A CpC: Iniciativa de Cidadãos pela Cibersegurança tem sérias e fundadas dúvidas se a remoção da ArvanCloud, empresa de tecnologia de censura do Irão, da lista de sanções não será interpretada como um sinal de fraqueza na defesa dos Direitos Humanos e da Liberdade de Opinião e do acesso livre à Internet no Irão por parte da União Europeia (UE). A ArvanCloud, com efeito, apoia activamente o aparelho de censura cibernética do regime desde, pelo menos, 2022.
A Arvan Cloud (também conhecida como Abr Arvan; Noyan Abr Arvan Co.; Arwan Company; Arvancloud) tinha sido sancionada logo em 2022 devido ao seu papel na censura da internet no Irão. A decisão de acabar agora com este regime sancionatório terá sido motivada por pressões diplomáticas iranianas e da Arvan Cloud e devido à sua proclamação (não confirmada) de que teria terminado o seu contrato com o Ministério das Comunicações e Tecnologia da Informação da República Islâmica. A empresa esteve na base da censura no Irão com bloqueio de dezenas de milhares de sites, juntamente com plataformas como Facebook, Twitter e YouTube e foi instrumental e indispensável na repressão do regime contra a sua própria população e terá servido igualmente para as várias campanhas de cibercrime de APTs iranianos contra interesses e empresas ocidentais. Dado que a repressão do regime e actividade dos APTs relacionados com o governo de Teerão não tem cessado de aumentar: é pouco crível que tenha terminado todo o relacionamento e dependência da ArvanCloud para com o regime teocrático de Teerão. Por outro lado, se a ArvanCloud controla 49% do mercado de Cloud no Irão e se continua alojando muitos dos sites mais importantes da República Islâmica, incluindo a Presidência, a agência de notícias IRNA e o Ministério da Orientação Islâmica continuam a existir razões para que a UE mantenha a empresa na lista de sanções.
Por esta razão a CpC apela a que a UE reconsidere e mantenha a ArvanCloud na lista de organizações sancionadas.
Enviada a todos os eurodeputados portugueses no Parlamento Europeu.
Sete homens chineses foram acusados de realizar uma extensa campanha de ciberataques “maliciosos” desde há, pelo menos, 14 anos. A China já rejeitou as acusações dos EUA e Reino Unido de estar por trás de uma operação estatal de hacking visando milhões de pessoas em países ocidentais e que tinham como alvo políticos, as suas famílias e muitos organismos estatais e empresas de distribuição de água e energia e acusou os EUA e outros países de realizarem seus próprios ataques cibernéticos contra Pequim. Tanto o Reino Unido quanto os EUA culpam uma unidade cibernética estatal chinesa (o “APT31”) pelos ataques. O Reino Unido anunciou sanções contra dois indivíduos e uma empresa chineses, congelando os seus activos e impondo uma proibição de viagem.
O Reino Unido relatou ainda um ataque muito significativo à Comissão Eleitoral mas afirmou que a segurança das eleições não chegou a ser comprometida. Tanto o Reino Unido quanto os EUA prometeram continuar expor as actividades hostis contínuas de Pequim. Contudo, da União Europeia e, em particular, de Portugal que estão à beira de eleições europeias, nada de ouviu. Ou nenhum país europeu é alvo destas organizações chinesas (o que é altamente improvável) ou a Europa e Portugal estão a optar por não reagirem a estas agressões e intrusões.
Seria assim desejável que:
1. Sejam removidos todos os mails de todos os sites do Governo, CNE, órgãos do Estado, Assembleia da República (formulários de contactos com os deputados) e que todos os contactos com os cidadãos sejam feitos a partir de uma lista pré-determinada de domínios de mails de entidades “confiáveis” e converter estas comunicações em preenchimento de formulários onde a adição de anexos potencialmente perigosos ou a presença de URLs (http ou https) é proibida. As respostas dos cidadãos devem ser feitas através de um link presente em cada mensagem e não através da troca de mails por forma a não usar essa importante via de penetração nas redes.
2. Tanto o Parlamento Português quanto o Parlamento Europeu poderiam convocar audiências públicas para discutir as acusações de ciberataques atribuídas à China. Essas audiências permitiriam que especialistas em segurança cibernética, representantes do governo e membros da sociedade civil compartilhassem informações e perspectivas sobre a situação, possibilitando uma compreensão mais abrangente do impacto dos ataques e das medidas necessárias para enfrentar essa questão.
3. Os parlamentos português e europeu poderiam considerar a formação de uma comissão de investigação conjunta para examinar detalhadamente as alegações de ciberataques atribuídas à China. Essa investigação poderia incluir análises forenses de sistemas comprometidos, entrevistas com especialistas em segurança cibernética e cooperação com autoridades internacionais para reunir evidências adicionais. Os resultados dessa investigação poderiam ser usados para informar futuras políticas e ações contra o ciberataque.
4. Os parlamentos poderiam pressionar os governos português e europeu para coordenarem a adopção de sanções contra entidades chinesas e indivíduos envolvidos nestas actividades maliciosas. Estas sanções poderiam incluir restrições financeiras, proibições de viagens e outras medidas destinadas a responsabilizar os perpetradores e dissuadir futuros ataques cibernéticos.
