenciar apoio nas operações ofensivas perpetradas no ciberespaço (CNO), isto é, pode efetuar intrusões de modo a afetar os princípios de segurança (confidencialidade, integridade e disponibilidade) nos sistemas de informação e de comunicações inimigos. O núcleo CIRC do Exército encontra-se no Regimento de Transmissões (RTm); contudo, em contexto operacional, rege-se sob o Comando do Batalhão de Transmissões da Escola Prática de Transmissões (EPT) (PINTO, 2013, pp. 19-20).

4.3 Força Aérea

Neste ramo existe a Direção de Comunicações e Sistemas de Informação (DCSI) que corresponde à parte técnica, ou seja, é responsável pela implementação de políticas e doutrina, pela operação, pela administração e pela sustentação. Da DCSI provêm três repartições: a Repartição de Tecnologias de Informação (RTI); a Repartição de

34

Segurança da Informação (RSI) e a Repartição de Comunicações e Sensores de Navegação (RCSN). A RSI e a RCSN estão relacionadas com aplicações, análise, programação bem como com as redes, respetivamente. No entanto, na RTI, relacionada com os servidores, está disposta a Secção de Ciberdefesa, desempenhando, neste contexto, as funções de CIRC da Força Aérea. Esta secção tem como funções a monitorização, a auditoria, a reação a incidentes e a sensibilização (palestras e boletins) (Jorge Valente, 2016).

4.4 Marinha

Na Marinha, com o aumento do número de Sistemas de Informação e Comunicações Automatizados (SICA), tornou-se necessário garantir a proteção da informação e dos recursos que auxiliam esses mesmos sistemas. Os SICA garantem o armazenamento, o processamento e a transmissão de informação, de carácter operacional e administrativo, essencial para o cumprimento das missões atribuídas à Marinha pelo que é fundamental a sua proteção (MDN, 2005, p. 1.3). Assim, surge o conceito de SICA da Marinha (SICAM) que é um agregado de “Sistema de Informação e Comunicação, constituído por um SICA ou conjunto de SICA, que apoia de forma directa ou indirecta, o cumprimento da missão de uma das áreas funcionais da Marinha ou de todas estas” (MDN, 2005, p. 1.3). Por conseguinte, por forma a garantir a proteção dos SICA é necessário implementar políticas de segurança, assim como uma estrutura que possibilite a monitorização, a identificação, o alerta, a resposta e a recuperação caso um SICA tenha sido alvo de um comprometimento à confidencialidade, à integridade, à disponibilidade e à autenticação da informação. Neste quadro, tornou-se imperativo implementar na Marinha uma Capacidade de Resposta a Incidentes de Segurança da Informação (CRISI). Esta permite efetuar uma resposta aos incidentes de segurança que estejam relacionados com atividades maliciosas, software malicioso, negação de serviços assim como outras ameaças associadas aos SICA, ou seja, responde aos diversos incidentes de segurança da informação na Marinha de forma coordenada (MDN, 2012, p. 1.1).

O desenvolvimento da CRISI resultou da necessidade de cumprir com o que fora estabelecido tanto nas diretivas políticas da OTAN como nas da UE, estando,

35

igualmente, em alinhamento com o preconizado ao nível do EMGFA (MDN, 2012, pp. 2.1-2.2). Algumas dessas diretivas já foram mencionadas previamente neste trabalho, designadamente: a Declaração de Praga de 21 de novembro (2002); o Conceito Estratégico de Defesa e Segurança da OTAN (2010); o documento que surgiu na Cimeira da OTAN em Lisboa (2010); a Diretiva de Planeamento da Marinha (2014)5 e por último, a Estratégia Interna da União Europeia.

A CRISI é constituída por um conjunto de pessoas, processos e tecnologia que permite responder e tratar qualquer incidente de segurança que ocorra ao nível dos SICA da Marinha, tendo para isso que se socorrer de meios de análise, de disseminação e de relato da informação associada ao incidente. Além disto, tal como acontece a nível internacional (CSIRT – Computer Security Incident Response Team), a CRISI deve adotar uma postura pró-ativa (análise das vulnerabilidades; investigação dos incidentes de segurança; formação; entre outros) de modo a minimizar os riscos de segurança dos SICA (MDN, 2012, pp. 2.2-2.3). Desta forma, a CRISI tem como principal objetivo a prevenção e a diminuição do risco de ocorrência de um incidente de segurança da informação, assim como a minimização do seu impacto nos SICA. No entanto, a CRISI tem outros objetivos, como por exemplo, a gestão eficaz da resposta aos incidentes, a recuperação imediata dos mesmos, entre outros. Sendo assim, disponibiliza três serviços: serviços reativos (ex.: gestão de incidentes; análise de incidentes); serviços pró-ativos (ex.: análise e gestão das vulnerabilidades; serviços de monitorização e deteção de intrusão) e por último os serviços de gestão de segurança e qualidade de serviço (ex.: colaboração na análise de risco; contribuição para a definição dos requisitos). Além destes serviços, a CRISI dispõe, também, de sistemas de apoio como: o Sistema de Registo de Incidentes (efetuar o registo de incidentes e das ações tomadas); o Portal da CRISI (plataforma de apoio à estrutura da CRISI e divulga informação) e Sistemas, equipamentos e tecnologias, que são essenciais para o Grupo de Resposta a Incidentes de Segurança de Informação – GRISI (MDN, 2012, pp. 2.3-2.5).

