• IntellCorp

Whistleblowers e Ciber-segurança (01) - por Cátia Arnaut


[Artigo de Opinião - Cátia Arnaut | IntellCorp Advisory Board Member]


A lei e a cultura estão desavindas nesta matéria. E não temos uma cultura de verdadeira ciber segurança, talvez porque até ao momento nunca foi tão gritantemente necessário como o é agora, e estamos expostos.
Cátia Arnaut [IntellCorp Advisory Board Member]

Na presença de fuga de informação confidencial o que devemos fazer? Pagar 9,8 milhões de regate? Proteger o whistleblower ou prendê-lo e deitar a chave fora? Num mundo crescentemente digital ainda não estamos preparados para lidar com ataques informáticos, nem temos por enquanto mecanismos de os prevenir ou antever.


Já ouvimos dezenas de vezes o termo hacker que nos surge como sinónimo de perigo, com uma imagem escura e negativa, como um vírus que nos infecta os computadores.


Esse termo tem vindo a ser abandonado por um muito mais encantador – whistleblower – a transportar-nos para alguém que nos sussurra ao ouvido e nos conta um segredo que deve ficar só para nós. Mas em 2020 o “nós” significa mais do que uma nação ou duas, significa o mundo inteiro.


Não é um fenómeno novo, data de pelo menos do século XVI, e se pesquisarmos a lista de famosos whistleblowers esta é extensa e variada – desde organizações de intelligence como a CIA ou o MI5, até funcionários pertencentes a gigantes empresariais dos mais diversos sectores, como as tabaqueiras, farmacêuticas ou entidades do sector financeiro.


Hoje contudo, num mundo digital, a mecânica da divulgação de informação confidencial é mais segura – não há o perigo da deterioração de provas físicas, é replicável muito facilmente - e muito mais rápido que no passado. A exposição mediática é dramaticamente mais rápida e influenciadora da opinião pública.


Lembrando exemplos recentes como o de Julien Assange e o caso Wikileaks, que afinal de contas não é tão recente assim já que é um imbróglio com quase 10 anos que parece não ter fim à vista, Snowden, em Portugal com o nosso Rui Pinto ou mesmo o mais recente ataque à EDP, todos sem excepção têm uma base comum: os governos não sabem como lidar com a informação exposta e socorrendo-se das ferramentas legais disponíveis contestam a forma como a informação foi obtida, com pouca ou nenhuma acção sobre o conteúdo dessa informação.


Num mundo crescentemente digital, e que o será mais ainda pós crise COVID-19, é o contexto ideal de proliferação de fraude digital e de outros ataques cibernéticos a empresas privadas e entidades estatais.


Alguém acredita que o GDPR (em Português RGPD – Regulamento Geral de Protecção de Dados) trouxe verdadeiras medidas de protecção? Ou terá sido mais uma burocracia que as entidades tiveram de implementar? Deixamos verdadeiramente de receber correio, e-mail, ou sms que não queremos nem nunca quisemos? O meu telemóvel insiste em relembrar-me periodicamente que não…


O caso Rui Pinto em Portugal e em outros países da Europa deixou a nu a inexistência ou desadequação de um quadro legislativo reflexivo da realidade. Deixou ainda por demais evidente a manifesta falta de capacidade humana, e por vezes técnica, das policias para actuarem quer preventivamente quer na vertente da investigação.


Mais do que isso despertou da dormência o paradigma, periódico e recorrente, que a opinião pública se coloca sempre que casos análogos se noticiam: está a sociedade disposta a prescindir uma parte da sua liberdade em benefício de uma transparência acrescida e uma justiça efectivamente mais equitativa entre cidadãos?


Já assistimos a esta discussão em Portugal em 2012 – 2014 quando a vulgarização das camaras de vídeo-vigilância se deu e algumas Câmaras Municipais pretendiam instalá-las em zonas criticas da cidade para controlar a criminalidade. Na altura não me lembro de ver manifestações populares contra essas medidas. Lembro-me sim da nossa comissão de protecção de dados dizer que não era possível, que era contra a lei, não conseguindo contudo explicar porque razão tínhamos a autoestrada A5 em Portugal, a única na altura, totalmente coberta por camaras de vídeo-vigilância.





No caso dos whistleblowers e da segurança de todos nós, a inexistência de um quadro legal integrado, no mínimo a nível Europeu, tem vindo a permitir que não haja uma acção concreta e concertada ou um tratamento igualitário. Não temos uma política comum para lidar com estes fenómenos. Não sabemos verdadeiramente como o fazer e do ponto de vista do enquadramento legal estamos muitíssimo atrasados em face da realidade com que nos deparamos.


No caso Rui Pinto em particular, observamos facilmente a disparidade de tratamento com que um mesmo caso pode ser encarado, mediante o país da Europa em que se encontre – nuns a delação premiada, noutros um crime quase hediondo.


Mais do que um problema de (falta de) enquadramento legal, é um problema de ciber-segurança e da sua falta de aplicação de forma mais profunda e generalizada.


A lei e a cultura estão desavindas nesta matéria. E não temos uma cultura de verdadeira ciber segurança, talvez porque até ao momento nunca foi tão gritantemente necessário como o é agora, e estamos expostos.


Expostos nos mais diferentes níveis – desde as fake news de que tanto nos queixamos, à usurpação de identidade, ao bullying cibernético, à fraude da mais simples à mais complexa, terminando em casos mais pungentes como o do Rui Pinto ou o mais recente ataque à EDP, esta última com exigência de pagamento de um resgate no montante de cerca de 9,8 milhões de euros por 10 terabytes de informação.


E por detrás de tudo isto estão pessoas e negócios, bem tangíveis e palpáveis, reais, com consequências que podem ser dramáticas e reflectir-se directamente na sua sobrevivência mais elementar.


Em muitos dos países europeus a ciber segurança é vista como um nice to have, como um seguro, que como não somos obrigados a pagar muito poucos efectivamente o subscrevem, a menos que impacte de forma crítica no seu negócio core.


É um tema muitíssimo complexo e para o qual não existem provavelmente respostas definitivas ou verdades absolutas.


Mas é um tema que requer reflexão e discussão imediata e não a sua continua procrastinação, acções concretas de mitigação para que possamos evoluir de um quadro praticamente desregulamentado, para uma política comum e integrada, onde necessariamente têm de se constituir equipas multidisciplinares de controlo e prevenção, dotadas de meios e competências adequadas aos desafios que hoje enfrentamos, e aos que amanhã teremos de responder.


Não podemos persistir num modelo no qual pedimos contas aos principais players para implementarem mecanismos de controlo, porque são mauzões e detêm o controlo do mercado, que deixámos que tivessem, e que têm de ser responsáveis por implementar regras que não estão escritas, ao sabor dos escândalos mais recentes, muitas vezes enredadas numa teia de interesses em conflito e pouco transparentes para todos nós.



Cátia Arnaut

IntellCorp Advisory Board Member





A IntellCorp tem sede em Lisboa.

Para mais informações, contacte-nos. Saiba mais no nosso website e siga as nossas actualizações no LinkedIn, e também no Facebook Twitter.