5. Os parlamentos poderiam trabalhar em conjunto com os governos e o sector privado para fortalecer as capacidades de segurança cibernética em Portugal e, em geral, em todos os países da União Europeia. Isto poderia envolver investimentos adicionais em tecnologias de segurança, programas de conscientização cibernética e cooperação internacional para compartilhar informações e melhores práticas.
6. Os parlamentos poderiam instar os governos português e a Comissão Europeia a procurarem abordagens diplomáticas multilaterais para lidar com o problema dos ciberataques patrocinados pelo Estado chinês. Isto poderia incluir a promoção de normas internacionais de comportamento responsável no ciberespaço, a participação em fóruns de cooperação cibernética e o compromisso com parceiros internacionais para o desenvolvimento de respostas conjuntas aos desafios cibernéticos da actualidade.
Estas propostas visam propor uma acção coordenada e robusta para enfrentar os ciberataques atribuídos à China, protegendo os interesses de Portugal, da União Europeia e da comunidade internacional como um todo.
Enviada às Câmaras Municipais, Governo da República e aos partidos políticos portugueses com assento parlamentar.
“A CpC propõe que a ANACOM trabalhe no mesmo sentido e que proponha ao Parlamento a elaboração de alterações legislativas que determinem que os operadores das redes móveis: 1. Desenvolvam um sistema único de padrões de autenticação de identificação para o envio de mensagens SMS. 2. Seja criado um número único para onde possam ser encaminhadas todas as mensagens de SMS e chamadas de spam por forma a alimentar uma lista nacional de barramento de chamadas não autorizadas (de adesão voluntária por parte dos consumidores). 3. Sejam bloqueados todos os números de telefone inválidos, não alocados ou não utilizados, além daqueles em lista não originária (DNO). Para além das muitas horas perdidas em chamadas e mensagens deste tipo estes SMS são também um veículo de disseminação de malware e de burlas como a Olá Pai / Olá Mãe com dezenas de milhar de vítimas em Portugal e vários milhões de euros perdidos (sem recuperação possível) para as redes de burlões.” https://cidadaospelaciberseguranca.com/2024/01/02/combatendo-o-sms-de-spam-propostas-e-desafios-em-portugal-para-proteger-os-consumidores/
“É preciso resolver as lacunas que permitem a operação destes criminosos: 1. Se as empresas que vendem referências multibanco forem associadas a um grande surto de actividade criminosa devem ter a sua licença no Banco de Portugal suspensa até que a sua segurança interna seja reforçada. Embora muitas destas entidades (como a 21800 com sede na Holanda) estejam a vender serviços a burlões desde 2017 continuam a ter licença como operador financeiro no BdP. 2. A SIBS (Multibanco) deve mostrar nas ATMs o nome da entidade que gera as referências e o beneficiário final do pagamento. Se a entidade estiver associada a burlas esse alerta deve surgir na ATM. É o caso das 21800, 21312, 11249, 11893, 10241, 10611, 12167 ou 11893.” https://peticaopublica.com/pview.aspx?pi=referenciasMB
“Recomendação CpC – Iniciativa dos Cidadãos para a Cibersegurança ao Governo central e às autarquias locais portuguesas: 1. Reiteramos a necessidade de que todos os equipamentos (computadores, tablets e smartphones) entregues para uso profissional a colaboradores e representantes eleitos do Estado central e das autarquias locais tenham software de antivirus e um sistema de MDM: “Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis): Usando, por exemplo, o Microsoft Intune – uma solução de gestão de dispositivos móveis (MDM) que permite gerir dispositivos móveis – teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos”: sendo que, assim sendo, a esta lista se deveria somar o TikTok, o WeChat e todo o software da Kaspersky. No Portal Base da contratação pública apenas o “Centro de Formação Profissional da Indústria Têxtil, Vestuário, Confecção e Lanifícios (Modatex)” e a “Fundação Casa da Música ” parecem ter adquirido este tipo de serviços MDM de gestão centralizada de equipamentos (não sendo claro se estão a ser usados para bloquearem aplicações deste tipo). 2. Todas as autarquias e hospitais públicos que adquiriram software da Kaspersky devem terminar imediatamente esses contratos e substituir este fornecedor” https://cidadaospelaciberseguranca.com/2023/11/02/proibicao-de-aplicacoes-wechat-e-kaspersky-pelo-governo-do-canada-desafios-de-seguranca-cibernetica-e-recomendacoes-para-portugal/
“O Parlamento Europeu também poderá replicar o “No Fakes Act” dos EUA e e que visa proteger actores e artistas do uso não autorizado da sua imagem por IA e produzir uma directiva que leve os países membros a penalizar todos os que utilizem as vozes de terceiros – designadamente por agentes políticos em contexto de eventos eleitorais – de forma fraudulenta no contexto europeu para criarem audios deepfake.” https://cidadaospelaciberseguranca.com/2023/10/17/prevenir-os-audio-deepfake-conselhos-e-propostas/
