Segurança Informática Pública: em Experiência, na Legislação Ou em Estudo
Segunda-feira, 16 de Fevereiro de 2004
%P.F.
A Fundação Nacional para o Cálculo Científico (FCCN) está a preparar um Serviço de Resposta a Incidentes de Segurança Informática para a comunidade académica utilizadora da Rede Ciência Tecnologia e Sociedade, cuja versão experimental se encontra disponível na Web ( www.cert.pt ). Existe igualmente legislação de Maio de 2002, onde se salientava a urgência de uma Comissão de Planeamento de Emergência do Ciberespaço, no âmbito do Ministério da Defesa Nacional e que não tem mostrado qualquer actividade pública.
Em paralelo, empresas ou instituições públicas apenas podem recorrer aos seus próprios meios para estarem atentos às questões de segurança informática - mas, dada a enorme falta de sensibilização, teme-se o pior. "Fala-se disto uns dias depois de um ataque e, depois, não fazemos nada até ao próximo", refere Pedro Veiga, presidente da FCCN, explicando que faltam campanhas de informação até porque existe uma falta de sensibilidade para estes problemas.
É necessária uma "campanha para consolidar uma cultura de segurança a nível nacional, que será parte integrante da Política Nacional de Segurança de Redes e Informação na Administração Pública", refere Diogo Vasconcelos, gestor da Unidade de Missão Inovação e Conhecimento (UMIC), adiantando que serão lançados neste trimestre os estudos para elaborar essa política.
"Os portugueses acreditam que os azares só acontecem aos vizinhos", sintetiza o consultor de segurança Pedro Carvalho, para quem há uma "razão fundamental" para este estado de coisas: "Os portugueses não fazem, nem nunca fizeram, as contas aos prejuízos provocados por estes e outros flagelos" informáticos. Por isso, "o investimento em segurança nunca tem termo de comparação".
O caso dos vírus é, no entanto, sintomático, porque "espalha-se com uma enorme velocidade e os computadores das pessoas são infectados devido à falta de cuidado das mesmas, muito antes de os alertas serem feitos", lembra Pedro Inácio, do projecto Honeynet-Portugal. Por essa razão, a criação de uma entidade com "um sistema de alertas em tempo útil não vai resolver o problema; poderá ajudar mas não o resolve", sintetiza Tito de Morais, fundador do projecto MiudosSegurosNa.Net, para a promoção do uso seguro das novas tecnologias por jovens.
Pedro Carvalho concorda, tanto mais que, do "ponto de vista de alertas, são os editores dos antivírus que estarão na primeira linha de alerta e diagnóstico". Já uma agência europeia é positiva "no desenvolvimento de 'know how' e recomendações a serem depois utilizadas pelas empresas e particulares". Quanto à criação de uma agência nacional, a UMIC aguarda pelo arranque da congénere europeia para fazer uma avaliação e definir os próximos passos a tomar.
A existir, a maioria dos contactados admite que ela deveria envolver entidades públicas e privadas. Já a informação disponibilizada deveria ser pública mas com algum cuidado: "Ao difundir uma falha de segurança, pode-se ajudar ao seu conhecimento e, como tal, ao aparecimento de ferramentas que tirem partido desta falha", lembra Pedro Inácio. Também Diogo Vasconcelos considera que se deve "permitir um modo de partilha de informação sigiloso para garantir a participação de entidades bancárias, seguradoras, grandes empresas e, por outro, a divulgação de ameaças genéricas e possíveis resoluções ao público em geral".
Neste campo, os problemas não parecem estar para terminar: "O 'software' actual não privilegia a segurança e a fiabilidade, mas a novidade", salienta Pedro Carvalho. "A última vaga de vírus acabou por beneficiar da falta de qualidade intrínseca dos sistemas operativos e deficiências estruturais de componentes básicos. A responsabilidade não cabe totalmente ao utilizador final".
Como não se consegue igualmente detectar a maior parte dos criadores de vírus, o que resta às empresas afectadas? Quem comunicar sobre os criadores das versões do MyDoom poderáeceber 500 mil dólares, oferecidos pela SCO e pela Microsoft. Se, para Pedro Carvalho, se trata apenas de "manobras mediáticas para mostrar publicamente preocupação", o presidente da FCCN considera que, para alguns criadores, isso "pode funcionar como um incentivo a continuarem". Ou para aparecerem novos negócios, exemplifica Tito de Morais: "As recompensas do tipo 'dead or alive' não acabaram com os criminosos" mas "serviram para o aparecimento dos caçadores de prémios profissionais". Não me admirava que começassem a surgir empresas especializadas neste tipo de actividade: os 'Cyber Bounty Hunters'."
