2. 9º Fórum das Comunicações da CPLP | Tiago Bessa 2
3. 1. PESSOA DIGITAL NO
ECOSSISTEMA DIGITAL
“Seven days a week, twenty-four hours a day, electronic databases are compiling information about you”
- In “The Digital Person” de Daniel J. Solove
3
9º Fórum das Comunicações da CPLP | Tiago Bessa
4. O Mundo Digital
9º Fórum das Comunicações da CPLP | Tiago Bessa 4
Num mundo cada vez mais
digital abunda a circulação
da informação – a Era dos
Dados
A revolução digital mudou
drasticamente o mundo e a
forma como vivemos e
como operamos
Foram tratados mais dados nos
últimos anos do que no resto da
nossa história
A cada segundo são realizadas
mais de 40 000 pesquisas no
Google e em 2020 circularão 44
zettabytes em rede (4,4
zettabytes hoje em dia)
5. Titulares de Dados
pessoais
Informação relativa a
pessoas singulares
A Pessoa Digital
9º Fórum das Comunicações da CPLP | Tiago Bessa 5
Detentores de direitos
Relativamente aos seus
dados pessoais que
circulam no mundo
digital
Atores do mundo
digital
Dados pessoais
presentes em múltiplos
fora
7. Ecossistema Digital
9º Fórum das Comunicações da CPLP | Tiago Bessa 7
Oportunidades Desafios
Existem novas
oportunidades de
negócio, de
desenvolvimento,
de crescimento, de
inovação
Riscos de cibersegurança e de segurança dos
dados (ataques a sistemas e redes)
Riscos de segurança pessoal (utilização da
informação para traçar perfis e antecipar ou
influenciar comportamentos)
Riscos de privacidade (utilização abusiva de
de dados pessoais)
8. Ecossistema Digital
9º Fórum das Comunicações da CPLP | Tiago Bessa 8
Motivação
CiberCrime Hacktivismo
CiberGuerra CiberEspionagem
0
20
40
60
80
100
120
140
0
1
2
3
4
5
6
7
8
9
Ciberataques - Janeiro 2018
Ataques Diários Total de Ataques
9. Ecossistema Digital
9º Fórum das Comunicações da CPLP | Tiago Bessa 9
Estatísticas de ciberataques
Os incidentes de cibersegurança continuam a aumentar exponencialmente
As estimativas das perdas
anuais geradas por
ciberataques variam entre
alguns milhões de euros a
centenas de biliões
10. 2. CIBERSEGURANÇA
“It’s not if, but when. Are you prepared?”
10
9º Fórum das Comunicações da CPLP | Tiago Bessa
11. Conceitos e distinções
• Cibersegurança é a capacidade de proteger as
redes e sistemas informáticos de incidentes que
impeçam ou perturbam o seu funcionamento.