5 _{Anteriormente designada por Diretiva de Política Naval (2011) e que mencionava as mesmas medidas} – riação e partilha dos recursos informacionais que alimentam ferramentas de gestão estratégica (Balanced Scoreboard e Enterprise Project Management - EPM), os sistemas de Comando e Controlo (C2) e de defesa do ciberespaço da Marinha, para garantir a exploração integrada daqueles recursos, a uniformização dos requisitos, a eficiência na gestão da informação, a superioridade de conhecimento, de de isão e de e e ução, e a opti ização do Co a do e Co trolo. (CEMA S. L., 2011)

36

Após se ter mencionado qual o propósito e o objetivo principal da CRISI bem como quais os seus serviços e os seus sistemas de apoio, passaremos a mostrar como esta se encontra estruturada.

A estrutura da CRISI baseia-se nos recursos humanos, nas entidades de segurança dos SICA assim como noutras estruturas da Marinha. Assim, esta estrutura é composta por três níveis de atuação e coordenação, sendo estes (MDN, 2012, pp. 2.5- 2.6):

 Nível 1 – Entidade de coordenação da CRISI (EC-CRISI);

 Nível 2 – Grupo de Resposta a Incidentes de Segurança de Informação (GRISI);

 Nível 3 – Entidades da Organização de Segurança dos SICA.

No primeiro nível encontra-se o Estado-Maior da Armada (EMA) que atua como a entidade de coordenação de resposta a incidentes de segurança de informação, de assessoria jurídica e também estabelece ligações com entidades externas, para além de produzir e manter atualizada a doutrina atinente. Do segundo nível fazem parte as Áreas das Tecnologias de Informação e Operacional, que providenciam apoio na análise, na deteção, na resposta e na recuperação de incidentes de segurança. Da mesma forma, fornecem apoio às Autoridades Operacionais dos SICA (AOSICA)6 relativo à deteção de intrusão bem como na prevenção de software malicioso. Finalmente, as entidades da organização de segurança dos SICA são responsáveis por assegurarem as necessárias condições de segurança e relatar qualquer atividade suspeita associada às suas áreas de competência (MDN, 2012, p. 2.6). A seguinte figura mostra a estrutura e organização da CRISI:

6

AOSICA – e tidade que garante a operacionalidade do respetivo SICAM, representando, desta forma, toda a comunidade de utilizadores dos SICA que constituem esse SICAM. A sua responsabilidade estende-se, assim a todos os respectivos SICA, desde a fase em que estes são entregues para a operação até ao seu a ate. - (MDN, 2005, p. 7.2)

37

Conforme apresentado na figura, no segundo nível, o GRISI é constituído por elementos das Áreas das Tecnologias da Informação e Operacional, essenciais no desempenho de tarefas associadas ao ciclo de tratamento de incidentes. Assim, o GRISI é composto por dois subgrupos: Subgrupo de Resposta Avançada e Subgrupo de Resposta Imediata. O primeiro subgrupo é responsável por providenciar apoio técnico caso ocorra algum incidente de segurança da informação assim como é responsável, juntamente com o Subgrupo de Resposta Imediata, pelo ciclo de tratamento dos incidentes (resposta, recuperação, manutenção e prevenção/proteção). O segundo subgrupo é constituído pelo Centro de Comunicações, de Dados e de Cifra da Marinha (CCDCM), sendo este responsável pela ligação direta aos utilizadores no que diz respeito aos incidentes de segurança da informação, ou seja, atua como um centro de recolha, análise e de coordenação de incidentes. Além disto, é igualmente responsável pela deteção e análise de incidentes de segurança (MDN, 2012, pp. 2.7-2.8).