“1. Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis): Usando, por exemplo, o Microsoft Intune – uma solução de gestão de dispositivos móveis (MDM) que permite controlar e gerir dispositivos – teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos. 2. Os telemóveis do Estado não têm sistemas de backup a funcionar: Como no ponto anterior, o uso da mesma ferramenta Microsoft Intune permitiria também realizar “Remote Wipe” para apagar remotamente os dados de um dispositivo perdido ou roubado, bem como recursos de backup e recuperação para garantir a segurança dos dados aqui conservados. 3. Existem comunicações sensíveis e de Estado a circular e a serem tomadas em redes sociais externas e sob controlo de potencias estrangeiras (WhatsApp): A instalação destas aplicações pode e devia ser barrada centralmente e de forma centralizada por MDM. Quanto a estas comunicações já tínhamos sugerido em que a. Que todos os políticos em funções electivas usem apenas telemóveis de Estado: com uma lista autorizada pré-determinada de aplicações e que excluem aplicações de encriptação ponto a ponto que dependem de estruturas ou organizações estrangeiras. b. Que seja criminalizado o uso de software de comunicações que não tenham encriptação de mensagens ponto-a-ponto, cujos servidores ou chaves estejam fora do controlo direto do governo, União Europeia ou da autarquia local onde são exercidas as funções electivas. c. Deve existir um sistema de comunicações nacional, seguro e de acesso reservado a políticos eleitos para instituições europeias, governo e parlamento da República e autarquias locais. Este sistema deve estar fora do alcance de empresas e potências estrangeiras e garantir o acesso aos historiadores do futuro assim como a investigações judiciais. Sugerimos que esta aplicação seja desenvolvida e mantida no contexto das instituições europeias. d. Que seja criminalmente responsabilizado quem efetuar comunicações de dados sensíveis ou instalar software em equipamentos do Estado Português susceptível de colocar em causa a segurança do equipamento. e. Que seja criado um arquivo de comunicação digital, com o objectivo de preservar as decisões realizadas entre governantes e políticos, de forma a um dia poderem ser consultadas pelo público e mantendo assim a capacidade de académicos e historiadores no futuro conhecerem a realidade de hoje.” Estas propostas foram enviadas a 24 de Abril a todos os grupos parlamentares na Assembleia da República, Câmaras Municipais (presidentes de executivo) e ao Ministério da Administração Interna: não recebemos nem sequer um aviso de recepção ou leitura. 4. Não existe (ou não foi aplicado) um procedimento formal de desligamento/apagamento de um utilizador que abandona a organização que incluísse a negação de acesso centralizada de acessos (conseguiu usar o cartão para entrar na garagem) nem permitisse o esquecimento da recolha imediata do telemóvel juntamente com o computador. 5. O laptop de Frederico Pinheiro estava em modo “standalone”: Isto é, não pertencia à estrutura de identidade, autenticação e gestão remota do Ministério (Active Directory), algo que deveria ser absolutamente proíbido e viola qualquer boa prática de segurança organizacional. 6. Frederico Pinheiro era administrador local do equipamento: Ora existem várias razões pelas quais um utilizador não deva ser um administrador local em um computador: Segurança: Ao conceder privilégios de administrador a um utilizador, este terá acesso total ao sistema operativo e poderá fazer alterações críticas, como instalar/remover software, modificar configurações de segurança e até mesmo apagar ficheiros essenciais. Isso aumenta o risco de comprometimento do sistema por malware, vírus ou outras ameaças cibernéticas especialmente em equipamentos – como o caso – com dados sensíveis para o interessa da República. Estabilidade do sistema: Um utilizador com privilégios de administrador pode inadvertidamente fazer alterações que afetem a estabilidade do sistema ou de outras aplicações. Isso pode levar a falhas, bloqueios e problemas de desempenho. Erros humanos: Mesmo que um utilizador seja experiente, erros podem acontecer. Um clique errado ou uma ação equívoca quando se é administrador pode ter consequências graves, como excluir arquivos importantes ou modificar configurações críticas sem intenção. Políticas de segurança: Em ambientes organizacionais, é comum aplicar políticas de segurança rígidas para proteger informações confidenciais. Ao limitar os privilégios dos utilizadores, o ministério poderia ter reduzido o risco de perda de dados e garantir a conformidade com as regulamentações de proteção de informações em vigor. Geralmente, restringir os privilégios de administrador para os utilizadores finais dos equipamentos é uma prática recomendada para manter a segurança, a estabilidade e a integridade do sistema operativo e dos dados armazenados. Os utilizadores devem ter apenas as permissões necessárias para realizar suas tarefas diárias, enquanto os privilégios de administrador devem ser reservados para administradores de sistemas informáticos. 7. Um laptop com dados sensíveis, confidenciais e estratégicos para a República não tinha o disco encriptado: Essa opção é gratuita e está disponível em todos os equipamentos MacOS, Windows e Linux. No Windows trata-se da “BitLocker Device Encryption in Windows” e quando é iniciada permita a gravação e conservação externa e em local seguro das chaves para eventual futura recuperação do acesso em caso de necessidade de acesso por parte das autoridades judiciais ou da hierarquia do ministério. 