Visa proteger os dados e informação que nestes
circulam
• Cibercrime é a atividade ilegal cometida
através do uso de um computador ou sistema
informático. Engloba qualquer ato criminoso,
sendo o objeto do crime o sistema de
informação ou de dados de um terceiro (ex:
fraude, roubo de identidade e roubo de cartão
de crédito)
• Ciberguerra designa ataques, represálias ou
intrusão ilícita num computador ou numa rede
(atacar infraestruturas críticas)
9º Fórum das Comunicações da CPLP | Tiago Bessa 11
Cibersegurança
Ciberguerra ou
ciberterrorismo
Cibercrime
CIBERESPAÇO
12. Cibersegurança
9º Fórum das Comunicações da CPLP | Tiago Bessa 12
Inteligência Espionagem
Cibersegurança
Segurança da
Informação
•Legislação / Medidas legais
•Medidas técnicas
•Processos
•Cooperação nacional e
internacional
Cibersegurança é uma das
preocupações transversais a
nível mundial devido ao
aumento dos ciberataques
A cibersegurança pode
traduzir-se em factores
preventivos (proteção) e
repressivos (de investigação)
A cibersegurança pressupõe
também a proteção da
privacidade enquanto
proteção de dados pessoais
Requer:
13. Cibersegurança
9º Fórum das Comunicações da CPLP | Tiago Bessa 13
Violação
de dados
pessoais
violações
de
segurança
Incidentes
com
segurança
Perda de
integridade
de redes
Notificação de ciberincidentes e data breaches
Risco político
Risco de negócio
Risco jurídico
Risco reputacional
Risco financeiro
Risco operacional
Todas as empresas e organizações, públicas
ou privadas, independentemente do sector
em que actuem, podem ser alvo de
ciberataques e com isso sofrer danos
reputacionais e financeiros significativos
Fonte: Survey sobre Data Security Breach Notification,
realizado pelo Ponemon Institute para a White & Case
14. 3. ESTADO ATUAL
“The private sector is the key player in cyber security. Private sector companies are the primary victims of
cyber intrusions. And they also possess the information, the expertise, and the knowledge to address cyber
intrusions and cyber crime in general”
-James Comey (ex-director do FBI)
14
9º Fórum das Comunicações da CPLP | Tiago Bessa
15. Legislação em matéria de cibercrime
9º Fórum das Comunicações da CPLP | Tiago Bessa 15
16. CPLP
9º Fórum das Comunicações da CPLP | Tiago Bessa 16
• Para proteger a economia, investimentos das empresas e segurança nacional
• Para proteger as infra-estruturas críticas nacionais, como a energia, banca, saúde,
telecomunicações
• Para contribuir para o fomento do nível de confiança dos cidadãos e empresas
• Para abrir portas para o crescimento da economia, já que protecção resulta em
confiança no investimento
• Para funcionar como factor atractivo para empresas multinacionais – impor a
garantia de níveis adequados de protecção permite que empresas de outros países
onde estas matérias são essenciais (por exemplo nos domínios da banca e saúde)
confiem no mercado e possam entrar com mais confiança em Angola
• Como sinal ao mercado e ao mundo de modernidade, equiparando-se aos países
mais avançados do mundo
PORQUÊ UMA POLÍTICA DE CIBERSEGURANÇA NOS VÁRIOS PAÍSES DA CPLP?
Declaração de Luanda de 28 de
novembro de 2014
“Ponderar o desenvolvimento de
uma estratégia de segurança da
informação , alicerçada nas
estruturas nacionais de
cibersegurança, considerando a
cooperação internacional”
17. Convenção de Budapeste (cibercrime)
9º Fórum das Comunicações da CPLP | Tiago Bessa 17
• Tratado internacional de 2001 (entrou em vigor em 2004)
• Tem como principal objetivo a regulação dos crimes informáticos através da
harmonização das legislações nacionais, da melhoria das técnicas de investigação e
aumento da cooperação entre diferentes países
• Assinatura aberta a países não europeus (EUA, Austrália, África do Sul e Cabo Verde). Mais
de 55 países signatários
18. União Africana
9º Fórum das Comunicações da CPLP | Tiago Bessa 18
Projecto de Convenção da União Africana
sobre a Adopção de um Quadro Jurídico sobre
a Cibersegurança em África
Objectivo
Contribuir para preservar as forças e os meios
organizacionais, humanos,
financeiros, tecnológicos e informacionais de
que as instituições dispõem
para realizar os seus objectivos
Natureza
Dispositivo jurídico destinado a criar o
quadro legal para os respectivos temas
Âmbito
1. Transacções electrónicas