Quanto à gestão de incidentes, esta envolve toda a estrutura e organização da CRISI. Assim, a gestão de incidentes envolve determinadas fases dando origem ao Ciclo de Gestão de Incidentes, como se pode verificar na seguinte figura:

Figura 4 - Estrutura e Organização da CRISI (Retirado do PCA 16)

38

Assim, de uma forma sucinta, nas fases de proteção e de prevenção, as infraestruturas, sistemas e serviços assim como a informação armazenada, transferida e processada pelos SICA são monitorizadas, sendo os eventos correlacionados, caracterizados e categorizados em eventos de segurança, se for caso disso. Nas fases de deteção e análise os eventos que foram registados e classificados como incidentes de segurança são triados e priorizados de modo a viabilizar uma resposta imediata pelo Grupo de Resposta Imediata (GRI). Na fase de tratamento de incidentes, caso não exista capacidade para efetuar uma resposta imediata, a sua análise e resolução passa para a área de TI, envolvendo o Grupo de Resposta Avançada (GRA). Contudo, se precisar de apoio na coordenação do incidente, que transcenda a capacidade da GRA, a EC-CRISI é ativada uma vez que, nestas situações, poderá ser necessário coordenar as ações com entidades externas, designadamente o CCD e o CNCSeg. Os incidentes de origem externa são registados nos Sistemas de Gestão de Incidentes, que tem como objetivo dar nota de todas as ações tomadas sobre os incidentes, providenciando à CRISI a capacidade de saber quais os que estão em tratamento e como se encontra o seu processo de resolução. Posteriormente, este tipo de incidentes são analisados na triagem efetuada pelo GRI (MDN, 2012, pp. D.1-D.4). Para um melhor perceção das fases macro da gestão de incidentes, segue-se a seguinte figura:

39

Toda a informação presente no Sistema de Gestão de Incidentes contribui para a edificação do Panorama Situacional do ciberespaço de interesse para a Marinha e assim do CSC, que atua como uma plataforma virtual, e envolve a informação obtida no Sistema de Gestão de Incidentes.

Deste modo, pode-se concluir que a Marinha dispõe de uma capacidade de cibersegurança nas unidades em terra. Contudo, verifica-se que o mesmo não se pode dizer no que diz respeito às UN quando estas se encontram a navegar em cumprimento das respetivas missões ou atracadas em portos fora da jurisdição da Marinha. Portanto, de acordo com o DOTMLPFI, verifica-se que, em termos de doutrina (D), a Marinha tem publicações, como por exemplo o PCA 2 e o PCA 16 (CRISI), que estabelecem instruções ou normas necessárias para garantir a segurança da informação e para edificar uma capacidade de resposta aos incidentes, ainda que a mesma não contemple, pelo menos explicitamente, o que deve ser feito nas UN. Em termos de organização (O), contatou-se que as unidades em terra estão preparadas e organizadas para exercer a capacidade de cibersegurança. Isto é, detêm uma estrutura concebida para providenciar uma resposta aos ciberincidentes que ponham em causa a segurança da informação. Associada à organização está a liderança uma vez que é essencial para o

40

desenvolvimento de uma estrutura e por conseguinte uma organização. No entanto, e ainda que maioria das UN da Marinha possuam redes a bordo e as fragatas operem em rede quando inseridas em forças navais, não foi possível identificar doutrina, no âmbito das operações navais, que enquadre qual a organização que deve existir a bordo para edificar conhecimento situacional sobre o ciberespaço de interesse para o navio e como se deve o navio organizar para fazer face a incidentes de cibersegurança quando se encontra em plena atividade operacional.

Relativamente ao treino e formação (T), existe oferta no âmbito da segurança de informação (INFOSEC), sendo exemplos o Curso de Aperfeiçoamento INFOSEC – Segurança dos Sistemas de Informação e Comunicação (AK08) e o Estágio de Segurança de Informação (IDI01). Contudo, ainda não existe, na Marinha, nenhum curso específico na área da cibersegurança. O treino e formação está interligado com o pessoal (P) que opera com os sistemas necessários para atingir o objetivo definido, ou seja, é essencial haver pessoal especializado para estar apto a operar com os diversos sistemas bem como a existência, tal como foi mencionado previamente neste trabalho, de uma cultura de segurança. Este desiderato só é atingido através do treino e da formação. No mesmo contexto, para se poder edificar uma capacidade de cibersegurança é fundamental que as entidades associadas a esta matéria, disponham de material (M) suficiente e atualizado para poderem exercer as suas funções. No entanto, as infraestruturas também desempenham um papel fundamental. Na Marinha, tanto o Centro de Operações de Rede (CORE) da DITIC como parte do CCDCM (CIRC) desempenham funções importantes no combate aos incidentes de segurança da informação. Mas mais uma vez, relativamente às UN, não existem evidências sobre a existência de meios materiais para o propósito de contribuir para o incremento da cibersegurança das UN quando em operações, i.e., quando fora do controlo do domínio