Falta legislação aplicável à conceção, manutenção e fiscalização de sistemas informáticos. A posição é defendida por José Tribolet, professor catedrático jubilado do Instituto Superior Técnico e especialista em cibersegurança, na sequência das notícias sobre o ataque informático à TAP.
O grupo de hackers Ragnar Locker publicou dados pessoais de 1,5 milhões de clientes da companhia. O documento com 581 gigabytes de informação foi publicado online na Dark Web, esta segunda-feira. Nessa mensagem, os piratas dizem que continuam a ter acesso aos sistemas informáticos.
Como se consegue travar o ímpeto de hackers como os que atacaram a TAP e outras empresas, nos últimos meses? “Da mesma forma como se trava o ímpeto a ladrões que querem entrar na nossa casa para roubar valores. Há duas formas: Uma, é não ter valores em casa; a outra, é dotar a casa de todo um sistema de alarmes, com capacidade de resposta em tempo real, que maximize a probabilidade de insucesso dos ladrões entrarem na nossa casa”, avança José Tribolet.
No fundo, há que estabelecer requisitos técnicos sobre os sistemas informáticos.
“A ponte sobre o Tejo também é uma estrutura complexa... e muitos dependem dos atributos da sua infraestrutura. Não só na sua fase de projeto e construção, mas também da manutenção, de avaliação constante, mediante um conjunto de regras de operação.”
A TAP é uma empresa que o especialista acredita ter “uma consciência aguda” do seu negócio e atributos de segurança elevadíssimos. “Se assim não fosse, não estaria certificada para operar”, porque os sistemas informáticos têm bens preciosos relacionados com a segurança de pessoas e bens, em termos operacionais.
O problema é que a informática que se foi desenvolvendo não é técnica. “É mais ligeira, desenvolvida ao longo de anos, com falta de critérios rigorosos do ponto de vista da engenharia informática”.
Para este especialista em cibersegurança, “muitos dados importantes das companhias provêm de concursos públicos, com determinado fornecedor, sem se saber se à partida se as empresas em causa, as que concorrem, tem requisitos de segurança”.
Por isso, defende que devem existir nesta área os mesmos requisitos que existem, por exemplo, na engenharia civil. “Tem de ter anteprojeto, projeto com desenhos técnicos explícitos, que serão analisados por profissionais, de forma a terem mais tarde autorização para serem construídos. E deve ser fiscalizado por fiscais independentes”. E ao entrarem em operação, esta tem de ser validada e testada.
Mas para que isso seja possível, falta legislação aplicável à conceção, manutenção e fiscalização de sistemas informáticos. Se existisse, podia diminuir os efeitos de ataques informáticos como aqueles de que a TAP está a ser alvo.
Sem essa legislação, este especialista em cibersegurança considera que é pouco profissional a forma como se lida com os sistemas informáticos nas empresas do sector privado e público em Portugal. Por isso, acredita que haverá cada vez mais ataques informáticos no país.