Categorias
Entidades
Segurança Informática Pública: em Experiência, na Legislação Ou em Estudo
Segunda-feira, 16 de Fevereiro de 2004
%P.F.
A Fundação Nacional para o Cálculo Científico (FCCN) está a preparar um Serviço de Resposta a Incidentes de Segurança Informática para a comunidade académica utilizadora da Rede Ciência Tecnologia e Sociedade, cuja versão experimental se encontra disponível na Web ( www.cert.pt ). Existe igualmente legislação de Maio de 2002, onde se salientava a urgência de uma Comissão de Planeamento de Emergência do Ciberespaço, no âmbito do Ministério da Defesa Nacional e que não tem mostrado qualquer actividade pública.
Em paralelo, empresas ou instituições públicas apenas podem recorrer aos seus próprios meios para estarem atentos às questões de segurança informática - mas, dada a enorme falta de sensibilização, teme-se o pior. "Fala-se disto uns dias depois de um ataque e, depois, não fazemos nada até ao próximo", refere Pedro Veiga, presidente da FCCN, explicando que faltam campanhas de informação até porque existe uma falta de sensibilidade para estes problemas.
É necessária uma "campanha para consolidar uma cultura de segurança a nível nacional, que será parte integrante da Política Nacional de Segurança de Redes e Informação na Administração Pública", refere Diogo Vasconcelos, gestor da Unidade de Missão Inovação e Conhecimento (UMIC), adiantando que serão lançados neste trimestre os estudos para elaborar essa política.
"Os portugueses acreditam que os azares só acontecem aos vizinhos", sintetiza o consultor de segurança Pedro Carvalho, para quem há uma "razão fundamental" para este estado de coisas: "Os portugueses não fazem, nem nunca fizeram, as contas aos prejuízos provocados por estes e outros flagelos" informáticos. Por isso, "o investimento em segurança nunca tem termo de comparação".
O caso dos vírus é, no entanto, sintomático, porque "espalha-se com uma enorme velocidade e os computadores das pessoas são infectados devido à falta de cuidado das mesmas, muito antes de os alertas serem feitos", lembra Pedro Inácio, do projecto Honeynet-Portugal. Por essa razão, a criação de uma entidade com "um sistema de alertas em tempo útil não vai resolver o problema; poderá ajudar mas não o resolve", sintetiza Tito de Morais, fundador do projecto MiudosSegurosNa.Net, para a promoção do uso seguro das novas tecnologias por jovens.
Pedro Carvalho concorda, tanto mais que, do "ponto de vista de alertas, são os editores dos antivírus que estarão na primeira linha de alerta e diagnóstico". Já uma agência europeia é positiva "no desenvolvimento de 'know how' e recomendações a serem depois utilizadas pelas empresas e particulares". Quanto à criação de uma agência nacional, a UMIC aguarda pelo arranque da congénere europeia para fazer uma avaliação e definir os próximos passos a tomar.
A existir, a maioria dos contactados admite que ela deveria envolver entidades públicas e privadas. Já a informação disponibilizada deveria ser pública mas com algum cuidado: "Ao difundir uma falha de segurança, pode-se ajudar ao seu conhecimento e, como tal, ao aparecimento de ferramentas que tirem partido desta falha", lembra Pedro Inácio. Também Diogo Vasconcelos considera que se deve "permitir um modo de partilha de informação sigiloso para garantir a participação de entidades bancárias, seguradoras, grandes empresas e, por outro, a divulgação de ameaças genéricas e possíveis resoluções ao público em geral".
Neste campo, os problemas não parecem estar para terminar: "O 'software' actual não privilegia a segurança e a fiabilidade, mas a novidade", salienta Pedro Carvalho. "A última vaga de vírus acabou por beneficiar da falta de qualidade intrínseca dos sistemas operativos e deficiências estruturais de componentes básicos. A responsabilidade não cabe totalmente ao utilizador final".
Como não se consegue igualmente detectar a maior parte dos criadores de vírus, o que resta às empresas afectadas? Quem comunicar sobre os criadores das versões do MyDoom poderáeceber 500 mil dólares, oferecidos pela SCO e pela Microsoft. Se, para Pedro Carvalho, se trata apenas de "manobras mediáticas para mostrar publicamente preocupação", o presidente da FCCN considera que, para alguns criadores, isso "pode funcionar como um incentivo a continuarem". Ou para aparecerem novos negócios, exemplifica Tito de Morais: "As recompensas do tipo 'dead or alive' não acabaram com os criminosos" mas "serviram para o aparecimento dos caçadores de prémios profissionais". Não me admirava que começassem a surgir empresas especializadas neste tipo de actividade: os 'Cyber Bounty Hunters'."