Em uma época em que as violações de computadores e roubos de dados estão se tornando cada vez mais frequentes e correm o risco de imobilizar as funções econômicas e sociais de um Estado, nosso país se equipou com um Agência para segurança cibernética nacional, com o objetivo de proteger os interesses nacionais no domínio da cibersegurança e da "resiliência dos serviços e funções essenciais do Estado às ameaças cibernéticas".
Tarefa principal: “Implementar as medidas necessárias à protecção contra ataques cibernéticos que, explorando quaisquer vulnerabilidades de hardware e software, possam causar o mau funcionamento ou a interrupção de funções essenciais do Estado e dos serviços de utilidade pública com graves repercussões para os cidadãos, empresas e administração pública”.
A agência deve, portanto:
- desenvolver capacidades nacionais de prevenção, monitoramento, detecção e mitigação para lidar com incidentes de segurança cibernética e ataques cibernéticos, também por meio da Equipe Italiana de Resposta a Incidentes de Segurança de Computadores (CSIRT);
- contribuir para o reforço da segurança dos sistemas de tecnologias da informação e comunicação (TIC) das disciplinas integradas no perímetro nacional de cibersegurança, administrações públicas, operadores de serviços essenciais (OSE) e prestadores de serviços digitais (FSD);
- apoiar o desenvolvimento de competências industriais, tecnológicas e científicas, promovendo projetos de inovação e desenvolvimento e, ao mesmo tempo, visando estimular o crescimento de uma força de trabalho nacional sólida na área da cibersegurança com vista à autonomia estratégica nacional no setor;
- assumir as funções de interlocutor nacional único para entidades públicas e privadas no domínio das medidas de segurança e actividades de fiscalização nas áreas do perímetro da cibersegurança nacional, segurança das redes e dos sistemas de informação (directiva NIS) e segurança das redes das comunicações electrónicas;
- participar de exercícios nacionais e internacionais de simulação de eventos cibernéticos com o objetivo de aumentar a resiliência do país.
Nesse sentido, para melhor esclarecer ideias sobre o assunto, artigo lúcido e muito pró-ativo sobre o assunto, publicado em ants.net, e elaborado por General de Pasquale Preziosa, ex-chefe deaeronáutica e hoje presidente de 'Observatório Permanente de Segurança Eurispes. São muitas as sugestões de temas a serem desenvolvidos para tentar dar segurança ao nosso país, mesmo que estejamos muito atrasados.
É assim que Preziosa resumiu sua contribuição: Após o lançamento da Agência Nacional de Segurança Cibernética, há pelo menos três aspectos a serem implementados para garantir a total resiliência ao país: regulatório, estrutural e em termos de reforço de controles.
A nova Agência Nacional de Segurança Cibernética, escreve precioso, teve sua primeira aparição institucional. A Agência não poderia fazer parte dos serviços secretos, cujo foco está principalmente nas crises regionais, ameaças à economia nacional, subversão e extremismo, a ameaça híbrida, o terrorismo jihadista, a imigração ilegal, o crime organizado, a ameaça cibernética e muito mais.
Infelizmente, nosso país continua em quinto lugar na Europa em número de ataques cibernéticos. Quando estiver totalmente operacional, a Agência completará a resiliência nacional já definida com o estabelecimento do perímetro cibernético de segurança nacional, com o objetivo declarado de aumentar a promoção da cultura da segurança cibernética, através de uma ampla autonomia regulatória, administrativa e patrimonial., organizacional, contábil e financeiro.
A criação da Agência não será a última mudança estrutural para a protecção cibernética do nosso país, pois será necessário reforçar com urgência o sector da prevenção cibernética que não é viável, neste momento, com o quadro regulamentar em vigor.
