“Eu, com 100 mil euros e uma pequena equipa, deito abaixo um Governo em 15 dias” – Foi com esta declaração bombástica que, José Tribolet, presidente do Departamento de Engenharia Informática do Instituto Superior Técnico (IST) de Lisboa, fez as delícias das notícias alarmísticas e especuladoras. Porém, o objectivo era apenas o de reforçar a sua preocupação e alerta para a enorme vulnerabilidade e fragilidades dos atuais sistemas de informação que suportam os sistemas críticos de um país e da consequente importância de se valorizar e investir numa permanente cultura de gestão de riscos e de cibersegurança na governação moderna das organizações públicas.
Este episódio trouxe-me à memória um outro muito semelhante que vivi em março de 2017, quando, enquanto vereador responsável pelos sistemas de informação do município de Lisboa, propus a celebração do primeiro protocolo de colaboração entre uma autarquia do país e Centro Nacional de Ciber Segurança. Na altura, e apesar de o protocolo ter uma natureza formativa, colaborativa e orientada para a adoção de boas práticas preventivas no município, o mesmo foi entendida pela comunicação social como uma resposta desesperada da cidade aos ciberataques de que estava a ser alvo, com direito a destaque nas televisões e nas primeiras páginas nos principais jornais do nosso país.
São dois acontecimentos que demonstram bem duas preocupantes realidades. Em primeiro lugar, e se é certo que as organizações e o público em geral começam a ter consciência da existência de vulnerabilidades e de novos riscos resultantes da crescente dependência das atividades económicas e sociais dos sistemas e tecnologias digitais, também é verdade que a maioria não consegue compreender a respetiva dimensão, alcance e potencial de risco, nem quais os comportamentos e ações que devem desenvolver para as prevenir ou mitigar. Em consequência, gera-se um sentimento generalizado de incapacidade e insegurança no processo de tomada de decisão que limita, condiciona e procrastina a implementação de medidas de investimento em novos serviços e soluções digitais, e torna a governança digital das organizações pouco autoconfiante e proativa e, por isso, também muito dependente do recurso a empresas fornecedoras de consultoria tecnológica e de segurança digital.
De acordo com um estudo recente da ISACA sobre smart cities na Europa, 60% dos profissionais inquiridos considera que o risco de infiltração em infraestruturas urbanas críticas são o maior problema de segurança que ameaça a governação das cidades.
Esta realidade é particularmente relevante no processo de desenvolvimento das cidades inteligentes, cujo modelo de transformação e inovação para a melhoria da qualidade e do nível de respostas dos serviços urbanos assenta e depende da eficácia da implementação e de integração de novos sistemas e tecnologias de informação e, mais importante, da capacidade da gestão inteligente de enormes quantidades de dados sobre os seus cidadãos. Sem querer desvalorizar os esforços que têm sido efetuados, penso que é aceite e reconhecido que a maioria das cidades, mesmo aquelas que se afirmam muito inovadoras, ainda não atingiu um grau de maturidade adequado em matéria de segurança da informação e de cibersegurança, sendo que, em muitas, nem sequer existem políticas, princípios e normas de segurança, devidamente estabelecidas e implementadas, nem responsabilidades de monitorização interna atribuídas.
De acordo com um estudo recente da ISACA (Information Systems Audit and Control Association) sobre smart cities na Europa, 60% dos profissionais inquiridos considera que o risco de infiltração em infraestruturas urbanas críticas são o maior problema de segurança que ameaça a governação das cidades, sendo que apenas 12% confia na capacidade da sua cidade para responder com eficácia a incidentes desta natureza. O estudo considera também que existem muitos pontos de vulnerabilidade com potencial de interesse para os maus intencionados, pelo que também alerta para a criticidade de as cidades investirem em profissionais qualificados e em políticas seguras de modernização das suas infraestruturas e sistemas de informação.
O movimento das cidades inteligentes é um processo irreversível e com inúmeras oportunidades para melhorar a vida dos cidadãos, pelo que não pode, nem deve, ser prejudicado pela incapacidade e impreparação da sua governação em salvaguardar a segurança e o bom e regular funcionamento dos serviços urbanos, bem como a proteção e confidencialidade dos dados pessoais que lhe foram confiados ou capturados de forma legítima. Modernizar as cidades, capturando os benefícios e a eficiência que permitem as novas soluções digitais e, simultaneamente, manter controlados num nível aceitável os riscos de segurança de informação é uma das responsabilidades primárias e fundamentais do processo da boa governação digital. Ao alarme social e às ameaças que o desconhecimento destes temas tendem a provocar nos sentimentos e comportamentos dos cidadãos, a governação das cidades deve preparar-se para responder com: afirmação de capacidade de ação e de planeamento de contingência, cultura de gestão de risco e politicas e procedimentos instituídos, investimento em qualificação técnica, controlos processuais e responsabilização organizativa, e capacidade de colaboração e integração com todas as entidades que gerem serviços críticos na cidade e com outras organizações independentes e especializadas.
Sabemos que as cidades têm recursos internos escassos, e não têm competência, nem vocação, para assumir um papel de liderança e inovação em matéria de combate ao cibercrime e de defesa sobre possíveis falhas e vulnerabilidade no normal funcionamento dos seus sistemas críticos, os quais são cada vez maiores e mais complexos. Esse é papel das universidades e das grandes organizações públicas internacionais. O papel das cidades e da sua governação inteligente é o de não diminuir este tema a um assunto técnico, mas, ao inverso, garantir que tem uma estratégia de gestão do risco digital que foi definida e aprovada de forma consciente e informada ao nível da primeira linha da tomada de decisão e alinhada com as recomendações e melhores práticas internacionais.
Neste contexto, relembro as três mensagens fundamentais nas quais a OCDE assenta as suas orientações e recomendações para políticas de gestão do risco no contexto da digitalização das sociedades:
i) Apesar de ser impossível eliminar inteiramente os ciber-riscos em atividades que dependem de contextos digitais, é possível reduzir esse risco para níveis aceitáveis comparativamente aos benefícios públicos gerados por essas atividades;
ii) Os decisores públicos devem focar-se em assegurar a segurança social e económica das atividades que são digitizadas e não unicamente na gestão do risco da sua infraestrutura digital;
iii) As organizações devem integrar a gestão do risco de segurança digital nos seus processos de tomada de decisão ao invés de os tratarem como se fossem apenas assuntos e problemas de natureza técnica.
Em linhas com estas preocupações, também a Comissão Europeia tem definido que o desenvolvimento da sua estratégia digital deverá assentar no princípio do estrito respeito das orientações e boas práticas em matéria de cibersegurança e regras e políticas de proteção de dados, que garantam a disponibilidade, confidencialidade, autenticidade e integridade da informação e dos sistemas digitais sobre a sua responsabilidade. Esta é a ordem que impõe às suas direções gerais, e esta é também a orientação e consciência política que pretende advogada na modernização de todos os serviços públicos europeus.
Termino com outra sábia citação com cerca de 2500 anos:
“Aquele que se empenha a resolver as dificuldades resolve-as antes que elas surjam. Aquele que se ultrapassa a vencer os inimigos triunfa antes que as suas ameaças se concretizem” – Sun Tzu, A arte da guerra
As opiniões expressas são da responsabilidade dos autores e não reflectem necessariamente as ideias da revista Smart Cities.