8. O laptop permitia a ligação de Storage Devices USB externos: Os quais usou várias vezes para copiar ficheiros importantes e que estavam no equipamento. Este uso pode ser bloqueado por Group Policy se o computador estiver ligado a uma Active Directory (não estava) e é igualmente possível enviar um mail alertando o utilizador para essa tentativa de uso em contrário aos procedimentos em vigor. 9. O laptop estava em modo “standalone”: isto é: não pertencia ao Domain AD do Ministério (?) e, logo, não podia receber um conjunto centralizado de políticas e configurações: Teria sido possível impedir que o equipamento tivesse em disco cópias únicas (assim o disse a Chefe de Gabinete) de determinadas extensões (.pdf, .docx, .xlsx) obrigando à sua presença única em shares de rede sob controlo do Ministério. 10. O laptop permitia a existência de cache profiles e, logo, permitia o logon sem o prévio estabelecimento de VPN para com a rede do Estado: Isto pode ser forçado centralmente através de uma Group Policy de Active Directory ou, se o computador não estiver em AD é possível também desligar estes logins com uma alteração de registry mas esta pode ser desfeita se o utilizador for um administrador local como parecia ser o caso de Frederico Pinheiro. 11. O laptop não tinha um sistema de AV ou MDM que permitisse o shutdown remoto/remote wipe ou lock em caso de perda de controlo nem a geolocalização do equipamento em caso de perda ou furto: Isto mesmo – por exemplo – é fornecido pela solução Panda de Antivírus e por outras soluções de MDM tais como AirDroid Business é um software de limpeza remota MDM compatível com dispositivos Android, iOS, Windows e macOS. Executa apagamentos remotos, bloqueia écrans e arquivos do dispositivo, força redefinições de senha e redefine automaticamente um dispositivo de fábrica. O Apple Business Manager que é uma plataforma baseada na web que faz apagamentos remotos de dispositivos iOS, iPadOS e macOS. Os arquivos ainda podem ser recuperados até 30 dias após a limpeza. O Google Workspace que permite que os administradores de TI dessas organizações limpem remotamente os dispositivos ou o Knox Manage, uma ferramenta semelhante para dispositivos Samsung que também possui uma opção de restauração e pode rastrear dispositivos perdidos. 12. Foram feitas impressões de documentos confidenciais: É possível impedir a impressão deste tipo de documentos sensíveis com políticas de segurança adequadas e usando, por exemplo, as etiquetas de confidencialidade do Office 365 (Microsoft Purview). Isto permitiria – se estas etiquetas tivessem sido usadas – encriptar e-mails, convites para reuniões e documentos para impedir que pessoas não autorizadas acedam a estes dados, usar marcas de água em documentos confidenciais dinâmicas e geridas centralmente. Por Group Policy – se o computador fosse parte de uma AD e já sabemos que não o era – teria sido possível impedir a impressão de documentos confidenciais ou de outro tipo. 13. Terá sido possível enviar documentos de trabalho para mails pessoais: É possível bloquear através de policies de restrição de mail o envio de documentos/anexos de mail para endereços de mail pessoais (gmail, hotmail, mail.com, etc).” https://cidadaospelaciberseguranca.com/2023/07/19/apresentada-a-ar-por-mais-ciberseguranca-nos-equipamentos-dos-gabinetes-dos-ministerios-e-dos-presidentes-de-camara-municipal/
“Há três principais razões pelas quais não deveriam existir comunicações envolvendo decisões ou dinheiros públicos em meios electrónicos não oficiais: 1. Segurança Sugerimos que todas as comunicações de Estado em meios que estão ao alcance de potências estrangeiras como o caso do Facebook e WhatsApp sejam feitas por canais seguros e não através de plataformas de redes sociais. 2. Justiça As decisões de aprovação com impactos financeiros devem estar sempre lavradas em atas oficiais. Sugerimos a ponderação de uma alteração legislativa que determine – por força de lei – que estas decisões não possam ser realizadas via redes sociais. Se há decisões que envolvem dinheiro dos impostos, sejam elas o pagamento de indemnizações a gestores da TAP, os preços de vacinas da Pfizer ou decisões de governo ao nível municipal, todas estas mensagens podem servir de forma de prova da inocência ou culpa em investigações judiciais. Colocar estas mensagens em meios cifrados como o iMessage (Apple), Telegram, Signal ou outros menos conhecidos como o Tox ou o Jami pode ser assim uma forma de um criminoso se furtar à investigação ou de impedir que um inocente veja provada a sua inocência. Por princípio e regra qualquer comunicação que envolva dinheiros públicos deve ficar ao alcance de investigações judiciais,. 3. História Actualmente os historiadores conseguem realizar o seu trabalho – essencial para a formação de uma cultura e preservação de uma identidade nacional – através de estudos e leituras nos arquivos. Daqui a 20, se todas ou se a maioria das comunicações dos nossos governantes tiverem sido feitas em plataformas no estrangeiro e associadas a perfis pessoais nestas plataformas, em equipamentos pessoais (sem cópias de segurança) ou forem feitas de forma cifrada, que material terão para trabalhar estes historiadores do futuro? O que propomos: 1. Que todos os políticos em funções electivas usem apenas telemóveis de Estado: com uma lista autorizada pré-determinada de aplicações e que excluem aplicações de encriptação ponto a ponto que dependem de estruturas ou organizações estrangeiras. 