Em Abril último o Senado dos EUA aprovou a Lei da Cibersegurança. Este foi o diploma que criou a figura do Consultor para a Cibersegurança na dependência do Presidente e cujo provimento tem sido difícil e objecto de outros meus posts.

O objectivo da lei é combater o cibercrime, a espionagem global e os ataques digitais ou cibernéticos. O seu âmbito não se foca nas infra-estruturas federais, sendo assim abrangente aos outros níveis da administração bem como ao sector privado, o que é fundamental e ajuizado. O articulado exigia ao Governo que reportasse ao Congresso no prazo de um ano, recomendações no sentido de melhorar a lei de forma a torná-la mais eficaz, processo que teve uma primeira resposta da administração Obama com a reavaliação da Sra. Hathaway (que já bateu com a porta) e a introdução de mecanismos que implicariam ao sector privado, a conformidade com standards o que levou a desentendimentos no seio da Administração com o homem de confiança de Obama responsável pelo Comércio. No entanto o objectivo era positivo, pois pretendia facilitar a integração de esforços de cibersegurança dos sectores público e privado.

Outros objectivos são:

No entanto os críticos vêm chamando a atenção fundamentalmente para dois aspectos, contidos na lei:

Quanto ao primeiro aspecto considero-o pertinente mas não belisca a bondade da lei ou seja promover a integração de esforços público/privados.

Quanto ao segundo aspecto admito que faz sentido em termos de tática de combate a um ciberataque, desligar sub-redes que estejam a comprometer a ciber-segurança num dado momento. O diploma legal, nesta versão revista, refere que este poder aplica-se aos sistemas da infra-estrutura crítica nacional, embora o texto me pareça suficientemente vago (como parece a muitos analistas) para poder ser interpretado de forma mais lata.

No entanto, para além de questões culturais, legais e financeiras, podemos questionar a eficácia da medida, pois é já muito complicado desligar o que quer que seja na internet devido à redudância intrínseca da rede. Por outro lado mesmo que o ISP fornecedor de serviço de uma sub-rede desligue-a, nada impede que o cliente volte a ligar-se através de outro operador quanse de imediato, pois é preciso não esquecer que muitas organizações têm ligações de backup para qualquer eventualidade, isto já para não falar em acessos por Wi-Fi/MAX ou banda larga móvel.

Questão mais importante a introduzir é a da coordenação de esforços na cibersegurança, particularmente na forma como essa coordenação é feita: centralizada no ciberczar e no Presidente ou descentralizada em parceiros chave? Claramente esta segunda opcção é a mais adequada considerando a natureza descentralizada da própria rede e da autonomia de acção dos que a ela estão conectados. Aliás esta é uma das questões que levanta dúvidas em muita gente. Quem é que é responsável pela cibersegurança e a resposta só pode ser: todos nós. Não pode ser deixado à responsabilidade apenas da Defesa ou da Segurança Interna, não pode ser deixado apenas ao cuidado das associações empresariais, nem apenas ao cidadão/internauta individualmente considerado.

Todos, organismos do Estado (leia-se central, regional e local), empresas, famílias e cidadãos devem concorrer para a cibersegurança. O que nos falta é uma estrutura de coordenação de esforços para que cada parceiro intervenha de forma subsidiária e assertiva no momento certo e não de forma isolada, logo inconsequente.

Outro elemento que será necessário equacionar é a determinação do nível da ameaça ou seja tem de ser claro quais os critérios que definem o grau de risco em cada momento de forma a mapea-lo com as opções ao dispôr do decisor. Com isto clarifica-se por exemplo quando é que alguém tem autoridade para "mandar desligar".

Enfim, é certo que algumas questões colocam-se mas antes caminhar e corrigir caminho do que ficar parado. E neste particular, no nosso país e região teremos de acelerar o passo...