2. Protecção dos dados pessoais
3. Cibersegurança
4. Cibercriminalidade
19. União Africana
9º Fórum das Comunicações da CPLP | Tiago Bessa 19
2. Protecção de dados pessoais
Compromisso de criação de um quadro legal de
protecção de dados
3. Promoção da Cibersegurança
Quadro nacional da cibersegurança
Criação de políticas nacionais de cibersegurança e de estratégias
nacionais de cibersegurança para implementar essa política
Sistema nacional de cibersegurança
Promoção de uma cultura de cibersegurança nos governos, empresas e
sociedade civil, com reforço das capacidades pela educação e formação
Estrutura nacional de seguimento da cibersegurança
Adopção de dispositivo institucional adequado para gerir a
cibersegurança (nomeadamente zelar e dar resposta aos incidentes e
alertas), clara atribuição de responsabilidades em matéria de
cibersegurança em todos os níveis do Governo e encorajamento do
sector privado, promovendo o seu envolvimento
Cooperação internacional
4. Luta contra a Cibercriminalidade
Legislação contra a cibercriminalidade
Criminalização de atos que afetem a confidencialidade, integridade,
disponibilidade e sobrevivência dos sistemas de informação e dos dados que
nestas circulam, adaptação crimes quando cometidos por meios
informáticos, regime prova digital, proteção das infraestruturas críticas
essenciais
Direito penal substancial
Acesso indevido a sistemas, sabotagem informática, dano informático,
falsificação informática, intercepção de dados de comunicação, conteúdos
ilícitos…
Criação de instituições competentes de combate à criminalidade
Cooperação internacional
Promoção da harmonização das medidas legislativas e/ou regulamentares,
encorajamento à assinatura de convenções de assistência judiciária
20. Directiva SRI/NIS (2016)
9º Fórum das Comunicações da CPLP | Tiago Bessa 20
Directiva
SRI
Um dos objectivos
principais da Agenda
Europeia para a
Segurança
Estabelece medidas de
segurança – técnicas e
organizativas das
redes e dos sistemas de
informação
Estabelece medidas de
segurança das redes e dos
sistemas de informação
que incluem os dados aí
armazenados
Estabelece regras de
notificação de
incidentes de segurança
– em estreita
cooperação com as
autoridade de proteção
de dados quando os
incidentes digam
respeito a dados
pessoais
Estabelece um regime
de cooperação
constante com as
autoridade de proteção
de dados quando os
incidentes digam
respeito a dados
pessoais
«Incidente», um
evento com um efeito
adverso real na
segurança das redes e
dos sistemas de
informação
Operadores de
infra-estruturas críticas
essenciais
Fornecedores de
serviços da sociedade
da informação
Administrações
Públicas
Operadores de Mercado
A Proposta de
Directiva SRI prevê
a obrigação de
notificação de
“incidentes”
Comunicado do Conselho de
Ministros de 15 de março de 2018
“7. Foi aprovada a proposta de lei que
estabelece o regime jurídico da segurança do
ciberespaço, transpondo a Diretiva (UE)
2016/1148, do Parlamento Europeu e do
Conselho, de 6 de julho de 2016.
Tendo em vista garantir um elevado nível
comum de segurança das redes e dos
sistemas de informação, o diploma consagra
a adoção, por parte dos Estados-membros,
de uma estratégia nacional de segurança das
redes e sistemas de informação.
São também adotados requisitos de
segurança e de notificação de incidentes
para os operadores de infraestruturas
críticas, para os operadores de serviços
essenciais, bem como para os prestadores de
serviços digitais.”
21. 9º Fórum das Comunicações da CPLP | Tiago Bessa 21
Singapura, Malásia e China desenvolveram
recentemente leis de privacidade e a primeira
camada de cibersegurança para garantir uma
melhor gestão, segurança e controlo de
informação
A Austráila actualizou, também em 2017, o
seu Privacy Act de 1988 e reforçou assim a
sua posição no Tier 1 em matéria de
cibersegurança.
A Tailândia, Hong Kong e Singapura também
têm empreendido esforços consideráveis no
sector da cibersegurança.
Timor aprovou em 15.02.2017 a Política
Nacional para as TIC, que prevê a necessidade
de desenvolvimento de uma estratégia de
cibersegurança
Iniciativas Relevantes
Promover a
Transparência
Aumentar
Awareness
Envolver os
vários
stakeholders
Eliminar as
várias falhas
que surjam
Para combater
as ameaças
devemos:
APAC (Ásia-Pacífico)
22. 4. FUTURO?