2. Que seja criminalizado o uso de software de comunicações que não tenham encriptação de mensagens ponto-a-ponto, cujos servidores ou chaves estejam fora do controlo direto do governo, União Europeia ou da autarquia local onde são exercidas as funções electivas. 3. Deve existir um sistema de comunicações nacional, seguro e de acesso reservado a políticos eleitos para instituições europeias, governo e parlamento da República e autarquias locais. Este sistema deve estar fora do alcance de empresas e potências estrangeiras e garantir o acesso aos historiadores do futuro assim como a investigações judiciais. Sugerimos que esta aplicação seja desenvolvida e mantida no contexto das instituições europeias. 4. Que seja criminalmente responsabilizado quem efetuar comunicações de dados sensíveis ou instalar software em equipamentos do Estado Português susceptível de colocar em causa a segurança do equipamento. 5. Que seja criado um arquivo de comunicação digital, com o objectivo de preservar as decisões realizadas entre governantes e políticos, de forma a um dia poderem ser consultadas pelo público e mantendo assim a capacidade de académicos e historiadores no futuro conhecerem a realidade de hoje. “ https://cidadaospelaciberseguranca.com/2023/04/24/comunicacoes-em-meios-electronicos-usados-por-politicos-ciberseguranca-justica-material-de-prova-e-historia-acessibilidade-a-arquivistas/
O uso de um sistema de autenticação por múltiplos factores (MFA) em ATMs (caixas eletrónicos) é de extrema importância para aumentar a segurança das operações realizadas. Actualmente, basta conhecer 4 dígitos, em sequência, para ter acesso às operações bancárias numa qualquer ATM do país. Se esse tipo de segurança existisse, por exemplo, nos nossos computadores e contas teríamos muitas mais intrusões. De facto, um nível tão básico e mínimo de segurança é hoje inaceitável em qualquer sistema moderno de autenticação. Contudo, é aquele que – em pleno século XXI – ainda temos nas ATMs da SIBS.
A adição de uma camada adicional de autenticação nas operações na rede de Multibanco gerida pela SIBS permitiria: 1. que se o PIN fosse comprometido (por exemplo através de furto) o criminoso precisaria de usar outro factor de autenticação (como um token gerado, um dispositivo de autenticação, um pin enviado por SMS para um telemóvel ou biometria) para aceder à conta e realizar transacções. 2. um sistema de MFA reduziria de forma muito significativa os riscos de acesso não autorizado, dado que um invasor teria que ultrapassar vários obstáculos de segurança para realizar as suas actividades fraudulentas. 3. A autenticação por múltiplos fatores dificultaria a eficácia dos ataques de engenharia social formando assim uma barreira adicional que daria mais tempo para que a vítima se apercebesse da situação e fosse capaz de reagir. 4. Sobretudo, a autenticação de múltiplos factores dificultaria os ataques de força bruta, nos quais um invasor tenta adivinhar a senha através de tentativas repetidas. Mesmo se a senha for descoberta, o segundo fator impede o acesso. A hipótese parece remota mas um pin de apenas 4 dígitos pode ser acertado em 9999 vezes algo que é – hoje em dia – totalmente inaceitável em qualquer sistema de autenticação moderno.
Em suma: um sistema de autenticação de múltiplos factores nos ATMs da rede da SIBS é vital para mitigar os actuais riscos de segurança e proteger as informações financeiras dos utilizadores. Criaria uma barreira adicional que tornaria mais difícil para os invasores comprometerem as contas dos utilizadores e realizarem as suas actividades fraudulentas.
Os peticionários acreditam que proibir o pagamento de ransomware por lei pode ser uma estratégia eficaz para combater este tipo de crime cibernético: 1. Incentivo à criminalidade: Permitir o pagamento de resgates encoraja os criminosos a continuarem com as suas actividades. Se as organizações (públicas e privadas) continuarem a pagar, isso só aumentará a incidência de ataques de ransomware. 2. Financiamento de atividades ilícitas: O pagamento de resgates pode financiar outras formas de crime organizado, incluindo o tráfico de drogas, tráfico humano e terrorismo e, naturalmente, as próximas campanhas de ransomware. Ao proibir esses pagamentos, limitamos efectivamente a capacidade dos criminosos de financiar as suas actividades. 3. Não há garantia de recuperação dos dados: Mesmo que o resgate seja pago, não há garantia de que os dados serão restaurados. São muito numerosos os casos que demostraram que os criminosos não cumpriram suas promessas após a vítima ter feito o pagamento. 4. Impacto económico: O pagamento de resgates tem um custo significativo para as organizações afectadas. Além do resgate em si, há custos associados à interrupção dos negócios, imagem pública e credibilidade junto de clientes e fornecedores, recuperação de dados e reparo de sistemas comprometidos. Proibir os pagamentos pode reduzir esses custos. 5. Fomento à preparação e segurança cibernética: Ao proibir os pagamentos de resgate, as organizações são incentivadas a investir em medidas proativas de segurança cibernética, como backups regulares, sistemas de detecção de intrusões e treinamento de funcionários em conscientização sobre segurança. 6. Cooperação internacional: Proibir o pagamento de resgate pode facilitar a cooperação internacional na investigação e aplicação da lei contra os perpetradores de ransomware. Isto pode levar a uma maior eficácia na identificação e punição dos responsáveis.