O domínio cibernético, juntamente com os demais domínios consolidados ao longo do tempo, está na base da competição estratégica em curso e representa a ferramenta indispensável para ser relevante na nova ordem mundial. É usado por organizações estatais e não estatais e é uma ferramenta difusa, silenciosa e quase desconhecida na parte profunda e escura, capaz de aumentar muito o desempenho no setor de aplicativos, além de destruí-lo. Como todos os domínios, ele precisa dos pilares organizacionais para operar, ou seja, política, estratégia e tática.
Se o objetivo da política é representado pela mitigação do risco de cibersegurança de uma instituição, a estratégia terá a tarefa de alinhar todos os meios disponíveis (regulatório, financeiro, instrumental e capital humano) para diminuir o risco de ataques cibernéticos que podem degradar o eficiência e eficácia da instituição. O ponto de partida em cada domínio é o conhecimento de quem está interessado em nós e com que fins e quais os meios possíveis, é o conhecimento que permite a melhor preparação dos meios de contraponto à ameaça cibernética.
Em outras palavras, devemos ter a chamada "consciência situacional (SA)" para nossa área de interesse de TI, atualizada a cada momento, ou sermos capazes de produzir análises de "Inteligência Cibernética", devemos ter a capacidade de prevenir um ciberespaço ataque, qualquer sabotagem lançada contra nossas capacidades de produção.
O mundo cibernético estatal não italiano já criou ferramentas ofensivas (bombas cibernéticas e armadilhas) para causar danos irreparáveis aos oponentes. A guerra cibernética já está em andamento tanto entre estados quanto na esfera privada. Não podemos controlá-lo apenas com o judiciário, cujas investigações já são muito complexas no campo real, mas no campo cibernético tornam-se impossíveis devido à dificuldade de "atribuição" do ataque sofrido.
Um ataque cibernético direcionado pode levar ao fracasso comercial. Se até as criptomoedas (um setor ainda não regulamentado) foram recentemente alvo de um grande sucesso no valor de 600 milhões de dólares (Poly Network), ninguém pode ser considerado imune à possibilidade de sofrer ataques cibernéticos. Sem uma sólida capacidade de prevenção do cibercrime e sem uma estrutura para verificar as vulnerabilidades das redes de computadores, os níveis de risco para a Nação serão muito elevados, com impactos importantes nos níveis de segurança nacional.
A inteligência cibernética não é exclusiva do domínio público; com a queda do muro de Berlim, ela se expandiu para o setor privado e é a base da competição industrial em andamento. A prevenção de ataques cibernéticos baseia-se na exploração cibernética e, eventualmente, no ataque cibernético, mesmo preventivo, atividades que devem ser previstas na legislação do Estado para os órgãos autorizados no setor específico. Muitos estados já autorizaram as funções acima mencionadas para seus próprios órgãos de segurança. Nosso país tem uma necessidade urgente de preencher essa lacuna regulatória que não permite que a inteligência cibernética exerça a função preventiva (de conhecimento) por meio da exploração cibernética, e isso explica em parte porque estamos em quinto lugar na Europa pela quantidade de ataques cibernéticos contra nossos país e devemos recorrer aos países aliados para saber a origem dos ataques.
No mundo cibernético devemos ter em mente que não existem barreiras éticas: todos espionam todos. Em termos de controles, muito já foi feito pela Agência para a Itália Digital, mas ainda não é suficiente. As medidas mínimas de segurança das TIC, embora organizadas em três níveis, baseiam-se principalmente na autocertificação dos organismos (módulo de implementação), infelizmente pouco eficazes. O Agid prevê ainda o ABSC 4 ou a avaliação e correção contínua da vulnerabilidade também através de Testes de Stress A adoção mais frequente de verificações por terceiros qualificados (White Hat) para os sistemas de TI pode dar maior confiança às capacidades de resiliência da rede.
Após o lançamento da Agência, de forma a atingir o mínimo de suficiência e alinharmo-nos com os restantes Estados europeus, há, portanto, pelo menos três aspectos a serem implementados: regulamentar, estrutural, ao nível da ciberinteligência e reforço da eficácia dos controlos.