22
9º Fórum das Comunicações da CPLP | Tiago Bessa
“A Internet é uma das raras criações dos seres humanos que eles não compreendem verdadeiramente. (…)
É fonte de enormes benefícios e de malefícios potencialmente terríveis, e o seu impacto no cenário mundial
ainda mal se alcança”
- In “A Nova Era Digital” de Eric Schmidt e Jared Cohen (Google)
23. O que faz falta?
9º Fórum das Comunicações da CPLP | Tiago Bessa 23
Uma política de cooperação e uma
estratégia nacional para a
cibersegurança
Definição de planos de acção,
manual de procedimentos e
regulamentos empresariais internos
para a privacidade, protecção de
dados e cibersegurança
Enquadramento legal do cibercrime,
pela aprovação de uma Lei do
Cibercrime que inclua novos crimes
e meios processuais adequados
Implementação de programas de
compliance para verificar o
cumprimento das regras legais
Dispositivo institucional adequado
para gerir a cibersegurança, com
clara atribuição de papéis aos vários
interlocutores no contexto de crises
no ciberespaço
Aprovação de legislação concreta
sobre segurança de redes, resposta a
incidentes de segurança e proteção
de infraestruturas críticas
Promoção de uma cultura de
cibersegurança: padrão de
segurança física deve passar para
padrão de segurança digital
24. O que faz falta?
9º Fórum das Comunicações da CPLP | Tiago Bessa 24
Considerar a cibersegurança na
perspetiva das pessoas e não das
organizações
25. Muito obrigado pela atenção!
Tiago Bessa
Telefone: 21 311 3400
email: tcb@vda.pt
www.vda.pt
25
9º Fórum das Comunicações da CPLP | Tiago Bessa
Notas do Editor
Indústria 4.0 ou Quarta Revolução Industrial é uma expressão que engloba algumas tecnologias para automação e troca de dados e utiliza conceitos de Sistemas ciber-físicos, Internet das Coisas[1] e Computação em Nuvem.[2
A Primeira Revolução Industrial veio com a invenção das máquinas movidas a vapor. Nesse momento (1780 a 1830), a indústria em expansão era a têxtil de algodão. O trabalho era assalariado e o trabalhador qualificado era pago por peça. As ferrovias também foram um marco da época.
A Segunda Revolução Industrial, ocasionada pelo alto desenvolvimento industrial pós-guerra, introduziram a metalúrgica, a siderúrgica e a química como as novas ascendentes da indústria e trouxe consigo os novos métodos de produção.
Com a vinda da Terceira Revolução Industrial, a partir da década de 70, a demanda por tecnologia e mão de obra especializada foi vital. Nessa mesma época, surgiu no Japão o toyotismo que se estabeleceu como padrão mundial, com trabalho horizontalizado (com cooperação, co-participação e terceirização de serviços).
A computadorização, a biotecnologia, a microeletrônica, a informática viraram os pilares em que se baseia a produção. Essa evolução permitiu a flexibilização da produção e sua maior eficiência.
Quem são as pessoas digitais?
São titulares de dados pessoais, são a esse respeito detentoras de direitos e são os actores do mundo digital
Neste slide introduzir relacionamento entre conceitos: as pessoas digitais/digital persons são titulares de dados pessoais (ou seja, detentoras de informação de qualquer natureza que as identifique ou torne identificáveis – de acordo com a legislação relativa à Protecção de Dados)
O que leva à pegada digital - Cada pessoa/titular dos dados deixa a sua pegada no mundo digital através de vários elementos:
Internet of Things – está tudo ligado
Drones
Comércio electrónico
Veículos autónomos
Dados pessoais - informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular
«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
Internet of Things
OTT
Big Data
Mobile Money
Cloud Computing
Smart Cities
E-Governance
E-commerce
Países mais sujeitos a ataques.
Fonte – kaspersky https://kasperskycontenthub.com/securelist/files/2016/12/Kaspersky_Security_Bulletin_2016_Statistics_ENG.pdf