Esses argumentos demonstram como proibir o pagamento de resgates pode ser uma estratégia fundamental na luta contra o crime cibernético e na proteção das organizações e da sociedade como um todo.
Por esta razão os peticionários apelam a que a Assembleia da República legisle no sentido de proibir e incorpore coimas pesadas a todas as organizações públicas e privadas que realizem o pagamento de resgates em operações de ransomware.
Recentemente uma petição que fizemos ao Parlamento Europeu e em que se pedia que “A União Europeia deve regular o Reconhecimento Facial por Inteligência Artificial” viu recusado o “seguimento” porque foi também dirigida à Comissão uma pergunta parlamentar com pedido de resposta escrita sobre a utilização enganosa e fracturante da IA na comunicação política (E-003421/2023): https://www.europarl.europa.eu/doceo/document/E-9-2023-003421_EN.html
Desde 2022 que o Parlamento tem debatido esta questão:
2. Estudo do EPRS, o Serviço de Estudos do Parlamento Europeu: um órgão interno do Parlamento Europeu, responsável por fornecer análises e investigações independentes, objetivas e fundamentadas aos deputados e comissões parlamentares sobre questões políticas relacionadas à UE e que, a julho de 2021, elaborou o “Tackling deep fakes in Europeanpolicy” [Combate à falsificação profunda na política europeia: https://www.europarl.europa.eu/thinktank/pt/document/EPRS_STU(2021)690039), que identificou cinco aspectos do ciclo de vida das falsificações profundas que os decisores políticos podem ter em conta para prevenir e combater os impactos negativos das falsificações profundas.
“União Europeia deve regular o Reconhecimento Facial por Inteligência Artificial: Quando sabemos que a China se está a tornar numa gigantesca “sociedade de vigilância”, a uma escala que nunca houve na História da Humanidade e que, pela primeira vez, pode criar condições para a eternização de um regime ditatorial através da omnivigilância e da contenção/anulação de qualquer desafio ao poder e que o reconhecimento facial (usando tecnologias de Inteligência Artificial) joga nesta tenebrosa equação um papel central as democracias liberais têm que colocar um pé adiante e defenderem-se contra as portas que este tipo de tecnologia abre. Numa abordagem mais superficial a tecnologia de reconhecimento facial, com incorporação de Inteligência Artificial, em sistemas de videovigilância parece algo de relativamente inócuo. Mas não é assim: se permitirmos que estes sistemas se espalhem pelas nossas cidades não estamos a falar de um sistema de CCTV que pode ser usado pelas autoridades para reagirem rapidamente a uma situação de insegurança na via pública (que defendo) mas de algo que pode ser facilmente apropriado pelos Serviços de Informações (cuja monitorização, mesmo em democracia, é sempre imperfeita) ou, pior, pelas megaempresas que agora estão omnipresentes em praticamente tudo o que fazemos (porque fazemos, praticamente tudo, com os nossos smartphones fabricados por elas). Neste sentido, a decisão recente da cidade de Brookline, no Massachusetts (EUA) de se tornar a quinta cidade dos Estados Unidos a proibir o uso de sistemas de vigilância facial no seu território. Este tipo de iniciativas legislativas são possíveis num país como os EUA dado o seu grande nível de descentralização mas também porque não existe, ainda, legislação federal a regular esta matéria. Na Europa não existe ainda uma iniciativa regulatória que proíba os Estados membros mas a ameaça é cadente à medida que Estados e Empresas estão a compilar – sem o conhecimento dos cidadãos – dados de reconhecimento facial. Estas bases de dados (algumas assentes fora da Europa) ameaçam a privacidade dos cidadãos europeus e – caso sejam comprometidas – podem colocar em mãos indesejáveis dados sensíveis. No Reino Unido, na Suécia e na Hungria decorrem neste momento projectos de reconhecimento facial a partir de câmaras CCTV instaladas na rua com o objectivo de identificarem “criminosos” e “terroristas” com o auxílio de bases de dados de rostos e de tecnologia de Inteligência Artificial. É preciso que a União Europeia desenvolva uma resposta que: 1. Regule todos os sistemas de reconhecimento facial automático indicando de forma clara e visível os locais onde esses sistemas estão em utilização. 2. Que os cidadãos não sejam sujeitos a processos de seguimento ou perfilamento emocional ou geolocalização e que estes dados não sejam conservados e usados sem o seu expresso consentimento. 3. É necessário incorporar este tipo de regulação na abordagem de regulação da Inteligência Artificial que a nova Comissão Europeia colocou na agenda para os seus primeiros cem dias de mandato.”
Recentemente, e depois de constatar que – numa das contas facebook usadas pela CpC surgia o vestígio de uma tracking cookie de uma visita ao site do Partido Livre instalámos a Extensão ao Google Chrome https://privacybadger.org sendo que em todos os partidos políticos com assento parlamentar (com uma excepção) encontrámos tracking cookies bloqueadas pela extensão de privacidade da EFF marcadas como “red” em que esta extensão bloqueia completamente.
A EFF é a sigla da “Electronic Frontier Foundation” (Fundação Fronteira Electrónica”. Trata-se de uma organização sem fins lucrativos com sede em San Francisco, Califórnia, com o objectivo de proteger os direitos civis relacionados à liberdade de expressão, no contexto da mundo digital.
Encontrámos também várias outras “tracking cookies” marcadas a amarelo indicam que o domínio de terceiros do site do partido político parece estar a tentar rastreá-lo, mas parecem ser necessários para o normal funcionamento do site. Nesse caso, o Privacy Badger carregará conteúdo do domínio, mas tentará filtrar cookies e referências de terceiros.
Concordamos com a EFF quando esta escreve nas FAQs da Extensão que esta forma de rastrear os utilizadores (neste casos: eleitores) é a “mais escandalosa, intrusiva e censurável de rastreamento online” dado que é .- muitas vezes – conduzida por empresas das quais muitas vezes nunca antes ouviu falar e com as quais não tem nenhum relacionamento”.
Se desejar evitar este rastreamento instale a extensão.
Com mais tracking cookies encontrámos, por ordem: PCP com 15, Livre com 13 e Chega com 12. Com menos encontrámos a Bloco de Esquerda (2), a Iniciativa Liberal (3) e o PAN (8).
Em quantidades de Tracking Cookies bloqueadas pela extensão https://privacybadger.org tivemos na liderança o PCP (15), seguido de Livre (5) e PSD e Chega ambos com 4.
Em termos de percentagem de cookies bloqueadas, contudo, a lista foi diferente com 50% na IL, 46,6% no PCP e 40% no site do PSD.
Na opinião da Iniciativa Cidadãos pela Cibersegurança a presença de tracking cookies de plataformas como Facebook, YouTube ou Telegram no um site de um partido político pode ser considerada questionável porque:
1. Privacidade: A presença de tracking cookies permite que estas plataformas recolham dados de navegação dos cidadãos enquanto estão no site do partido. Isso levanta preocupações sobre a privacidade dos cidadãos-eleitores, uma vez que as suas actividades online podem ser rastreadas e utilizadas para fins publicitários ou para criar perfis de comportamento como aqueles que em 2014 a Cambridge Analytica se gabava de ter (“5 mil data points para cada eleitor dos EUA”).
2. Neutralidade e Transparência: Os Partidos políticos deviam ter uma presença online transparente. A presença de tracking cookies de plataformas externas pode levantar questões sobre o seu uso para segmentar eleitores com mensagens específicas em futuras ou eventuais campanhas de marketing político.
3. Integridade Eleitoral: O uso de tracking cookies pode suscitar preocupações sobre a integridade do processo eleitoral. Se os dados dos visitantes do site forem usados para influenciar estrategicamente a propaganda política nas plataformas externas, isto pode levantar questões sobre manipulação e interferência nas eleições.
4. Segurança: A presença de tracking cookies de terceiros pode representar um risco de segurança cibernética para o site do partido político. Cookies maliciosas podem ser explorados por terceiros para ataques, comprometendo a segurança do site e dos dados dos seus utilizadores. Nenhuma destas, felizmente, foi encontrada em nenhum site de um destes partidos.
Em suma, a exclusão de tracking cookies de plataformas externas do site de um partido político deve ser vista como uma medida para preservar a privacidade, promover a transparência e manter a integridade do processo político e eleitoral.
Recomendação enviada a todos os partidos com assento parlamentar.
O programa eleitoral do Partido Chega aborda diversas propostas nas áreas de conhecimento e inovação, educação tecnológica, segurança cibernética, defesa nacional e revitalização das indústrias de defesa. Algumas destas propostas incluem:
1. Apoio à Procura de Conhecimento e Inovação: O Partido Chega destaca a importância de Portugal apoiar fortemente a procura de conhecimento e inovação em áreas cruciais como cibersegurança, computação quântica, inteligência artificial, blockchain, robótica e nanotecnologia. Enfatiza a necessidade de competir globalmente nesses setores.
2. Educação Tecnológica desde o Ensino Primário: Propõe a aposta na educação tecnológica desde o ensino primário, introduzindo cursos de economia digital, cibersegurança, inteligência artificial, programação e blockchain. Sugere melhorias no ensino do inglês e o aumento gradual da complexidade ao longo do percurso académico.
3. Investimento em Tecnologia e Segurança Cibernética: Destaca a importância de investir em tecnologia e segurança cibernética para proteger os dados pessoais e sensíveis dos cidadãos, mantendo a confiança na administração pública e garantindo a integridade dos sistemas digitais.
4. Reforma da Defesa Nacional e das Forças Armadas: Diante das ciberameaças e da crescente dependência das tecnologias digitais, o partido propõe uma reforma da Defesa Nacional e das Forças Armadas. Destaca a importância de uma visão estratégica global e uma gestão política e técnica diferenciada.
5. Revitalização das Indústrias de Defesa: Propõe a revitalização das Indústrias de Defesa, promovendo as indústrias de ponta, especialmente nas áreas aeronáutica e cibernética.
O Partido Chega enfatiza a necessidade de Portugal se posicionar como um líder em setores tecnológicos emergentes e destaca a importância estratégica da cibersegurança e da inovação digital. Propõe medidas para alcançar esse objetivo, começando pela educação tecnológica desde o ensino primário.
No programa há apostas na segurança cibernética, investimentos em tecnologia, e a proposta de uma reforma na Defesa Nacional e nas Forças Armadas refletem uma preocupação com a crescente relevância das ameaças digitais na esfera internacional. A revitalização das Indústrias de Defesa é apresentada como uma estratégia para impulsionar a economia e a inovação em setores críticos.
O programa destaca a importância de garantir a confiança dos cidadãos na administração pública, ressaltando a integridade dos sistemas digitais e a proteção dos dados pessoais. A visão do partido busca, portanto, alinhar o progresso tecnológico com a segurança e a soberania do país.
O programa eleitoral do Partido Pessoas-Animais-Natureza (PAN) aborda várias propostas relacionadas com a modernização e segurança digital, cibersegurança, proteção de dados e combate à corrupção. Algumas das principais propostas incluem:
1. Privacidade e Segurança na Administração Pública: Propõe o uso de ferramentas e sistemas informáticos na Administração Pública que garantam altos padrões de privacidade e segurança. Destaca a importância da acessibilidade web para todos os utilizadores.
2. Investimento em Infraestrutura Própria: Sugere reforçar o investimento do Estado em infraestrutura própria, evitando armazenar informações em servidores estrangeiros ou fornecedores que não assegurem a confidencialidade da informação.
3. Reforço dos Meios do Centro Nacional de Cibersegurança (CNCS): Propõe o reforço dos meios do CNCS para monitorizar ameaças e proteger os sistemas informáticos do Estado, instituições públicas, infraestruturas de comunicação e sistemas críticos em território nacional.
4. Software Livre e Código Público: Propõe avaliar a migração de software de entidades públicas para software livre, com o código-fonte público. Destaca a necessidade de exceções justificadas e o compromisso de tornar público o código do software desenvolvido ou financiado pelo Estado.
5. Combate à Corrupção e Criminalidade Económico-Financeira: Propõe reforçar os meios humanos para o combate à corrupção, fraude e criminalidade económico-financeira em entidades como a Procuradoria-Geral da República, o Departamento Central de Investigação e Ação Penal, e unidades especializadas da Polícia Judiciária.
O PAN destaca uma abordagem abrangente para a modernização e segurança digital na Administração Pública com destaque na privacidade, segurança e acessibilidade reflete uma preocupação com o uso ético e inclusivo da tecnologia.
A proposta de investir em infraestrutura própria e reforçar o CNCS demonstra uma preocupação em garantir a soberania digital e a segurança cibernética do Estado. A migração para software livre e a exigência de código público contribuem para a transparência e controle na utilização de recursos públicos.
A proposta de reforçar os meios humanos no combate à corrupção e criminalidade reflete o compromisso do PAN com a integridade institucional e o Estado de Direito. Em suma, o programa do PAN busca conciliar o avanço tecnológico com princípios éticos, segurança e transparência.
O programa eleitoral da Iniciativa Liberal inclui apenas três propostas relacionadas com cibersegurança, proteção de dados e literacia digital:
1. Reforço das Capacidades de Ciberdefesa: A Iniciativa Liberal destaca a necessidade urgente de reforçar as capacidades reais de ciberdefesa em Portugal. Propõe a aposta na formação em cibersegurança, abordando lacunas tanto no setor público como privado. Salienta a importância de dispor de recursos humanos qualificados, com formação militar, para proteger infraestruturas críticas e essenciais.
2. Garantia do Funcionamento da Comissão Nacional de Proteção de Dados (CNPD): Propõe assegurar os meios necessários para o funcionamento da CNPD, responsável pela segurança digital e cumprimento do Regulamento Geral de Proteção de Dados. Destaca a importância de clarificar o enquadramento legal da CNPD, reforçar a encriptação e segurança de dados pessoais na Administração Pública e garantir a rastreabilidade dos acessos a dados pessoais.
3. Promoção da Literacia Digital: Destaca a importância de promover a literacia digital para garantir uma utilização segura dos meios digitais por todos os cidadãos, com foco especial nos infoexcluídos. Propõe campanhas de sensibilização e formação, bem como a inclusão de educação básica para segurança e privacidade na era digital no ensino obrigatório.
A Iniciativa Liberal demonstra uma preocupação abrangente com a segurança digital, reconhecendo a importância estratégica da cibersegurança e da proteção de dados. A ênfase na formação em cibersegurança destaca a necessidade de preparar recursos humanos qualificados para enfrentar ameaças digitais emergentes.
A proposta de garantir o funcionamento eficaz da CNPD e clarificar seu enquadramento legal reflete a preocupação com a governança e supervisão adequadas na área da proteção de dados, destacando casos específicos, como o “Russiagate”.
A promoção da literacia digital e a inclusão de educação básica na era digital no ensino obrigatório mostram a compreensão da Iniciativa Liberal sobre a importância de capacitar os cidadãos para navegar de forma segura e informada no ambiente digital.
Em resumo, as propostas da Iniciativa Liberal destacam a importância de abordar desafios digitais de maneira abrangente, desde capacitar profissionais até garantir a segurança e privacidade de dados pessoais e promover a literacia digital.
Iniciativa CpC: Cidadãos pela Cibersegurança 